Em quais princípios a LGPD se baseia?
Ao utilizar dados pessoais em qualquer situação de tratamento a boa-fé é a premissa básica. Além disso, é preciso refletir sobre questões como qual o objetivo de uso, quantos dados são necessários e se o uso destes pode resultar em alguma injustiça ou discriminação. Na hora de tratar os dados você deve levar em consideração os 10 Princípios da Lei Geral de Proteção de Dados Pessoais, a LGPD. Confira!
Tabela de conteúdos
- O que são os Princípios da LGPD?
- 1) Princípio LGPD da Finalidade
- 2. Princípio LGPD da Adequação
- 3. Princípio LGPD da Necessidade
- 4. Princípio LGPD do Livre Acesso
- 5. Princípio LGPD da Qualidade dos Dados
- 6. Princípio LGPD da Transparência
- 7. Princípio LGPD da Segurança
- 8. Princípio LGPD da Prevenção
- 9. Princípio LGPD da Não Discriminação
- 10. Princípio LGPD da Responsabilização e Prestação de Contas
- O tamanho da empresa tem relação com o cumprimento aos princípios da LGPD?
- A LGPD é aplicada a Indivíduos?
- Pontos Importantes sobre Princípios da LGPD
- Como posso obter mais informações sobre a LGPD?
O que são os Princípios da LGPD?
Como todos sabemos, os dados são importantes em nosso mundo. E à medida que nossa dependência dos dados cresce, cresce também a necessidade de protegê-los.
Quando se trata de questões legais, é melhor ter cautela. É por isso que, ao escrever sobre um determinado assunto, devemos levar em consideração os princípios legais relevantes. Dessa forma, todos podem agir com coerência.
Iniciando a jornada normativa sobre a LGPD, a recomendação é a utilização da boa fé. Posteriormente, devemos observar os princípios legais que estabelecem um precedente claro para a forma como os dados devem ser tratados.
Ao entender os princípios legais relevantes você pode economizar muito tempo para a implantação da LGPD em sua empresa.
Os princípios da Lei Geral de Proteção de Dados, a LGPD são a base do regulamento. Eles determinam como e quais dados pessoais devem ser tratados, até que ponto e sob que condições.
Além disso, os princípios da LGPD ajudam a assegurar que os dados pessoais sejam utilizados de forma consistente com os direitos dos indivíduos. Os 10 Princípos da LGPD são:
- Finalidade;
- Adequação;
- Necessidade;
- Livre acesso;
- Qualidade dos dados;
- Transparência;
- Segurança;
- Prevenção;
- Não discriminação e;
- Responsabilização e prestação de contas.
1) Princípio LGPD da Finalidade
Este princípio obriga a empresa a realizar o tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular. Além disso, não existe a possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Por propósitos legítimos, entende-se que um ele é razoável e faz sentido. Ele também deve ser legal e seguir a boa fé. Um propósito não deve ter intenções sorrateiras.
Por propósitos específicos, entende-se que o tratamento de dados se volte para um objetivo determinado e relevante para os titulares.
O propósito explícito do uso de dados pessoais é garantir que não haja dúvidas sobre o porquê de utilizar estes dados uma vez que a razão tenha sido informada.
E informados ao titular, aonde ele dará a sua permissão para empresa que estiver realizando o tratamento. O agente de tratamento não pode mudar o que ela tem permissão para fazer sem obter o consentimento do titular novamente.
Em outras palavras, as empresas devem ser claras sobre o motivo pelo qual estão coletando dados, e só podem utilizá-los para os fins que especificaram. Este princípio ajuda a garantir que nossas informações estejam seguras e protegidas, e que possamos confiar nas empresas que utilizam nossos dados.
Exemplos do princípio da finalidade
Se um condomínio tiver coletado dados pessoais de um visitante com a finalidade de acesso ao imóvel, eles não podem usar esses dados para enviar publicidade para esse visitante.
João está de férias no Ceará e aluga um carro para passar a temporada com a família. Ele descobre que o seu carro é monitorado pelo GPS pela locadora, mas ninguém o informou daquilo, no momento da contratação do serviço.
Neste caso houve violação do princípio da finalidade, pois ele não foi explicitamente informado de forma clara que seria monitorado e qual o propósito legítimo para isso. Se uma pessoa não sabe o propósito do tratamento de seus dados pessoais, há uma violação desse princípio.
2. Princípio LGPD da Adequação
Quando você processa dados, a maneira como você o faz deve ser compatível com as razões pelas quais você disse à pessoa que os dados estavam sendo coletados.
A finalidade do tratamento deve estar clara no momento da coleta de dados para que o tratamento seja considerado compatível com essa finalidade.
A adequação também exige que se leve em conta o contexto do processamento. Isto significa que que as finalidades para as quais meus dados pessoais estão sendo coletados e utilizados devem ser compatíveis com as expectativas dos titulares.
Em resumo, o princípio da adequação refere-se à compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Exemplos do princípio da adequação
Consideremos uma loja de flores online que solicita para os usuários preencherem um formulário de cadastro aonde com informações de hábitos de consumo alimentar do comprador. Solicitar dados de hábitos de consumo alimentar não é condizente com o princípio da adequação para este negócio.
Um outro exemplo: Você decide comprar uma ferramenta em uma loja online ou física e realiza um cadastro para emissão de nota fiscal que com o seu consentimento irá para o seu e-mail. No entanto, seu e-mail é usado para o envio de notícias e promoções da loja, mesmo que você nunca tenha aceitado receber comunicados de marketing.
A loja usou seus dados pessoais não só para enviar a nota fiscal mas também para comunicados de marketing. Neste caso o princípio da adequação e da finalidade da LGPD foram violados. Ela deveria ter obtido o seu consentimento para enviar também comunicados de marketing.
3. Princípio LGPD da Necessidade
O princípio da necessidade obriga as empresas a coletar, processar e armazenar somente os dados pessoais necessários para atingir o objetivo declarado.
Isto significa que as empresas devem avaliar com cautela a quantidade e natureza de dados pessoais antes da coleta, e devem tomar medidas para garantir que não coletem mais dados do que necessitam.
O princípio da necessidade também impõe às empresas a obrigação de tomar medidas para proteger os dados pessoais que elas coletam, e de exclui-los quando não forem mais necessários.
Exemplos do princípio da Necessidade
Por exemplo, você quer encomendar roupas para bebê online, então realiza o seu cadastro no site. Para a entrega, a loja solicita detalhes sobre se o pedido é um presente ou se você está esperando um bebê ou se ele já nasceu. Se você não fornecer os dados, você não poderá fazer a encomenda. E daí você se pergunta sobre a razão para esta informação adicional, afinal você só quer comprar a roupa.
Isto é uma violação do princípio da necessidade sob a LGPD, pois a finalidade da coleta deste dado não é clara e não existe a necessidade desta informação para o processo de compras online.
4. Princípio LGPD do Livre Acesso
Os titulares dos dados têm o direito de consulta fácil, gratuita, sobre a forma e duração do processamento, bem como sobre a integridade de seus dados pessoais.
Em outras palavras, as pessoas têm o direito de saber como e por quanto tempo seus dados pessoais serão utilizados e se eles estão completos.
Estes direitos também se estendem às informações sobre as categorias de dados que estão sendo processados e os destinatários desses dados.
Além disso, as pessoas têm o direito de acessar seus dados pessoais e fazer correções, se necessário.
Finalmente, as pessoas podem apresentar uma reclamação se sentirem que seus direitos foram violados.
Todos estes direitos são importantes para garantir que os dados pessoais sejam utilizados de forma justa e transparente.
Exemplos do princípio do Livre Acesso
Uma empresa, ao receber a demanda de um indivíduo por informações sobre como seus dados pessoais são utilizados, informa que este serviço custo R$5,00 para fornecer estas informações.
O procedimento de cobrança pelos dados que ele reúne e mantém sobre a pessoa em questão não é aceitável. A empresa também não pode se negar a fornecer os dados solicitados, nem apresentar apenas informações parciais.
De forma oportuna, a informação deve ser entregue de forma clara, compreensível e gratuita.
5. Princípio LGPD da Qualidade dos Dados
De acordo com o propósito e a necessidade de processamento, este princípio assegura que os dados sejam precisos, claros, relevantes e atualizados.
O princípio da Qualidade dos Dados ajuda a proteger os indivíduos, garantindo que as empresas tenham apenas os dados de que necessitam e que estas informações sejam precisas e atualizadas. Isto é especialmente importante no mundo de hoje, onde informações desatualizadas ou desnecessárias podem causar danos significativos.
Quando uma empresa tem conhecimento desatualizado ou irrelevante sobre um cliente, ela está negligenciando o princípio da qualidade dos dados.
Exemplo do princípio da Qualidade dos Dados
Um cliente ao mudar de endereço solicita ao seu banco a atualização de seu cadastro para envio de correspondências. É obrigação do banco neste caso a alteração destes dados. Imagine neste caso, a sua fatura de cartão de crédito chegando em um endereço aonde moram outras pessoas.
Por razão dos princípios do Livre Acesso e Qualidade de Dados que é fundamental estabelecer um canal de comunicação entre titulares de dados e a sua empresa de forma clara e direta.
Normalmente é o DPO (Encarregado de Proteção de Dados) ou o líder digital a pessoa mais indicada para lidar com esse tipo de comunicação.
6. Princípio LGPD da Transparência
O Princípio de Transparência do LGPD exige que os titulares dos dados pessoais recebam informações claras, precisas e facilmente acessíveis sobre o processamento de seus dados.
Essas informações devem ser disponibilizadas aos titulares dos dados de forma coerente em observação aos segredos comerciais e industriais da empresa.
O princípio também exige que os controladores de dados tomem medidas razoáveis para assegurar que os dados pessoais sejam processados de forma transparente, consistente e justa.
Exemplo do princípio da Transparência
Uma empresa de plataforma de realidade virtual trata dados pessoais de aproximadamente 1 milhão de usuários. Ela fornece em seu site, um link para sua política de privacidade, mas o link abre a página de erro 404 de página inexistente. A empresa violou neste caso o princípio da transparência.
Por essa razão é fundamental que as empresas que coletam dados em sites, sejam formulários ou cookies, coloquem de forma pública, os documentos de:
- Política de Privacidade;
- Política de Cookies;
- Termos de Uso;
7. Princípio LGPD da Segurança
As empresas devem utilizar medidas técnicas e administrativas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação. Isto inclui tomar medidas para evitar hackers e outros tipos de ciberataques.
Embora a lei não especifique de forma objetiva quais medidas as empresas devem tomar, é claro que as empresas devem levar a sério a segurança dos dados pessoais. Ao fazer isso, elas podem ajudar a manter os brasileiros seguros e proteger seus direitos.
Exemplo do princípio da Segurança
Digamos que você vive em uma cidade onde todos se conhecem. Um dia, você tem que ir ao hospital porque você está muito doente. Você não quer que ninguém saiba sobre isso e seu médico é honesto e respeita a confidencialidade médico-paciente.
Então você descobre que todos os funcionários do hospital têm acesso aos seus registros médicos. Pela falta de controles de segurança, suas informações correm um risco significativo de serem reveladas. A clínica está claramente violando o princípio de segurança da LGPD.
Por essa razão é fundamental que as empresas lidem com a segurança da informação e controles de acesso em suas operações. A TI deve ser levada muito a sério!
8. Princípio LGPD da Prevenção
Este princípio se concentra em tomar medidas preventivas para evitar danos causados pelo tratamento de dados pessoais. Embora se entenda que este já esteja incorporado no princípio da segurança, a lei resolve enfatizar a necessidade da prevenção.
De acordo com dados recentes, o erro humano é responsável por quase 40% das violações de dados. Erros simples, como quando a equipe instala programas gratuitos infectados por malware ou cai vítima de e-mails falsos que imitam bancos a fim de coletar dados e senhas, são muito frequentes.
Para este tipo de situação, a capacitação e o treinamento são excelentes formas de prevenção, instruindo os funcionários sobre como proceder quando confrontados com um sistema suspeito ou e-mail. A instalação e manutenção de controles técnicos de segurança, como firewalls e antivírus também são boas práticas preventivas.
A prevenção de fraudes podem se tornar uma questão complexa, mas ao tomar algumas medidas básicas, as organizações podem ajudar a se proteger contra este tipo de crime. Você não precisa ter o melhor e mais caro sistema de firewall, mas é recomendado que a sua empresa pelo menos tenha um controle mínimo estabelecido.
Exemplo do princípio da Prevenção
Um funcionário de uma empresa, sem conhecimentos básicos sobre cibersegurança, decide abrir um e-mail malicioso e clica em um link que irá contaminar a rede com Ransonware. Ao fazer essa ação o funcionário disse que não sabia. A empresa nunca realizou treinamentos sobre uso de e-mails corporativos e claramente não se preocupou com o Princípio da Prevenção.
9. Princípio LGPD da Não Discriminação
Neste princípio a lei expressa de forma clara a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
Exemplo do princípio da Não Discriminação
Uma companhia de teatro oferece preços reduzidos a pessoas que apoiam um certo movimento político. Este tipo de procedimento não apenas coleta dados sensíveis (filiação partidária), mas também discrimina as pessoas que não apoiam esse movimento.
Este tipo de promoção discrimina outros cidadãos, ajudando apenas aqueles que têm os mesmos pontos de vista políticos. É melhor não fazer este tipo de promoção porque é uma forma de discriminação.
10. Princípio LGPD da Responsabilização e Prestação de Contas
Este princípio refere-se da capacidade de demonstrar, pela empresa, o cumprimento e observância da LGPD. Ela deve demonstrar também, a eficácia das medidas estabelecidas.
A empresa deve provar que ela seguiu os procedimentos e práticas permitidos pelas regras de proteção de dados. Ela também deve demonstrar que esses procedimentos e práticas são eficazes. Se eles não o fizeram, mesmo que a empresa tenha agido de boa fé, ela estará infringindo a LGPD.
Neste caso, surge a importância da criação de todas as políticas, mapeamento de dados, Relatório de Impacto de Dados, RIPD. E ainda, mais importante do que estabelecer toda essa documentação é o seu efetivo cumprimento.
Exemplo do princípio da Responsabilização e Prestação de Contas
Uma empresa contratou um escritório de advocacia para realizar as documentações de adequação à LGPD. Essa consultoria entregou 40 documentos para a contratante sem envolver nenhum de seus profissionais no processo e sem entender os controles técnicos que a empresa possui de cibersegurança.
A LGPD neste caso, falha neste princípio, pois o que foi estabelecido em políticas não condiz com a realidade da empresa, sendo neste caso ineficaz.
É preciso entender que a LGPD é um processo integrado e não isolado. Toda documentação deve ser fundamentada em função da realidade da empresa.
Em outras palavras, o que se estabelece deve ser cumprido e comprovado.
O tamanho da empresa tem relação com o cumprimento aos princípios da LGPD?
O tamanho da empresa afeta apenas o valor das multas. As multas são baseadas em quanto dinheiro a empresa ganhou no Brasil em seu último ano fiscal.
Todas as empresas devem seguir a LGPD.
A LGPD é aplicada a Indivíduos?
O LGPD se aplica tanto para empresas quanto para indivíduos. Todos são responsáveis pelo cumprimento de seus princípios. Isto significa que mesmo que você não esteja diretamente envolvido no manuseio de dados pessoais como parte de seu trabalho, você ainda pode encontrar dados pessoais em sua vida diária.
Vamos supor que um indivíduo instala câmeras de vigilância em sua casa e em sua varanda. As câmeras apontam para um estacionamento, calçadas, o quintal, o jardim e os canteiros de flores vizinhos. Esta pessoa monitora os seus vizinhos sem que eles saibam.
Neste caso, este indivíduo viola dois princípios da LGPD. Primeiro, ele violou o princípio da finalidade ao filmar seus vizinhos sem o consentimento deles. Em segundo lugar, ele não atende ao princípio da necessidade, ao coletar dados extras que ele não precisava.
Pontos Importantes sobre Princípios da LGPD
- Os princípios da LGPD determinam como e até que ponto as empresas podem tratar seus dados pessoais.
- Existem 10 princípios que devem ser observados na LGPD:
- Finalidade;
- Adequação;
- Necessidade;
- Livre acesso;
- Qualidade dos dados;
- transparência;
- Segurança;
- Prevenção;
- Não discriminação e;
- Responsabilização e prestação de contas.
A importância dos princípios aqui examinados é que eles fornecem uma base concreta para a compreensão e aplicação das disposições da LGPD. Eles também ilustram os comandos gerais contidos na lei, os quais não se pode esperar que disciplinem todos os eventos e fatos específicos.
A compreensão e aplicação destes princípios é essencial para aqueles que pretendem proteger os dados pessoais no Brasil.
Como posso obter mais informações sobre a LGPD?
A adequação LGPD envolve revisitar diferentes processos empresariais. Por isso é oportuno a indicação de uma pessoa interna que entenda a forma como a empresa opera para o projeto acontecer de forma mais rápida.
Além disso, a adequação LGPD é um processo contínuo dentro do seu negócio! Se você não tiver um líder digital interno em sua empresa para tratar de questões relacionadas a LGPD você terá que pagar consultorias para sempre.
Por isso estamos aqui para ajudá-lo a encontrar as respostas para todas as suas perguntas sobre a LGPD. Nós queremos encorajar os pequenos empreendedores a começarem a se adequar, no seu tempo e respeitando sua estrutura.
Para isso criamos uma lista de e-mail com todos os passos para a adequação LGPD em pequenas e médias empresas que você pode fazer por conta própria. O primeiro passo é o Plano de Trabalho de adequação LGPD.