A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estabelece em seu artigo 6º um conjunto de princípios que fundamentam todo o sistema brasileiro de proteção de dados. Compreender esses princípios é essencial para qualquer organização que realize tratamento de dados pessoais, pois eles servem como parâmetro interpretativo para a aplicação da lei em situações concretas.
Finalidade, Adequação e Necessidade
O princípio da finalidade determina que o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular. Não se admite o tratamento posterior de forma incompatível com essas finalidades originais. Na prática, isso significa que uma empresa que coleta dados para fins de entrega de produto não pode, sem nova base legal, utilizar esses mesmos dados para marketing direcionado.
A adequação exige compatibilidade entre o tratamento e as finalidades informadas ao titular. Já a necessidade impõe a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, abrangendo dados pertinentes, proporcionais e não excessivos. Esse trinômio — finalidade, adequação e necessidade — forma o núcleo da proporcionalidade no tratamento de dados.
Livre Acesso, Qualidade e Transparência
O princípio do livre acesso garante ao titular a consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como a integralidade de seus dados pessoais. A qualidade dos dados assegura exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
A transparência, por sua vez, garante informações claras, precisas e facilmente acessíveis sobre o tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. Esse princípio ganha relevância especial no contexto de decisões automatizadas e uso de inteligência artificial.
Segurança, Prevenção e Não Discriminação
O princípio da segurança exige medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. A prevenção, de forma complementar, determina a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
O princípio da não discriminação proíbe o tratamento para fins discriminatórios, ilícitos ou abusivos. Esse princípio tem especial importância quando se trata de dados sensíveis, como origem racial, convicção religiosa ou dados referentes à saúde.
Responsabilização e Prestação de Contas
O princípio da responsabilização e prestação de contas (accountability) exige que o agente demonstre a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Isso implica na necessidade de documentação das decisões, implementação de programas de governança em privacidade e realização de relatórios de impacto à proteção de dados pessoais quando necessário.
Esses princípios não são meras diretrizes abstratas. A ANPD os utiliza como critério para avaliação de conformidade e aplicação de sanções, de modo que sua observância é condição essencial para a segurança jurídica das operações de tratamento de dados no Brasil.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".