RESUMO
Uma das grandes preocupações advindas da promulgação da Lei Geral de Proteção de Dados (Lei 13.709/2018), conhecida como LGPD, é assegurar um tratamento de dados adequado e necessário, nos ditames da lei e em respeito aos direitos fundamentais dos titulares dos dados pessoais. Mas como fazer isso?
Para tanto, a própria LGPD traz os princípios da necessidade e da adequação, que se apresentam como diretivas para o uso devido dos dados. Neste artigo, busca-se explorar tais preceitos na tentativa de facilitar o seu entendimento e aplicação no âmbito de empresas e demais organizações.
De forma descomplicada e elucidativa, apresentamos os principais problemas atinentes à coleta ilegítima de dados para, então, recomendar soluções e medidas que assegurem não apenas a eficácia do tratamento, mas também a observância às normas de proteção de dados, a privacidade e o livre desenvolvimento da pessoa humana.
INTRODUÇÃO
Com o advento da LGPD, que entrou em vigor em 18 de setembro de 2020, uma grande preocupação se instaurou no âmbito de diversas organizações no sentido de assegurar um tratamento de dados dentro das balizas legais e voltado a promover medidas aptas a resguardar os direitos fundamentais dos titulares de dados.
Dessa forma, no hiato entre a divulgação do regulamento e a exigibilidade das sanções administrativas, que se deu mais tarde, em 1º de agosto de 2021, iniciou-se um processo de readequação das organizações às normas de proteção de dados, com rotinas de compliance e a adoção de mecanismos de segurança da informação.
Ocorre que, em virtude da atualidade da lei e das dificuldades inerentes ao processo de tomada de decisão por parte do controlador – sobretudo, no que tange ao juízo de ponderação sobre quais dados coletar e tratar –, muitas organizações ainda não atingiram um patamar de tratamento de dados em acordo com a LGPD. Nesse contexto, um dos questionamentos que mais se repetem é: quais dados pessoais devo selecionar para o tratamento, a fim de realizá-lo de forma adequada e necessária?
Para responder essa pergunta, é importante entender dois princípios essenciais, previstos no art. 6º da LGPD: princípio da adequação e princípio da necessidade. Ao lado da boa-fé objetiva, eles deverão nortear a atividade de tratamento de dados pessoais. Com essas premissas em mente, será possível caminhar para uma maior conformidade com a LGPD.
O PRINCÍPIO DA NECESSIDADE NO TRATAMENTO DE DADOS PESSOAIS
Na dicção do inciso III, art. 6º, da LGPD, o princípio da necessidade se consubstancia na “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Depreende-se, logo, que, sob o prisma da necessidade, a coleta de dados deve se dar de maneira restritiva, abarcando apenas aquelas informações estritamente necessárias ao atendimento da finalidade perseguida.
Parte-se do pressuposto de que a regra geral da LGPD é realizar o tratamento de dados somente se e quando este se afigurar imprescindível para a consecução de propósito específico e delimitado. A título de exemplo, para a prestação de um serviço de entrega de produto adquirido por e-commerce, a coleta de alguns dados ¬– como endereço, nome e CPF do consumidor, por exemplo ¬– se mostra pertinente, proporcional e não excessiva. Afinal, caso contrário, como garantir que o produto chegará ao destinatário?
Nessa perspectiva, o tratamento de dados deve ser orientado pela proporcionalidade, de modo a selecionar as informações que, a par de preencherem o requisito da adequação ao fim pretendido, sejam as menos invasivas para o titular do dado.
Com efeito, a ideia de minimização, oriunda do princípio da necessidade, se divide em dois sentidos:
• Sentido estrito: se refere ao tratamento da menor quantidade de dados possível para um dado propósito.
• Sentido amplo: visa à articulação de medidas de salvaguardas que procuram mitigar os riscos para os direitos fundamentais dos titulares.
Há, portanto, um duplo dever de cuidado, um atrelado à menor intrusividade do tratamento e o outro, à menor lesividade.
Contudo, o que tem prevalecido é o padrão de coleta do "máximo de dados possível", o que, ao invés de contribuir para o atingimento do resultado almejado, tem incrementado as responsabilidades do controlador, em função dos riscos com vazamentos e incidentes, bem como as despesas com banco de dados e segurança da informação.
O princípio da necessidade emerge, por conseguinte, como diretriz apta a ensejar uma coleta de dados pautada na eficiência ao selecionar apenas as informações essenciais ao alcance da finalidade almejada. Além disso, traz benefícios à própria organização ao gerar uma diminuição dos gastos, na medida em que exige do controlador a garantia de que o prazo de armazenamento do dado pessoal seja, igualmente, limitado ao mínimo necessário, havendo o seu descarte assim que finalizado o tratamento.
A organização deve, então, indagar o que é realmente essencial para o seu negócio e o que é apenas conveniente, haja vista que, quanto mais dados sob a sua responsabilidade, maiores os obstáculos para a efetiva proteção dos direitos fundamentais dos titulares.
Assim, algumas medidas podem ser adotadas por empresas e demais organizações controladoras e operadoras de dados pessoais a fim de concretizar o princípio da necessidade:
• Levantamento de todos os dados coletados e tratados;
• Revisão das políticas das referidas coletas;
• Treinamento dos funcionários para evitar a coleta desnecessária e ilegal de dados pessoais;
• Divulgação das categorias de dados pessoais envolvidas no tratamento; e
• Realização de um Relatório de Impacto à Proteção de Dados (RIPD), com o intuito de identificar a conduta menos invasiva a ser adotada, a depender da natureza e do porte da organização.
O PRINCÍPIO DA ADEQUAÇÃO NO TRATAMENTO DE DADOS PESSOAIS
De acordo com o inciso II, art. 6º, da LGPD, o princípio da adequação conceitua-se do seguinte modo: “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”. Trata-se, portanto, do nexo de pertinência lógica de conformidade que se estabelece entre o tratamento e o fim objetivado, consoante a comunicação transmitida ao titular.
Importa esclarecer que o contexto de tratamento consiste no pano de fundo dentro do qual os dados estão sendo coletados, relacionando-se às circunstâncias fáticas que levaram à coleta das informações. Desse modo, cria-se um sistema de referência circunstancial que confere sentido ao tratamento de dados. Sob essa ótica, a fim de definir o escopo do tratamento, precisamos saber:
• Qual é o serviço que a empresa presta,
• Para que tipo de público o serviço é prestado e
• De que forma o serviço é prestado.
Extrai-se do mencionado dispositivo que não se atenderá o princípio da adequação se o tratamento estiver em desarmonia com as finalidades informadas ao titular dos dados pessoais. A título ilustrativo, imagine que um aplicativo de delivery de restaurantes queira que os usuários forneçam dados sobre sua saúde ou sua sexualidade. Nesta hipótese, o tratamento se mostrará inadequado, uma vez que não há justificativa plausível para que isso ocorra.
Constata-se, assim, que a adequação está intrinsecamente ligada ao princípio da finalidade, mas em um contexto mais objetivo. Ou seja, cumpre aferir se há uma relação lógica e pertinente entre o serviço prestado ou o produto fornecido e a necessidade de coleta dos dados. Tal exigência será legítima apenas se existir compatibilidade entre o serviço ou produto e o dado coletado.
CONCLUSÃO
Percebe-se, pelo exposto, que, para saber se sua organização trata os dados que coleta de forma adequada e necessária, é imprescindível aferir a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto, bem como se o tratamento está sendo limitado ao mínimo necessário, abrangendo apenas aqueles dados pertinentes, proporcionais e não excessivos.
De fato, os princípios da necessidade e da adequação, juntamente aos da finalidade e da transparência, constituem o núcleo da norma jurídica de proteção de dados, tornando-se a base determinante para o respeito dos direitos fundamentais da liberdade, da privacidade e do livre desenvolvimento da pessoa natural.
Em resumo, duas perguntas devem ser feitas com o fito de averiguar se os dados estão sendo utilizados devidamente:
• Existe outra forma de atingir o interesse pretendido, com menor ofensividade aos dados pessoais?
• As informações coletadas têm uma relação lógica com o produto ou serviço ofertado?
Com o exercício deste juízo crítico e valorativo, será possível proporcionar não apenas a eficácia do tratamento, mas também a observância às normas de proteção de dados e a proteção das garantias individuais dos titulares.
Para garantir que todos esses princípios sejam respeitados no âmbito de uma empresa ou organização, o ideal é que o responsável por ela conte com o serviço de um escritório de advocacia especializado em Proteção de Dados. Com isso, haverá mais segurança na hora de coletar e armazenar dados pessoais, evitando-se problemas no futuro. Para mais informações sobre o assunto, entre em contato conosco.