A comparação entre princípios e regras é atividade comum no direito. Estas seriam normas mais rígidas, as quais não comportariam flexão, enquanto que aqueles seriam capazes de serem diminuídos frente a outros princípios. Um ponto, contudo, necessário de ser lembrado, é que ambas são normas,1 assim, possuem valor no ordenamento capazes para dizer comportamentos permitidos e não permitidos. Dizer que princípios, por serem mais abstratos ou comportarem maior interpretação são mais fracos, seria retirar sua força normativa.
Partindo dessa premissa é importante destacar o artigo 6º da Lei Geral de Proteção de Dados, o qual estabelece a principiologia a ser seguida. O caput do artigo deixa nítido que as atividades de tratamento devem observar o disposto nos incisos. Não se trata de recomendação a qual não possa ser cobrada futuramente pelos titulares ou pela ANPD. É exigência legal de todo agente de tratamento. Nem mesmo no caso de não aplicação da lei no art.4º, III,2 referente às matérias de prevenção e repressão de ilícitos criminais, os princípios podem ser afastados. Expressa o §1º do mesmo artigo que, no caso em questão, além de ser regido por legislação específica devem ser observadas “medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular”.
Nesse sentido, vamos, nas próximas semanas, trazer os princípios nessa coluna, a fim de tratá-los pormenorizadamente. Vamos discorrer aqui sobre os princípios da finalidade, adequação e necessidade.
Antes de analisá-los, vale destacar a perspectiva didática da LGPD. Ao invés de deixar para posterior interpretação todos os novos termos inseridos no vocabulário, ela traz conceitos, tanto de questões específicas no art.5º, como dado pessoal (art.5º, I), titular (art.5ºV), bem como cada um dos princípios (art.6º).
Por finalidade a lei entende, no art.6º, I: “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”. Sua redação é muitíssimo semelhante à definição dada pelo Regulamento Geral de Proteção de Dados europeu no princípio da “limitação das finalidades”.3 O agente de tratamento, quando da atividade de tratamento, deve explicitar ao titular a razão desta, permitindo a ele enxergar com nitidez o porquê do tratamento desses dados. Deve ser plenamente possível enxergar a “linha de chegada” do dado. Explicar genericamente o motivo do tratamento ou alterar a finalidade sem comunicar o titular, pode gerar tratamento indevido dos dados, passível de reclamação. Assim, “finalidades não devem ser subtendidas, mas sim explicitadas pelo agente de tratamento de dados”.4
Como bem lembra a autoridade nacional do Reino Unido (ICO), isso leva a um dever implícito de, sempre que possível, revisitar a atividade de tratamento, a fim de verificar se os dados estão sendo utilizados para aquela determinada finalidade e se a finalidade inicialmente apresentada ainda está intacta.5
Já o princípio da adequação é descrito como “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”. Ele não é encontrado em específico no regulamento europeu. O que é possível é verificar a palavra “adequados” na definição do princípio da minimização de dados (art.5º. c): “adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados”. Desta forma, entende-se que ambos podem se complementar.
O princípio da necessidade está na LGPD como “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Como definir qual dado é adequado e necessário? Novamente vale destacar a ICO, desta vez com um exemplo que ela apresenta: um grupo de indivíduos começa um clube com poucos sócios onde todos se conhecem. As atividades do clube são administradas mediante coleta de informações básicas, como nome e endereço de e-mail. Mais tarde, o clube cresce em popularidade, ganhando novos membros. A fim de identificar corretamente cada uma das pessoas, torna-se necessário coletar mais dados, pois apenas nome e e-mail se mostram inadequados para cumprir a finalidade inicialmente pensada.6
Desenvolvendo o caso anterior: poderiam ser tratados dados sobre posicionamentos políticos dos sócios? São necessários para cumprir a finalidade, ou existiriam outros dados que seriam mais adequados? Sob essa perspectiva, a necessidade implica não só rejeitar dados antes do tratamento, como implica também revisitar os dados armazenados, a fim de verificar se ainda são relevantes para a finalidade pretendida.
Essas são breves considerações sobre alguns dos princípios da LGPD. Na próxima parte trataremos sobre o livre acesso, a qualidade de dados, a transparência e a não discriminação.
____________________
Referências
________________________________________
1. Ainda que estes autores se referenciem às normas e princípios constitucionais vale a reflexão de lembrar: princípios também são normas. MENDES, Gilmar Ferreira; BRANCO, Paulo Gustavo Gonet. Curso de Direito Constitucional. 10 ed. São Paulo; Saraiva, 2015, p. 71-74.
2. Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: III – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais.
3. Art.5º Os dados pessoais são: b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 («limitação das finalidades»).
4. SOUZA, Carlos Affonso; MAGRANI, Eduardo; CARNEIRO, Giovana. Lei Geral de Proteção de Dados: uma transformação na tutela dos dados pessoais. In: MULHOLLAND, Caitlin (Org.) a LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago, 2020. p. 54
5. Segundo a autoridade “You should regularly review your processing, documentation and privacy information to check that your purposes have not evolved over time beyond those you originally specified (‘function creep’)”. GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 01 jan. 2021. Disponível em: https://bit.ly/3DI2j1A. Acesso em: 09 dez. 2021.
6. No original: “A group of individuals set up a club. At the outset the club has only a handful of members, who all know each other, and the club’s activities are administered using only basic information about the members’ names and email addresses. The club proves to be very popular and its membership grows rapidly. It becomes necessary to collect additional information about members so that the club can identify them properly, and so that it can keep track of their membership status, subscription payments etc.” GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 01 jan. 2021. Disponível em: https://bit.ly/3rUeK88. Acesso em: 09 dez. 2021