O Princípio da Limitação da Finalidade integra o rol de princípios provisionados pela Lei Geral de Proteção de Dados (LGPD), previsto no artigo 6º, I da Lei brasileira. A proposta de limitação da finalidade assegurada pelo princípio possui equivalente no Regulamento Geral de Proteção de Dados (RGPD), sob a nomenclatura Purpose Limitation.
A ideia básica do princípio é que o tratamento de dados deve ser informado ao seu titular e que os propósitos para essa atuação devem ser legítimos, explícitos e específicos. Sem que seja possível o posterior tratamento de dados de forma incompatível às finalidades inicialmente propostas.
Veja também: Blog Solere: LGPD e a responsabilidade dos agentes com os dados pessoais
A LGPD – cujos efeitos entram em vigor em 16 de agosto de 2020 – em matéria de finalidade faz diversas menções à expressão (por exemplo, nos artigos 7º, 9º e 10º). O legislador parece desejar que desde o início a atuação do controlador tenha seus limites estejam estabelecidos. Ou seja, que o controlador atue no tratamento de dados recolhidos para fins especificados, explícitos e legítimos e que não possa tratar esses dados posteriormente de uma maneira que seja incompatível com esses fins.
Nesse momento pode surgir um questionamento. Por que limitar tanto a atuação do controlador no tratamento de dados? Para estabelecer de cara as regras do jogo para mitigar impactos e imprevistos. Evitando, assim, o uso indiscriminado e indevido de dados pessoais – o que pode levar a violações inimagináveis aos direitos de seus titulares. A LGPD demonstra essa iniciativa ao afirmar que os dados podem ser objeto de tratamento “para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”
Veja também: Blog Solere: Dados pessoais sensíveis e o consentimento do titular
O processamento de dados deve se limitar ao necessário para o cumprimento da intenção (interesse) do controlador, e sua conduta deve buscar mitigar impactos negativos aos titulares dos dados. Um bom exemplo é a coleta de dados efetuada por uma creche infantil. Recolher dados pessoais dos alunos pode ser uma conduta necessária, já que as crianças podem ter restrições e intolerâncias alimentares, carecer de cuidados específicos ou apenas para proteção à saúde. O acesso a esses dados é medida que beneficia tanto o controlador quanto o titular dos dados. Entretanto, disponibilizar ou ceder acesso a essas informações a terceiros, sem autorização prévia, ainda que para benefícios promocionais, marketing, ou outras iniciativas não é permitido.
Portanto, é possível extrair que a LGPD com o princípio da limitação da finalidade objetivou desde o início a proteção aos dados do titular, direcionando atenção à privacidade, ao consentimento e aos Direitos Fundamentais. Por outro lado, sob a perspectiva do controlador, garantiu a possibilidade do tratamento de dados, condicionando sua viabilidade ao cumprimento dos requisitos: (i) clareza para determinar as finalidades de processamento desde o início; (ii) registro documental de propósitos como parte das obrigações e especificação em informações de privacidade de indivíduos; (iii) os dados pessoais apenas são usados para uma nova finalidade se isso for compatível com a sua finalidade original, mediante consentimento ou uma obrigação ou função clara definida por lei. De modo a garantir o atendimento ao múltiplo interesse das partes, em uma relação cada vez mais benéfica, em que todas as partes ganham.
Veja também: Blog Solere: LGPD e a proteção de dados de crianças e adolescentes
Em conclusão, o texto de hoje procura tratar sobre como que os agentes que controlam dados pessoais possuem uma maior responsabilidade e devem aderir ao princípio da finalidade de conduta sob a ótica da LGPD, de maneira a só usar essas informações coletadas para fins relevantes. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Pexels