Certamente você já ouviu falar que a LGPD é repleta de princípios e que, na grande maioria das suas disposições, não indica de forma específica quais controles ou medidas as organizações precisam adotar para estarem adequadas à Lei, limitando-se a indicar que boas práticas organizacionais, de segurança da informação e de gestão de dados pessoais devem ser implementadas. Justamente por conta disso, é essencial que você entenda os princípios estabelecidos. Vamos juntos?
É preciso destacar que os princípios devem ser observados por coops durante o desenvolvimento de toda e qualquer atividade de tratamento/utilização de dados pessoais. Para exemplificar, explicamos abaixo os princípios que as cooperativas devem observar sempre que utilizarem dados pessoais:
1. Princípio da Finalidade: segundo a LGPD, a utilização dos dados pessoais deve estar vinculada à propósitos legítimos, específicos e explicitamente informados, para as pessoas a quem os dados pessoais se referem, sem possibilidade de utilização posterior de forma incompatível com a finalidade previamente formalizada e informada.
Em outras palavras, as cooperativas precisam formalizar os objetivos para os quais tratam dados pessoais nos seus processos (as finalidades devem estar indicadas no Registro das Operações de Tratamento de Dados Pessoais – incluir link para o conteúdo de documentos obrigatórios) e informar explicitamente para as pessoas a quem os dados se referem sobre as atividades que serão realizadas.
! Dica:
A informação explícita poderá estar em políticas externas de privacidade, sites, contratos e outros documentos, murais, ações de comunicação diversas e em outros canais.
2. Princípio da Adequação: deve haver compatibilidade entre a utilização dos dados pessoais e as finalidades explicitamente informadas ao titular, e também, de acordo com o contexto do tratamento. Explicando melhor: as cooperativas precisam garantir que os dados pessoais tratados são adequados e compatíveis com a atividade que está sendo realizada.
Exemplo: caso dados pessoais estejam sendo utilizados para avaliar um candidato para determinada vaga de trabalho, devem ser tratados apenas os dados compatíveis com a identificação do perfil profissional e acadêmico pretendido. Não seria adequado, portanto, a cooperativa tratar dados pessoais como título de eleitor ou dados pessoais sensíveis, como opinião/filiação política nesse tipo de atividade.
3. Princípio da Necessidade: a coleta e utilização dos dados pessoais deve ser limitada ao mínimo necessário para a realização dos objetivos e dos processos das cooperativas. Isto é, além de tratar os dados pessoais compatíveis com a finalidade formalizada e informada ao titular, as cooperativas devem tratar a menor quantidade de dados pessoais possível para alcançar o propósito da atividade.
Aproveitando o exemplo acima, além de não utilizar dados pessoais incompatíveis com o objetivo de avaliar perfil profissional e acadêmico em processo seletivo, a cooperativa está obrigada a identificar se, dentre aqueles dados pessoais que são compatíveis, todos são necessários ou se, eventualmente, dados pessoais dispensáveis estão sendo utilizados – e, neste caso, deixar de utilizá-los. Esta reflexão e avaliação deve ser realizada em todos os processos que envolvem dados pessoais.
4. Princípio do Livre Acesso: deve ser garantida para as pessoas a quem os dados pessoais se referem a possibilidade de consulta facilitada e gratuita sobre a forma e a duração da utilização, bem como sobre a integralidade de seus dados pessoais. Ou seja, sempre que as pessoas solicitarem, as cooperativas precisarão dar acesso a informações sobre o tratamento, assim como aos próprios dados pessoais que dizem respeito ao solicitante.
5. Princípio da Qualidade: a cooperativa deve garantir exatidão, clareza, relevância e atualização dos dados pessoais. Isto é, durante todo o período em que as cooperativas mantiverem os dados pessoais das pessoas com quem se relacionam nos seus ambientes físicos ou digitais (sistemas, e-mails e outros), são obrigadas a garantir que estejam exatos (sem alterações indevidas) e devidamente atualizados.
6. Princípio da Transparência: é a obrigação de direcionar para as pessoas com quem a cooperativa se relaciona informações claras, precisas e facilmente acessíveis sobre a utilização dos dados pessoais.
Em outras palavras, as cooperativas possuem o dever de informar detalhadamente as pessoas sobre as atividades que realizam com dados pessoais, destacando os objetivos da utilização, os tipos de dados pessoais ou dados pessoais sensíveis utilizados, a justificativa legal para a utilização, os prazos de retenção e a existência de eventuais compartilhamentos com terceiros (prestadores de serviços ou órgãos públicos, por exemplo).
Atenção: As informações devem estar em ambientes de fácil acesso, como sites, aplicativos e pontos físicos de atendimento de clientes e associados.
7. Princípio da Segurança: obriga a adoção de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
É dever das cooperativas a adoção de medidas capazes de manter a disponibilidade, integridade e confidencialidade dos dados pessoais enquanto estão sob sua responsabilidade. Não por acaso, para estar em conformidade com a LGPD é indispensável a implementação de uma série de controles organizacionais e tecnológicos, a depender da complexidade do ambiente da cooperativa, para melhoria do Sistema de Gestão de Segurança da Informação.
8. Princípio da Prevenção: as cooperativas devem adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, é necessário realizar ações preventivas constantemente, como oferecer treinamentos e conscientização sobre boas práticas para os colaboradores e terceiros que manipulam dados pessoais; adotar políticas de gestão de riscos de privacidade e proteção de dados pessoais; e desenvolver ações de controle que previnam ataques cibernéticos e que mitiguem vulnerabilidades de sistemas. Tudo para evitar que danos possam ser causados para as pessoas!
9. Não Discriminação: indica que é vedada a utilização de dados pessoais para fins discriminatórios, ilícitos ou abusivos. Em nenhuma hipótese, as cooperativas podem tratar dados pessoais com tais objetivos.
10. Responsabilização e Prestação de Contas: as cooperativas precisam demonstrar que adotam medidas eficazes e capazes de comprovar a observância e o cumprimento da LGPD e de outras normas de proteção de dados pessoais. Para isso, devem demonstrar a efetividade de seus programas de proteção de dados pessoais, reiteradamente, seja quando solicitado pelas pessoas, pela ANPD, ou ainda em processos judiciais e auditorias promovidas por parceiros.
Confira alguns exemplos de medidas de conformidade:
- - Políticas, normas e procedimentos relacionados ao programa de proteção de dados pessoais e segurança da informação;
- - Treinamentos e campanhas de conscientização para colaboradores;
- - Nomeação de Encarregado pelo tratamento de dados pessoais (Saiba mais);
- - Constituição formal de comitê para tratar sobre o tema e atas das reuniões realizadas, registro das Operações de Tratamento de Dados Pessoais, relatórios de impacto à proteção de dados pessoais e a disponibilização de canais de atendimento de direitos.
Saiba mais sobre os documentos essenciais para a conformidade com a LGPD aqui.
Para lembrar: Os princípios são fundamentos da Lei, representam sua essência e devem ser integralmente observados durante todas as atividades de tratamento de dados pessoais realizadas pelas cooperativas. Caso os processos de negócio que envolvem a utilização de dados pessoais não estejam adequados aos valores gerais da LGPD, fica caracterizada infração severa à Lei.
Os princípios não são mera formalidade ou excessiva conceituação técnica, mas regras básicas que devem ser observadas diariamente e, inclusive, efetivadas em políticas, normas e procedimentos de privacidade e proteção de dados.
