A LGPD é uma legislação principiológica que, apesar de se referir a direitos fundamentais dos titulares, necessita de uma aplicação procedimental dentro dos modelos de negócios e estruturas empresariais. O tratamento de dados pessoais deve observar, além da boa fé, alguns princípios elencados em seu artigo 6º, destacando-se a título de exemplo a finalidade do tratamento, a minimização de dados e a transparência.

Quanto a boa-fé, é importante observar que tem um papel de premissa para interpretação de qualquer negócio jurídico, e não apenas os atos praticados sob a égide da LGPD, sendo uma orientação geral desde a formação até a execução de qualquer contrato, e não um princípio propriamente dito.

Os princípios apresentados pela LGPD, por sua vez, ganham relevância ao regular as relações de tratamento de dados, vinculando aplicação da lei a ferramentas específicas. Neste sentido, é relevante mencionar que a finalidade pode ser considerada como um dos princípios mais importantes da Lei Geral de Proteção de Dados, uma vez que permeia toda e qualquer relação.

No entanto, você sabe o que significa e qual a importância da finalidade no dia a dia da sua empresa? A intenção deste artigo é que você entenda de uma vez por todas não apenas o conceito de finalidade para tratamento de dados, como a sua aplicação prática.

Estabelece o inciso I, do art. 6º da LGPD, que o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com o que foi anteriormente definido.

De uma forma sucinta, a finalidade do tratamento de dados não é nada mais que o motivo para a coleta, armazenamento, acesso e descarte dos dados pessoais. Não é à toa que o princípio se encontra no primeiro inciso do referido dispositivo, uma vez que os demais partem, de forma geral, da análise da finalidade para sua concretização.

Neste sentido, o princípio da adequação, estabelecida no inciso II do mencionado artigo 6° da legislação nacional de proteção de dados se consubstancia na compatibilidade do tratamento de dados com as finalidades informadas ao titular.

O mesmo se dá com os princípios da necessidade e não discriminação, que consideram a finalidade do tratamento para identificação dos dados minimamente necessários para sua concretização, evitando assim, o uso indiscriminado e excessivo de dados pessoais bem como a impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos.

Portanto, pode-se afirmar que a finalidade é o primeiro atributo que deve ser observado quando da análise de um tratamento de dados pessoais, eis que para além de ser parâmetro para observação e aplicação dos demais princípios, será o fator que definirá a base legal de tratamento.

Como mencionado, a Lei Geral de Proteção de Dados é, de certa forma, uma norma principiológica. Neste sentido, ao determinar que a finalidade deve ser observada nas atividades de tratamento de dados pessoais, a lei não permitiu que os agentes tenham total liberalidade no propósito do tratamento, devendo estes serem sempre legítimos, específicos, explícitos e informados ao titular. O questionamento que se faz, no entanto, é: o que seriam propósitos legítimos, específicos e explícitos, perante a legislação?

A legitimidade em si não seria nada além do uso de um bom senso crítico no momento de terminar qual o motivo do tratamento de um dado pessoal. A finalidade deve ser sempre pautada pela razão, legalidade, bons costumes e, como mencionado anteriormente, boa-fé, distanciando-se sempre de qualquer prática que possa ser considerada ilícita ou até mesmo imoral e antiética.

Quanto à especificidade, é importante enfatizar a preocupação do legislador em colocar o titular de dados no centro das relações, refutando generalidades de qualquer espécie. Neste sentido, é de suma importância que o tratamento de dados pessoais se dê para um objetivo claro, relevante e determinado, não sendo mais possível a permanência da prática comum por empresas de armazenar a maior quantidade de dados possíveis sem uma necessidade específica e imediata.

Esta finalidade específica, por sua vez, deve ser explícita, ou seja, clara e sem margem para dúvidas ou ambiguidades.

Uma das principais aplicações práticas do princípio da finalidade é, como mencionado anteriormente, a definição da base legal de tratamento que será enquadrada em uma atividade de tratamento de dados pessoais no mapeamento. Cada atividade de tratamento deve possuir uma finalidade e, consequentemente, uma base legal que legitime o processamento.

É importante observar que, quando em um mapeamento de dados pessoais existir mais de uma finalidade, esta deverá ser destacada e dividida de forma que cada finalidade corresponda a uma atividade de tratamento na elaboração do Registro de Atividades de Tratamento (ROPA – Records of processing activities), documentação utilizada na etapa de mapeamento, risk assessment e plano de ação para a implementação da Lei Geral de Proteção de Dados. Assim, se em um mesmo “processo” existirem duas finalidades distintas, não poderemos considerar apenas uma atividade de tratamento.

Um exemplo prático comum em toda empresa é o processo de recrutamento e seleção: em uma análise ampla, o grande objetivo do setor de RH é selecionar candidatos e realizar a contratação de novos colaboradores. No entanto, quando pensamos em termos de finalidade para o processamento de dados pessoais, devemos olhar de forma minuciosa para a vida útil do dado em cada departamento.

De maneira objetiva, algumas das finalidades comuns em mapeamentos de dados na etapa de recrutamento e seleção seriam “receber currículos”, “entrevistar candidatos”, “formalizar contratação”, “realizar integração de novos colaboradores na empresa”, entre outros. Cada um destes momentos seria considerado uma atividade de tratamento de dados pessoais, e o mesmo se aplica a todos os departamentos de uma companhia em seus processos internos.

Assim, a importância do princípio da finalidade no processamento de dados pessoais se faz clara tanto em uma aplicação subjetiva e principiológica da lei como uma diretriz de interpretação, quanto na prática, no mapeamento de atividades de tratamento de dados pessoais.