Dentre um dos princípios previstos na Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD), por que devemos considerar o da "necessidade" (artigo 6º, III) um dos mais relevantes, não só em um programa de conformidade à LGPD, mas também como alicerce na construção de uma cultura de privacidade em nosso país?
Inicialmente, é importante lembrar que, segundo a LGPD, o princípio da necessidade conduz à ideia de "limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados".
Em outras palavras, o controlador deve atuar no sentido de minimizar a coleta de dados pessoais dos titulares, de formar a tratar somente aqueles estritamente necessários à finalidade pretendida.
A LGPD ainda previu situações em que a demonstração da necessidade deve ser reforçada, como são os casos dos tratamentos baseados no legítimo interesse do controlador (artigo 10, § 1º) e de dados de crianças (artigo 14, § 4º).
Ocorre que, principalmente no Brasil, tornou-se comum a coleta de uma infinidade de dados dos titulares, baseada única e exclusivamente na conveniência do momento, sendo que boa parte dessas informações é armazenada, por tempo indeterminado, sequer sendo efetivamente empregada para qualquer finalidade útil ao titular ou aos próprios agentes de tratamento.
Vale dizer que, além de descumprir o princípio da necessidade, aquele que promove o tratamento excessivo e injustificado de dados pessoais no âmbito de suas atividades acaba atraindo para si a responsabilidade por sua custódia segura, além de aumentar exponencialmente a gravidade dos danos aos titulares em caso de incidentes de segurança da informação.
Como se não bastasse, na grande maioria dos casos essa prática tampouco representa efetiva vantagem de natureza comercial, econômica ou estratégica ao controlador, decorrendo mais da reiteração de práticas equivocadas de outros tempos do que de análise pormenorizada dos dados coletados.
Se considerarmos ainda os investimentos necessários em segurança da informação, a necessária infraestrutura física e lógica para processamento de uma quantidade cada vez maior de dados e o custo de seu armazenamento, a equação fica ainda mais desequilibrada, tornando injustificável a não adoção de uma política de governança e tratamento de dados baseada na minimização da coleta.
Além disso, nota-se que a minimização da coleta consiste em uma das medidas de menor impacto econômico e com potencial de gerar resultados mais positivos aos controladores, uma vez que depende, como regra, de uma análise mais detalhada da necessidade e finalidade de cada um dos dados coletados no contexto da atividade, ao passo que evita, desde a origem, o tratamento de informações desnecessárias à finalidade pretendida, permitindo a mitigação de responsabilidades e a redução de custos.
Como se não bastasse, é possível crer que, a exemplo de outros países, a efetiva incorporação do conceito de minimização da coleta terá como efeito social indireto o desenvolvimento de uma consciência de proteção de dados e uma cultura de privacidade por parte dos próprios titulares, os quais serão estimulados a questionar eventual tratamento excessivo e injustificado por parte de controladores.
Nesse sentido, conclui-se que, para além de uma medida necessária ao cumprimento do princípio da necessidade previsto na LGPD, a adoção de medidas efetivas no sentido de minimizar a coleta de dados pessoais pode ser entendida como uma oportunidade aos controladores de reduzir os riscos de suas atividades, bem como os custos com a custódia e segurança de tais informações, além de contribuir para a consolidação de uma cultura de privacidade em nosso país.
Fonte: Conjur