LGPD: Desvio de Finalidade e Limitação de Propósito

A LGPD traz no artigo 6º, inciso I, que o tratamento de dados deve ter finalidades legítimas, específicas, explícitas e informadas ao titular. Entenda neste artigo o conceito de limitação de propósito e como se caracteriza o desvio de finalidade.
Culpa?

O conceito de desvio de finalidade no tratamento de dados pessoais é um tema recorrente tanto na Lei Geral de Proteção de Dados (LGPD) do Brasil quanto no Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia.

O desvio de finalidade ocorre quando os dados pessoais coletados para um propósito específico são utilizados para finalidades diferentes, sem o consentimento do titular ou sem que essas novas finalidades tenham sido previamente informadas.

Tanto a LGPD quanto a GDPR trazem indicações específicas – e bastante semelhantes – para o tratamento de dados pessoais e a importância de transparência com os titulares de dados.

Conceito de Transparência na LGPD

A transparência é um dos principais pilares da LGPD.

Ela é parte da obrigação de informar e comunicar, de forma clara e acessível, como os dados pessoais são coletados, utilizados, armazenados, compartilhados e protegidos. A transparência é essencial para assegurar que os titulares de dados tenham conhecimento e controle sobre o uso de suas informações pessoais por empresas e organizações, bem como seus direitos.

Os controladores têm a obrigação de garantir que titulares compreendam as finalidades de um determinado tratamento sendo sua responsabilidade comunicar através de materiais de fácil compreensão, sem o uso de linguagem técnica ou jurídica que possa dificultar o entendimento do titular, as razões pelas quais a coleta e tratamento de dados pessoais é necessária. Esta comunicação pode ser feita, por exemplo, através da disponibilização de uma política de privacidade detalhada e atualizada em sites e/ou localidades físicas além de avisos de privacidade.

A falta de clareza pode levar a abusos por parte das empresas e à violação dos direitos dos titulares, resultando em sanções legais (multas, inclusive).

Fundamentos da LGPD

A LGPD foi criada com o objetivo de proteger os dados pessoais dos cidadãos brasileiros, estabelecendo princípios que orientam o tratamento desses dados. Entre esses princípios, destacam-se:

  • Finalidade: Os dados devem ser tratados apenas para fins específicos e legítimos.
  • Necessidade: O tratamento deve ser limitado ao mínimo necessário para atingir aos objetivos pretendidos.
  • Transparência: Os titulares devem ser informados sobre o uso que será dado aos seus dados pessoais.

Esses fundamentos visam garantir que os titulares tenham controle sobre suas informações pessoais e possam tomar decisões informadas sobre seu uso.

Limitação de Propósito na LGPD

A limitação de propósito significa que um determinado tratamento de dados pessoais será realizado apenas para finalidades legítimas, específicas e informadas ao titular no momento da coleta. Ou seja, que o titular obteve ciência no momento da contratação/aceite de um serviço ou aquisição de produto, físico ou digital. Caberá ao controlador garantir que nenhum dado pessoal seja utilizado para objetivos diferentes daqueles informados originariamente.

Desvio de Finalidade, Privacidade e Proteção de Dados

O desvio de finalidade ocorre quando os dados pessoais coletados para uma finalidade (objetivo) específica são utilizados para outros propósitos sem o consentimento do titular ou sem que essas novas finalidades tenham sido informadas previamente.

Isso é considerado uma violação da LGPD e também da GDPR.

Exemplos de Desvio de Finalidade

  • Exemplo 1 – Marketing – Se uma empresa coleta e-mails de clientes para enviar faturas e, posteriormente, utiliza esses e-mails para campanhas de marketing sem informar os clientes, isso configura um desvio de finalidade.
  • Exemplo 2 – Compartilhamento de Dados – Um aplicativo que coleta dados sobre a saúde do usuário, como batimentos cardíacos e histórico médico, com a finalidade de monitoramento e melhoria do desempenho físico. Se o aplicativo decidir compartilhar esses dados com empresas de seguros de saúde para avaliação de risco sem o consentimento explícito do usuário, isso configura um desvio de finalidade. A coleta inicial foi para um propósito específico, e seu uso posterior não foi autorizado.
  • Exemplo 3 – Plataformas digitais e publicidade direcionada – Redes sociais que coletam dados dos usuários para melhorar a experiência na plataforma, mas que depois utilizam esses dados para direcionar publicidade personalizada sem o consentimento explícito dos usuários também exemplificam o desvio de finalidade. O uso dos dados deve estar alinhado com as expectativas dos titulares no momento da coleta.

Importante ressaltar que para quaisquer tratamentos posteriores, outras bases legais que o justifiquem podem ser necessárias, inclusive, passível de ser requerida a obtenção de consentimento explícito.

E sempre que houver a possibilidade de se “granularizar” o aceite às políticas de privacidade, particularidades/níveis de serviços, termos de uso e etc, esta prática será bem-vinda!

Igualmente importante afirmar que um DPO qualificado ajuda sua empresa a estar adequada com a LGPD, revisando seus tratamentos e documentações, minimizando as eventuais posições equivocadas de times de negócios.

Consequência do desvio de finalidade para operadores

Como já sabemos, operadores executam uma determinada atividade de um tratamento definido por um controlador, normalmente com os termos e condições definidos via contrato entre as partes.

Quando um operador realiza o tratamento de dados fora das instruções do controlador, ele assume uma posição semelhante à de um controlador. Nesse caso, o operador pode ser responsabilizado diretamente pelos danos causados ao titular ou por violações à LGPD. Isso inclui situações em que o tratamento não está coberto ou devidamente especificado em contrato, evidenciando a necessidade de delimitar claramente as responsabilidades e obrigações entre controlador e operador.

Para evitar esses riscos, é essencial que operadores atuem estritamente conforme as cláusulas contratuais e documentem todas as orientações recebidas do controlador. Estabelecer políticas internas, capacitar equipes e adotar ferramentas de conformidade também são medidas fundamentais para garantir que o tratamento de dados respeite as finalidades e prazos de retenção determinados. Dessa forma, os operadores minimizam sua exposição a responsabilidades legais e fortalecem a governança de dados.

DPO & LGPD: One-Stop-Shop para Projetos de Privacidade e Proteção de Dados

Um dos requisitos mais críticos da LGPD, da GDPR e de diversas outras legislações de privacidade ao redor do mundo é a nomeação de um Data Protection Officer (DPO ou Encarregado pela Proteção de Dados). O DPO é responsável por pelos processos e práticas de compliance com privacidade de sua empresa e por atuar como ponto de contato entre a organização e as autoridades reguladoras. Contar com um DPO especializado e multidisciplinar é fundamental, principalmente para ajudar a tomar as melhores decisões estratégicas sobre o tema. 

Além de cumprir com as exigências legais, empresas devem adotar práticas robustas de segurança, dentro de sua capacidade econômica, para garantir que dados pessoais, especialmente os sensíveis, sejam tratados com o máximo cuidado em todas as etapas do processo. 

Se você precisa de ajuda para começar seu projeto de adequação ou para suportar a manutenção da conformidade de sua organização, entre em contato conosco e converse com um de nossos especialistas. Possuímos planos adequados a empresas de todos os segmentos e de todos os portes a partir de 10 horas mensais.

Para mais informações, basta acessar: https://www.machertecnologia.com.br/contact/

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD

DPO AS A SERVICE