Como este tema funciona na sua empresa
Princípios parecem abstratos quando você não tem estrutura formal. A abordagem prática: começar pelo princípio de necessidade (não coletar dados que não usa) e segurança (criptografia básica, senhas, backup). Documentar decisões em um "caderno" simples. Não precisa de ferramenta sofisticada — precisa de disciplina.
Implementação estruturada por princípio. Necessidade é controlada via comitê de dados. Finalidade é documentada em política. Transparência é comunicada em aviso de privacidade. Segurança é auditada anualmente. Accountability é demonstrado via registros de processamento (RIPD). Há um esforço coordenado entre TI, Jurídico e Compliance.
Cada princípio tem dono: Jurídico (finalidade, necessidade), TI (segurança, prevenção), Compliance (não discriminação, transparência), RH (qualidade de dados). Há métricas de conformidade, auditoria contínua, e treinamento regular. Princípios estão baked-in no design de novos sistemas (privacy by design).
Os 10 princípios da LGPD (Artigos 6–9) são critérios operacionais que guiam cada decisão sobre dados pessoais. Não são abstrações filosóficas — são checklist de governança: por que este dado está aqui? Quem tem acesso? Por quanto tempo mantemos? Como provamos conformidade? Os princípios são: finalidade, necessidade, transparência, segurança, prevenção, adequação, accountability, não-discriminação. Este artigo traduz cada um em perguntas concretas e ações de TI[1].
Os 10 princípios da LGPD em prática
1. Finalidade: Por que você coleta dados? Finalidade deve ser legítima e explícita. Teste: "coletei CPF do cliente para enviar nota fiscal" (finalidade clara). "Coletei CPF para fins genéricos" (inadequado). 2. Necessidade: Você realmente precisa deste dado? Coleta mínima. Teste: "preciso de email para contato" (necessário). "Preciso do apelido e nome da mãe" (não-necessário). 3. Transparência: Pessoa sabe que você coleta dados e para quê? Comunicação clara. 4. Segurança: Dados estão protegidos? Criptografia, acesso restrito. 5. Prevenção: Você toma medidas para evitar vazamento? Backups, segmentação de rede. 6. Adequação: Dados são corretos, atualizados, relevantes? Processo de limpeza de dados obsoletos. 7. Accountability: Você consegue demonstrar conformidade? Documentação, registros, auditoria. 8. Não-discriminação: Você não usa dados para discriminar? Cuidado com vieses em modelos de IA.
Aplicação prática por departamento
RH: Finalidade (contratação, folha), Necessidade (dados mínimos), Segurança (acesso restrito), Adequação (dados atualizados). Marketing: Finalidade (contato, análise), Transparência (pessoa sabe que coleta), Não-discriminação (não segmentar por raça/religião). TI: Segurança (criptografia, logs), Prevenção (backup, WAF), Accountability (auditoria de acesso). Compliance: Necessidade (não coleta desnecessária), Adequação (limpeza periódica), Accountability (documentação).
Accountability: documentação é prova
Não existe "conformidade por magia". ANPD quer evidência: RIPD (Registro de Impacto à Proteção de Dados), registros de consentimento, logs de acesso, avaliações de risco. TI é guardião dessa documentação. Se auditoria chegar, você deve conseguir dizer: "coletei CPF porque [finalidade], com base em [base legal], protegido por [controles], retido por [período], documentado em [RIPD]."
Sinais de que sua empresa precisa operacionalizar os princípios da LGPD
Se você se reconhece em três ou mais cenários abaixo, os princípios da LGPD podem estar sendo ignorados no dia a dia, mesmo que a empresa tenha iniciado um programa de conformidade.
- Formulários coletam campos como nome da mãe, estado civil ou data de nascimento sem finalidade documentada
- Ninguém consegue explicar com qual base legal cada tipo de dado pessoal é tratado
- Dados de clientes antigos permanecem no sistema indefinidamente sem critério de retenção
- Não existe RIPD (Registro de Impacto à Proteção de Dados) nem registro de atividades de tratamento
- A equipe de marketing segmenta campanhas com dados que o titular não sabe que foram coletados
- Logs de acesso a dados pessoais não são gerados ou monitorados
- Nenhum departamento tem um responsável designado por garantir conformidade com os princípios
Pequena: Checklist por princípio. Responsável por cada. Revisão anual.
Média: Matriz de conformidade × departamento. Métrica por princípio. Auditoria anual.
Grande: Governança formal. Privacy by design. Métricas contínuas. Auditoria interna.
Consultoria: Especialista em LGPD pode mapear conformidade por princípio.
Ferramentas: Plataformas de Data Governance ajudam documentar conformidade.
Perguntas frequentes
Quais são os 10 princípios da LGPD?
Finalidade, necessidade, transparência, segurança, prevenção, adequação, accountability, não-discriminação (mais dois: razoabilidade e livre acesso).
Como o princípio de necessidade se aplica?
Não coletar dados que não usa. Teste: "preciso deste campo?" Se não, não coleta.
O que significa accountability?
Capacidade de demonstrar conformidade. Documentação (RIPD, logs, consentimento). TI é guardião.
Como demonstrar conformidade com segurança?
Criptografia, acesso restrito, logs, auditoria, backups. Documentação de controles em RIPD.
Diferença entre finalidade e necessidade?
Finalidade: "por quê". Necessidade: "precisa deste dados específico?"
Como aplicar princípio de transparência?
Política de privacidade clara. Pessoa sabe que coleta dados e para quê. Aviso no ponto de coleta.