LGPD Comentada #04: Os 10 princípios que regem o tratamento de dados
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Se as bases legais são o passaporte para tratar dados pessoais, os princípios do Art. 6º são o código de conduta que rege como esse tratamento deve acontecer. Não basta ter uma base legal válida — é preciso que toda operação com dados pessoais observe dez princípios que funcionam como balizas permanentes, aplicáveis a qualquer atividade de tratamento, por qualquer agente, em qualquer setor.
Os princípios não são meras declarações de intenção. A ANPD já os utilizou como fundamento em processos sancionatórios, e o descumprimento de um único princípio pode invalidar um tratamento que, em tese, teria base legal adequada. O caso da Meta em 2024 — quando a ANPD suspendeu o uso de dados pessoais de brasileiros para treinamento de inteligência artificial — ilustra bem: entre as constatações preliminares estavam a falta de transparência e limitações ao exercício dos direitos dos titulares, ambas violações de princípios do Art. 6º.
Este post analisa cada um dos dez princípios com o texto legal, comentários práticos e exemplos de aplicação.
O caput do Art. 6º: boa-fé como princípio geral
Antes de listar os dez incisos, o Art. 6º da LGPD estabelece:
"As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:"
A boa-fé não aparece como inciso, mas como princípio geral que permeia todos os demais. Ela funciona como cláusula aberta: mesmo que uma organização cumpra formalmente cada inciso, o tratamento pode ser contestado se houver má-fé subjacente — por exemplo, cumprir a transparência de forma técnica (publicar uma política de privacidade) mas deliberadamente torná-la incompreensível para desestimular a leitura.
Princípio I — Finalidade
Art. 6º, I: "Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades."
O princípio da finalidade é o primeiro da lista e não por acaso: ele é o ponto de partida de qualquer análise de conformidade. Antes de coletar um dado, a pergunta obrigatória é: para quê?
Quatro requisitos devem ser cumpridos simultaneamente:
- Legítimo: a finalidade não pode ser ilícita, abusiva ou contrária ao ordenamento jurídico
- Específico: não se admite finalidade genérica como "melhoria dos serviços" ou "fins comerciais"
- Explícito: a finalidade precisa ser declarada de forma clara e inequívoca
- Informado: o titular deve ser comunicado sobre a finalidade antes ou no momento da coleta
A segunda parte do inciso traz a regra da compatibilidade: dados coletados para uma finalidade não podem ser reutilizados para outra incompatível. Uma loja que coleta CPF para emissão de nota fiscal não pode, com esse mesmo dado, fazer análise de crédito ou vendê-lo para parceiros de marketing sem nova base legal e nova informação ao titular.
Na prática: o princípio da finalidade exige que cada atividade de tratamento no inventário da organização tenha uma finalidade documentada, específica e comunicada. Se a organização não consegue explicar em uma frase clara por que coleta determinado dado, há um problema de conformidade.
Princípio II — Adequação
Art. 6º, II: "Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento."
Se a finalidade define o destino, a adequação verifica se o caminho é coerente. O tratamento deve ser compatível com o que foi informado ao titular, considerando o contexto em que ocorre.
A expressão "de acordo com o contexto" é relevante: o mesmo dado pode ser adequado em um contexto e inadequado em outro. Um hospital coletar dados de saúde é adequado ao contexto de atendimento médico. Uma rede social coletar os mesmos dados para "personalizar a experiência" levanta questionamentos legítimos de adequação.
Na prática: ao documentar uma atividade de tratamento, é preciso verificar se existe uma relação lógica entre o dado coletado, a finalidade declarada e o contexto da relação com o titular. Se essa relação não for evidente, o tratamento pode ser considerado inadequado.
Princípio III — Necessidade
Art. 6º, III: "Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados."
O princípio da necessidade — também chamado de minimização — é um dos mais violados na prática. Ele impõe três testes simultâneos: os dados devem ser pertinentes (relacionados à finalidade), proporcionais (na medida certa) e não excessivos (sem coleta além do necessário).
O tripé da minimização: finalidade + adequação + necessidade
Os três primeiros princípios formam um conjunto indissociável. A finalidade define o objetivo. A adequação verifica a coerência entre meio e fim. A necessidade impõe a restrição quantitativa: dentre todos os dados que seriam adequados, devem ser coletados apenas os estritamente necessários.
Exemplo concreto: um e-commerce precisa entregar um produto. A finalidade é a entrega. É adequado coletar nome, endereço e telefone de contato. Mas coletar CPF, data de nascimento, estado civil e renda familiar para entregar um produto é excessivo — viola o princípio da necessidade, mesmo que a finalidade e a adequação estejam satisfeitas para nome e endereço.
Na prática: cada campo de formulário, cada dado armazenado e cada informação solicitada ao titular deve passar pelo teste: "se eu remover este dado, consigo cumprir a finalidade declarada?". Se a resposta for sim, o dado é excessivo.
Princípio IV — Livre acesso
Art. 6º, IV: "Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais."
O livre acesso garante que o titular possa consultar, de forma fácil e gratuita, três informações: (1) como seus dados são tratados, (2) por quanto tempo e (3) quais dados a organização possui sobre ele.
Duas palavras-chave: facilitada e gratuita. A organização não pode criar obstáculos para dificultar o acesso (formulários complexos, prazos excessivos, exigência de comparecimento presencial) nem cobrar pelo exercício desse direito. Portais de autoatendimento, canais eletrônicos e respostas em prazo razoável são a expectativa do legislador.
Na prática: a organização deve manter um canal de atendimento ao titular que permita consultas sobre os dados armazenados. Idealmente, deve existir um processo documentado para responder a solicitações de acesso em até 15 dias, conforme o Art. 18, §§ 3º e 5º da LGPD.
Princípio V — Qualidade dos dados
Art. 6º, V: "Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento."
Os dados pessoais devem ser exatos (corretos), claros (compreensíveis), relevantes (pertinentes à finalidade) e atualizados (refletindo a realidade atual do titular). A qualificação "de acordo com a necessidade" indica que o grau de exatidão exigido varia conforme o uso.
Exemplo: um cadastro de marketing pode tolerar um endereço desatualizado. Mas um sistema de crédito que toma decisões automatizadas com base em dados imprecisos pode causar dano real ao titular — e a imprecisão pode configurar violação deste princípio.
Na prática: processos periódicos de validação e atualização de dados devem ser implementados, especialmente para bases de dados usadas em decisões que afetam direitos dos titulares (crédito, seguros, contratações).
Princípio VI — Transparência
Art. 6º, VI: "Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial."
A transparência é um dos princípios mais citados pela ANPD em seus processos de fiscalização. Ela exige que o titular tenha acesso a informações claras (linguagem compreensível), precisas (sem ambiguidade) e facilmente acessíveis (sem barreiras de acesso) sobre quem trata seus dados e como.
A ressalva final — "observados os segredos comercial e industrial" — estabelece um limite: a transparência não obriga a revelar algoritmos proprietários, segredos de negócio ou informações que comprometam a competitividade. Mas essa exceção não pode ser usada como escudo para esconder tratamentos abusivos.
O caso Meta e a transparência (2024)
Em julho de 2024, a ANPD emitiu Medida Preventiva determinando a suspensão imediata da nova política de privacidade da Meta no Brasil, que autorizava o uso de dados pessoais publicados em suas plataformas para treinamento de sistemas de inteligência artificial. Entre as constatações da ANPD estavam a "falta de divulgação de informações claras, precisas e facilmente acessíveis sobre a alteração da política de privacidade e sobre o tratamento realizado" — uma violação direta do princípio da transparência. A medida foi suspensa em agosto de 2024, após a Meta apresentar plano de conformidade que incluía restrições ao tratamento de dados de menores de 18 anos.
Na prática: políticas de privacidade devem ser escritas em linguagem acessível ao público-alvo da organização. Avisos de privacidade em camadas (um resumo curto e visível + documento completo) são uma boa prática reconhecida internacionalmente. A ANPD espera que as informações sejam proativamente disponibilizadas, não apenas fornecidas sob demanda.
Princípio VII — Segurança
Art. 6º, VII: "Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão."
O princípio da segurança obriga os agentes de tratamento a adotar medidas técnicas (criptografia, controle de acesso, firewalls, backup) e administrativas (políticas de segurança, treinamento, procedimentos de resposta a incidentes) para proteger dados pessoais.
Segurança como princípio (Art. 6º, VII) vs. obrigação de segurança (Art. 46)
A LGPD trata da segurança em dois dispositivos distintos que se complementam:
- Art. 6º, VII — Estabelece a segurança como princípio: uma diretriz que orienta toda atividade de tratamento. É normativo e abstrato.
- Art. 46 — Detalha a obrigação concreta: "os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais". É operacional e impõe deveres específicos.
Na prática, a diferença importa para a ANPD: um incidente de segurança pode configurar violação do Art. 46 (falha operacional), mas se for resultado de negligência sistêmica — ausência total de medidas de proteção —, também viola o princípio do Art. 6º, VII, o que pode agravar a sanção.
Os casos do IAMSPE (Instituto de Assistência ao Servidor Público Estadual de São Paulo) e do INSS ilustram essa dupla dimensão. Em outubro de 2023, a ANPD sancionou o IAMSPE por não manter sistemas seguros para armazenamento e tratamento de dados pessoais de milhões de servidores públicos (violação do Art. 49) e por não comunicar titulares de forma clara sobre incidente de segurança (violação do Art. 48). Em 2024, o INSS foi sancionado após a identificação de mais de 90 milhões de consultas ao Sistema Corporativo de Benefícios (SISBEN) sem justificativa operacional, expondo dados pessoais sensíveis de beneficiários.
Na prática: a segurança não é um projeto com prazo de término — é um processo contínuo. Organizações devem implementar medidas proporcionais ao volume e à sensibilidade dos dados tratados, documentar as medidas adotadas e revisá-las periodicamente.
Princípio VIII — Prevenção
Art. 6º, VIII: "Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais."
O princípio da prevenção vai além da segurança: enquanto a segurança protege contra acessos não autorizados e incidentes técnicos, a prevenção exige que a organização antecipe e mitigue qualquer dano que o tratamento possa causar ao titular — inclusive danos que não decorram de falhas de segurança.
Exemplo: uma organização pode ter excelente segurança técnica, mas se coleta dados excessivos e os utiliza para perfilamento invasivo, o dano ao titular não é de segurança — é de privacidade. O princípio da prevenção exige que esse risco seja antecipado e mitigado.
Privacy by design: a expressão concreta da prevenção
O Art. 46, § 2º da LGPD determina que "as medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução". Essa é a expressão legal do conceito de privacy by design — privacidade desde a concepção.
Na prática, privacy by design significa que a proteção de dados não pode ser uma camada adicionada depois que o produto está pronto. Os princípios do Art. 6º — especialmente finalidade, necessidade, segurança e prevenção — devem informar as decisões de arquitetura, design e engenharia desde o início do desenvolvimento.
Os sete pilares do privacy by design, formulados por Ann Cavoukian, traduzem os princípios do Art. 6º em requisitos de projeto:
| Pilar do Privacy by Design | Princípio do Art. 6º correspondente |
|---|---|
| Proativo, não reativo | Prevenção (VIII) |
| Privacidade como padrão | Necessidade (III) + Adequação (II) |
| Privacidade incorporada ao design | Segurança (VII) + Prevenção (VIII) |
| Funcionalidade total | Boa-fé (caput) |
| Segurança ponta a ponta | Segurança (VII) |
| Visibilidade e transparência | Transparência (VI) + Livre acesso (IV) |
| Respeito pela privacidade do usuário | Finalidade (I) + Não discriminação (IX) |
Na prática: antes de lançar um novo produto, serviço ou funcionalidade que envolva dados pessoais, a organização deve realizar uma avaliação de impacto à proteção de dados (RIPD), conforme Art. 38, que operacionaliza os princípios de prevenção e segurança em um documento estruturado.
Princípio IX — Não discriminação
Art. 6º, IX: "Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos."
Este princípio proíbe o uso de dados pessoais para discriminação ilícita ou abusiva. A qualificação é importante: a lei não proíbe toda forma de diferenciação — proíbe a discriminação ilícita (contrária à lei) ou abusiva (desproporcional, sem justificativa legítima).
A distinção é fundamental porque muitos tratamentos de dados envolvem segmentação ou diferenciação legítima. Um plano de saúde pode diferenciar preços com base em faixa etária (permitido pela regulamentação da ANS). Mas negar cobertura com base em orientação sexual ou origem étnica configura discriminação ilícita.
Não discriminação e inteligência artificial
O princípio da não discriminação ganha relevância crescente com o uso de inteligência artificial e decisões automatizadas. O Art. 20 da LGPD garante ao titular o direito de solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados que afetem seus interesses — incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo ou de crédito.
O problema é que algoritmos de IA podem reproduzir e amplificar discriminações presentes nos dados de treinamento, mesmo sem intenção explícita do desenvolvedor. Vieses algorítmicos frequentemente se manifestam de forma indireta: correlações estatísticas aparentemente neutras podem produzir impactos desproporcionais sobre grupos vulneráveis.
Exemplos concretos:
- Recrutamento automatizado: algoritmo treinado com histórico de contratações de uma empresa que historicamente contratou mais homens pode penalizar candidatas mulheres, mesmo que o gênero não seja uma variável direta do modelo
- Scoring de crédito: modelos que utilizam CEP como variável podem discriminar indiretamente por raça e renda, já que a segregação socioespacial brasileira faz com que CEP funcione como proxy para essas características
- Precificação dinâmica: sistemas que ajustam preços com base em perfil de navegação podem cobrar mais de consumidores em situação de vulnerabilidade
Na prática: organizações que utilizam decisões automatizadas devem documentar os critérios utilizados pelo algoritmo, realizar testes periódicos de viés e manter processo para revisão humana de decisões contestadas pelo titular (Art. 20).
Princípio X — Responsabilização e prestação de contas
Art. 6º, X: "Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas."
O último princípio fecha o ciclo: não basta cumprir os demais princípios — é preciso demonstrar que se cumpre. A responsabilização e prestação de contas (accountability) inverte o ônus da prova: se questionado pela ANPD ou por um titular, o agente de tratamento deve ser capaz de comprovar que adotou medidas eficazes de conformidade.
Três elementos compõem o princípio:
- Adoção de medidas eficazes — não basta ter políticas no papel; elas devem ser implementadas na prática
- Capacidade de comprovar — a organização deve manter evidências (registros, documentos, logs, relatórios)
- Eficácia das medidas — as medidas devem produzir resultados concretos de proteção, não apenas existir formalmente
Na prática: a accountability se materializa em um programa de governança em proteção de dados que inclua: inventário de atividades de tratamento (Art. 37), políticas de privacidade documentadas, registros de consentimento, relatórios de impacto (RIPD), treinamentos documentados, procedimentos de resposta a incidentes e auditorias periódicas.
Os princípios mais violados: o que dizem as decisões da ANPD
Desde que a ANPD iniciou sua atividade sancionatória em 2023, os princípios mais frequentemente citados em processos de fiscalização têm sido:
1. Transparência (Art. 6º, VI)
Presente em praticamente todos os processos relevantes. No caso Meta (2024), a falta de transparência sobre a mudança na política de privacidade foi uma das razões centrais para a Medida Preventiva. Nos processos contra órgãos públicos (IAMSPE, INSS, Secretaria de Educação do DF), a falha em comunicar incidentes de segurança de forma "clara, adequada e tempestiva" configurou violação combinada de transparência e das obrigações dos Arts. 48 e 49.
2. Finalidade e necessidade (Art. 6º, I e III)
A primeira sanção da ANPD — contra a Telekall Infoservice, em julho de 2023 — envolveu tratamento de dados pessoais de eleitores (listas de contatos de WhatsApp) sem base legal e para finalidade não informada aos titulares. A multa foi de R$ 14.400, modesta pelo valor, mas significativa como precedente.
3. Segurança e prevenção (Art. 6º, VII e VIII)
As sanções contra o IAMSPE (outubro 2023) e o INSS (fevereiro 2024) envolveram falhas de segurança que expuseram dados pessoais sensíveis. No caso do INSS, foram identificadas mais de 90 milhões de consultas a sistemas de benefícios sem justificativa operacional.
Até o início de 2025, a ANPD havia concluído seis processos sancionatórios formais — cinco contra órgãos públicos e um contra empresa privada. A baixa incidência de multas financeiras (apenas uma aplicada) reflete o perfil ainda educativo da Autoridade, que tem privilegiado advertências e medidas corretivas. Essa postura, porém, tende a se tornar mais rigorosa à medida que a ANPD consolida sua estrutura institucional.
Comparação com o GDPR: os princípios do Art. 5º do Regulamento Europeu
O GDPR organiza seus princípios no Art. 5º, com sete itens que dialogam diretamente com os dez da LGPD brasileira:
| GDPR (Art. 5º) | LGPD (Art. 6º) | Observação |
|---|---|---|
| Licitude, lealdade e transparência | Boa-fé (caput) + Transparência (VI) | GDPR unifica em um princípio; LGPD separa |
| Limitação da finalidade | Finalidade (I) + Adequação (II) | Equivalentes |
| Minimização dos dados | Necessidade (III) | Equivalentes |
| Exatidão | Qualidade dos dados (V) | Equivalentes |
| Limitação da conservação | Sem correspondente direto | LGPD trata no Art. 15 (término do tratamento) |
| Integridade e confidencialidade | Segurança (VII) | Equivalentes |
| Responsabilização (accountability) | Responsabilização e prestação de contas (X) | Equivalentes |
O que a LGPD tem e o GDPR não explicita
A LGPD possui três princípios que não encontram correspondente direto no Art. 5º do GDPR:
- Livre acesso (IV) — embora o GDPR garanta direitos similares nos Arts. 12-15, não os eleva a princípio geral
- Prevenção (VIII) — o conceito está implícito no GDPR (privacy by design, Art. 25), mas não aparece como princípio autônomo
- Não discriminação (IX) — o GDPR trata a proteção contra discriminação nos considerandos e em regras específicas sobre decisões automatizadas (Art. 22), mas não a eleva a princípio expresso
Essa diferença não é meramente formal. Ao elevar a não discriminação a princípio geral, a LGPD cria uma ferramenta normativa mais forte para contestar tratamentos discriminatórios — especialmente relevante no contexto de inteligência artificial e decisões automatizadas.
O que o GDPR tem e a LGPD não explicita
O GDPR inclui o princípio da limitação da conservação (storage limitation): dados pessoais devem ser mantidos apenas pelo tempo necessário para a finalidade. A LGPD não lista esse princípio no Art. 6º, mas trata do tema nos Arts. 15 e 16, que regulam o término do tratamento e a eliminação dos dados.
Os princípios como ferramenta de avaliação: 5 perguntas para cada atividade de tratamento
Para operacionalizar os princípios do Art. 6º no dia a dia, cada atividade de tratamento documentada no inventário da organização deve responder satisfatoriamente a estas perguntas:
- Finalidade + Adequação: qual é a finalidade específica e como ela se relaciona com o contexto da relação com o titular?
- Necessidade: cada dado coletado é estritamente necessário para essa finalidade? Se remover um campo, a finalidade ainda pode ser cumprida?
- Transparência + Livre acesso: o titular foi informado de forma clara e tem meios fáceis de consultar seus dados?
- Segurança + Prevenção: quais medidas técnicas e administrativas protegem esses dados? Os riscos foram antecipados?
- Responsabilização: existe documentação que comprove todas as respostas anteriores?
Se alguma resposta for insatisfatória, a atividade apresenta risco de não conformidade com os princípios da LGPD.
Conclusão
Os dez princípios do Art. 6º da LGPD não são uma lista de recomendações — são normas jurídicas vinculantes que devem orientar toda e qualquer atividade de tratamento de dados pessoais. Eles funcionam como um sistema integrado: a finalidade define o objetivo, a adequação e a necessidade limitam os meios, a transparência e o livre acesso garantem o controle do titular, a segurança e a prevenção protegem contra danos, a qualidade assegura a integridade dos dados, a não discriminação impõe limites éticos e a responsabilização fecha o ciclo com a exigência de prova.
A prática da ANPD em seus primeiros processos sancionatórios confirma que os princípios são critérios de avaliação concretos, não abstrações teóricas. Cada formulário que pede mais dados do que precisa, cada política de privacidade ilegível e cada sistema sem controle de acesso adequado é uma violação potencial de um ou mais desses princípios.
Para organizações em processo de adequação, o Art. 6º funciona como um roteiro de autodiagnóstico: revisar cada atividade de tratamento à luz dos dez princípios é, possivelmente, o exercício mais valioso que um DPO pode conduzir.
A Confidata estrutura o inventário de atividades de tratamento com validações automáticas para cada princípio do Art. 6º, identificando lacunas de finalidade, dados excessivos, falhas de transparência e riscos de segurança antes que se tornem problemas regulatórios. Conheça a plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.