Um dos grandes princípios que orientam a atividade de tratamento de dados pessoais é o da boa fé, previsto no art. 6º da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).

Trata-se de um princípio jurídico, que não deve ser tomado coloquialmente, pelo senso comum. Ao contrário do que se pode encontrar nas redes sociais, não basta ao agente de tratamento de dados alegar que teve uma “intenção” em conformidade com a lei. 

A boa fé jurídica não se situa no plano subjetivo do agente, mas deve ser demonstrada por elementos concretos nas suas ações.

O princípio da boa fé traz consigo exigências objetivas de comportamento impostas pela ordem jurídica, que comportam juízos de razoabilidade, probidade e equilíbrio da conduta, a serem aferidos segundo uma concepção operacional, dentro regime jurídico em que se aplica. Daí a necessidade de se compreender a inteligência da LGPD. 

Age de boa fé aquele que o faz com diligência, zelo e lealdade relativamente à outra parte da relação – neste caso, trata-se do comportamento do responsável pelo tratamento dos dados em relação ao titular destes dados. A lealdade, enquanto corolário da boa fé, impõe ao agente de tratamento de dados que corresponda à confiança que lhe é dispensada para realizar o tratamento dos dados, seja diretamente pelo titular, mediante o consentimento, seja pela própria Lei, nas hipóteses em que o consentimento é dispensado.

Assenta-se a lealdade em dois elementos principais: a previsibilidade da conduta e a sua correção. A previsibilidade está na base da confiança e é pela possibilidade de prognose da ação futura do responsável pelo tratamento de dados que se dá a entrega do valor representado pelo dado pessoal. A este elemento se une o da correção da conduta na qual se confia (a operação de tratamento de dados) que é definida pela observância das normas estabelecidas. Da junção dos dois elementos decorre que uma conduta abstratamente correta, do ponto de vista legal, mas que se mostra imprevisível num determinado caso concreto, não é leal. Não basta que o agente de tratamento de dados atue dentro da legalidade objetiva e abstrata; se o uso dos dados, ou o modo de tratá-los, não é previsível, em função do contexto e do âmbito do tratamento de dados que realiza, e da natureza destes dados, ele fere a LGPD pela deslealdade da sua conduta.

Uma vez que a LGPD traça os parâmetros a serem seguidos para que se realizem atividades de tratamento de dados pessoais, a expectativa dos titulares dos dados é de que aqueles parâmetros sejam seguidos, o que inclui desde a aplicação dos princípios legais e a implementação de mecanismos para o exercício dos direitos pelos titulares dos dados, como também a adoção das medidas técnicas e organizacionais aptas a proteger os dados contra acessos não autorizados, eventos incidentais ou ilícitos (art. 46 da LGPD). 

A transposição destes parâmetros legais para as ações concretas dos agentes de tratamento de dados demanda a compreensão adequada da inteligência do regime jurídico de proteção de dados, instituído no Brasil pela LGPD. 

O princípio do privacy by design, previsto no art. 46, §2º da LGPD, influencia todo o regime jurídico de proteção de dados e um dos seus pilares é a eficácia das medidas implementadas. Dele decorre, em princípio, o impedimento de que se vislumbre boa fé na mera previsão formal das medidas em documentos internos como código de conduta ou termo de uso, ou mesmo numa política de privacidade, sem que tenha havido a efetiva instituição das correspondentes medidas e que estas tenham aptidão para cumprir o fim a que se propõem. A pretensão de utilização daqueles documentos para demonstração de uma eventual “intenção” de conformidade legal não atende às exigências da LGPD. 

A verificação da boa fé decorrerá de evidências extraídas de todo o conjunto da atividade de tratamento de dados pessoais, em conjugação com elementos objetivos específicos que poderão ser encontrados numa determinada situação que esteja em causa. Um processo de adequação à LGPD portanto deve ser conduzido ou estar sob orientação de um Advogado que detenha a necessária expertise, uma vez que a interpretação de toda a atividade de tratamento de dados será sempre jurídica.