A LGPD alicerça-se nos seguintes fundamentos constitucionais, elencados no art. 2º da Lei:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdades de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade, da honra e da imagem;
- Desenvolvimento econômico e tecnológico e inovação;
- Livre iniciativa, livre concorrência e defesa do consumidor;
- Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Por sua vez, o art. 6º dispõe sobre os princípios aplicáveis ao tratamento de dados pessoais, que devem nortear tanto o setor público quanto o privado. Dentre eles, destacam-se:
- Princípio da Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
- Princípio da Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
- Princípio da Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Este princípio proíbe a coleta e o processamento de dados desnecessários, exigindo que os controladores avaliem criticamente quais informações são efetivamente indispensáveis para atingir seus objetivos.
- Princípio do Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
- Princípio da Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
- Princípio da Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
- Princípio da Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
- Princípio da Prevenção: estabelece a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
- Princípio da não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. Este princípio protege os titulares contra o uso de seus dados pessoais de forma prejudicial ou que viole princípios de igualdade e dignidade humana.
- Princípio da responsabilização e prestação de contas (accountability): demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.