O tempo de armazenamento de dados e a LGPD



A Lei Geral de Proteção de Dados brasileira – LGPD – entrará em vigor em agosto de 2020. Ela trará consigo a obrigatoriedade de que órgãos públicos, organizações não governamentais e empresas de todos os setores e mercados se adaptem a uma série de regras relacionadas à proteção de dados pessoais e de privacidade, sob pena de sofrerem duras sanções administrativas em caso de atos non-compliance.

Dentre as novas determinações, uma questão deve ser destacada para aqueles que, de alguma maneira, utilizam dados pessoais de terceiros rotineiramente, com finalidade econômica: por quanto tempo posso armazenar os dados pessoais obtidos de meus clientes?

Como toda controvérsia legal, a solução para a questão não é padronizada e dependerá, sobretudo, das características dos dados obtidos e da finalidade pretendida pelo agente de mercado. Não há na lei determinação específica da duração de tempo em que os dados pessoais podem ser mantidos sob guarda dos agentes de tratamento, justamente porque cada setor, seja comercial ou público, usufrui dessas informações de modo e objetivos diversos, o que implica na constituição de particularidades sobre o tempo de guarda desses dados.

A despeito disso, um ponto deve ser destacado de maneira certa e inequívoca: a nova lei tem como princípio a minimização do uso de informações pessoais, tanto na perspectiva de volume de dados pessoais tratados, quanto no que concerne ao tempo de armazenamento desses dados.

A LGPD visa inibir e punir o uso inadequado de informações pessoais, enquadrando-se, aqui, sem qualquer dúvida, a prática de armazenamento prolongado e desnecessário de elementos que possam identificar um indivíduo e a utilização de tais dados para finalidades não definidas no momento da coleta. Assim, nos termos da lei, o tratamento de dados terminará sempre que houver a “verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada”. Ou seja, o período de conservação deve ser proporcional à finalidade da coleta e à autorização concedida pelo titular do dado.

A título de exemplo, pode-se dizer que informações pessoais obtidas para a participação em uma campanha promocional, com definição, portanto, da finalidade e do prazo de vigência, devem ser completamente apagadas tão logo ocorrida sua finalização, sob o risco de que o armazenamento seja considerado ilegal.

Em um contexto ainda mais exemplificativo, tem-se que agências de recrutamento pessoal somente poderão manter os curriculum vitae de candidatos a uma determinada vaga durante aquele processo seletivo ou se houver consentimento do titular dos dados, em curto para médio prazo. Isso porque as informações pessoais constantes no documento certamente ficarão desatualizadas com o passar do tempo, deixando de cumprir a sua finalidade.

É fato que existem outras situações em que os dados pessoais poderão ser armazenados por períodos mais longos, como para fins jornalísticos e acadêmicos, mas esses contextos, provavelmente, não são relevantes para a maioria das situações que as empresas enfrentarão a partir de agosto de 2020.

Diante das dificuldades, então, certos pontos devem passar a ser considerados por empresas para a retenção de dados. As empresas devem estabelecer internamente um período máximo de tempo de retenção, de acordo com sua atividade, com o tipo de dado obtido e com a finalidade, para, periodicamente, reavaliar a necessidade dessas informações. Em determinadas situações, deve-se considerar o processo de anonimização dos dados, com o objetivo de retirar a possibilidade de identificação de seu titular. Além disso, sempre que possível, os usuários dos dados coletados deverão ser cientificados, de antemão, sobre o período de tempo em que aquelas informações ficarão sob sua guarda e o porquê disso. As empresas também precisam ficar atentas com os chamados “dados sensíveis” relacionados à saúde, à etnia, às opiniões políticas, à orientação sexual e assim por diante.

É particularmente importante que essas informações sejam mantidas apenas pelo tempo necessário e tratadas especificamente para finalidade definida e, em seguida, destruídas imediatamente. A verificação desses pontos deve ser considerada para a implantação de uma política propícia de armazenamento de dados, essencial para garantir que organizações, empresas e o próprio setor público estejam dentro da nova legislação e, principalmente, garantam a proteção das informações.

Fonte: Jornal Estadão

Nenhum comentário: