Entenda a prática de exclusão de dados depois do ciclo de tratamento imposta pela LGPD

Regular o tratamento de dados pessoais é o grande foco da Lei Geral de Proteção de Dados. Graças a ela, hoje, uma organização só pode coletar dados sensíveis e pessoais dos cidadãos brasileiros, desde que haja uma justificativa clara, objetiva e plausível. E em alguns casos, exige o explícito consentimento dos titulares das informações. Além disso, o prazo de permanência desse dado não é eterno, pois deve respeitar um ciclo de tratamento. É sobre isso que vamos falar nesse post.

O que quer dizer “ciclo de tratamento”?

O ciclo de tratamento de um dado refere-se à jornada dessa informação dentro da organização enquanto ela é útil para o negócio. Basicamente, ela consiste em quatro etapas:

1. Coleta

Em se tratando de LGPD, menos é mais. Dessa forma, a recomendação é coletar apenas os dados sensíveis e pessoais que realmente serão úteis para o negócio. Nessa etapa, aliás, quando a hipótese legal assim determinar, a gestão de consentimento é muito importante para estar em conformidade com a lei.

2. Armazenamento

É imprescindível que, considerando os arquivos físicos e digitais da organização, se saiba onde os dados sensíveis e pessoais estão e que esse armazenamento seja feito de maneira organizada. Além disso, é fundamental que esse armazenamento considere os princípios de privacidade e segurança da informação.

3. Uso e compartilhamento

Obviamente, as organizações armazenam os dados sensíveis e pessoais para uso próprio, que deve se restringir às ações informadas ao titular das informações quando da coleta do dado. Porém, como nenhuma empresa opera sozinha, é possível que, dentro da legalidade, a companhia precise compartilhar dados com terceiros, ação que deve ser feita com todas as salvaguardas, que definem direitos, deveres e responsabilidades dessa ação.

4. Descarte

Quando um dado pessoal deixa de fazer sentido para a operação de tratamento para a qual foi coletado, ou quando a exclusão dessa informação for legalmente solicitada pela ANPD ou pelo titular de dados, é necessária a exclusão do conteúdo. Tanto nos bancos de dados internos da organização, quanto nas bases de terceiros com os quais, eventualmente, as informações tenham sido compartilhadas.

O que a LGPD diz sobre o “fim do tratamento”

De acordo com o Art. 15 da seção IV da LGPD, o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

• verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
• fim do período de tratamento;
• comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º da Lei, resguardado o interesse público; ou
• determinação da autoridade nacional, quando houver violação ao disposto na Lei.

Sabendo disso, é fundamental, ainda que a organização se atente às diretrizes do Art. 16, que determina que os dados pessoais sejam eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades:

• cumprimento de obrigação legal ou regulatória pelo controlador;
• estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na Lei; ou
• uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Para que as empresas sejam capazes de atender a essas determinações, é requerido que se organizem internamente quanto a pessoas, processos e ferramentas, que as permitam conhecer seus processos de tratamento, o fluxo e o local de guarda dos dados, bem como acessá-los para realizar as ações necessárias.

Tecnologia: uma excelente aliada para estar em compliance com a Lei

Soluções de segurança da informação e de serviços gerenciados são excelentes ferramentas para companhias que desejam fortalecer as boas práticas para estar em conformidade com a LGPD. Afinal, pela lei, é preciso saber com exatidão a localização dos dados e o ciclo de vida de cada um, bem como garantir a segurança de tais dados durante toda a jornada dentro e fora da empresa. Além disso, somente com um monitoramento robusto das informações será possível atender de maneira rápida e eficiente os direitos dos titulares de dados, que incluem o acesso às informações, a confirmação dos tipos de tratamento realizados e a revisão das decisões com base em tratamento automatizado, bem como a correção, anonimização, bloqueio, eliminação ou portabilidade das informações, dependendo do caso.

Adequar-se à LGPD é uma potente estratégia para organizações que desejam pavimentar o relacionamento com clientes com confiança e respeito. Em pouco tempo, estar em conformidade com a Lei será um importante fator competitivo e um componente imprescindível na operação das empresas. Nós adoraríamos te contar como isso é possível. Vamos agendar uma reunião?