Regular o tratamento de dados pessoais é o grande foco da Lei Geral de Proteção de Dados. Graças a ela, hoje, uma organização só pode coletar dados sensíveis e pessoais dos cidadãos brasileiros, desde que haja uma justificativa clara, objetiva e plausível. E em alguns casos, exige o explícito consentimento dos titulares das informações. Além disso, o prazo de permanência desse dado não é eterno, pois deve respeitar um ciclo de tratamento. É sobre isso que vamos falar nesse post.
O que quer dizer “ciclo de tratamento”?
O ciclo de tratamento de um dado refere-se à jornada dessa informação dentro da organização enquanto ela é útil para o negócio. Basicamente, ela consiste em quatro etapas:
-
Coleta
Em se tratando de LGPD, menos é mais. Dessa forma, a recomendação é coletar apenas os dados sensíveis e pessoais que realmente serão úteis para o negócio. Nessa etapa, aliás, quando a hipótese legal assim determinar, a gestão de consentimento é muito importante para estar em conformidade com a lei.
-
Armazenamento
É imprescindível que, considerando os arquivos físicos e digitais da organização, se saiba onde os dados sensíveis e pessoais estão e que esse armazenamento seja feito de maneira organizada. Além disso, é fundamental que esse armazenamento considere os princípios de privacidade e segurança da informação.
-
Uso e compartilhamento
Obviamente, as organizações armazenam os dados sensíveis e pessoais para uso próprio, que deve se restringir às ações informadas ao titular das informações quando da coleta do dado. Porém, como nenhuma empresa opera sozinha, é possível que, dentro da legalidade, a companhia precise compartilhar dados com terceiros, ação que deve ser feita com todas as salvaguardas, que definem direitos, deveres e responsabilidades dessa ação.
-
Descarte
Quando um dado pessoal deixa de fazer sentido para a operação de tratamento para a qual foi coletado, ou quando a exclusão dessa informação for legalmente solicitada pela ANPD ou pelo titular de dados, é necessária a exclusão do conteúdo. Tanto nos bancos de dados internos da organização, quanto nas bases de terceiros com os quais, eventualmente, as informações tenham sido compartilhadas.
O que a LGPD diz sobre o “fim do tratamento”
De acordo com o Art. 15 da seção IV da LGPD, o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
- verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- fim do período de tratamento;
- comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º da Lei, resguardado o interesse público; ou
- determinação da autoridade nacional, quando houver violação ao disposto na Lei.
Sabendo disso, é fundamental, ainda que a organização se atente às diretrizes do Art. 16, que determina que os dados pessoais sejam eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação apenas para as seguintes finalidades:
- cumprimento de obrigação legal ou regulatória pelo controlador;
- estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na Lei; ou
- uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Para que as empresas sejam capazes de atender a essas determinações, é requerido que se organizem internamente quanto a pessoas, processos e ferramentas, que as permitam conhecer seus processos de tratamento, o fluxo e o local de guarda dos dados, bem como acessá-los para realizar as ações necessárias.
Tecnologia: uma excelente aliada para estar em compliance com a Lei
Soluções de segurança da informação e de serviços gerenciados são excelentes ferramentas para companhias que desejam fortalecer as boas práticas para estar em conformidade com a LGPD. Afinal, pela lei, é preciso saber com exatidão a localização dos dados e o ciclo de vida de cada um, bem como garantir a segurança de tais dados durante toda a jornada dentro e fora da empresa. Além disso, somente com um monitoramento robusto das informações será possível atender de maneira rápida e eficiente os direitos dos titulares de dados, que incluem o acesso às informações, a confirmação dos tipos de tratamento realizados e a revisão das decisões com base em tratamento automatizado, bem como a correção, anonimização, bloqueio, eliminação ou portabilidade das informações, dependendo do caso.
Adequar-se à LGPD é uma potente estratégia para organizações que desejam pavimentar o relacionamento com clientes com confiança e respeito. Em pouco tempo, estar em conformidade com a Lei será um importante fator competitivo e um componente imprescindível na operação das empresas. Nós adoraríamos te contar como isso é possível. Vamos agendar uma reunião?