Introdução 

Muito se tem falado sobre a Lei Geral de Proteção de Dados (LGPD), o novo marco legal brasileiro para a proteção de dados pessoais, porém é perceptível que o debate ainda está segmentado e ocorre principalmente entre profissionais de Segurança da Informação, do Direito e das áreas correlatas. 

Desta forma, o principal desafio hoje é fazer com que o assunto seja amplamente discutido pela sociedade como um todo, sendo o principal objetivo deste artigo fazer com que empresários e titulares de dados compreendam seus direitos e deveres previstos na LGPD. 

A LGPD, que entrou em vigor em setembro de 2018, estabelece regras sobre o tratamento de dados pessoais, e para compreendermos melhor todo o regramento precisamos entender a definição de “dados pessoais” e de “tratamento” 

A própria Lei nos traz as definições no artigo 5º conforme segue:  

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; 

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; 

De posse dessas informações, percebe-se que todos somos afetados por esta Lei na qualidade de titulares detentores de dados pessoais, e em algum momento trataremos dados pessoais ou em nome próprio ou na qualidade de prepostos de algum agente de tratamento. 

O que precisamos compreender de início é que a LGPD é um texto amplo, que abrange diversos temas, mas um dos seus principais objetivos é a proteção do indivíduo e de seus Direitos Fundamentais por meio da regulamentação do tratamento de seus dados pessoais.  

Por se tratar de um texto amplo, percebe-se que o foco do diploma legal é construir as bases principiológicas do tratamento e da proteção dos dados pessoais e garantir expressamente os direitos dos titulares de dados. Para isso, ele prevê um capítulo somente para tratar dos direitos dos titulares, mas para o presente artigo, vamos focar somente nos direitos previstos no artigo 18 da Lei 13.709/18 que prevê os seguintes direitos: 

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: 

I – confirmação da existência de tratamento; 

II – acesso aos dados; 

III – correção de dados incompletos, inexatos ou desatualizados; 

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; 

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; 

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 

Compreendido o objetivo da lei, e os direitos por ela tutelados podemos entrar no principal objetivo do presente artigo, que é apresentar o Ciclo de Vida dos Dados como ferramenta no auxílio da implantação e manutenção da conformidade das empresas com a legislação, bem como dar um destaque maior na necessidade de exclusão dos dados pessoais, que é um tema controverso e que normalmente faz com que os empresários “torçam o nariz” quando os profissionais responsáveis pela área de privacidade e proteção de dados tocam no assunto. 

Data Lifecycle (Ciclo de vida dos Dados) 

Com a entrada em vigor da LGPD, as organizações têm a obrigação legal de adequar seus procedimentos internos a fim de que todo tratamento de dado pessoal seja realizado conforme previsto pela legislação e uma das ferramentas que pode auxiliar na gestão da conformidade é o Data Lifecycle ou Ciclo de Vida dos Dados. 

Atualmente grande parte das empresas coleta e armazena dados indiscriminadamente e sem nenhuma gestão, e o Ciclo de Vida dos Dados é uma importante ferramenta que permite que as organizações tenham um controle sobre a gestão dos dados coletados, armazenados e processados. 

Segundo o DAMA-DMBOK Guide1, os dados são como qualquer ativo e devem ser gerenciados, e as organizações, a fim de gerenciar ativos de dados, gerenciam o ciclo de vida deles. 

Ao longo de sua vida os dados podem ser extraídos, exportados, importados, migrados, validados, acessados, editados, atualizados, sanados, transformados, convertidos, integrados, segregados, agregados, referenciados, revisados, relatados, analisados, copiados, arquivados, recuperados antes de serem eventualmente excluídos, etc.  

É preciso ter-se em mente também que os dados são fluídos e fazem parte o tempo todo da rotina da organização.  

Ao se falar em dados, normalmente vem à mente um banco de dados, planilha ou sistema onde os dados são armazenados de forma estruturada e organizada, porém, segundo o DAMA-DMBOK Guide, 80% dos ativos de dados de uma organização residem em formatos relativamente não estruturados. 

As organizações que já conseguiram implantar uma cultura data driven e que gerenciam seus dados de forma eficaz têm seu ciclo de vida de dados iniciados antes mesmo da coleta dos dados, executando um planejamento de dados prévio. 

The Data Lifecycle – DAMA-DMBOK

No Ciclo de Vida de Dados apresentado acima, retirado do o DAMA-DMBOK Guide é possível verificar que antes mesmo da criação/coleta de dados efetivamente, há a etapa de planejamento. 

Porém, trazendo a experiência da Gestão de Dados e utilizando especificamente um Ciclo de Vida de Dados voltado para Dados Pessoais, é possível simplificar a ferramenta para que seja utilizada pelas organizações menores onde não é possível a implementação dos Sistemas de Gestão de Dados devido sua complexidade. 

Evidenciando apenas a gestão dos dados pessoais, é possível pensar no Ciclo de Vida da seguinte forma: 

Personal Data Lifecycle – DAMA DMBOK

Desta forma, verifica-se que todo ciclo de dados em seu último estágio passa pela exclusão dos dados, e pela ótica da Lei Geral de Proteção dos Dados os dados pessoais não devem ser armazenados ad eternum por representar um risco aos titulares. Desta forma, existem critérios que precisam ser definidos nas políticas de privacidade elaboradas pelos agentes de tratamento e seguido à risca a fim de mitigar os riscos em um possível incidente de dados. 

O grande desafio para as pequenas e médias empresas é “virar a chave” e começar realizar o tratamento de dados pessoais de forma consciente, principalmente quando falamos de armazenamento, que também é uma forma de tratamento, e a experiência nos mostra que a exclusão dos dados de uma organização é um ponto crítico aos empresários e sempre gera muita resistência. 

Da Necessidade de Eliminação dos Dados Pessoais 

Vários princípios e direitos dos titulares devem ser observados para o comprimento da LGPD, e aqui destaco os princípios da transparência e da capacidade autodeterminação informativa dos titulares que têm o direito de saber como estão sendo processados seus dados. 

Desta forma, não basta a criação de uma política de privacidade que regulamente ciclo de dados pessoais dentro da organização. É necessário que o referido ciclo esteja claro tanto para o controlador como para o titular dos dados a fim de cumprir os princípios e direitos dos titulares definidos pela LGPD. 

Especificamente sobre a necessidade de exclusão dos dados pessoais ao final do ciclo, referida necessidade está prevista na Lei através do artigo 16 da LGPD abaixo transcrito. 

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: 

I – cumprimento de obrigação legal ou regulatória pelo controlador; 

II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 

III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou 

IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. 

Observa-se que a legislação fixa um termo final a partir do qual o armazenamento do dado pessoal não está mais justificado que é após o término do seu tratamento. Trocando em miúdos, se a finalidade do tratamento de dados já foi atingida e não há base legal que autorize a conservação desse dado, ele deve ser eliminado da base de dados, inclusive dos backups, observadas as limitações técnicas. 

Para facilitar a compreensão tomemos o seguinte exemplo: uma organização que oferece serviços de fornecimento de internet precisa manter uma base com os dados pessoais de seus clientes. Para exte exemplo, consideraremos que não há tratamento de dado sensível. A retenção desses dados está autorizada pela Lei de Proteção de Dados em seu artigo 7º, inciso V, uma vez que os referidos dados são essenciais ao cumprimento do contrato. 

Terminado a vigência do contrato o controlador deverá analisar no próprio artigo 7º e no art. 16 se há outra base legal que autorize a retenção desses dados, sempre à luz da finalidade do tratamento. 

Não havendo previsão legal que autorize a manutenção dos dados, o ciclo daquele dado terá chegado ao fim, sendo assim necessária a eliminação do dado pessoal. 

Isso porque manter armazenados dados de titulares após o término do tratamento, quando a finalidade já foi atingida, no caso de eventual incidente com os dados, poderá colocar em risco direitos de titulares que poderiam ser evitados com a eliminação ao término do tratamento. 

Por esta razão, os controladores devem enxergar a eliminação de dados como uma das formas de mitigação dos riscos que o tratamento acarreta aos titulares, e inclusive poderá ser utilizado como argumento perante a ANPD em eventual comunicação de incidente ou perante o juízo, quando necessário, como ação realizada para minimizar os danos aos titulares. 

Por fim, é necessário lembrar que não basta estar adequado à Lei, é preciso criar evidências que comprovem a manutenção da adequação, por esta razão é necessário a documentação não só do processo de adequação como a manutenção da adequação através das documentações dos processos, políticas, logs de sistemas e documentos exigidos pela Lei. 

É indicado que você procure o auxilio de um profissional especializado em LGPD para que ele possa te ajudar.

Ficou com alguma dúvida? Nós podemos te ajudar nesse e em outros assuntos!

Se inscreva no nosso Canal do Youtube e siga nosso instagram @nknadvogados para ficar por dentro dos nossos conteúdos.

Deixe um comentário

O seu endereço de e-mail não será publicado.