{"id":160,"date":"2022-08-02T11:47:00","date_gmt":"2022-08-02T11:47:00","guid":{"rendered":"http:\/\/www.nkn.group\/blog\/?p=160"},"modified":"2022-08-05T19:22:22","modified_gmt":"2022-08-05T19:22:22","slug":"o-ciclo-dos-dados-pessoais-na-lgpd-e-a-obrigatoriedade-da-sua-exclusao","status":"publish","type":"post","link":"http:\/\/www.nkn.group\/blog\/o-ciclo-dos-dados-pessoais-na-lgpd-e-a-obrigatoriedade-da-sua-exclusao\/","title":{"rendered":"O Ciclo dos Dados Pessoais na LGPD e a Obrigatoriedade da Sua Exclus\u00e3o\u00a0"},"content":{"rendered":"\n

Introdu\u00e7\u00e3o<\/strong> <\/p>\n\n\n\n

Muito se tem falado sobre a Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD), o novo marco legal brasileiro para a prote\u00e7\u00e3o de dados pessoais, por\u00e9m \u00e9 percept\u00edvel que o debate ainda est\u00e1 segmentado e ocorre principalmente entre profissionais de Seguran\u00e7a da Informa\u00e7\u00e3o, do Direito e das \u00e1reas correlatas. <\/p>\n\n\n\n

Desta forma, o principal desafio hoje \u00e9 fazer com que o assunto seja amplamente discutido pela sociedade como um todo, sendo o principal objetivo deste artigo fazer com que empres\u00e1rios e titulares de dados compreendam seus direitos e deveres previstos na LGPD. <\/p>\n\n\n\n

A LGPD, que entrou em vigor em setembro de 2018, estabelece regras sobre o tratamento de dados pessoais, e para compreendermos melhor todo o regramento precisamos entender a defini\u00e7\u00e3o de \u201cdados pessoais\u201d e de \u201ctratamento\u201d <\/p>\n\n\n\n

A pr\u00f3pria Lei nos traz as defini\u00e7\u00f5es no artigo 5\u00ba conforme segue:  <\/p>\n\n\n\n

I – dado pessoal:<\/em><\/strong> informa\u00e7\u00e3o relacionada a pessoa natural identificada ou identific\u00e1vel;<\/em> <\/p>\n\n\n\n

X – tratamento:<\/em><\/strong> toda opera\u00e7\u00e3o realizada com dados pessoais, como as que se referem a coleta, produ\u00e7\u00e3o, recep\u00e7\u00e3o, classifica\u00e7\u00e3o, utiliza\u00e7\u00e3o, acesso, reprodu\u00e7\u00e3o, transmiss\u00e3o, distribui\u00e7\u00e3o, processamento, arquivamento, armazenamento, elimina\u00e7\u00e3o, avalia\u00e7\u00e3o ou controle da informa\u00e7\u00e3o, modifica\u00e7\u00e3o, comunica\u00e7\u00e3o, transfer\u00eancia, difus\u00e3o ou extra\u00e7\u00e3o;<\/em> <\/p>\n\n\n\n

De posse dessas informa\u00e7\u00f5es, percebe-se que todos somos afetados por esta Lei na qualidade de titulares detentores de dados pessoais, e em algum momento trataremos dados pessoais ou em nome pr\u00f3prio ou na qualidade de prepostos de algum agente de tratamento. <\/p>\n\n\n\n

O que precisamos compreender de in\u00edcio \u00e9 que a LGPD \u00e9 um texto amplo, que abrange diversos temas, mas um dos seus principais objetivos \u00e9 a prote\u00e7\u00e3o do indiv\u00edduo e de seus Direitos Fundamentais por meio da regulamenta\u00e7\u00e3o do tratamento de seus dados pessoais.  <\/p>\n\n\n\n

Por se tratar de um texto amplo, percebe-se que o foco do diploma legal \u00e9 construir as bases principiol\u00f3gicas do tratamento e da prote\u00e7\u00e3o dos dados pessoais e garantir expressamente os direitos dos titulares de dados. Para isso, ele prev\u00ea um cap\u00edtulo somente para tratar dos direitos dos titulares, mas para o presente artigo, vamos focar somente nos direitos previstos no artigo 18 da Lei 13.709\/18 que prev\u00ea os seguintes direitos: <\/p>\n\n\n\n

Art. 18.<\/em><\/strong> O titular dos dados pessoais tem direito a obter do controlador, em rela\u00e7\u00e3o aos dados do titular por ele tratados, a qualquer momento e mediante requisi\u00e7\u00e3o:<\/em> <\/p>\n\n\n\n

I –<\/em><\/strong> confirma\u00e7\u00e3o da exist\u00eancia de tratamento;<\/em> <\/p>\n\n\n\n

II –<\/em><\/strong> acesso aos dados;<\/em> <\/p>\n\n\n\n

III –<\/em><\/strong> corre\u00e7\u00e3o de dados incompletos, inexatos ou desatualizados;<\/em> <\/p>\n\n\n\n

IV –<\/em><\/strong> anonimiza\u00e7\u00e3o, bloqueio ou elimina\u00e7\u00e3o de dados desnecess\u00e1rios, excessivos ou tratados em desconformidade com o disposto nesta Lei;<\/em> <\/p>\n\n\n\n

V –<\/em><\/strong> portabilidade dos dados a outro fornecedor de servi\u00e7o ou produto, mediante requisi\u00e7\u00e3o expressa e observados os segredos comercial e industrial, de acordo com a regulamenta\u00e7\u00e3o do \u00f3rg\u00e3o controlador;<\/em> <\/p>\n\n\n\n

V –<\/em><\/strong> portabilidade dos dados a outro fornecedor de servi\u00e7o ou produto, mediante requisi\u00e7\u00e3o expressa, de acordo com a regulamenta\u00e7\u00e3o da autoridade nacional, observados os segredos comercial e industrial;<\/em> <\/p>\n\n\n\n

VI –<\/em><\/strong> elimina\u00e7\u00e3o dos dados pessoais tratados com o consentimento do titular, exceto nas hip\u00f3teses previstas no art. 16 desta Lei;<\/em> <\/p>\n\n\n\n

VII –<\/em><\/strong> informa\u00e7\u00e3o das entidades p\u00fablicas e privadas com as quais o controlador realizou uso compartilhado de dados;<\/em> <\/p>\n\n\n\n

VIII –<\/em><\/strong> informa\u00e7\u00e3o sobre a possibilidade de n\u00e3o fornecer consentimento e sobre as consequ\u00eancias da negativa;<\/em> <\/p>\n\n\n\n

IX –<\/em><\/strong> revoga\u00e7\u00e3o do consentimento, nos termos do \u00a7 5\u00ba do art. 8\u00ba desta Lei.<\/em> <\/p>\n\n\n\n

Compreendido o objetivo da lei, e os direitos por ela tutelados podemos entrar no principal objetivo do presente artigo, que \u00e9 apresentar o Ciclo de Vida dos Dados como ferramenta no aux\u00edlio da implanta\u00e7\u00e3o e manuten\u00e7\u00e3o da conformidade das empresas com a legisla\u00e7\u00e3o, bem como dar um destaque maior na necessidade de exclus\u00e3o dos dados pessoais, que \u00e9 um tema controverso e que normalmente faz com que os empres\u00e1rios \u201ctor\u00e7am o nariz\u201d quando os profissionais respons\u00e1veis pela \u00e1rea de privacidade e prote\u00e7\u00e3o de dados tocam no assunto. <\/p>\n\n\n\n

Data Lifecycle (Ciclo de vida dos Dados)<\/strong> <\/p>\n\n\n\n

Com a entrada em vigor da LGPD, as organiza\u00e7\u00f5es t\u00eam a obriga\u00e7\u00e3o legal de adequar seus procedimentos internos a fim de que todo tratamento de dado pessoal seja realizado conforme previsto pela legisla\u00e7\u00e3o e uma das ferramentas que pode auxiliar na gest\u00e3o da conformidade \u00e9 o Data Lifecycle ou Ciclo de Vida dos Dados. <\/p>\n\n\n\n

Atualmente grande parte das empresas coleta e armazena dados indiscriminadamente e sem nenhuma gest\u00e3o, e o Ciclo de Vida dos Dados \u00e9 uma importante ferramenta que permite que as organiza\u00e7\u00f5es tenham um controle sobre a gest\u00e3o dos dados coletados, armazenados e processados. <\/p>\n\n\n\n

Segundo o DAMA-DMBOK Guide1<\/sup>, os dados s\u00e3o como qualquer ativo e devem ser gerenciados, e as organiza\u00e7\u00f5es, a fim de gerenciar ativos de dados, gerenciam o ciclo de vida deles. <\/p>\n\n\n\n

Ao longo de sua vida os dados podem ser extra\u00eddos, exportados, importados, migrados, validados, acessados, editados, atualizados, sanados, transformados, convertidos, integrados, segregados, agregados, referenciados, revisados, relatados, analisados, copiados, arquivados, recuperados antes de serem eventualmente exclu\u00eddos, etc.  <\/p>\n\n\n\n

\u00c9 preciso ter-se em mente tamb\u00e9m que os dados s\u00e3o flu\u00eddos e fazem parte o tempo todo da rotina da organiza\u00e7\u00e3o.  <\/p>\n\n\n\n

Ao se falar em dados, normalmente vem \u00e0 mente um banco de dados, planilha ou sistema onde os dados s\u00e3o armazenados de forma estruturada e organizada, por\u00e9m, segundo o DAMA-DMBOK Guide, 80% dos ativos de dados de uma organiza\u00e7\u00e3o residem em formatos relativamente n\u00e3o estruturados. <\/p>\n\n\n\n

As organiza\u00e7\u00f5es que j\u00e1 conseguiram implantar uma cultura data driven<\/em> e que gerenciam seus dados de forma eficaz t\u00eam seu ciclo de vida de dados iniciados antes mesmo da coleta dos dados, executando um planejamento de dados pr\u00e9vio. <\/p>\n\n\n\n

\"\"
The Data Lifecycle – DAMA-DMBOK<\/figcaption><\/figure>\n\n\n\n

No Ciclo de Vida de Dados apresentado acima, retirado do o DAMA-DMBOK Guide \u00e9 poss\u00edvel verificar que antes mesmo da cria\u00e7\u00e3o\/coleta de dados efetivamente, h\u00e1 a etapa de planejamento. <\/p>\n\n\n\n

Por\u00e9m, trazendo a experi\u00eancia da Gest\u00e3o de Dados e utilizando especificamente um Ciclo de Vida de Dados voltado para Dados Pessoais, \u00e9 poss\u00edvel simplificar a ferramenta para que seja utilizada pelas organiza\u00e7\u00f5es menores onde n\u00e3o \u00e9 poss\u00edvel a implementa\u00e7\u00e3o dos Sistemas de Gest\u00e3o de Dados devido sua complexidade. <\/p>\n\n\n\n

Evidenciando apenas a gest\u00e3o dos dados pessoais, \u00e9 poss\u00edvel pensar no Ciclo de Vida da seguinte forma: <\/p>\n\n\n\n

\"\"
Personal Data Lifecycle – DAMA DMBOK<\/figcaption><\/figure>\n\n\n\n

Desta forma, verifica-se que todo ciclo de dados em seu \u00faltimo est\u00e1gio passa pela exclus\u00e3o dos dados, e pela \u00f3tica da Lei Geral de Prote\u00e7\u00e3o dos Dados os dados pessoais n\u00e3o devem ser armazenados ad eternum <\/em>por representar um risco aos titulares. Desta forma, existem crit\u00e9rios que precisam ser definidos nas pol\u00edticas de privacidade elaboradas pelos agentes de tratamento e seguido \u00e0 risca a fim de mitigar os riscos em um poss\u00edvel incidente de dados. <\/p>\n\n\n\n

O grande desafio para as pequenas e m\u00e9dias empresas \u00e9 \u201cvirar a chave\u201d e come\u00e7ar realizar o tratamento de dados pessoais de forma consciente, principalmente quando falamos de armazenamento, que tamb\u00e9m \u00e9 uma forma de tratamento, e a experi\u00eancia nos mostra que a exclus\u00e3o dos dados de uma organiza\u00e7\u00e3o \u00e9 um ponto cr\u00edtico aos empres\u00e1rios e sempre gera muita resist\u00eancia. <\/p>\n\n\n\n

Da Necessidade de Elimina\u00e7\u00e3o dos Dados Pessoais<\/strong> <\/p>\n\n\n\n

V\u00e1rios princ\u00edpios e direitos dos titulares devem ser observados para o comprimento da LGPD, e aqui destaco os princ\u00edpios da transpar\u00eancia e da capacidade autodetermina\u00e7\u00e3o informativa dos titulares que t\u00eam o direito de saber como est\u00e3o sendo processados seus dados. <\/p>\n\n\n\n

Desta forma, n\u00e3o basta a cria\u00e7\u00e3o de uma pol\u00edtica de privacidade que regulamente ciclo de dados pessoais dentro da organiza\u00e7\u00e3o. \u00c9 necess\u00e1rio que o referido ciclo esteja claro tanto para o controlador como para o titular dos dados a fim de cumprir os princ\u00edpios e direitos dos titulares definidos pela LGPD. <\/p>\n\n\n\n

Especificamente sobre a necessidade de exclus\u00e3o dos dados pessoais ao final do ciclo, referida necessidade est\u00e1 prevista na Lei atrav\u00e9s do artigo 16 da LGPD abaixo transcrito. <\/p>\n\n\n\n

Art. 16.<\/em><\/strong> Os dados pessoais ser\u00e3o eliminados ap\u00f3s o t\u00e9rmino de seu tratamento, no \u00e2mbito e nos limites t\u00e9cnicos das atividades, autorizada a conserva\u00e7\u00e3o para as seguintes finalidades:<\/em> <\/p>\n\n\n\n

I<\/em><\/strong> – cumprimento de obriga\u00e7\u00e3o legal ou regulat\u00f3ria pelo controlador;<\/em> <\/p>\n\n\n\n

II<\/em><\/strong> – estudo por \u00f3rg\u00e3o de pesquisa, garantida, sempre que poss\u00edvel, a anonimiza\u00e7\u00e3o dos dados pessoais;<\/em> <\/p>\n\n\n\n

III<\/em><\/strong> – transfer\u00eancia a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou<\/em> <\/p>\n\n\n\n

IV<\/em><\/strong> – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.<\/em> <\/p>\n\n\n\n

Observa-se que a legisla\u00e7\u00e3o fixa um termo final a partir do qual o armazenamento do dado pessoal n\u00e3o est\u00e1 mais justificado que \u00e9 ap\u00f3s o t\u00e9rmino do seu tratamento. Trocando em mi\u00fados, se a finalidade do tratamento de dados j\u00e1 foi atingida e n\u00e3o h\u00e1 base legal que autorize a conserva\u00e7\u00e3o desse dado, ele deve ser eliminado da base de dados, inclusive dos backups, observadas as limita\u00e7\u00f5es t\u00e9cnicas. <\/p>\n\n\n\n

Para facilitar a compreens\u00e3o tomemos o seguinte exemplo: uma organiza\u00e7\u00e3o que oferece servi\u00e7os de fornecimento de internet precisa manter uma base com os dados pessoais de seus clientes. Para exte exemplo, consideraremos que n\u00e3o h\u00e1 tratamento de dado sens\u00edvel. A reten\u00e7\u00e3o desses dados est\u00e1 autorizada pela Lei de Prote\u00e7\u00e3o de Dados em seu artigo 7\u00ba, inciso V, uma vez que os referidos dados s\u00e3o essenciais ao cumprimento do contrato.\u00a0<\/p>\n\n\n\n

Terminado a vig\u00eancia do contrato o controlador dever\u00e1 analisar no pr\u00f3prio artigo 7\u00ba e no art. 16 se h\u00e1 outra base legal que autorize a reten\u00e7\u00e3o desses dados, sempre \u00e0 luz da finalidade do tratamento. <\/p>\n\n\n\n

N\u00e3o havendo previs\u00e3o legal que autorize a manuten\u00e7\u00e3o dos dados, o ciclo daquele dado ter\u00e1 chegado ao fim, sendo assim necess\u00e1ria a elimina\u00e7\u00e3o do dado pessoal. <\/p>\n\n\n\n

Isso porque manter armazenados dados de titulares ap\u00f3s o t\u00e9rmino do tratamento, quando a finalidade j\u00e1 foi atingida, no caso de eventual incidente com os dados, poder\u00e1 colocar em risco direitos de titulares que poderiam ser evitados com a elimina\u00e7\u00e3o ao t\u00e9rmino do tratamento. <\/p>\n\n\n\n

Por esta raz\u00e3o, os controladores devem enxergar a elimina\u00e7\u00e3o de dados como uma das formas de mitiga\u00e7\u00e3o dos riscos que o tratamento acarreta aos titulares, e inclusive poder\u00e1 ser utilizado como argumento perante a ANPD em eventual comunica\u00e7\u00e3o de incidente ou perante o ju\u00edzo, quando necess\u00e1rio, como a\u00e7\u00e3o realizada para minimizar os danos aos titulares. <\/p>\n\n\n\n

Por fim, \u00e9 necess\u00e1rio lembrar que n\u00e3o basta estar adequado \u00e0 Lei, \u00e9 preciso criar evid\u00eancias que comprovem a manuten\u00e7\u00e3o da adequa\u00e7\u00e3o, por esta raz\u00e3o \u00e9 necess\u00e1rio a documenta\u00e7\u00e3o n\u00e3o s\u00f3 do processo de adequa\u00e7\u00e3o como a manuten\u00e7\u00e3o da adequa\u00e7\u00e3o atrav\u00e9s das documenta\u00e7\u00f5es dos processos, pol\u00edticas, logs de sistemas e documentos exigidos pela Lei.\u00a0<\/p>\n\n\n\n

\u00c9 indicado que voc\u00ea procure o auxilio de um profissional especializado em LGPD para que ele possa te ajudar.<\/p>\n\n\n\n

Ficou com alguma d\u00favida? N\u00f3s podemos te ajudar nesse e em outros assuntos!<\/p>\n\n\n\n

Se inscreva no nosso Canal do Youtube e siga nosso instagram @nknadvogados para ficar por dentro dos nossos conte\u00fados.<\/p>\n","protected":false},"excerpt":{"rendered":"

Introdu\u00e7\u00e3o  Muito se tem falado sobre a Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD), o novo marco legal brasileiro para a prote\u00e7\u00e3o de dados pessoais, por\u00e9m \u00e9 percept\u00edvel que o debate ainda est\u00e1 segmentado e ocorre principalmente entre profissionais de Seguran\u00e7a da Informa\u00e7\u00e3o, do Direito e das \u00e1reas correlatas.  Desta forma, o principal desafio hoje … <\/p>\n

Continue lendo “O Ciclo dos Dados Pessoais na LGPD e a Obrigatoriedade da Sua Exclus\u00e3o\u00a0“<\/span><\/a><\/p>\n","protected":false},"author":5,"featured_media":162,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_coblocks_attr":"","_coblocks_dimensions":"","_coblocks_responsive_height":"","_coblocks_accordion_ie_support":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0},"categories":[],"tags":[25,26,23,24],"_links":{"self":[{"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/posts\/160"}],"collection":[{"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/comments?post=160"}],"version-history":[{"count":2,"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/posts\/160\/revisions"}],"predecessor-version":[{"id":167,"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/posts\/160\/revisions\/167"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/media\/162"}],"wp:attachment":[{"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/media?parent=160"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/categories?post=160"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.nkn.group\/blog\/wp-json\/wp\/v2\/tags?post=160"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}