Cemitério de dados e LGPD: limitação do armazenamento de dados
Data lakes e cemitério de dados
Sob a regulamentação da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), não se pode tratar dados pessoais por mais tempo que o necessário, o que significa que o ciclo de vida do dado pessoal nas operações de tratamento da organização terá, obrigatoriamente, de chegar ao fim.
Na esteira do modelo regulatório europeu instituído pelo General Data Protection Regulation, os dados pessoais serão conservados apenas durante o período necessário para as finalidades paras as quais são tratados (princípio da limitação da conservação – artigo 5º, 1. e).
Deste modo, configura prática ilegal a manutenção indefinida e sem justificativa de dados pessoais, o que parece figurar como regra no pensamento atual, que se preocupa apenas em tornar mais robustos seus bancos de dados, mas que tende a ser quebrada, com muita dificuldade, diga-se, ao longo dos próximos anos na busca pela conformidade com a LGPD.
Ocorre que muitas organizações acabam formando verdadeiros “cemitérios de dados”, originalmente destinados a serem data lakes, isto é, enormes bancos e repositórios de informações desnecessárias e sem finalidade específica de uso, que nada mais fazem que aumentar os riscos e custos da organização.
A legislação dita que os dados pessoais não sejam mantidos por mais tempo que o necessário, mas quanto tempo é isto?
A questão em aberto parece deixar à organização a responsabilidade pela criação da sua política de retenção de dados, observados, claro, determinados critérios legais. Assim, cabe à organização – agente de tratamento – estabelecer e gerenciar este ciclo de vida, atentando-se para os períodos de armazenamento dos dados pessoais, porque manter dados pessoais desnecessários é atrair uma responsabilidade desnecessária, mas manter dados por tempo de menos também pode ser um complicador.
Este artigo dedica-se a levantar algumas das questões relevantes a serem considerados para este aspecto da conformidade à LGPD.
Confira neste artigo!
Precisa se adequar à LGPD?
Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.
Fim da operação de tratamento – o que acontece com os dados pessoais?
Segundo o artigo 15, o término do tratamento ocorrerá quando ocorrer:
- Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- Fim do período de tratamento;
- Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
- Determinação da autoridade nacional, quando houver violação ao disposto na lei.
De outro lado, segundo o artigo 16, será autorizada a conservação dos dados para algumas finalidades específicas, quais sejam:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
- Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
O ordenamento jurídico brasileiro é complexo e estabelece diversas obrigações legais a serem cumpridas e que legitimam a manutenção da guarda de dados pessoais justamente para o seu cumprimento, especialmente de ordem trabalhista e previdenciária.
Em relação às empresas pertencentes a setores altamente regulados, como o de saúde e financeiro, também há uma série de obrigações regulatórias específicas a serem observadas, sendo imprescindível que se promova o levantamento de todas elas para verificação de prazos exigidos.
Em relação à última hipótese autorizadora de conservação, sequer está-se falando de dados pessoais, pois a informação verdadeiramente anonimizada perde em definitivo a possibilidade de associação a uma pessoa física (titular de dados).
Ainda, reputa-se prudente, para além das hipóteses ali descritas, que o prazo de armazenamento da informação também leve em consideração eventual necessidade de exercício regular de direitos em processo, de modo que este prazo também observará prazos prescricionais de ação judicial, a exemplo do prazo de 5 (cinco) anos para as pretensões consumeristas.
Assim, ainda que um titular solicite a eliminação de seus dados, pode ser que ainda haja uma obrigação legal ou prazo prescricional em plena vigência, de modo que o atendimento da solicitação pode representar um grave complicado à empresa.
Pense-se na hipótese de um cliente – consumidor – solicitar o apagamento de seus dados e a empresa assim o atender. No dia seguinte este mesmo cliente ajuíza uma ação fundada no Código de Defesa do Consumidor, pela qual muitas vezes ocorre a inversão do ônus da prova em desfavor do fornecedor, inclusive no âmbito do procedimento dos Juizados Especiais, que não terá quaisquer informações sobre aquela pessoa para exercer seu direito de defesa contra aquela pretensão formulada.
Chegada a data-fatal do prazo de armazenamento, o dado pessoal terá de ser eliminado de tal forma que impeça novo acesso por qualquer pessoa.
Portanto, não atende a legislação quando o cadastro é meramente tornado “inativo”, visto que os dados continuam armazenados e, portanto, sendo tratados. Inclusive, sabe-se que muitos provedores de serviços de software ainda não adaptaram seus sistemas à lógica de privacidade, sequer oferecendo a possibilidade de apagamento de dados, mas apenas de alteração para cadastro inativo, o que passa agora a ser exigência.
Ademais, deve-se verificar onde estão localizados os dados (ERP, CRM, e-mails, celulares, desktop etc) e em quais formatos (digital e físico) para que então a eliminação possa ser total e efetiva.
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
Tabela temporal de armazenamento/conservação de dados
A organização dos prazos de armazenamento/conservação dos dados poderá se dar por meio da instituição de uma tabela temporal.
Para a sua constituição, será imprescindível o levantamento pela organização, com o auxílio do departamento jurídico e de compliance, dos prazos legais de obrigações a que esteja sujeita, especialmente nos setores regulados, conforme mencionado.
A tabela temporal deverá ser confeccionada e gerida por um departamento responsável, que promoverá a eliminação dos dados findo o prazo de conservação. Em estando os dados exclusivamente em sistema digital unificado, este processo poderá inclusive ser automatizado para ser mais eficiente, destacando-se sempre para a verificação de dados tratados em meio físico (formulários, arquivos etc).
Uma das formas de operacionalizar a questão é por meio da SQL (Structured Query Language), linguagem de programação utilizada para executar comandos em bancos de dados. As tabelas temporais foram introduzidas na versão SQL 2016, permitindo a manutenção de um histórico de registro em tabela e a estipulação do prazo de armazenamento.
Poderá também haver uma tabela temporal endereçada especificamente a departamentos, o que se revela útil no departamento de RH, por exemplo, que manuseia dados pessoais em larga escala, inclusive sensíveis, dos colaboradores – também titulares de dados e, por isso, protegidos pela legislação –, contendo todos os prazos relacionados à obrigações legais trabalhistas e previdenciárias e cujos dados costumam estar armazenados em sistemas e arquivos específicos mantidos pelo departamento.
Recomenda-se por fim que estes prazos de armazenamento sejam indicados no Registro de Operações de Tratamento de Dados Pessoais, obrigação legal determinada pelo artigo 37 da LGPD.
Jean Carlo Jacichen Luz
Advogado na área de privacidade e proteção de dados. Atuação em consultoria e projetos de adequação de empresas. Pós-graduado em direito processual civil e direito administrativo. Certified Information Privacy Manager (CIPM) pela IAPP. Certificações EXIN: Information Security Foundation based on ISO IEC 27001; Privacy and Data Protection Essentials; Privacy and Data Protection Foundation.
CONFIRA
OUTROS POSTS