LGPD: entenda as regras para o término do tratamento de dados

Imagem ilustrando término de tratamento de dados.

Quem está familiarizado com a Lei Geral de Proteção de Dados (LGPD) sabe que precisa cumprir com uma série de obrigações para tratar dados pessoais no Brasil. É preciso, por exemplo, respeitar os princípios da LGPD e garantir que o tratamento esteja enquadrado em uma das bases legais da lei.

No entanto, nem sempre se fala sobre quanto tempo um tratamento de dados pode durar. Afinal, quais são as regras para o término do tratamento de dados segundo a LGPD?

É sobre esse e outros pontos relacionados que vamos falar nesse post.

Confira neste artigo!

Comece já sua adequação à LGPD

A Get Privacy conta com uma equipe multidisciplinar especializada em proteção de dados para guiar seu programa de conformidade.

O que configura tratamento de dados?

O conceito de tratamento de dados engloba qualquer operação que envolva dados pessoais, em todo o seu ciclo de vida.

Isso inclui desde as situações mais claras de tratamento, como a coleta de um e-mail ou telefone, até a exclusão de um dado pessoal que já não tenha mais uso.

Exemplos de operações de tratamento de dados são: coleta; produção; recepção; classificação; utilização; acesso; reprodução; transmissão; distribuição; processamento; arquivamento; armazenamento; eliminação; avaliação ou controle; modificação; comunicação; transferência; difusão; extração.

Toda atividade de tratamento é regulamentada pela LGPD, devendo seguir as regras estabelecidas pela lei.

Para saber mais sobre o assunto e conhecer exemplos práticos, confira o post que preparamos: “O que é tratamento de dados pessoais e como ele é regulamentado pela LGPD”.

É legal tratar dados pessoais por prazo indeterminado?

Não. É ilegal tratar dados pessoais por prazo indefinido, sem justificativa – por lei, o tratamento de dados deve cumprir uma finalidade específica, tendo começo e fim. Obrigatoriamente, em algum momento o tratamento deve terminar.

Isso significa que as empresas precisam estabelecer prazos não apenas para o uso prático que se faz do dado, mas também para o seu mero armazenamento e eventual exclusão.

No caso de dados anonimizados (como em bancos de dados para fins meramente estatísticos, por exemplo), não há essa preocupação. Como os dados anonimizados já não podem mais ser relacionados a uma pessoa física, eles estão fora do escopo da LGPD.

Pela LGPD, quando termina o tratamento de dados?

Como vimos, o tratamento de dados em algum momento sempre deve chegar ao fim. E a própria lei estabelece algumas circunstâncias que marcam esse término.

Em seu Artigo 15, a LGPD determina que o término do tratamento ocorrerá nas seguintes hipóteses:

  • Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  • Fim do período de tratamento;
  • Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
  • Determinação da autoridade nacional, quando houver violação ao disposto na lei.

Quando qualquer uma das hipóteses acima for alcançada, o dado já não deve mais fazer parte do escopo de tratamento da empresa e precisa ser descartado de forma segura.

Repare que a lei não se refere a prazos temporais específicos. A LGPD deixa em aberto para que as próprias empresas e organizações avaliem o ciclo de vida do dado pessoal e determinem quando, exatamente, o tratamento se encerra.

Por isso, é importante mapear e manter um registro atualizado das operações de tratamento, com indicações temporais para o descarte adequado dos dados coletados.

Vale lembrar também que manter dados em excesso e de forma desnecessária só aumenta o grau de risco para a empresa, já que ela é responsável pela segurança dessas informações.

Em que situações a LGPD permite a conservação dos dados pessoais?

Em algumas situações, os dados pessoais podem ser conservados após o término do tratamento, não sendo necessário excluí-los de imediato.

A LGPD autoriza a conservação dos dados para as seguintes finalidades:

I – cumprimento de obrigação legal ou regulatória pelo controlador;

II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

O cumprimento de uma obrigação legal ou regulatória é um fator bastante comum para a manutenção de dados pessoais. Na área da saúde, por exemplo, prontuários médicos devem ser guardados por 20 anos.

Nestes casos, mesmo que o titular solicite a exclusão do seu dado e o fim do tratamento, a organização pode negar o pedido caso precise manter o dado por um período maior para o cumprimento de uma obrigação legal.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

Como os dados pessoais devem ser armazenados?

Em todas as hipóteses mencionadas no ponto acima, o armazenamento de dados pessoais após o término do tratamento está resguardado pela LGPD. Porém, é preciso cuidar para que ele seja feito de forma segura.

Isto porque a lei determina que:

“Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.”

Ou seja, durante todas as etapas do tratamento – da coleta ao armazenamento e descarte – é preciso garantir que o dado pessoal esteja protegido contra incidentes de segurança.

Isso inclui medidas para evitar acesso indevido, roubo, exposição, alteração, perda e exclusão não intencional do dado.

Medidas de segurança para dados

Algumas medidas de segurança para armazenamento dos dados incluem:

  • Mecanismos de autenticação e controle de acesso (como multifator de autenticação);
  • Plano de backup e recuperação de desastres;
  • Segurança física do ambiente de TI e de locais onde estão armazenados arquivos em papel, com monitoramento e controle de acesso;
  • Medidas de segurança adicionais para ambientes em nuvem;
  • Atualização constante de sistemas, equipamentos e software;
  • Treinamento e conscientização de colaboradores.

Lembre-se que incidentes de segurança podem configurar uma infração à LGPD, levando a sanções e possíveis ações judiciais.

Portanto, a segurança não deve ser encarada como um gasto, mas sim como um investimento que protege a empresa e ajuda a comprovar a conformidade com a lei.

Obtenha ajuda de especialistas em LGPD

A Get Privacy ajuda empresas de todos os portes a mapear as suas operações de tratamento. Assim, é possível estabelecer um ciclo de vida adequado às finalidades do tratamento e evitar riscos desnecessários.

Fale conosco para saber mais sobre como podemos te ajudar com essa e outras demandas de LGPD e proteção de dados.

Entre em contato para saber mais

acompanhe
nossas redes
receba
mais notícias

CONFIRA
OUTROS POSTS