Temporalidade de dados: o ciclo de vida dos dados pessoais de acordo com a LGPD
*Daniela Dantas e Cláudio Dodt
A Lei Geral de Proteção de Dados (LGPD)
define como tratamento toda operação realizada com dados pessoais, incluindo
sua coleta, armazenamento, processamento, até a eliminação desses dados. É
claro, em cada momento do tratamento de dados pessoais, é necessário observar
os diversos requisitos estabelecidos na LGPD. Um ponto fundamental é referente
a temporalidade de armazenamento dos dados tratados, sendo este um item onde
cabe à disposição da Autoridade Nacional de Proteção de Dados (ANPD):
Art. 40. A autoridade nacional poderá
dispor sobre padrões de interoperabilidade para fins de portabilidade, livre
acesso aos dados e segurança, assim como sobre o tempo de guarda dos
registros, tendo em vista especialmente a necessidade e a transparência.
Quando se inicia um processo de coleta
de dados é necessário descrever claramente a finalidade para o tratamento
daquele dado, podendo ser mantido até o cumprimento da finalidade pontuada.
Nesse sentido, pode-se armazenar até que essa finalidade tenha sido alcançada.
O art. 15, I da Lei prevê:
Art. 15. O término do tratamento de
dados pessoais ocorrerá nas seguintes hipóteses:
I – Verificação de que a finalidade foi
alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao
alcance da finalidade específica almejada;
II – Fim do período de tratamento;
III – Comunicação do titular, inclusive
no exercício de seu regular direito de revogação do consentimento conforme
disposto no § 5º do
art. 8º desta Lei, resguardado o interesse público; ou
IV – Determinação da autoridade
nacional, quando houver violação ao disposto nesta Lei.
Vale ressaltar que a exclusão dos dados
por comunicação do titular, não se aplica em situações em que o tratamento de
dados pessoais está resguardado por algumas bases legais como previsto no
artigo 7 da LGPD, principalmente: obrigação legal, execução de contrato, tutela
de saúde e proteção ao crédito. Então quem está com o nome negativado no
Serasa, terá que achar outro jeito para resolver essa situação, por exemplo.
Art.16. Os dados pessoais serão
eliminados após o término de seu tratamento, no âmbito e nos limites técnicos
das atividades, autorizada a conservação para as seguintes finalidades:
I – Cumprimento de obrigação legal ou
regulatória pelo controlador;
II – Estudo por órgão de pesquisa,
garantida, sempre que possível, a anonimização dos dados pessoais;
III- Transferência a terceiro, desde que
respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - Uso exclusivo do controlador,
vedado seu acesso por terceiro, e desde que anonimizados os dados.
Embora o ordenamento jurídico trate sobre
o prazo de armazenamento de documentos, a lei e jurisprudência não estão em
consonância. A exemplo, o prazo relativo ao FGTS, segundo a Lei nº 8.036/90, em
seu artigo 23, § 5º é:
Art. 23. Competirá ao Ministério do
Trabalho e da Previdência Social a verificação, em nome da Caixa Econômica
Federal, do cumprimento do disposto nesta lei, especialmente quanto à apuração
dos débitos e das infrações praticadas pelos empregadores ou tomadores de
serviço, notificando-os para efetuarem e comprovarem os depósitos correspondentes
e cumprirem as demais determinações legais, podendo, para tanto, contar com o
concurso de outros órgãos do Governo Federal, na forma que vier a ser
regulamentada.
Quando isso acontecer, o mais
aconselhável é guardar o documento pelo maior prazo, ou seja, respeitar a
legislação que determina a maior guarda de dados. A LGPD não se sobrepõe a
nenhuma lei. Em caso de conflitos, é avaliada a melhor forma de conduta e a melhor
forma de atender à solicitação do titular, sendo no meio físico ou digital.
Temporalidade de dados pessoais na GDPR
Como a LGPD foi inspirada no Regulamento
do Parlamento Europeu, não podíamos deixar de mencionar como é tratado a
Temporalidade de Dados na General Data Protection Regulation (GDPR).
De acordo com o artigo 5 da lei:
Conservados de uma forma que permita a identificação dos titulares dos dados
apenas durante o período
necessário para as finalidades para as quais são tratados; os dados pessoais
podem ser conservados durante períodos mais longos, desde que sejam tratados
exclusivamente para fins de arquivo de interesse público, ou para fins de
investigação científica ou histórica ou para fins estatísticos, em
conformidade com o artigo 89º, nº 1, sujeitos à aplicação das medidas técnicas
e organizativas adequadas exigidas pelo presente regulamento, a fim de
salvaguardar os direitos e liberdades do titular dos dados («limitação da
conservação»);
A fim de assegurar que os dados pessoais
sejam conservados apenas durante o período considerado necessário, o
responsável pelo tratamento deverá fixar os prazos para o apagamento ou a
revisão periódica.
Deverão ser adotadas todas as medidas
razoáveis para que os dados pessoais inexatos sejam retificados ou apagados. Os
dados pessoais deverão ser tratados de uma forma que garanta a devida segurança
e confidencialidade, incluindo para evitar o acesso a dados pessoais e
equipamento utilizado para o seu tratamento, ou a utilização deles por pessoas
não autorizadas.
*Daniela
Dantas é Consultora em Privacidade e Proteção de Dados da DARYUS Consultoria e
Cláudio Dodt é sócio da DARYUS Consultoria e especialista e evangelista em
Segurança da Informação e Proteção de Dados.
Sobre a DARYUS Consultoria
O Grupo DARYUS, empresa brasileira com experiência no mercado nacional e internacional, é referência na prestação de serviços em Consultoria e Educação. A DARYUS Consultoria, unidade estratégica de negócios do Grupo, integra as áreas de Continuidade de Negócios e Gestão de Riscos, Governança e Gestão de TI, Privacidade e Proteção de dados pessoais (LGPD) e Segurança da informação e cibersegurança. Desde 1998, proporciona aos seus clientes apoio à gestão empresarial, estratégia e de riscos e, com isso, atende organizações líderes de vários segmentos. Seus parceiros internacionais incluem: DRII, EXIN, ISACA, PECB, PeopleCert, Axelos e DMI. Dentre os prêmios conquistados estão SECMASTER 2006 pela ISSA International e Infragard USA 2011. Para mais informações, acesse: https://www.daryus.com.br/consultoria
.jpg)
.jpg)
Nenhum comentário