O objetivo principal da LGPD é a proteção à privacidade de pessoais naturais / físicas. Nesta perspectiva, uma das causas recorrentes que geram violação e incidentes relacionados à privacidade é a coleta de dados pessoais excessivos, desnecessários ou defasados, bem como o armazenamento / arquivamento de informações que já alcançaram todas as finalidades estabelecidas.
Quantas vezes nos deparamos até mesmo em nossas residências com documentos guardados por tempo indeterminado, seja em forma física ou digital? Isto não é uma realidade que existe apenas dentro de casa, mas que ocorre com muita frequência também em ambientes organizacionais. Mas qual a medida certa a ser tomada nesses casos?
Primeiramente, é importante saber que o ciclo do tratamento de dados pessoais deve ter sempre uma destinação final. Esta, por sua vez, pode-se dar de duas formas: descarte / eliminação ou guarda permanente.
Cumpre-se ressaltar que para todo tratamento de dados pessoais é necessário determinar a finalidade específica que justifique a utilização dos dados e elencar as principais hipóteses legais que respaldam o arquivamento de determinada informação. Caso contrário, não haverá necessidade de os dados serem guardados, e sim terem como destinação final o descarte ou a eliminação.
Dentre os princípios previstos na LGPD, estão os da prevenção e segurança (artigo 6º, incisos VIII e VII). Em outras palavras, significa que quem executar atividade que envolva tratamento de dados pessoais, deve utilizar medidas técnicas e administrativas preventivas aptas a proteger as informações de acessos não autorizados, ou ainda, de situações que gerem perda ou alteração das informações, de modo a prevenir a ocorrência de danos aos titulares.
Além de evitar que riscos incidam no armazenamento ou arquivo dos dados pessoais, é necessário que a forma e formato escolhidos para a guarda da documentação se dê de maneira a favorecer ao titular o livre acesso e consulta facilitada acerca de seus dados, conforme orientam os artigos 16 §1º e artigo 6º, inciso IV da lei.
Para tanto, é necessário ter conhecimento sobre as principais diferenças entre armazenamento e arquivamento. Armazenamento é a fase em que o documento fica sob o acesso do operador do tratamento de dados pessoais, ou seja, é ainda utilizado de forma frequente pois ainda não cumpriu a finalidade estabelecida. Pode-se citar como exemplo uma pasta que fica na mesa do funcionário, ou ainda, uma pasta no servidor de arquivos. Após alcançada a finalidade proposta, o documento pode (a depender do caso) ser enviado ao arquivo central.
Apesar do alcance da finalidade respaldar o envio de determinado dado pessoal ao arquivamento, este pode ser inteiramente legítimo quando exigências legais demandarem a sua guarda permanente, como ocorre por exemplo com dados pessoais registrados em cartórios.
Dessa forma, o arquivamento é caracterizado por ser apartado das atividades rotineiras e pelo atingimento de determinada finalidade, por exemplo, um arquivo central que guarda documentação física e/ou digital. Quando o documento atinge esta fase, é aplicada a Teoria das Três Idades: Corrente, Intermediária e Permanente.
Na idade corrente, é possível que determinado dado pessoal ainda seja passível de acessos frequentes para consulta. Já na idade intermediária, o arquivo se caracteriza por ser uma atividade semiativa, podendo voltar para a idade corrente ou passar para a idade seguinte. Por último, o arquivo inativo pertence à idade permanente, sendo mantido apenas para eventuais comprovações em auditorias e prestações de contas.
Diante disso, destaca-se a importância de todos os operadores que realizam o tratamento terem ciência de todo este ciclo de vida dos dados pessoais, percorrendo a trajetória desde a coleta até a destinação final, com o objetivo de que os riscos relacionados à retenção prolongada sem necessidade sejam mitigados.
Fernanda Scheiner de Brito Baldissara Leite
Analista Jurídica da Every Cybersecurity and GRC Solutions
Comments