Levando em consideração os princípios, finalidades, hipóteses legais elencadas na LGPD que legitimam o tratamento e guarda de dados pessoais, passa-se a analisar as formas adequadas para o correto arquivamento dessas informações.
Em primeiro lugar, é importante evidenciar que os estudos relacionados ao arquivamento de documentos físicos e digitais foram baseados em riscos que em algum momento se concretizaram, gerando lições aprendidas. Dentre os riscos identificados estão: acesso não autorizado, perda, alteração e destruição de documentos.
Tais riscos podem ser causados pela ausência de política de segurança da informação, inexistência de planos de recuperação a desastres, tecnologias desatualizadas, muitas vulnerabilidades ou pela ocorrência de desastres naturais.
Para que sejam evitadas tais ocorrências, recomenda-se que a documentação física tenha:
Arquivamento seguro de forma a delimitar acessos apenas à responsáveis do setor do arquivo central, sendo as solicitações de acesso formalizadas e com finalidade expressa;
Adoção de mecanismos de segurança e prevenção contra incêndios, alagamentos, pestes ou umidade excessiva, com o objetivo de manter a documentação preservada de modo contínuo;
Mapeamento e registro das atividades para estabelecer um controle de entrada e saída da documentação no arquivo central e evitar perdas documentais por falta de histórico;
Infraestrutura arquivística de modo que a organização estabeleça planos de gestão financeira para manter um arquivo físico;
Política arquivística acessível com o intuito de disseminar a cultura organizacional para temporalidade definida e modo de organização do arquivo central.
Não obstante, em razão da vulnerabilidade dos documentos físicos, sugere-se que exista um backup dos dados pessoais arquivados, com o intuito de oferecer um Plano de Recuperação caso sejam violados, alterados ou perdidos. Dessa forma, os documentos físicos poderão ser copiados e armazenados em outro arquivo físico (o que gerará ainda mais complexidade e onerosidade para a organização) ou digitalizados, e por sua vez, arquivados digitalmente.
Sendo assim, considerando que as organizações, sejam públicas ou privadas, vêm produzindo cada vez mais documentos em formato digital e que esta pode ser fonte de provas, informações, registros históricos, bem como garantia de direitos, sabe-se que a proteção é elemento essencial para o arquivamento dos dados pessoais.
Dessa forma, com o intuito de agir de forma preventiva e evitar que ameaças se concretizem, ou ainda reduzir os danos causados, existem as diretrizes sugeridas pelo Conselho Nacional de Arquivos (Conarq) na Resolução n. 43 de 2015, que valem ainda para os dias atuais para a Implementação de Repositórios Arquivísticos Digitais Confiáveis.
Todos os requisitos propostos pela Resolução são baseados nas orientações das ISOs 14721:2003 e 16363:2012, normas internacionais que listam os critérios que um repositório digital confiável deve atender (Trustworthy Digital Repositories).
O principal objetivo é garantir a confidencialidade, autenticidade (identidade e integridade), disponibilidade e preservação de documentos, através dos seguintes requisitos:
1. Responsabilidade pelo repositório: a responsabilidade pelo projeto, implantação e manutenção de um arquivamento digital deve contar com profissionais de arquivo e de tecnologia da informação;
2. Tratamento Arquivístico: respeito à hierarquia dos documentos digitais conforme o plano de classificação;
3. Princípios de preservação digital, dentre eles:
Preservação desde a concepção, de forma a oferecer continuidade;
Confiança no repositório;
Atualização de suportes.
4. Interoperabilidade: possibilidade de se interagir com outros repositórios digitais;
5. Infraestrutura organizacional: a organização deve estabelecer um plano de gestão que tenha recursos financeiros estáveis e contínuos, bem como planejamento de riscos, investimentos e gastos;
6. Gerenciamento do documento digital: desde a captura de documentos digitais, com planejamento da preservação e gerenciamento de acesso;
7. Tecnologias apropriadas: é necessário que o repositório digital possua tecnologias e sistemas adequados e atualizados;
8. Infraestrutura de sistema: da mesma forma que é necessário haver infraestrutura organizacional, é importante que os sistemas adotados para o controle da documentação também possuam um plano de gestão;
9. Segurança da informação: na qual também existam avaliações de possíveis riscos, tratamento adequado com controles de mitigação, treinamentos de conscientização, políticas acessíveis e monitoramento contínuo.
Por fim, destaca-se a importância de se estabelecer uma destinação final para todo e qualquer tratamento que envolva dados pessoais, a fim de que as organizações não sofram legalmente com as sanções estabelecidas pela LGPD, e sobretudo, não gere retenção prolongada de dados que já alcançaram todas as finalidades definidas e não tenha respaldo legal para seu arquivamento.
Por isso, é de extrema importância que a cultura de guarda documental por tempo indeterminado seja renovada e atualizada para a cultura de seleção correta e consciente de informações imprescindíveis para determinado propósito, sempre com o foco principal na privacidade e proteção de dados pessoais.
Fernanda Scheiner de Brito Baldissara Leite
Analista Jurídica da Every Cybersecurity and GRC Solutions
Comments