Retenção e descarte de dados pessoais na prática: como facilitar?

Atuar na área de privacidade não é um bicho de sete cabeças, todavia, também não é um mar de facilidades. Considerar o ciclo de vida do dado, dentro da organização, parece clichê, mas é fundamental que os profissionais compreendam a importância de saber quando coletar, mas também de quando excluir os dados pessoais.

Deletar tudo? Não. Manter um banco de dados pessoais gigantesco sem motivos? Menos ainda! O caminho das pedras é: manter os dados somente se houver uma justificativa para tanto.

Dispõe, o artigo 15 da LGPD:

"O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – Fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público;
IV – Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei."

Inicialmente é essencial ter uma tabela de temporalidade para auxiliar na manutenção: é imperioso conhecer outras leis e seus prazos de retenção, a fim de evitar uma deleção desnecessária e que possa prejudicar a continuidade dos negócios da empresa. Ainda, ter uma política de retenção e descarte coopera para que todos os envolvidos com dados pessoais entendam como devem lidar com os dados pessoais dentro da empresa.

Por exemplo: A organização fez um webinar sobre um tema X, e coletou nomes e e-mails dos participantes. Após a palestra, algumas pessoas entram em contato com o DPO e solicitam a exclusão dos dados enviados. Sem problemas, exclua tais dados e o problema está resolvido.

Outra situação: A organização criou uma campanha de marketing e pediu o consentimento dos clientes, para enviar propagandas. Vários deles deram os consentimentos e começaram a receber e-mails. Alguns deles, no entanto, decidiram que não querem mais receber os tais e-mails, e informam isso para a companhia. Ok, revogue os consentimentos e delete os dados. Não complique!

Agora, pensemos pelo outro lado: terminou o tratamento, mas preciso manter os dados pessoais. Como lidar com esse cenário?

Na sequência, estabelece o artigo 16 da LGPD:

"Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – Cumprimento de obrigação legal ou regulatória pelo controlador;
II – Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados."

Pensando na retenção dos dados, seguem exemplos:

Situação 1: um colaborador foi demitido de determinada empresa e, no dia seguinte, entra em contato com o DPO, solicitando a deleção de todos os seus dados pessoais. Veja, a empresa não tem a obrigação de deletar, considerando a base de cumprimento de obrigação legal, pois caso esse colaborador entre com uma ação judicial, a empresa tem o direito de se defender e, para isso, precisará utilizar os dados.

Situação 2: Um cliente compra um produto na loja Y, faz o pagamento e recebe o produto. Após a entrega, ele pede a deleção total dos dados pessoais. A loja pode manter os referidos dados se ainda houver parcelas a serem pagas ou obrigações tributárias, por exemplo.

O ponto é: minimizar dados é uma medida inteligente e segura de lidar com dados pessoais. Somente retenha o que for realmente necessário para a realização de suas atividades negociais.

Em suma: quanto mais dados pessoais mantivermos em nossas bases, maior o risco de incidentes, ainda que adotemos variadas medidas de segurança.