*Daniela Dantas e Cláudio Dodt
A Lei Geral de Proteção de Dados (LGPD) define como tratamento toda operação realizada com dados pessoais, incluindo sua coleta, armazenamento, processamento, até a eliminação desses dados. É claro, em cada momento do tratamento de dados pessoais, é necessário observar os diversos requisitos estabelecidos na LGPD. Um ponto fundamental é referente a temporalidade de armazenamento dos dados tratados, sendo este um item onde cabe à disposição da Autoridade Nacional de Proteção de Dados (ANPD):
Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
Quando se inicia um processo de coleta de dados é necessário descrever claramente a finalidade para o tratamento daquele dado, podendo ser mantido até o cumprimento da finalidade pontuada. Nesse sentido, pode-se armazenar até que essa finalidade tenha sido alcançada. O art. 15, I da Lei prevê:
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – Fim do período de tratamento;
III – Comunicação do titular, inclusive no exercício de seu regular direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
IV – Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Vale ressaltar que a exclusão dos dados por comunicação do titular, não se aplica em situações em que o tratamento de dados pessoais está resguardado por algumas bases legais como previsto no artigo 7 da LGPD, principalmente: obrigação legal, execução de contrato, tutela de saúde e proteção ao crédito. Então quem está com o nome negativado no Serasa, terá que achar outro jeito para resolver essa situação, por exemplo.
Art.16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – Cumprimento de obrigação legal ou regulatória pelo controlador;
II – Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III- Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Embora o ordenamento jurídico trate sobre o prazo de armazenamento de documentos, a lei e jurisprudência não estão em consonância. A exemplo, o prazo relativo ao FGTS, segundo a Lei nº 8.036/90, em seu artigo 23, § 5º é:
Art. 23. Competirá ao Ministério do Trabalho e da Previdência Social a verificação, em nome da Caixa Econômica Federal, do cumprimento do disposto nesta lei, especialmente quanto à apuração dos débitos e das infrações praticadas pelos empregadores ou tomadores de serviço, notificando-os para efetuarem e comprovarem os depósitos correspondentes e cumprirem as demais determinações legais, podendo, para tanto, contar com o concurso de outros órgãos do Governo Federal, na forma que vier a ser regulamentada.
Quando isso acontecer, o mais aconselhável é guardar o documento pelo maior prazo, ou seja, respeitar a legislação que determina a maior guarda de dados. A LGPD não se sobrepõe a nenhuma lei. Em caso de conflitos, é avaliada a melhor forma de conduta e a melhor forma de atender à solicitação do titular, sendo no meio físico ou digital.
Temporalidade de dados pessoais na GDPR
Como a LGPD foi inspirada no Regulamento do Parlamento Europeu, não podíamos deixar de mencionar como é tratado a Temporalidade de Dados na General Data Protection Regulation (GDPR).
De acordo com o artigo 5 da lei: Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89º, nº 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação da conservação»);
A fim de assegurar que os dados pessoais sejam conservados apenas durante o período considerado necessário, o responsável pelo tratamento deverá fixar os prazos para o apagamento ou a revisão periódica.
Deverão ser adotadas todas as medidas razoáveis para que os dados pessoais inexatos sejam retificados ou apagados. Os dados pessoais deverão ser tratados de uma forma que garanta a devida segurança e confidencialidade, incluindo para evitar o acesso a dados pessoais e equipamento utilizado para o seu tratamento, ou a utilização deles por pessoas não autorizadas.
*Daniela Dantas é Consultora em Privacidade e Proteção de Dados da DARYUS Consultoria e Cláudio Dodt é sócio da DARYUS Consultoria e especialista e evangelista em Segurança da Informação e Proteção de Dados.