Conheça todo ciclo de vida dos dados pessoais conforme a LGPD
A Lei Geral de Proteção de Dados (LGPD) surgiu com a finalidade central de garantir segurança, privacidade e transparência no uso de informações pessoais.
Para tanto, a LGPD define regras para todo o ciclo de vida dos dados pessoais: do o uso, da coleta e do armazenamento até o compartilhamento de dados de pessoas usuárias por empresas públicas e privadas.
Sendo assim, desde o dia 01 de agosto de 2021, as empresas e instituições que não observarem a regulamentação podem sofrer multas e sanções da LGPD, que podem chegar a R$ 50 milhões.
Só isso já é o suficiente para convencer empresas de todos os segmentos a darem importância à adequação dos processos à LGPD.
Sem contar que, conforme dito, a gestão de dados pode fornecer conhecimento suficiente para fundamentar, de forma consistente e confiável, decisões estratégicas na empresa.
No entanto, o processo de adequação à LGPD pode ser mais complexo do que se imagina. Afinal de contas, é necessário pensar desde a informação inicial (como política de privacidade e política de cookies, por exemplo) até o caminho final dos dados.
Quer saber mais sobre tema? Acesse um ebook gratuito com tudo sobre a LGPD.
Ciclo de vida dos dados pessoais
O ciclo de vida dos dados pessoais são todos os processos de tratamento de dados de uma empresa: desde a coleta até a destruição dos dados.
É fundamental entender que a LGPD considera como tratamento absolutamente todas as operações que a empresa realiza com os dados pessoais.
Nesse ponto, conforme as normas da LGPD, os dados pessoais devem ser coletados para atender a uma finalidade específica. No mesmo sentido, podem ser eliminados por solicitação da pessoa titular dos dados, por cumprimento de uma sanção da ANPD ou no fim do seu tratamento.
Quer dizer, só a partir disso já é possível entender que existe uma configuração de um ciclo que começa com a coleta dos dados.
De acordo com certos critérios de eliminação, os dados pessoais podem permanecer por mais ou menos tempo na empresa. Esse é o período de “vida” dos dados.
Nessa perspectiva, é possível resumir o conceito de ciclo de vida dos dados ao período em que os dados pessoais permanecem dentro da empresa.
Ao se aprofundar um pouco mais, sabe-se que o ciclo de vida dos dados pode compreender sete ações diferentes:
- Coleta;
- Processamento;
- Análise;
- Publicação;
- Armazenamento;
- Exclusão;
- Reutilização.
No entanto, antes mesmo de passar ao conceito das etapas do ciclo, é importante entender que cada uma delas deve se adequar à LGPD.
E mais: a empresa tem responsabilidade sobre todo gerenciamento desse ciclo de tratamento de dados.
Como, afinal, funciona cada uma dessas etapas? Vamos lá.
1. Coleta de dados
A primeira etapa do ciclo de vida dos dados é a captura desses dados. É possível capturá-los em diversos formatos: PDF, imagem, documento do Word ou de um banco de dados.
De forma geral, a coleta de dados acontece de uma dessas maneiras:
- Aquisição de dados que já existem fora da empresa;
- Entrada manual de novos dados pelo pessoal da empresa;
- Coleta de dados através de dispositivos usados nos processos da empresa.
Antes da LGPD, os dados eram coletados de forma indiscriminada. No entanto, a partir da LGPD, os dados só podem ser coletados se observarem os princípios da necessidade e da finalidade.
O princípio da necessidade, conforme estabelece o inciso III do art. 6º da LGPD, estabelece que o tratamento dos dados deve respeitar o limite mínimo necessário para realizar sua finalidade principal.
No mesmo sentido, o princípio da finalidade, no inciso I do mesmo artigo, estabelece que os dados só podem ser tratados em razão de propósitos legítimos, específicos, explícitos e informados à pessoa titular.
2. Processamento de dados
Em seguida, parte-se para o processamento de dados. Antes da LGPD, o processamento de dados não tinha nenhuma limitação e podia seguir qualquer tipo de tratamento.
A partir da LGPD, no entanto, os dados só podem ser processados se o tratamento estiver enquadrado no art. 7º da LGPD, que estabelece as seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas.
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro;
X – para a proteção do crédito.
3. Análise de dados
Em período anterior à LGPD, desenvolvia-se a análise de dados para entender o mercado, conhecer o perfil das pessoas e definir estratégias para oferecer produtos e serviços para o público-alvo.
Após a LGPD, no entanto, a análise de dados deve considerar a finalidade da coleta. Isso significa que se deve obedecer aos princípios de tratamento, com propósito legítimo, específico e explícito.
4. Compartilhamento de dados
Antes da LGPD, era possível compartilhar os dados pessoais sem a necessidade de consentimento das pessoas titulares.
A partir da LGPD, a empresa só pode compartilhar os dados pessoais a partir do consentimento das pessoas titulares e se for condizente com a finalidade e a necessidade do tratamento dos dados.
5. Armazenamento de dados
Considerando que os dados foram coletados, a empresa precisa se responsabilizar por armazená-los e protegê-los, com nível suficiente de segurança.
Nesse sentido, deve-se implementar um processo de backup e recuperação de dados, para garantir a retenção dos dados durante o ciclo.
Antes da LGPD, os dados pessoais podiam ser armazenados pela empresa por tempo indeterminado.
A partir da LGPD, no entanto, deve-se manter os dados por prazos determinados. Quer dizer, até que a finalidade dos dados seja alcançada ou que os dados deixem de ser necessários para alcançar a finalidade do tratamento.
5. Reutilização de dados
Antes da LGPD, a reutilização dos dados não dependia do consentimento das pessoas titulares dos dados.
Com a LGPD, entretanto, deve-se solicitar um novo consentimento sempre que mudar a finalidade do tratamento de dados.
6. Eliminação de dados
Antes da LGPD, os dados pessoais podiam ser mantidos (inclusive, por tempo indeterminado), sem a obrigatoriedade de serem eliminados.
A partir da LGPD, assim que alcançar a finalidade ou terminar a necessidade, os dados pessoais devem ser eliminados.
Conte com o auxílio de profissionais especializados
Bom, já deu para perceber que quando se trata da gestão de todo o ciclo de vida dos dados pessoais é necessário pensar na eficiência e na segurança dos dados.
Não tem como fugir. Sua empresa precisa mapear os dados, definir políticas internas, treinar suas equipes e principalmente se adequar à LGPD.
Nesse caso, é fundamental contar com conhecimentos técnicos e aprofundados.
Se a sua empresa não dispõe de recursos suficientes para contar com uma equipe que tenha conhecimento suficiente sobre o assunto, considere conversar com uma assessoria jurídica personalizada é uma alternativa.
A assessoria irá entender quais são as suas necessidades específicas e fornecerá recomendações úteis para auxiliar em todo o ciclo de vida: do mapeamento dos dados ao treinamento de equipes.
Inclusive, se quiser se aprofundar sobre a LGPD, comece pelas etapas de adequação à LGPD.
Escrito por Beatriz Coelho, redatora e mestra em Direito.
