O tratamento dos dados essenciais não apenas demonstra conformidade com a Lei, mas também respeito aos titulares de dados.
Relembrando, em setembro de 2020, entrou em vigor a Lei 13.709/18, também conhecida como Lei de Geral de Proteção de Dados ou LGPD, estabelecendo que as pessoas passaram a ter direito sobre dados que as identificam. Com isso, as empresas estão obrigadas a atender aos princípios definidos em seu artigo 6º, tais como finalidade, necessidade e prevenção, bem como coleta e tratamento de dados apenas quando tiverem um propósito ou finalidade legítimos. Caso contrário, ficam passíveis não apenas a sanções definidas no artigo 52º da LGPD, mas também a danos à imagem e às ações judiciais por eventuais danos causados aos titulares de dados. Como ficam os dados essenciais, nesse cenário?
Essa nova realidade traz desafios crescentes ao ambiente empresarial no que tange à governança de dados e conformidade às normas, visto que, de acordo com o site IT Chronicles, no artigo “Who is using big data business?”, 26% das empresas que sedimentaram a cultura de data-driven produzem aproximadamente, em média, 2.000.000.000.000.000.000 bytes, ou seja, 2 quintrilhões de dados todo os dias. Um número bastante representativo se considerarmos que deste total encontram-se dados de pessoas físicas ou que eventualmente possam identificar um indivíduo.
Apesar do volume de dados crescer diariamente, demonstrando aparente descontrole sobre como tais informações são tratadas e processadas, um método adaptado do conceito de minimalismo pode ajudar as organizações no controle deste crescente a partir da definição de três conceitos de dados listados abaixo.
- correspondem às informações que são necessárias para assegurar que a finalidade de tratamento seja atingida. Tais dados devem obrigatoriamente estar em conformidade aos princípios estabelecidos nos incisos I, II e II do artigo 6º da LGPD.
- diz respeito às informações que melhoram a experiência no trabalho, aumentando a eficiência das atividades. Estes dados também precisam atender aos princípios estabelecidos nos incisos I, II e II do artigo 6º da LGPD, porém, visto que não são essenciais à finalidade de tratamento, podem vir a exigir o consentimento do titular do dado para a atividade em questão.
- são dados e informações coletadas e armazenadas sem um objetivo, finalidade ou propósito. Neste caso, são tipicamente dados que já foram essenciais em algum dia, pois tinham uma finalidade que já foi atingida, ou que foram coletados sem objetivo.
Baseado nos conceitos apresentados acima, bem como nas hipóteses legais estabelecidas no artigo 7º e 11º da LGPD, diversos tipos de informações que atualmente são armazenadas na organização sem finalidade poderiam ser imediatamente eliminadas.
Para exemplificar estes conceitos, suponha que uma grande empresa que realiza um processo de seleção por dia, em seus 252 dias úteis no ano, receba em média 50 currículos de candidatos por vaga, ou seja, dados essenciais para o processo de seleção, e tenha a prática de armazenar estes documentos por um prazo médio de cinco anos. Ao final deste período, a empresa teria armazenado 63 mil currículos de candidatos.
Caso a empresa seguisse a boa prática de eliminar os currículos recebidos após a conclusão do processo de seleção para tal vaga, ou seja, dados descartáveis, reduziria a praticamente zero os dados de candidatos sem uma finalidade. Tal método, além de atender à LGPD, minimizaria o impacto em um caso de vazamento de base de dados.
Além disso, um dos dilemas que as organizações têm enfrentado é se devem ou não utilizar dados “não essenciais” em suas atividades de processamento. Essa prática não exime a empresa de coletar o consentimento do titular, o que pode encarecer os custos de gestão e aumentar a complexidade de operacionalização de determinado processo.
Portanto, a prática de descartar ou apenas não armazenar dados sem finalidade traz diversos benefícios para as empresas, tornando-as mais leves e ágeis e menos burocráticas. O tratamento do essencial não apenas demonstra conformidade com a Lei, mas também respeito aos titulares de dados.
*André Cilurzo é diretor de soluções de Data Privacy e atendimento à LGPD da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
André Cilurzo
André Bottecchia Cilurzo é formado em Administração pela EAESP-FGV, com pós-graduação em Business Economics pela EESP-FGV. Desde 2002 na Protiviti, atualmente lidera as soluções de Data Privacy e atendimento à LGPD. Anteriormente, também na ICTS, trabalhou no desenvolvimento de soluções para segurança de informações e prevenção a riscos, perdas e fraudes.
