dados pessoais lgpd descarte
2 de jun. de 2022
O direito à proteção dos dados pessoais está ligado diretamente ao direito à privacidade. São direitos previstos no rol de garantias fundamentais da Constituição Federal de 1988 e protegidos pela inviolabilidade e pelo sigilo (art. 5º, incisos X e XII da C.F.).
Além de previsão constitucional, a legislação brasileira abordou a proteção à privacidade e das informações pessoais de maneira esparsa e pontual no Código de Defesa do Consumidor (1990), no Código Civil (2002), no Marco Civil da Internet (2014), entre outras normas.
Contudo, a partir do rápido desenvolvimento e da expansão das denominadas Tecnologias da Informação e Comunicação (TICs), como reflexo do fenômeno da globalização, houve uma vertiginosa mudança sociocultural, com o aumento da importância da informação no mercado internacional. Dados passaram a ser um ativo para empresas, considerado como o novo “petróleo”.
Diante desse cenário, a Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados (LGPD), foi promulgada no intuito de suprir a carência de uma legislação nacional especificamente voltada para proteção de dados, com o objetivo de regulamentar o tratamento de dados pessoais e viabilizar a defesa dos direitos fundamentais das pessoas naturais ante às novas nuances advindas da sociedade da informação.
A LGPD é responsável pelo regramento de toda operação realizada com dados pessoais e proporciona uma maior proteção aos titulares dos dados, na medida que o tratamento não pode ser feito de forma indiscriminada e sem qualquer responsabilidade das empresas. Como consequência, todas as atividades de tratamento deverão observar alguns princípios, dentre os quais o da finalidade, da adequação e da necessidade, previstos no art. 6º da referida Lei.
Nesse sentido, a LGPD determina que somente deverão ser tratados os dados necessários para propósitos legítimos, específicos, e que se mostrem adequados, imprescindíveis e não excessivos para atingir a finalidade de tratamento estabelecida pelo Controlador, ou seja, o agente de tratamento a quem competem as decisões referentes às atividades com uso de dados pessoais.
Para tanto, a supracitada Lei elenca um rol taxativo de hipóteses que autorizam a realização do tratamento de dados pelo Controlador, tais como para cumprimento de obrigação legal pelo controlador, quando necessário para a execução de contrato do qual seja parte o titular, mediante o fornecimento de consentimento pelo titular, dentre outras hipóteses devidamente elencadas no art. 7º da LGPD.
Insta trazer à tona, também, o art. 15º da LGPD, que estabelece que o término do tratamento de dados pessoais deve se dar no momento em que a finalidade for alcançada, quando os dados deixam de ser necessários ou pertinentes ou quando da revogação do consentimento por comunicação do titular nas situações em que o tratamento é baseado nessa hipótese.
Desta forma, em cumprimento às disposições da LGPD, em especial ao princípio da finalidade do tratamento dos dados, é mister que a empresa, como Controladora dos dados de seus empregados e clientes, interrompa as atividades de tratamento de todos e quaisquer dados pessoais de titulares quando exauridos os propósitos legítimos para sua manutenção.
Dito isso, pode-se afirmar que, depois que a finalidade para tratamento de determinados dados em posse da empresa tiver sido alcançada, estes devem ser excluídos de forma segura e adequada.
Apesar de o Brasil possuir norma geral de proteção de dados, a LGPD, constando a necessidade de ter cuidado no tratamento de dados desde a coleta até sua eliminação, não há regulamentação descrevendo como deve ser a eliminação dos dados pessoais, a fim de se evitar incidentes de vazamento de dados.
Por isso, é necessário buscar, na legislação estrangeira, parâmetros que concedam os níveis de segurança necessários, para que os agentes de tratamento se certifiquem de que os dados estão sendo realmente eliminados. Para tanto, sugere-se utilizar como referência alguma Organização Internacional de Padronização responsável por promover a normalização da qualidade de produtos e serviços, a exemplo da ISO, ITIL e DIN.
Em caso de necessidade de descarte de documentação em papel ou outro meio físico com dados pessoais de clientes ou ex-colaboradores da empresa, por exemplo, a recomendação é pela fragmentação dos documentos em partículas ou tiras para a adequada eliminação dos dados contidos no documento físico. Importa destacar, também, que a extensão da fragmentação dos documentos deve variar a depender do grau de sigilo ou de sensibilidade das informações armazenadas pela empresa.
Registra-se, contudo, que determinados documentos, especialmente os de natureza trabalhista e previdenciária, devem ser mantidos pela empresa por prazos especificados pela legislação brasileira, por se enquadrarem na hipótese de tratamento prevista no inciso II do art. 7º da LGPD, cumprimento de obrigação legal do Controlador. Assim, existe o dever legal em proceder com a manutenção dessas informações, para o caso de serem solicitadas pelos órgãos fiscais e regulatórios nacionais.
Pedro Henrique Cavalcanti Souza - Renato Melquíades Advocacia