Importância do ciclo de vida do dado pessoal na LGPD

Por que é importante definir prazos de ciclos de vida para os tratamentos de dados pessoais?

A Seção IV da LGPD estabelece regramentos sobre o término do tratamento dos dados pessoais. Isso significa que todo tratamento precisa contar com um começo, um meio e um fim, ou seja, as empresas devem definir prazos de ciclos de vida para cada dado pessoal envolvido nas diferentes operações de tratamento identificadas ao longo da construção de um programa de privacidade. O Ciclo de vida pode ser entendido como as etapas que um dado percorre dentro da cadeia de tratamento desde a sua coleta (início) até o seu descarte (término), que pode ser resumido pela imagem abaixo:

Importância do ciclo de vida do dado pessoal na LGPD lgpd

As Fases do Ciclo de Vida dos Dados Pessoais em uma Empresa

Coleta inicial do dado pessoal

No momento da coleta inicial do dado pessoal, é importante que o controlador esteja alinhado com a aderência aos princípios norteadores da Lei Geral de Proteção de Dados Pessoais, principalmente, em relação à necessidade, adequação e finalidade. A partir de uma atribuição de finalidade licita ao tratamento ao dado pessoal, é possível delimitar quais dados são adequados e necessários para atingir os objetivos pretendidos. Concomitantemente, é interessante também, no momento da criação de uma operação de tratamento de dados pessoais pela organização controladora, a associação dessa operação a uma base legal para legitimá-la.

Dado pessoal recebido por terceiro

Já no caso de recebimento de dados pessoais por terceiro, há um ciclo iniciando-se a partir de uma coleta feita originalmente por outra organização, em que a receptora poderá ser tanto controladora como operadora de dados pessoais. Neste sentido, é interessante que seja verificado qual o escopo da atividade a ser realizada com os dados pessoais bem como a distribuição de responsabilidades entre as partes, a depender de qual tipo de agente de tratamento de dados cada uma for, algo que deve ser muito bem estabelecido em contrato.

Armazenamento

O armazenamento é o ato de guardar os dados em local que possibilite o resgate ou uso futuro pelo agente de tratamento. Além disso, é a partir do armazenamento que será possível traçar fluxos posteriores de continuidade no tratamento, mais especificamente, para a etapa de uso e compartilhamento.

Uso e compartilhamento

A etapa de uso e compartilhamento é aquela em que ocorre a utilização do dado para a finalidade previamente delimitada e indicada ao titular de dados pessoais. Nessa fase, a empresa, efetivamente, tratará o dado pessoal de acordo com o que foi estabelecido previamente ou compartilhará com terceiros por algum motivo.

Arquivamento

O arquivamento é a ação de guardar, ordenadamente, algo para ser facilmente encontrado, ou seja, é uma forma de garantir a disponibilidade da informação coletada pelos agentes de tratamento para a consecução da operação. A finalidade do arquivamento não se limita àquela atribuída, inicialmente, no momento da coleta, pois pode ocorrer uma alteração de base legal aplicável ao longo do ciclo de vida do dado pessoal, na cadeia de tratamento da informação, o que poderá acarretar em nova finalidade atribuída para legitimar o arquivamento do dado.

Destruição e/ou obsolescência

O dado pessoal torna-se obsoleto quando a finalidade foi alcançada ou os dados não são mais necessários nem pertinentes para alcançar a finalidade específica almejada. Nestas hipóteses, é necessário que seja realizada a exclusão de tais dados, de modo seguro, em via física e/ou via digital. A destruição aqui englobada vai além do mero descarte do dado, significando a desvinculação da informação da origem da coleta. Em outras palavras, é proceder ao devido descarte para garantir que aquela informação inicialmente coletada não possa ser acessada por terceiros estranhos ao tratamento original. A destruição, por exemplo, poderá se valer de meios como a trituração de folhas ou cartões que contêm informações, posteriormente encaminhados à reciclagem. 

O que a LGPD estabelece sobre o término do ciclo de vida do dado pessoal? 

A LGPD delimita, em seu artigo 15, quais as hipóteses em que ocorrerá o término do tratamento de dados pessoais:

  • Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  • Fim do período de tratamento;
  • Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público;
  • Determinação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), quando houver violação ao disposto nesta lei.

Os casos de atingimento da finalidade ou de fim do período de tratamento são aqueles em que a empresa definiu um fluxo para o caminho do dado, ao longo da operação do tratamento, sendo o marco final atingido, seja pelo fato de a finalidade informada ao titular ter sido alcançada ou após o decurso de um certo período temporal. Já a comunicação do titular, inclusive no caso de revogação do consentimento, advém do direito de oposição, que se traduz na prerrogativa de o titular de requerer a interrupção do tratamento, com a possibilidade de pedido de exclusão dos dados tratados, quando a operação basear-se no consentimento ou em alguns casos do interesse legitimo.

E, por fim, há a possibilidade de término do tratamento por meio de determinação da ANPD, quando houver violação da lei. Tal premissa decorre da responsabilidade dos agentes de tratamento, quando da legalidade no tratamento dos dados pessoais, e, se a ANPD verificar que algum dispositivo da lei não foi atendido, o término do tratamento pode ser determinado. Essa é inclusive uma das sanções previstas no art. 52 da LGPD. 

Conclusão

Conclui-se que o ciclo de vida de um dado pessoal é determinado, originalmente, pela finalidade específica da operação criada e, consequentemente, da base legal aplicável. Caberá ao agente de tratamento manter registro de todas as operações realizadas, com descrição do ciclo de vida de cada uma, e delimitação do fluxo do dado na empresa, de modo a construir um programa de privacidade eficaz, que satisfaça as exigências da LGPD.