Como avaliar os prazos de retenção para diferentes tipos de documentos contendo dados pessoais?

A Lei Geral de Proteção de Dados é uma legislação principiológica. Isso significa que é necessária a conformidade com os respectivos itens de controle (implementação de medidas técnicas e organizacionais para atingimento das finalidades estabelecidas na lei) de modo que se os controles não estiverem comprovadamente presentes, aplicados e implementados, os princípios de proteção aos titulares não serão considerados atendidos e haverá violação à LGPD.

Por ser uma legislação principiológica, a Lei Geral não traz expressamente os períodos de armazenamento exatos de documentos que contém dados pessoais. Essa análise dependerá de vários elementos como, por exemplo, saber o setor que a empresa atua e a existência ou não de requisitos regulatórios, os prazos prescricionais legais gerais e específicos aplicáveis e se o documento em questão precisa ser mantido para resguardar direitos do controlador.  

De acordo com a LGPD, os prazos definidos pela organização para retenção de documentos contendo dados pessoais devem ser passíveis de justificação e essa decisão da empresa deve ser documentada em uma Matriz de Temporalidade Documental ou em uma Tabela de Retenção (ou, ainda, Cronograma de Retenção). Esse documento especifica o período exato de retenção para diferentes classes de registros e as ações necessárias a serem tomadas no final do período de guarda, para o descarte dos documentos.

É importante não perder de vista o critério da necessidade, que é um fator chave na análise dos períodos de retenção de documentos contendo dados pessoais, ou informações pessoais fornecidas on-line de forma direta pelos titulares em formulários de sites e redes sociais.

A necessidade, por sua vez, é determinada pelo propósito do tratamento do dado. Em outras palavras, caso não haja legislação específica tratando de prazos de retenção de determinado documento contendo dados pessoais, o motivo para manipular e armazenar dados pessoais é que guiará o controlador na determinação do período de tempo pelo qual os dados devem ser mantidos.

É recomendável que a empresa elabore sua política de retenção de dados, documento que fornece uma visão geral das práticas de gerenciamento de dados da organização. Uma política de retenção deve conter as diretrizes para guarda de cada tipo de documento contendo dados pessoais, assim como as funções e responsabilidades dos colaboradores.

Controladores, operadores e suboperadores: Funções de retenção de dados 

O agente controlador é o principal responsável por determinar o prazo de retenção de dados, pois ele decide as finalidades e os meios de processamento de dados pessoais.  

Os operadores e suboperadores de dados são responsáveis ​​por processar dados pessoais em nome do controlador. Eles devem seguir as instruções do controlador, incluindo o cumprimento de um prazo de retenção de dados, que deve ser especificado no contrato ou acordo de processamento de dados. É importante que tais instrumentos jurídicos contenham os detalhes de quais ações os operadores devem tomar em relação aos dados pessoais quando o contrato for rescindido.  

Importante lembrar que cabe ao controlador a responsabilidade primária de cumprir as leis de proteção de dados, então quando contrata operadores, cabe a ele fornecer as diretrizes para o tratamento,  contemplando os prazos de retenção e descarte. 

Quais são os principais desafios de retenção de dados que as empresas enfrentam? 

1. O cenário regulatório em mudança – Desde a vigência da LGPD, a ANPD vem cumprindo sua agenda regulatória e regulamentando os principais temas que orbitam as boas práticas de proteção de dados.  A conformidade, assim, demanda conhecimento especializado para que as empresas possam acompanhar as mudanças.

2. Titular dos dados cada vez mais exigentes em relação aos seus direitos  – Os titulares dos dados estão cada vez mais conscientes dos seus direitos, mais propensos a tomar decisões e requisitar o cumprimento dos direitos previstos na LGPD em relação às empresas com as quais mantêm relacionamento. Esse fator impacta a estrutura de retenção de dados de uma organização, pois ela deve estar equipada para localizar, recuperar e responder a uma requisição de titular de dados de forma eficiente.

3. Volume de dados – Pode ser difícil gerenciar as vastas quantidades de dados que são coletadas diariamente de vários canais, como e-mail, mídia social, sites e lojas virtuais. Sem mencionar os registros de arquivo em papel, que podem criar um desafio significativo para as empresas organizarem.   

4. Retenção excessiva – Sem regras específicas sobre prazos, as organizações frequentemente mantêm informações por muito tempo, o que aumenta os custos operacionais de armazenamento, backup e recuperação. Há também o risco aumentado de danos à reputação se um ataque cibernético ou violação ocorrer. 

Soluções sugeridas para esses desafios:

1. O cenário regulatório em mudança – A empresa deve manter-se atualizada sobre as últimas leis de proteção de dados buscando aconselhamento de um Encarregado de Dados experiente. Ter um DPO dedicado apto a revisar e atualiza regularmente as políticas e cronogramas de retenção de dados da organização  garantirá que a empresa esteja em conformidade com os regulamentos mais recentes. 

2. Volume de dados – Para lidar com volumes crescentes de dados pessoais, a empresa deve implementar o princípio da minimização de dados  e coletar apenas o que for absolutamente necessário. Uma dica prática é conduzir uma auditoria, através da revisão dos tipos de dados pessoais que a organização coleta e identificar o que é efetivamente necessário. Por exemplo, uma loja online coleta nomes de clientes, endereços e informações de pagamento para cumprimento de pedidos. No entanto, a loja também coleta datas de nascimento e estado civil, o que, dependendo dos tipos de produtos vendidos, pode ser considerado desnecessário para o propósito e violar o princípio de minimização de dados contido na LGPD.

3. Retenção excessiva – Para evitar manter informações por muito tempo, é importante ter um cronograma claro de retenção de dados para cada tipo de documento. Ferramentas automatizadas podem ser usadas para gerenciar o cronograma e excluir ou tornar anônimos dados que não são mais necessários. Os funcionários também precisam estar cientes das políticas e cronogramas de retenção de dados, para que entendam o que fazer de forma clara. 

Dicas de melhores práticas para retenção de dados 

O gerenciamento eficaz de dados pessoais ajudar as empresas a reduzirem riscos e manterem a conformidade com as leis de proteção de dados.  Abaixo estão algumas dicas úteis para uma estratégia de retenção de dados: 

• Realizar uma auditoria de dados 

• Coletar apenas os dados necessários para os propósitos do tratamento

• Implementar política e cronograma de retenção de dados para cada tipo de documento contendo dados pessoais  

• Se os dados forem mantidos por períodos mais longos ou mais curtos do que o cronograma de retenção, o motivo para isso precisa ser documentado 

• Revisar as atividades de tratamento regularmente e adicionar novas ao cronograma sempre que necessário

• Treinar a equipe sobre os requisitos das políticas e cronograma de retenção, garantindo a conscientização dos requisitos operacionais antes que quaisquer dados sejam excluídos

• Quando houver recomendação para arquivar dados mais antigos, isso pode ser feito em formato eletrônico e arquivado em uma pasta eletrônica separada, devidamente rotulada como contendo material de arquivo, agregando a tal entrada a devida proteção 

• Os registros de arquivo em papel precisam ser indexados e, uma vez que a retenção seja cumprida, eles devem ser destruídos com segurança, usando um provedor de resíduos confidenciais ou um triturador de papel

 Existem vários desafios para as empresas quando se trata de retenção de dados, descarte de documentos e conformidade com a LGPD. A chave é entender o propósito das atividades de tratamento na organização para coletar dados pessoais e alinhar esse propósito com os princípios de minimização de dados, limitação de armazenamento e qualidade dos dados.

A documentação é essencial, pois é do agente de tratamento o ônus de demonstrar a conformidade. Assim, uma política e um cronograma abrangente de retenção de dados são  requisitos obrigatórios. No entanto, é importante lembrar que o gerenciamento eficaz de documentos e dados pessoais não trata apenas de cumprir a LGPD.   Os indivíduos têm mais probabilidade de se envolver com organizações nas quais confiam para lidar com seus dados pessoais de forma responsável, de modo que a conformidade assume viés estratégico ao fortalecer a reputação e a competitividade da empresa no mercado. 

Se você tem interesse em deixar a sua empresa em conformidade com a LGPD, conheça meu trabalho como DPOaaS

Você também pode comprar agora o meu treinamento: Fundamentos da LGPD