Quando pensamos em qual princípio da LGPD as organizações são mais propensas a falhar, é difícil escolher apenas um. Em parte, isso deve-se ao fato de que os princípios estão naturalmente interligados, de tal forma que um problema com um princípio leva a problemas com (alguns) dos outros também.
Além do mais, muitas vezes há problemas com a legalidade do processamento de dados pessoais, principalmente devido à dependência excessiva do consentimento. As organizações ainda não entendem que o consentimento é apenas uma das bases legais em que devem embasar o tratamento de dados e, portanto, fazem o uso exaustivo e equivocado desta hipótese.
Desta forma, o objetivo deste artigo é abordar as principais falhas cometidas pelas organizações no tratamento dos dados pessoais e como elas podem adequar suas operações.
1. Falta de clareza da finalidade do tratamento de dados
É fato que todo tratamento de dados pessoais para ser legítimo deve ser embasado em uma das hipóteses de tratamento listadas pela LGPD. Mas como determinar a base legal para cada tratamento?
Para definir a base legal adequada é necessário mapear cada um dos processos que tratam dados pessoais na empresa. Isso inclui: entender o propósito do tratamento, quais são os dados tratados, se há algum dado sensível, quais os titulares e agentes envolvidos, se o tratamento atende a uma legislação específica. Enfim, é necessário analisar e entender todos os aspectos do ciclo de vida dos dados no tratamento para então definir a base legal mais apropriada.
Como exemplo, vamos analisar o contrato de trabalho. Ao contratar um funcionário a empresa poderá usar os dados desta pessoa embasado na hipótese “dados necessários para a execução do contrato“ (art. 7º, inciso V, LGPD). Após a rescisão desse contrato, a empresa deve armazenar os dados pessoais do ex-funcionário, referente a documentos trabalhistas, pelo prazo de cinco anos (conforme art. 7º, XXIX, da Constituição Federal). Sendo assim, a base legal muda para “cumprimento de obrigação legal” (art. 7º, inciso II, LGPD).
Entretanto, se a organização quiser, por exemplo, reter este contrato por mais tempo com a finalidade de defesa em possível ação judicial, precisará mudar a base legal novamente, após os cinco anos, para interesse legítimo. Tendo que pode justificar esse interesse legítimo por meio da sua avaliação de interesses legítimos (LIA).
Um outro exemplo, por que algumas empresas mantêm registro de visitantes? Qual é o propósito deste tratamento? Geralmente estes dados são usados para identificar quem está no prédio em um determinado dia, por questões de segurança ou no caso de ter que fazer uma contagem de pessoas se você tivesse que evacuar o prédio.
Contudo, há situações em que pode ser interessante manter o registro de visitantes pelo mesmo tempo que a empresa mantém imagens de CFTV (monitoramento interno). E, há também cenários específicos onde pode ser necessário mantê-las por períodos prolongados. Por exemplo, em caso de um incidente será necessário manter as imagens e fotos de um período específico por mais tempo (durante a investigação e possível processo judicial).
Entender a finalidade de cada tratamento é essencial para que todo o processo de dados faça sentido para sua empresa. Por isso, a LGPD não deve ser vista apenas como uma legislação a ser cumprida. Se você aderir aos seus princípios, você não está apenas protegendo os dados pessoais, mas também gerenciando melhor o seu negócio.
2. Uso inadequado do consentimento
Como mencionado anteriormente, um dos principais problemas das empresas é utilizar o consentimento como hipótese legal para qualquer tratamento de dados, mesmo quando outras bases poderiam ser mais apropriadas.
Na LGPD, o consentimento é definido como uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Isso significa que para ser válido o consentimento deve:
a. ser dado de maneira voluntária, sem coação ou influência;
b. o titular dos dados deve receber todas as informações necessárias sobre o tratamento dos dados, incluindo a finalidade, duração e os responsáveis pelo tratamento e;
c. a manifestação de vontade deve ser clara, não podendo ser ambígua ou implícita, ou seja, deve haver uma declaração explícita do titular.
Mas quando é correto utilizar o consentimento? Infelizmente, não há uma resposta única para esta pergunta, pois depende de cada processo de tratamento. Para saber se o consentimento é a base legal apropriada será necessário mapear o processo.
3. Coleta excessiva de dados
Coletar dados demasiadamente e sem propósito, além de ilegal, é contraproducente do ponto de vista comercial. Afinal, qual o sentido de fazer marketing para um milhão de pessoas se apenas uma pequena porcentagem interage com a publicidade?
Possuir inúmeros dados pode trazer a sensação de que a empresa terá mais oportunidades de negócios. No entanto, possuir dados sem que haja um objetivo claro e uma análise qualificada das informações não traz benefícios para a empresa. Pelo contrário, pode gerar gastos desnecessários.
Mais dados também traz a necessidade de mais espaço de armazenamento e, com isso, aumenta a “área” de possíveis ataques. Ou seja, além de gastar mais com espaço de armazenamento e backup, você aumenta o risco de violação aos dados.
Uma pista de que a organização está processando dados pessoais excessivos é quando você não consegue apontar uma razão clara para processar os dados. Novamente, quando a finalidade não é clara, manter os dados não serve a nenhum propósito.
4. Períodos de retenção exagerado
Outro ponto de deslize das empresas é não estabelecer um período de retenção "razoável" para os dados. Para isso, é necessário entender até quando os dados serão úteis à finalidade do tratamento e analisá-los individualmente, e não como um “pacote” de dados do titular.
Por exemplo, o que você faz com os dados de alguém que deixa a empresa? Normalmente, são arquivados todos os dados pessoais do ex-colaborador. Mas será que todas essas informações devem ser armazenadas? É improvável que a empresa precise dos dados do contato de emergência desta pessoa. Então, essa parte do registro pode ser eliminada imediatamente após o funcionário deixar a empresa. Afinal, você não tem mais um motivo para manter esses dados.
Conclusão
A falta de conformidade com a LGPD no tratamento de dados pessoais pode gerar sérias consequências legais e financeiras para as organizações. A falta de clareza na definição das finalidades do tratamento, o uso inadequado do consentimento, a coleta excessiva de dados e a determinação inadequada dos períodos de retenção são algumas das principais falhas cometidas pelas empresas. Para que sua empresa não cometa esses erros, é essencial mapear os processos de tratamento de dados, garantir que cada operação esteja alinhada a uma base legal apropriada e implementar práticas que não apenas cumpram as exigências legais, mas também otimizem os processos internos.
Adotar uma abordagem proativa para a conformidade com a LGPD não só protege os dados pessoais, mas também fortalece a gestão e a governança de dados da empresa, promovendo maior eficiência e confiança junto aos clientes e stakeholders. Em última análise, a conformidade com a LGPD é um investimento na sustentabilidade e na reputação da organização.
Caso tenha interesse em contratar uma consultoria especializada para assessorar sua organização na implantação do plano de adequação à LGPD. Envie um e-mail para contato@totalprivacy.com.br e um de nossos consultores entrará em contato.
Andressa Segantini
Consultora de Privacidade e Proteção de Dados Pessoais
Andressa é especialista em privacidade e proteção de dados, com formação em relações internacionais, administração de empresas e direito digital. Sua expertise em gestão de projetos garante a implementação eficaz de programas de compliance com as leis de proteção de dados. Possui diversas certificações na área e demonstra seu compromisso com a atualização e o domínio das melhores práticas do mercado.