- Norberto Tordin
LGPD – Vamos falar sobre temporalidade

Introdução
A LGPD traz uma nova mentalidade e responsabilidade no que diz respeito a captação e armazenamento de dados pessoais dos indivíduos.
Vários itens devem ser considerados no momento da captação e propagação dos dados, dentre os quais, o que trata sobre a temporalidade que o dado deverá ou poderá ficar armazenado.
Devemos destacar na temporalidade qual o tempo mínimo e máximo que um dado poderá ficar armazenado respeitando as necessidades legais e fiscais para o uso destes dados.
No quesito técnico deve ser observado as restrições impostas pelo banco de dados e sistemas para poder eliminar dados.
A temporalidade dos dados dos indivíduos
Podemos entender a temporalidade como o ciclo de vida dos dados coletados e armazenados. Embora no modelo praticado pelas empresas até o surgimento da LGPD no Brasil e GDPR na União Europeia, uma vez estes dados coletados, ficava a critério da empresa que fez a coleta decidir por quanto tempo ficaria armazenado, definindo ainda, se haveria em algum tempo uma eliminação (limpeza) destes dados coletados.
O conceito da temporalidade modifica a maneira de pensar e, provavelmente, implicará na revisão dos processos nas empresas. Primeiro porque haverá a real necessidade de definir a temporalidade e, segundo, porque caso nada seja feito após o período de uso dos dados coletados, em se mantendo estes dados, o risco aumentará consideravelmente caso algum acesso indevido ou vazamento seja verificado.
Temos que considerar ainda que um indivíduo pode solicitar a eliminação de seus dados coletados, o que passa a ser mais um fator de tratamento.
Aí começam as dúvidas:
Tecnicamente, como passar para TI (e para os sistemas contratados) que um dado precisa ser eliminado e como executar com o procedimento?
Como notificar o indivíduo sobre o procedimento executado?
Caso um dado, por restrição do banco de dados, não possa ser eliminado, qual o procedimento a seguir?
Como validar a temporalidade para os diversos atendimentos legais para manutenção do dado?
Quais os riscos em manter estes dados e qual o plano de ação caso um incidente aconteça?
Qual o canal de comunicação que será disponibilizado para que os indivíduos possam solicitar a eliminação de seus dados ou, no caso da temporalidade, estes indivíduos serem notificados quanto ao procedimento?
Como registrar em auditoria os procedimentos executados?
Como notificar os parceiros de negócios que receberam estes dados coletados (sob responsabilidade da empresa coletora) que precisa ser executado o procedimento da temporalidade? Ou seja, ao eliminar os dados do indivíduo nos sistemas internos, como descobrir quem e quando recebeu estes dados e principalmente, como gerar as evidências que foi solicitado a eliminação aos parceiros?
Conclusão
Definições, processos e procedimentos podem e devem ser criados para tratar do item da temporalidade.
Evidências precisam ser geradas e armazenadas quanto ao procedimento executado.
Pessoas terão que ser responsabilizadas por executar o procedimento tanto interno quanto para notificar os parceiros.
Caso nada seja feito para tratar da temporalidade o risco de acessos indevidos será sensivelmente aumentado e colocará a empresa em risco de autuação.
Procedimentos manuais estão sujeitos a falhas e o risco aumenta à medida que as pessoas envolvidas no processo são substituídas.
A recomendação, embora possa parecer prematuro, é criar robôs que use bases estruturadas para validar a temporalidade e como proceder em cada sistema, tabela e no menor detalhe, como tratar cada campo das tabelas e, para os parceiros, um controle efetivo de quem recebeu os dados para que a notificação também possa ser feita de maneira automática com registros das evidências estruturadas.