LGPD – Vamos falar sobre temporalidade

Introdução

A LGPD traz uma nova mentalidade e responsabilidade no que diz respeito a captação e armazenamento de dados pessoais dos indivíduos.

Vários itens devem ser considerados no momento da captação e propagação dos dados, dentre os quais, o que trata sobre a temporalidade que o dado deverá ou poderá ficar armazenado.

Devemos destacar na temporalidade qual o tempo mínimo e máximo que um dado poderá ficar armazenado respeitando as necessidades legais e fiscais para o uso destes dados.

No quesito técnico deve ser observado as restrições impostas pelo banco de dados e sistemas para poder eliminar dados.

A temporalidade dos dados dos indivíduos

Podemos entender a temporalidade como o ciclo de vida dos dados coletados e armazenados. Embora no modelo praticado pelas empresas até o surgimento da LGPD no Brasil e GDPR na União Europeia, uma vez estes dados coletados, ficava a critério da empresa que fez a coleta decidir por quanto tempo ficaria armazenado, definindo ainda, se haveria em algum tempo uma eliminação (limpeza) destes dados coletados.

O conceito da temporalidade modifica a maneira de pensar e, provavelmente, implicará na revisão dos processos nas empresas. Primeiro porque haverá a real necessidade de definir a temporalidade e, segundo, porque caso nada seja feito após o período de uso dos dados coletados, em se mantendo estes dados, o risco aumentará consideravelmente caso algum acesso indevido ou vazamento seja verificado.

Temos que considerar ainda que um indivíduo pode solicitar a eliminação de seus dados coletados, o que passa a ser mais um fator de tratamento.

Aí começam as dúvidas:

• Tecnicamente, como passar para TI (e para os sistemas contratados) que um dado precisa ser eliminado e como executar com o procedimento?

• Como notificar o indivíduo sobre o procedimento executado?

• Caso um dado, por restrição do banco de dados, não possa ser eliminado, qual o procedimento a seguir?

• Como validar a temporalidade para os diversos atendimentos legais para manutenção do dado?

• Quais os riscos em manter estes dados e qual o plano de ação caso um incidente aconteça?

• Qual o canal de comunicação que será disponibilizado para que os indivíduos possam solicitar a eliminação de seus dados ou, no caso da temporalidade, estes indivíduos serem notificados quanto ao procedimento?

• Como registrar em auditoria os procedimentos executados?

• Como notificar os parceiros de negócios que receberam estes dados coletados (sob responsabilidade da empresa coletora) que precisa ser executado o procedimento da temporalidade? Ou seja, ao eliminar os dados do indivíduo nos sistemas internos, como descobrir quem e quando recebeu estes dados e principalmente, como gerar as evidências que foi solicitado a eliminação aos parceiros?

Conclusão

Definições, processos e procedimentos podem e devem ser criados para tratar do item da temporalidade.

Evidências precisam ser geradas e armazenadas quanto ao procedimento executado.

Pessoas terão que ser responsabilizadas por executar o procedimento tanto interno quanto para notificar os parceiros.

Caso nada seja feito para tratar da temporalidade o risco de acessos indevidos será sensivelmente aumentado e colocará a empresa em risco de autuação.

Procedimentos manuais estão sujeitos a falhas e o risco aumenta à medida que as pessoas envolvidas no processo são substituídas.

A recomendação, embora possa parecer prematuro, é criar robôs que use bases estruturadas para validar a temporalidade e como proceder em cada sistema, tabela e no menor detalhe, como tratar cada campo das tabelas e, para os parceiros, um controle efetivo de quem recebeu os dados para que a notificação também possa ser feita de maneira automática com registros das evidências estruturadas.