Uma das maiores preocupações das empresas tem sido o que fazer com os dados pessoais que já constavam em sua base antes da entrada em vigor da Lei Geral de Proteção de Dados – LGPD, comumente chamado de “legado”.
A preocupação é válida, pois podemos estar considerando uma base de dados que dá sustentação ao próprio negócio.
Mas é preciso ter calma e avaliar bem de perto, caso a caso, antes de decidir excluir ou bloquear a base de dados pessoais mais antigos.
A Lei Geral de Proteção de Dados estabelece que todo e qualquer dado pessoal deve ser tratado de forma adequada, ou seja, deve relacionar qualquer operação realizada com dados pessoais (como a eliminação, o armazenamento, a transmissão, entre outros) à base legal mais conveniente, entre as 10 (dez) possibilidades previstas em seu art. 7º.
Regra geral, quando o assunto é o “legado de dados pessoais”, parece que a base legal prontamente lembrada é o Consentimento. Mas “será que é realmente necessário obtê-lo ou renová-lo, para que possa continuar sendo utilizado?
Buscar ou renovar o consentimento do titular pode não ser uma tarefa muito fácil. Muitas vezes os cadastros estão desatualizados (o que dificulta a localização do titular); o custo desta operação pode ser alto (especialmente quando a base de dados é robusta) e, além disso, existe a possibilidade do consentimento, ser revogado a qualquer tempo, a pedido do titular de dados.
Não obstante o fato de existirem outras 9 (nove) bases legais de tratamento previstas na LGPD, que podem ser aplicadas conforme o caso, tem sido frequente se considerar uma boa saída, a utilização da base legal do “legítimo interesse” para o “legado de dados pessoais”, o que apesar de interessante, merece muita cautela.
O legitimo interesse é a possibilidade legal de realização do tratamento de dados pessoais sem o consentimento do titular para uma finalidade legítima, que pode ser apoio e promoção das atividades da empresa, proteção do exercício regular de direitos do titular ou prestação de serviços que o beneficiem, mas desde que sejam garantidos pelo agente responsável pelo tratamento dos dados pessoais, os direitos e liberdades fundamentais dos titulares de dados (clientes, funcionários, leads e outros).
Antes de decidir pelo legítimo interesse vale a pena fazer o teste de proporcionalidade, com o objetivo de verificar se há equilíbrio entre os direitos dos titulares e o legitimo interesse pretendido para o tratamento do “legado de dados pessoais”, aplicando-se ao caso concreto, os princípios balizadores do tratamento de dados pessoais, estabelecidos no art. 6 da LGPD.
Lembre-se, quanto mais minimalista for a manutenção de dados pessoais, melhor. Em outras palavras, é bom levantar os dados existentes, avaliar os riscos e traçar estratégias, para enfim manter na base apenas os dados pessoais suficientes ao atendimento de uma finalidade específica.
Por ora, proceder a exclusão ou o bloqueio de dados antigos ou ansiar por obter ou renovar consentimentos, talvez não devam ser as primeiras estratégias recomendadas. Afinal, o art. 63 da própria LGPD deixou a cargo da ANPD – Autoridade nacional de Proteção de Dados, estabelecer as normas sobre adequação progressiva de bancos de dados constituídos até a data de entrada em vigor da lei (legado de dados pessoais).
Mas enquanto a ANPD não define os padrões de conformidade, é recomendável contratar uma consultoria para o mapeamento de dados, criar uma política para a guarda de documentos, investir na conscientização da equipe, engajar fornecedores para que implementem as boas práticas de proteção de dados pessoais, implementar processos baseados no conceito “Privacy by Design” e “Privacy by Default”, para o fortalecimento mais rápido e definitivo da cultura organizacional de proteção de dados na empresa.