Símbolo do Jus.com.br Jus.com.br

Como adaptar os dados antigos de sua empresa à Lei Geral de Proteção de Dados Pessoais

Agenda 12/08/2020 às 20:19

Saiba o que fazer com os dados pessoais que remanescem na sua atividade empresarial segundo a Lei Geral de Proteção de Dados Pessoais - LGPD. Dados antigos, defasados e que precisam ter um tratamento adequado. Eles são o seu legado.

Definir o que fazer com os dados antigos, chamados de legados, e com os sistemas defasados é uma pergunta tão recorrente quanto aquela sobre por quanto tempo devo manter os dados em minha base se não tenho legislação específica que regule esse tipo de situação.

Primeiro precisamos entender que sistemas legados são diferentes de dados legados. Os sistemas vão se viram legados quando se tornam obsoletos, não se encaixando mais na tecnologia atual, nas novas dinâmicas de trabalho, na inovação. São tecnologias defasadas, que podem vir da mesma empresa ou de empresas terceiras, carregando bases de dados bem antigas.

Dados legados são os dados armazenados, antigos, que podem, inclusive, estar desatualizados. São informações de antigos clientes, por exemplo, os quais muitas vezes não se sabe nem se continuam vivos, se moram naquele mesmo endereço, se utilizam o mesmo telefone ou e-mail (se é que têm e-mails).

Pois bem, prestaremos aqui alguns esclarecimentos diante do que pode ser feito quando você tem uma empresa que trata dados legados, muitas vezes com enorme volume, os quais não podem ser simplesmente descartados por inúmeros motivos (facilidade nas consultas, históricos, otimização na realização dos serviços junto a clientes antigos e novos clientes e etc.) e, que por esse motivo, busca por uma melhor solução para que seu tratamento de dados pessoais continue ativo e de acordo com o escopo da lei.

Independentemente do ramo de atuação de sua empresa, você tem dois tipos de dados legados os quais precisa considerar: os dados dos clientes antigos que não fazem mais parte da prestação de serviços e nem do seu negócio e os dados dos clientes também antigos, mas que ainda fazem parte do seu negócio. Existem alternativas para lidar com essas duas categorias e, uma delas costuma ser a do legítimo interesse. Dentre as possíveis definições que dará a nossa Autoridade Nacional sobre o assunto, será que o legítimo interesse poderá ser considerado no tratamento dos dados legados? Wait and see (uma das soluções utilizadas, e significa esperar para ver o que vai acontecer).

Portanto, antes que você apague todos os seus dados antigos (e eu digo: por favor não faça isso – burn it all), espere pela regulamentação que a Autoridade Nacional de Proteção de Dados Pessoais deve dar ao que está descrito no art. 63. da LGPD, que preceitua:

“Art. 63. A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, considerados o porte do agente de tratamento, a complexidade das operações de tratamento e a natureza dos dados.”.

Muitas dúvidas devem surgir, do tipo: Por que esperar talvez seja uma estratégia muito boa?

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

Primeiro porque sabe-se que essa regulação deverá vir com certeza (promessa legislativa) e segundo, porque até lá, você poderá manter as oportunidades de negócios que possui ou que pode vir a possuir por ter em seu poder essa base de dados.

E se eu não quiser esperar e quiser integrar esses dados a minha base atual? Sem problema e, mais ainda, que tal fazer uma atualização de tudo isso? Será possível sim, dentro da razoabilidade, você poderá se utilizar de algumas metodologias amparadas pela lei.

Essas metodologias dizem respeito à integração total de sua base de dados aos ditames da LGPD. Fazer aquela “varredura” pelos nomes, contatos e, na medida do possível, fazer a atualização do consentimento. Por que na medida do possível? Simples, porque por inúmeros motivos, você não poderá fazer a coleta do consentimento e, para isso, você deverá se utilizar de alguma outra base legal ou, até mesmo, de justificativas que validem o chamado legítimo interesse.

Quando o controlador se utiliza do legítimo interesse por exemplo, ele não necessita do consentimento do titular dos dados, e seus motivos são determinantes, pois na maioria das vezes objetivam o interesse maior da atividade negocial, que é a prospecção e a manutenção de seus clientes. A obtenção de lucro nas empresas é primordial e estimula princípios fundamentais da nossa Constituição e da própria LGPD, tais como “a livre iniciativa, a livre concorrência e a defesa do consumidor”.

Ainda, e não tão distante do que possa vir a ser realizado, temos o descarte. Não sendo possível enquadrar os dados legados em alguma posição legalmente admitida, seja relacionada à proteção contratual ou outros dispositivos, eles deverão sofrer um processo de descarte, o que minimizará, e muito, a possibilidade da incidência de algum vazamento, ainda mais quando não há mais justificativas para seu armazenamento.

Por esse e por todos os outros motivos que aqui colocamos e, certos de que, os dados legados são tão fundamentais para tantas empresas, é que recomendamos tais cautelas, imprescindíveis nesse primeiro momento de adequação, o que nos traz conforto, pois nossos clientes, por economia de processos, custos e para manter seus principais objetivos relacionados à constante produção e lucratividade intactos, devem se posicionar e alinhar suas atividades às atividades de privacidade. A adequação é necessária e urge diante dos inconstantes posicionamentos acerca da vigência da Lei.

Sobre a autora
Juliana Costa

Atuação como consultora jurídica e DPO em empresas localizadas em São Paulo, Teresina, Recife, Ceará, Bahia, Espírito Santo, Tocantins, Minas Gerais, Rio de Janeiro e Distrito Federal. Experiência em atuação Cível, Digital, Administrativa, Tributária, Consumerista, Trabalhista e Societária. Minha experiência inclui a gestão empresarial com foco em resultados e a atuação em equipes de Governança de Dados e Segurança da Informação. Sou Advogada Sênior com uma trajetória consolidada em proteção de dados em escritórios de advocacia e consultorias em LGPD. Com mestrado em Direito, Justiça e Desenvolvimento, com foco em Proteção de Dados pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP), sou especialista certificada em Privacidade e Proteção de Dados, com certificações CIPM pela IAPP, DPO e LGPD (PDPE) pela EXIN. Minha expertise abrange o desenvolvimento de políticas, contratos e procedimentos de adequação à LGPD e compliance, além de otimização de fluxos organizacionais e business intelligence. Certificada em ISO/IEC 27001, ISO/IEC 9001 e ISO/IEC 20000 (Skillfront e Certiproof), participei da Comissão que estabeleceu a profissão de Encarregado de Dados Pessoais na Classificação Brasileira de Ocupação (CBO) junto ao Ministério do Trabalho e Emprego (MTE). Também sou professora da área de LGPD na TV Pública e no MBA da Universidade de Vila Velha - ES. Sou autora e coautora de diversos artigos e livros na área de Proteção de Dados e Compliance, incluindo o livro "Direito Digital Aplicado 5.0 - Especial Administração Pública" e a Revista de Direito Digital n.02 2021 da Enlaw. Minha carreira inclui a realização de projetos de consultoria em Compliance e uma vasta experiência de 15 anos em órgãos públicos e empresas privadas, abrangendo áreas como contenciosa, consultiva, direito criminal, energia, trabalhista, tributária, societária e cível. Também atuei como parecerista na área de licitações e contratos.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!