Definir o que fazer com os dados antigos, chamados de legados, e com os sistemas defasados é uma pergunta tão recorrente quanto aquela sobre por quanto tempo devo manter os dados em minha base se não tenho legislação específica que regule esse tipo de situação.
Primeiro precisamos entender que sistemas legados são diferentes de dados legados. Os sistemas vão se viram legados quando se tornam obsoletos, não se encaixando mais na tecnologia atual, nas novas dinâmicas de trabalho, na inovação. São tecnologias defasadas, que podem vir da mesma empresa ou de empresas terceiras, carregando bases de dados bem antigas.
Dados legados são os dados armazenados, antigos, que podem, inclusive, estar desatualizados. São informações de antigos clientes, por exemplo, os quais muitas vezes não se sabe nem se continuam vivos, se moram naquele mesmo endereço, se utilizam o mesmo telefone ou e-mail (se é que têm e-mails).
Pois bem, prestaremos aqui alguns esclarecimentos diante do que pode ser feito quando você tem uma empresa que trata dados legados, muitas vezes com enorme volume, os quais não podem ser simplesmente descartados por inúmeros motivos (facilidade nas consultas, históricos, otimização na realização dos serviços junto a clientes antigos e novos clientes e etc.) e, que por esse motivo, busca por uma melhor solução para que seu tratamento de dados pessoais continue ativo e de acordo com o escopo da lei.
Independentemente do ramo de atuação de sua empresa, você tem dois tipos de dados legados os quais precisa considerar: os dados dos clientes antigos que não fazem mais parte da prestação de serviços e nem do seu negócio e os dados dos clientes também antigos, mas que ainda fazem parte do seu negócio. Existem alternativas para lidar com essas duas categorias e, uma delas costuma ser a do legítimo interesse. Dentre as possíveis definições que dará a nossa Autoridade Nacional sobre o assunto, será que o legítimo interesse poderá ser considerado no tratamento dos dados legados? Wait and see (uma das soluções utilizadas, e significa esperar para ver o que vai acontecer).
Portanto, antes que você apague todos os seus dados antigos (e eu digo: por favor não faça isso – burn it all), espere pela regulamentação que a Autoridade Nacional de Proteção de Dados Pessoais deve dar ao que está descrito no art. 63. da LGPD, que preceitua:
“Art. 63. A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, considerados o porte do agente de tratamento, a complexidade das operações de tratamento e a natureza dos dados.”.
Muitas dúvidas devem surgir, do tipo: Por que esperar talvez seja uma estratégia muito boa?
Primeiro porque sabe-se que essa regulação deverá vir com certeza (promessa legislativa) e segundo, porque até lá, você poderá manter as oportunidades de negócios que possui ou que pode vir a possuir por ter em seu poder essa base de dados.
E se eu não quiser esperar e quiser integrar esses dados a minha base atual? Sem problema e, mais ainda, que tal fazer uma atualização de tudo isso? Será possível sim, dentro da razoabilidade, você poderá se utilizar de algumas metodologias amparadas pela lei.
Essas metodologias dizem respeito à integração total de sua base de dados aos ditames da LGPD. Fazer aquela “varredura” pelos nomes, contatos e, na medida do possível, fazer a atualização do consentimento. Por que na medida do possível? Simples, porque por inúmeros motivos, você não poderá fazer a coleta do consentimento e, para isso, você deverá se utilizar de alguma outra base legal ou, até mesmo, de justificativas que validem o chamado legítimo interesse.
Quando o controlador se utiliza do legítimo interesse por exemplo, ele não necessita do consentimento do titular dos dados, e seus motivos são determinantes, pois na maioria das vezes objetivam o interesse maior da atividade negocial, que é a prospecção e a manutenção de seus clientes. A obtenção de lucro nas empresas é primordial e estimula princípios fundamentais da nossa Constituição e da própria LGPD, tais como “a livre iniciativa, a livre concorrência e a defesa do consumidor”.
Ainda, e não tão distante do que possa vir a ser realizado, temos o descarte. Não sendo possível enquadrar os dados legados em alguma posição legalmente admitida, seja relacionada à proteção contratual ou outros dispositivos, eles deverão sofrer um processo de descarte, o que minimizará, e muito, a possibilidade da incidência de algum vazamento, ainda mais quando não há mais justificativas para seu armazenamento.
Por esse e por todos os outros motivos que aqui colocamos e, certos de que, os dados legados são tão fundamentais para tantas empresas, é que recomendamos tais cautelas, imprescindíveis nesse primeiro momento de adequação, o que nos traz conforto, pois nossos clientes, por economia de processos, custos e para manter seus principais objetivos relacionados à constante produção e lucratividade intactos, devem se posicionar e alinhar suas atividades às atividades de privacidade. A adequação é necessária e urge diante dos inconstantes posicionamentos acerca da vigência da Lei.