Manter Dados excessivos e não pertinentes é um risco a mais para as empresas no processo de adequação à Lei Geral de Proteção de Dados. Por isso, é fundamental avaliar se as bases legadas, anteriores à LGPD, devem ser apagadas ou preservadas.
1) O que são bases legadas?
As chamadas “bases legadas” constituem um conjunto de dados constituídos e armazenados antes da entrada em vigor de uma legislação de privacidade e proteção de dados pessoais, a exemplo da Lei Geral de Proteção de Dados (LGPD) no Brasil, Lei nº 13.709/2018. Em razão disso, as bases legadas podem conter uma série de situações de desatualização e desconformidade com as novas exigências legais.
2) O que dispõe a LGPD sobre as bases legadas?
A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, estabelece no artigo 63 que: “A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados”.
3) Qual o papel da Autoridade Nacional de Proteção de Dados (ANPD) em relação às bases legadas?
Considerando a disposição do artigo 63 da LGPD, é atribuição da ANPD regular e orientar sobre as regras para adequação das bases legais anteriores à vigência da LGPD. Para tanto, a LGPD igualmente considera as particularidades envolvidas nas bases legadas nessa transição, que contará com prazos e regras específicas.
4) Quais disposições do GDPR dialogam com situações envolvendo bases legadas?
No General Data Protection Regulation (GDPR), regulamento de proteção de dados da União Europeia, o Considerando nº 171 possui algumas diretrizes sobre o consentimento dos titulares que podem dialogar com situações envolvendo bases legadas. Nessa disposição, o GDPR determina um prazo para que os tratamentos de dados em curso passem a cumprir a GDPR, diante da sua entrada em vigor.
Especificamente em relação ao consentimento, há a indicação de que os já coletados (antes da vigência do GDPR) sejam avaliados. Caso eles tenham sido obtidos de acordo com as exigências do GDPR, não será necessário renová-los com os titulares. Esta orientação do GDPR de verificar os consentimentos já existentes pode auxiliar na elaboração de estratégias de adequação para bases legadas.
5) Há diretrizes sobre o consentimento elaboradas por Autoridades de Proteção de Dados de outros países?
Sim. Autoridades de Proteção de Dados de outros países já elaboraram orientações sobre o consentimento. Por exemplo, a Autoridade Britânica de Proteção de Dados (Information Commissioner’s Office -ICO) determina a necessidade de que as empresas e instituições mantenham os consentimentos dos titulares em revisão, atualização e verificação em relação aos padrões do GDPR. Esta orientação consta na Guide to the General Data Protection Regulation (GDPR) do Information Commissioner’s Office (ICO).
6) O que pode ser observado em relação ao consentimento nas situações envolvendo bases legadas?
As orientações da ANPD relativas ao artigo 63 da LGPD serão imprescindíveis para as situações envolvendo bases legadas no Brasil. Contudo, em relação ao consentimento, já é possível observar diretrizes internacionais que indicam a importância de analisar a qualidade da sua obtenção, caso permaneça sendo a base legal para o tratamento de dados.
7) As bases legadas devem ser apagadas imediatamente?
Considerando a disposição do artigo 63 da LGPD, as bases legadas não necessariamente precisam ser apagadas de forma imediata. É possível que as empresas optem pela preservação aguardando regulações da ANPD, que estabelecerá prazos e orientações para a adequação progressiva dos dados que constituem bases legadas.
Ainda que essa postura assuma riscos, outras ações podem ser adotadas durante esse período, sem implicar o apagamento total dos dados e evitando possíveis perdas de oportunidades negociais e receitas.
8) O que deve ser feito com as bases legadas existentes?
Na existência de bases legadas, as empresas podem investir em tentativas de adequação, antes mesmo das orientações da ANPD determinadas pelo artigo 63 da LGPD. Nesse sentido, e conforme já referido, é possível que as empresas identifiquem as operações que tenham o consentimento como base legal e verifiquem as condições de sua obtenção. Ou seja, analisem a qualidade do consentimento existente, examinando se ele atinge os requisitos e parâmetros contidos na LGPD.
Caso não seja possível ou sendo a avaliação inexitosa, uma alternativa é identificar outras bases legais para justificar o processamento, a exemplo de “execução do contrato” ou “interesse legítimo”. Isso evitaria a necessidade de renovação do consentimento, pois reenquadraria os dados previamente constituídos em outras bases legais, também legítimas e previstas na LGPD.
9) Em que momento deve ser feita a avaliação quanto às ações referentes às bases legadas, de acordo com a LGPD?
A avaliação quanto às ações referentes às bases legadas deve integrar as medidas de adequação da empresa à LGPD, ou seja, ocorrer após a conclusão do mapeamento dos dados pessoais. Embora ainda não haja uma previsão expressa pela ANPD sobre o tema, o projeto de adequação permite analisar os fluxos de dados pessoais nos processos existentes, incluindo a avaliação de melhorias e da necessidade de manter certos dados armazenados.
Como se sabe, a manutenção de dados excessivos, desproporcionais e não pertinentes é um risco para as empresas ao não ser compatível com os princípios da finalidade, adequação e necessidade, previstos nos incisos I, II e III do artigo 6º da LGPD. Isso porque a coleta de dados deve respeitar o mínimo acesso, devido à necessidade de que o tratamento de dados pessoais seja o mínimo necessário para a realização da atividade pretendida.
Além disso, o armazenamento de dados por si só aumenta a demanda de custos, pois motiva a adoção de medidas técnicas, administrativas e de segurança eficazes para a proteção dos dados pessoais em tratamento e para a prevenção da ocorrência de incidentes e danos. Por isso, como já referido, a avaliação de ações relativas às bases legadas deve ocorrer durante as medidas de conformidade da empresa à LGPD.
