Quando os Dados Precisam Dizer Adeus. Assim como convidados de uma festa eventualmente vão embora, pois o evento acabou, os dados pessoais também possuem um ciclo de vida que deve terminar.

Muitas organizações, no entanto, coletam e armazenam dados indefinidamente, sem implementar estratégias claras de término de tratamento.

A LGPD determina que dados pessoais devem ser eliminados após o término de seu tratamento, que ocorre quando:

• A finalidade foi alcançada;
• Os dados não são mais necessários;
• O titular revogou seu consentimento;
• A autoridade nacional determinou a eliminação.

Há exceções legais que autorizam a organização a manter os dados, sob determinadas condições e a LGPD estabelece essas condições expressamente no artigo 16, para:

• cumprimento de obrigação legal ou regulatória pelo controlador;
• estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
• uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Há muitos benefícios associados à eliminação dos dados no tempo correto, tais como:

• Redução de custos de armazenamento
• Minimização de riscos de vazamentos
• Aumento da confiança do cliente
• Melhoria na qualidade dos dados mantidos

Os maiores desafios na implementação de uma política de término de tratamento são as diferentes legislações que impõem períodos distintos de armazenamento, a dificuldade de equilibrar privacidade com necessidades legítimas do negócio e os sistemas legados que frequentemente não possuem recursos de exclusão adequados.

A construção de uma política eficaz de término de tratamento passa por:

1. Mapeamento de Dados e Definição de Prazos: Identifique categorias de dados, determine finalidades e estabeleça prazos de retenção baseados em requisitos legais, necessidades operacionais e consentimento.
2. Implementação de Mecanismos Técnicos: Desenvolva procedimentos automatizados para identificar dados que atingiram o fim do período de retenção e implemente métodos adequados de término (eliminação segura, anonimização, pseudonimização).
3. Documentação e Governança: Mantenha registros detalhados de todos os processos de eliminação e estabeleça um comitê de governança de dados com representantes de diferentes departamentos.
4. Exceções e Casos Especiais: Defina procedimentos para situações específicas como litígios pendentes, solicitações de portabilidade e dados com valor histórico significativo.
5. Treinamento e Conscientização: Capacite sua equipe com materiais educativos específicos para cada função e utilize casos práticos para facilitar o aprendizado.

A tabela a seguir é uma sugestão de template para de forma simples a organização identificar as operações que tratam dados pessoais, suas finalidades, o ciclo de vida dos dados e ação que será tomada:

O término de tratamento de dados não é o fim de uma jornada, mas o início de uma relação de confiança renovada com seus clientes, parceiros e demais titulares, demonstrando que sua organização respeita não apenas o valor dos dados, mas também o direito fundamental de cada pessoa de controlar seu próprio ciclo digital, segundo a lei.