Considerações sobre a dispensa de mantença dos registros de tratamento de dados

Due Dilligence

Tal dispensa pode ser prejudicial para as demais empresas que realizam negócios com a dispensada, visto que esta deve cumprir com o seu due dilligence, inclusive de parceiros de negócios, prestadores de serviços e fornecedores.

O due dilligence faz parte do dia a dia de toda a empresa que deseja realizar novos contratos corporativos, e faz parte de um compliance robusto e completo. Caso a empresa parceira não possua um registro dos tratamentos de dados, o próprio due dilligence da empresa interessada ficará prejudicado.

Além disso, representa desrespeito ao princípio da transparência, ou seja, tal disposição que desobriga as empresas de pequeno porte a realizarem os registros do seu tratamento de dados vai contra disposição principiológica da LGPD.

Transparência

O princípio da transparência traz a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Sem antes possuir um mapeamento documentado, fica difícil manter as informações claras, precisas e facilmente acessíveis sobre a realização do tratamento dos dados. Ainda, o titular pode ter seus direitos prejudicados no momento da sua requisição. Sem esse registro de operações, a resposta ao titular pode não ocorrer, por não haver meios para tanto, ou mesmo pode se tornar mais demorada e custosa para a própria empresa. Tal regulamentação acabaria por suprimir disposição principiológica já inclusa na lei, e ainda, possibilitar que hajam violações dos direitos dos titulares.

Direitos dos Titulares

Temos que focar a interpretação da LGPD na proteção dos dados e dos direitos dos titulares. No entanto, ficará mais difícil realizar essa proteção, sem ao menos antes possuir o mapeamento do fluxo dos dados pessoais da microempresa ou empresa de pequeno porte.

Dito isto, conclui-se que a falta de registros das operações de tratamentos de dados pode acabar por afetar, direta ou indiretamente a questão dos direitos dos titulares, conquistados há pouco tempo, que podem ser fadados à pouca adoção ou utilização. Por exemplo, no momento de pedir ao controlador de dados informações sobre as entidades públicas ou privadas com as quais são compartilhados seus dados, o titular poderá ter uma demora injustificada ou até mesmo não ter sua resposta dada pela empresa, visto que não possui em seus registros de tratamento com quais organizações esta compartilha os dados. Portanto, teria que ser feito um levantamento apenas após provocação do titular para que haja tal resposta.

Ainda, a título de reflexão: seria legal permitir que a empresa justifique uma negativa à solicitação do titular, exclusivamente por não ser obrigado a possuir registros de tratamento?

A título de informação, são direitos dos titulares:

• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta lei;
• portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
• eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta lei;
• informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• revogação do consentimento, nos termos do § 5º do art. 8º desta lei.

Accountability

Outro princípio que é ferido com essa disposição é o princípio presente no artigo 6º, X, LGPD. Ora, como demonstrará a pequena ou microempresa, a adoção das medidas eficazes e, principalmente, o cumprimento das normas presentes na legislação protetiva de dados, se nem mesmo possui mapeado seu fluxo de dados? Além disso, como seria medido o risco para tais dados, sem realização deste mapeamento?

A título de conclusão, a dispensa do registro das operações de tratamento para todas as empresas de pequeno porte ou microempresas podem acabar por afetar a observância aos princípios da LGPD, e também os direitos dos titulares, sendo importante ser realizada uma seleção das dispensadas por meio de critérios não apenas baseados no porte, mas também em matéria de volumetria de dados, dados sensíveis, impacto aos titulares, segurança e risco.