Desafio das empresas em cumprir com prazos de retenção e descarte seguro de dados pessoais

Com o avanço da tecnologia e a crescente conscientização e preocupação da Sociedade com a segurança das informações, a privacidade e a proteção dos dados pessoais, as empresas enfrentam um desafio cada vez maior em garantir o cumprimento dos princípios fundamentais de segurança, bem como de privacidade e proteção de dados pessoais. Princípios que vão desde a garantia da confidencialidade, integridade, disponibilidade e autenticidade das informações, permeando também por àqueles elencados pela LGPD, tais como: finalidade, adequação e necessidade.

É justamente por meio da prática operacional, dos princípios de segurança da informação e de proteção de dados pessoais, que se extraí o desafio e a necessidade em respeitar os prazos legais de guarda da informação, muitas vezes estabelecidos pelas normas do nosso ordenamento jurídico.

Um dos percalços que surge ao longo do processo de consolidação e gestão de um Programa de Governança em Segurança da Informação ou em Privacidade e Proteção de Dados Pessoais passa por: (i) compreensão dos prazos legais de retenção de dados, bem como a definição de prazos internos de guarda - quando não houver imposição legal - e (ii) pelo método de descarte seguro, após o atingimento do prazo legal ou da finalidade estabelecida para o tratamento.

Os prazos fixados de forma interna, quando não há imposição legal, podem variar dependendo do tipo de dado e da finalidade para a qual foram coletados, tornando a tarefa em determinar a sua o prazo de retenção ainda mais complexa. Além disso, para empresas multinacionais, isto é, presentes em vários países e jurisdições, o nível de complexidade fica ainda maior, o que dificulta ainda mais o processo de gestão.

Um exemplo prático dos desafios enfrentados pelas empresas em relação aos prazos de retenção de dados são os sistemas de CFTV - Circuitos Fechados de Televisão. De acordo com o ordenamento jurídico brasileiro, esta matéria é de competência legislativa dos estados da Federação.  E, portanto, os vídeos capturados por câmeras de segurança devem ser mantidos apenas pelo período necessário para atender à finalidade original da sua coleta, bem como o prazo de guarda legal, que pode variar dependendo do Estado em que se encontra a operação.

Por exemplo, no Estado do Rio de Janeiro não existem leis estaduais específicas no que regulam o tempo de armazenamento de imagens de câmeras de segurança para estabelecimentos comerciais. Por outro lado, existe a lei 7.209/16, que estabelece aos bancos a preservação das imagens de câmeras de segurança por 2 anos. No Estado da Bahia a lei estadual 9.675/23 estabelece um prazo mínimo de 365 dias para o armazenamento de conteúdo de monitoramento captado por câmeras de vídeo e áudio em estabelecimentos e locais privados.

É possível observar, portanto, a dificuldade que as empresas enfrentam em reter e descartar, de acordo com a norma legal, as informações e os dados coletados por meio de câmeras de vigilância e monitoramento, e circuitos fechados de televisão.

Nas situações em que não existem prazos legais de retenção de dados e informações, é fundamental que as empresas desenvolvam e implementem uma Norma de Retenção e Descarte Seguro das Informações, bem como desenvolvam a sua Matriz de Temporalidade. Esta matriz consiste em um inventário de dados, informações e/ou documentos, com os devidos prazos de retenção para os diferentes tipos e classificações, levando em consideração fatores como a natureza dos dados, a finalidade da sua coleta e as melhores práticas do setor.

Ao estruturar o Processo de Retenção e Descarte Seguro de Informação, as empresas não só buscam garantir que os dados pessoais sejam retidos pelos departamentos de acordo com tempo necessário para cumprir suas finalidades legais ou internas, minimizando riscos associados ao tratamento indevido de dados, por conta de uma eventual retenção excessiva de informações, como também devem almejar a sustentabilidade ambiental e econômica, por meio da melhor compreensão do aproveitamento dos recursos naturais e matéria prima, bem como da otimização dos processos e menor dependência da matéria prima.

É justamente por meio de uma matriz bem definida que o processo de descarte seguro de dados ocorrerá, garantindo que as informações sejam eliminadas de forma eficaz e em conformidade com as normas legais ou definições internas. O descarte seguro de informações é igualmente importante para garantir a governança da segurança da informação, da privacidade e da proteção de dados pessoais. Métodos inadequados de descarte podem resultar em vazamentos de dados e exposição indevida de informações, colocando em risco a reputação da empresa e sujeitando-a às sanções legais.

Existem diversas técnicas de descarte seguro que as empresas podem adotar, incluindo a destruição física de mídias de armazenamento, como discos rígidos e dispositivos de armazenamento USB, trituradores dos mais variados níveis e complexidades, bem como a utilização de software especializado para classificar as informações e eliminar os dados de sistemas digitais.

No entanto, as empresas enfrentam desafios na implementação dessas práticas devido à falta de conhecimento técnico e preocupações com a sustentabilidade ambiental. As práticas ambientais sustentáveis, hoje, devem fazer parte da Norma de Retenção e Descarte Seguro. Portanto, a adequada governança de retenção e descarte seguro é um grande desafio para as empresas que almejam atingir, de forma efetiva, o cumprimento com as normas legais e princípios de segurança da informação, privacidade e proteção de dados pessoais, bem como a sustentabilidade corporativa, no que tange à inserção da organização, cada vez mais, em uma economia circular, em que se busca um novo relacionamento com os recursos naturais e a sua utilização pela sociedade, garantindo o uso e a recuperação inteligente dos recursos.