Como criar a Política de Retenção e Exclusão de Dados da sua Startup?

A Lei Geral de Proteção de Dados (LGPD - Lei n.º 13.709/2018) traz, como um de seus princípios, o da finalidade, que dispõe que todo tratamento de dados pessoais deve ter uma finalidade específica e muito clara para os titulares, e o da necessidade, que dispõe que o tratamento de dados deve ser limitado ao necessário para aquela atividade em questão.

Diante disso, um documento importante que as empresas precisam elaborar é uma Política de Retenção e Exclusão de Dados Pessoais. Isso porque os dados que estão sendo tratados podem ser necessários por apenas um tempo determinado, logo a organização deveria ter algum procedimento para ele em sequência pensando que não pode manter dados que não são ou estão sendo tratados diante da ausência de necessidade e/ou apenas por conveniência.

Por onde começar a Política de Retenção e Exclusão de Dados na sua Startup e o que não pode faltar neste documento?

O primeiro passo é pensar na retenção dos dados pessoais, ou seja, o período de tempo que a empresa armazena e pode armazenar dados. Um fator importante ao pensar nisso é que a manutenção de dados por prazo indeterminado além de implicar no descumprimento da legislação, pode fazê-la incorrer em risco relacionado à segurança da informação.

Pensando em uma situação na qual a empresa sofreu um vazamento de dados ou um ataque hacker, dados que já não deveriam mais estar com a startup podem vir a ser acessados de forma indevida. Diante disso, a empresa precisará lidar com uma gama ainda maior de titulares afetados.

Os dados pessoais devem ser mantidos apenas pelo prazo necessário para a finalidade a que se destinam. Logo, no documento precisa constar o prazo para cada tipo de dado pessoal, com os procedimentos internos da empresa com relação a retenção desses. Quais dados serão mantidos e por qual motivo? Por qual prazo? Qual a legislação, resolução, etc, que contempla esse prazo e determina que seja seguido, como os casos em que a empresa precisaria se resguardar para o caso de uma eventual ação judicial?

Ainda, deve-se pensar que, findo o prazo de retenção, qual o procedimento interno para devolução dos dados que devem ser devolvidos e a exclusão desses?

Aqui, é importante ter em mente que uma coisa é o prazo pelo qual o dado será tratado e outra coisa é o prazo de retenção. Por exemplo, após findar um contrato de trabalho, alguns dados podem ter “alcançado” seu prazo de uso, porém, pode ser necessário que a empresa mantenha-os por mais um tempo para o caso de uma eventual reclamação trabalhista. A isso dá-se o nome de prazo de retenção.

Outra situação importante é estabelecer quem ou qual setor é o responsável por se atentar a esses prazos de retenção, bem como auxiliar a responder solicitações de titulares referentes a tais dados e o referido prazo.

Além disso, é importante que no documento contenham orientações aos colaboradores com o intuito de auxiliar aqueles que tratam dados pessoais a procederem quanto à retenção dos dados.

Também quanto a exclusão: como deve ser realizada? Qual o método que deve ser escolhido e, caso não possa cumpri-lo, como deve-se proceder? É importante que a empresa possua um cronograma referente a exclusão de dados, especificando as categorias e qual o prazo de cada uma e que tenha processos pensando no tipo de informação: dados públicos, ou seja, aqueles que qualquer um pode ou tem conhecimento se diferem de dados confidenciais quanto a sua exclusão? Ou todos os dados seguirão o mesmo protocolo?

Qual é o prazo que uma empresa pode manter dados pessoais?

O prazo que uma empresa pode manter dados pessoais depende do dado que está sendo tratado e da sua respectiva finalidade, além da legislação vigente. Quando falamos de legislação não se trata “apenas” da LGPD. É preciso analisar prazos constantes no Código Civil, no Código de Defesa do Consumidor, na CLT, e em demais leis, resoluções, etc.

O ideal é que seja feito um trabalho de análise nesses casos para averiguar quais dados podem e devem ser mantidos e enquadrá-los em um prazo de acordo com o respaldo legal que ele possuir, acrescentando essas informações na Política.

Desta forma, todas as vezes que a empresa precisar passar por um processo pertinente ao assunto, conseguirá identificar a melhor maneira de proceder, além de auxiliar a sanar dúvidas de colaboradores que lidam com dados pessoais.

Conclusão

Os titulares de dados pessoais também possuem o direito de solicitar a exclusão de seus dados quando a finalidade for atingida, quando não houver mais necessidade da empresa realizar a manutenção desses dados ou, ainda, quando a base legal for a do consentimento, segundo o disposto na própria LGPD.

Diante disso, é importante que a empresa possua esse documento para nortear os colaboradores sobre a necessidade ou não de retenção desses dados, não só pensando que a empresa precisaria ou não, mas também para que não haja problemas relacionados ao descumprimento dos direitos dos titulares tal qual previsto na lei.

Logo, percebe-se que, além de cumprimento da legislação vigente, a elaboração de uma Política de Retenção e Exclusão de Dados auxilia também em casos de possíveis incidentes de segurança.

Sendo assim, é importante que a startup possa contar com um apoio especializado no assunto para que lhe auxilie a analisar os dados pessoais tratados e possa adequar a empresa aos prazos previstos em leis, resoluções, etc., levando em consideração a realidade do negócio.

Por Ana Luiza Silveira