Retenção de dados pessoais: não conformidade nas empresas
Mais de dois anos após a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), ainda existem muitos questionamentos sobre o princípio da limitação do prazo de conservação estabelecido no artigo 5.º, n.º 1, alínea e), do RGPD, uma vez que muitas empresas hesitam em definir protocolos para a eliminação de dados pessoais de clientes e/ou colaboradores.
Assim como muitas empresas optaram pela exclusão imediata dos dados uma vez encerrada a relação com o interessado por medo das altas penalidades impostas pelos novos regulamentos, muitas outras, seja por desconhecimento ou medo de ficar sem um de seus ativos mais importantes como, hoje, dados pessoais, optar por manter essas informações por um período de tempo indeterminado.
No entanto, nenhum dos extremos está correto. Tanto o RGPD como o Lei Orgânica de Proteção de Dados e Garantia de Direitos Digitais (LOPDGDD) estabelecer que os dados pessoais devem ser armazenados de forma que os titulares dos dados não possam identificar-se por mais tempo do que o necessário, ou seja, que os dados só podem ser conservados durante o tempo necessário para a finalidade declarada e, no final desse período, durante os prazos de prescrição legais, ou seja, os prazos fixados por lei durante os quais o titular dos dados pode intentar uma ação judicial; Devem igualmente ter informado o interessado do período de armazenagem fixado pela empresa para a transformação em causa, na medida do possível.
Os dados só podem ser retidos pelo tempo necessário para a finalidade declarada.
Portanto, a exclusão imediata dos dados pode significar o descumprimento de outras obrigações fiscais ou societárias, uma vez que, em caso de exigência ou fiscalização da autoridade, as empresas devem ter as informações solicitadas.
Além disso, o fato de manter os dados pessoais indefinidamente também é uma violação do GDPR. Como exemplo, a Agência Dinamarquesa de Proteção de Dados impôs uma multa de DKK 1,5 milhão (€ 200.000) a uma empresa de móveis por não excluir os dados de seus ex-clientes, que não precisavam mais manter em seus sistemas.
Durante uma inspeção à referida empresa, uma das perguntas foi se a empresa havia estabelecido protocolos de retenção de dados que determinassem quando proceder à exclusão dos dados dos clientes e se eles foram efetivamente cumpridos. No entanto, foi detectado que esses dados ainda estavam sendo mantidos no servidor antigo e que a empresa também não possuía um protocolo de exclusão de dados.
Da mesma forma, também houve a primeira sanção na Alemanha a uma imobiliária por manter a documentação com dados pessoais “para sempre” porque a empresa afetada manteve as informações e a documentação sem limite de tempo. A coima aplicada ascende a um montante de 14,5 milhões de euros, uma vez que foram detetados dados pessoais na imobiliária que deixaram de ser relevantes há anos e que fornecia informação sobre aspetos como salários, extratos de contratos de trabalho, dados fiscais, extratos de contas bancárias, seguro de saúde, segurança social, etc.
Fundamentando este princípio num caso específico, encontramos, por exemplo, a determinação do período de conservação dos CV. Algumas empresas desconhecem as obrigações descritas acima e optam por excluir os dados do currículo no final do processo de seleção ou mantê-los por um grande número de anos, mantendo no final uma quantidade infinita de informações pessoais que se tornam obsoletas no curto prazo. Apesar de não existirem prazos legais de prescrição para estabelecer o período de conservação dos dados curriculares, a recomendação é guardar esta informação por um período máximo de 2 anos a contar da receção do CV.
A solução que deriva do disposto no Regulamento Geral é o bloqueio e/ou anonimização de dados pessoais.
Se o bloqueio for escolhido, a consequência é que ninguém poderá acessar para processar esses dados, enquanto se optar pela anonimização dos dados, significa que eles não são mais considerados dados pessoais, pois através da anonimização o que se pretende é eliminar as possibilidades de identificação de uma pessoa. Da mesma forma, outra solução possível é a pseudonimização. O objetivo é processar dados pessoais sem os dados que identificam o titular dos dados, mas sem remover o vínculo entre os dados, ou seja, reverter o processo. Um exemplo de pseudonimização seria substituir o nome e o sobrenome de um cliente por números ou códigos.
Em conclusão, as empresas podem manter os dados pessoais de clientes e funcionários após o término da relação comercial ou de emprego, desde que a confidencialidade dos dados pessoais seja garantida por meio das medidas de segurança necessárias, e até que termine a obrigação legal da qual possa surgir uma responsabilidade.
Na GlobalSuite Solutions, temos mais de 15 anos de experiência em Proteção de Dados Pessoais e Segurança da Informação. Nossas equipes de consultoria especializadas oferecem o aconselhamento e suporte necessários para ajudar as empresas a definir protocolos corretos de retenção de dados pessoais e, assim, poder cumprir os requisitos do GDPR e do LOPDGDD
