voltarA Lei Geral de Proteção de Dados entrou em vigor em 2020, estabelecendo normas para o tratamento de dados pessoais para garantir um nível adequado de proteção e segurança. As empresas de todos os setores e segmentos deverão estar adequadas à referida lei, tanto para evitar sanções e multas como para construir uma cultura de preocupação e responsabilidade com os dados pessoais.
A LGPD regulamenta todo o tratamento de dados pessoais, porém alguns equívocos surgem quando o assunto é arquivo morto, pois algumas empresas podem achar que por se tratar de arquivos que estão “parados”, não estarão sujeitos às normas da mencionada Lei Geral. Esse é um equívoco que pode ser rapidamente esclarecido ao olhar a definição de arquivo morto e a definição de tratamento de dados pessoais.
O arquivo morto é o armazenamento de arquivos importantes, digitais ou físicos, que não estão sendo usados no presente, mas que precisam ser guardados pelas empresas para alguma finalidade específica. Quando esses arquivos contêm dados pessoais, até mesmo o seu armazenamento deve ser enquadrado na LGPD, isso porque a lei estabelece — em seu artigo 5º, inciso X — que o tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Ou seja, ao contrário do que muitas empresas pensam, o arquivo morto deve estar adequado à LGPD por ser um tratamento de dados como todos os outros.
Atualmente, a maioria dos arquivos mortos são compostos por arquivos e documentos digitais ou digitalizados, visto que além de não ocuparem espaços físicos nas empresas, garantem a melhor conservação dos arquivos por períodos longos. Ao gerenciar os arquivos e documentos através das tecnologias, a localização e organização desses documentos também se tornam mais práticas, porém é importante se atentar aos riscos que podem surgir. O ambiente virtual tem sido um local de muitos vazamentos e usos indevidos de dados pessoais, desse modo, as empresas que mantêm os arquivos mortos, devem garantir a segurança desses dados, mesmo que não estejam sendo usados ativamente.
Em seu artigo 46, a LGPD estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Ou seja, ainda que o arquivo morto deixe os dados parados, é importante que a sua proteção seja garantida através de medidas como políticas de segurança, contratos, criptografias, anonimização, pseudonimização etc.
Além disso, existe mais um ponto de atenção, pois a LGPD estabelece uma diferenciação entre dados pessoais e dados pessoais sensíveis, sendo que os dados pessoais sensíveis devem receber camadas adicionais de proteção, ser tratados somente com base no consentimento ou com base nas hipóteses legais estabelecidas para essa categoria de dados etc. Sendo assim, caso o arquivo morto contenha dados pessoais sensíveis, deve haver uma maior atenção no armazenamento desses dados, sendo mantidos com proteções mais elaboradas, visto que esses dados possuem potencial discriminatório e podem trazer riscos aos titulares.
Assim, é essencial que as empresas façam a adequação à LGPD em todos os tratamentos de dados que são realizados, e para isso é necessário observar atentamente todas as suas previsões legais, o que a lei entende como tratamento de dados pessoais, as diferenças entre dados pessoais e dados pessoais sensíveis, as hipóteses legais para o tratamento de dados etc.
compartilhe
