A quase totalidade das pessoas jurídicas e profissionais liberais acumulam ativos tóxicos – a questão é saber quais são eles. Para tanto, é preciso compreender uma das dimensões do princípio da necessidade, instituído pela Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), que significa “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados” (art. 6º, III).
O critério ‘necessidade’ diz respeito a cada informação pessoal coletada pela organização e é medido em função da finalidade que a organização pretende alcançar com ela. Sabendo-se que a finalidade deve ser legítima e específica, os dados necessários para atingi-la devem ser pertinentes, proporcionais e não excessivos em relação a esta finalidade.
O exposto tem ao menos duas consequências diretas: a obrigatória alteração da praxe comumente adotada em relação a dados pessoais e a concentração do foco num momento específico da atividade de tratamento de dados.
A prática comum é a de “quantos mais dados melhor”, prevalecendo a ilusão de que se deve acumular o máximo de dados para uma eventual utilidade futura – e com isso os dados ficam armazenados indefinidamente. Tal prática colide frontalmente com a LGPD. A experiência internacional - e também nacional, de quem já providenciou a adequação à Lei - revela que a eliminação dos dados excessivos e desnecessários representou uma otimização da eficiência das organizações e implicou em redução de custos. Ou seja, os dados em excesso representam ativos tóxicos, que reduzem a eficiência empresarial.
A conclusão é de que uma empresa inteligente não é a que coleta maior quantidade de dados, sem ter uma finalidade específica e atual para eles, mas sim aquela que promove maior eficiência com a menor quantidade de dados.
A segunda consequência é que para o cumprimento do princípio da necessidade, no dia a dia da organização, o foco deve estar no momento da coleta dos dados. A minimização é aplicada no momento da coleta. Para cada finalidade objetivada pelo agente de tratamento de dados, devem ser recolhidos apenas os dados essencialmente necessários. Além de ser uma obrigação legal, uma vez que o dado ingressa no sistema da organização, é preciso direcionar tempo e recursos para o seu tratamento, atribuindo-lhe base legal, adequando aos princípios da LGPD, instituindo mecanismos para o exercício dos direitos pelo titular e suportando o custo de segurança da informação também em relação a ele.
A minimização da coleta de dados pessoais reduz os riscos para a organização. Em havendo um problema de segurança, a quantidade de dados expostos é menor. Caso contrário, além da responsabilização pela exposição indevida dos dados, a conduta seria agravada pelo fato de, dentre eles, encontrarem-se dados que não cumpriam ali nenhuma finalidade legítima, ou seja, que sujeitaram os titulares a risco ou mesmo dano efetivo, sem que houvesse sequer um propósito legítimo que o justificasse.
Concentrar o foco no momento da coleta dos dados pessoais indica que ela somente deve ocorrer no momento em que eles forem de fato necessários e diretamente pelo setor responsável. O tradicional formulário de cadastro, físico ou eletrônico, deverá ser reformulado para solicitar tão somente os dados mesmo necessários em cada momento. Deve ser abandonada a praxe de se solicitarem indiscriminadamente endereço, filiação, escolaridade, nacionalidade, naturalidade, telefone, CPF, nome, email e outros, se a organização não tiver uma finalidade legítima naquele momento para justificar a coleta de cada informação.
Exemplificando, ao visitar um site, o indivíduo deve ter a opção de navegar sem se cadastrar, se assim o desejar. Interessando-se por um produto, pode ser solicitado o endereço para cálculo do frete, mas este dado não precisa ser guardado. Decidindo-se pela compra, pedem-se os dados necessários para o seu processamento, emissão da nota fiscal e, agora sim, o endereço para fim de envio do produto. Na sequência, o cliente é enviado para a tela do pagamento, onde serão coletados os dados pertinentes. A coleta seletiva aumenta a segurança dos dados. E neste processo, para as finalidades citadas, não são necessários dados como identidade civil, gênero, data de nascimento, escolaridade, fotografia etc. Caso a empresa pretenda conhecer melhor o cliente, deve solicitar os dados para esta finalidade, especificando o motivo (“conhecer melhor” é genérico e não cumpre a exigência legal).
Para não acumular ativos tóxicos, portanto, cada dado, ou conjunto de dados, deve ser coletado em função de cada finalidade legítima e específica. E os dois focos principais a que os agentes de tratamento de dados devem ter atenção, quando da coleta dos dados pessoais, são a efetiva necessidade dos dados e o momento em que se tornam necessários.
Siga o Varginha Online no Facebook, Twitter