O término do tratamento de dados pessoais é um conceito central na Lei Geral de Proteção de Dados Pessoais (LGPD), que estabelece diretrizes claras sobre como e quando os dados devem ser adequadamente descartados ou mantidos.
Afinal, não é só porque a lei permite que dados pessoais sejam tratados com base no consentimento ou em qualquer outra base legal que esse tratamento pode ocorrer indefinidamente.
Por isso, os arts. 15 e 16 da LGPD apresentam as hipóteses em que deve ocorrer o término do tratamento de dados pessoais, bem como o que fazer com os dados após o fim do tratamento.
Este artigo visa explorar detalhadamente essas disposições legais, destacando suas implicações práticas e as consequências jurídicas do não cumprimento, incluindo:
- O que é o término do tratamento de dados pessoais
- As 4 hipóteses legais para o término do tratamento de dados pessoais
- O destino dos dados após o fim do tratamento
- Consequências legais do não cumprimento dos arts. 15 e 16
Vamos primeiro ver exatamente o que é o término do tratamento de dados pessoais.
O que é o término do tratamento de dados pessoais
Tratamento, segundo o art. 5º, X, da LGPD, é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O término do tratamento de dados pessoais, portanto, refere-se ao fim dessas operações por parte de um agente de tratamento (controlador ou operador).
Esse término pode ocorrer por diversos motivos, desde o cumprimento da finalidade para a qual os dados foram coletados até a revogação do consentimento pelo titular dos dados.
A LGPD, nos arts. 15 e 16, define as condições em que esse término deve ocorrer, garantindo a proteção dos direitos dos titulares e o cumprimento das obrigações legais por parte dos agentes de tratamento.
As 4 hipóteses legais para o término do tratamento de dados pessoais
O art. 15 da LGPD enumera quatro situações que justificam o término do tratamento de dados pessoais:
- Cumprimento da Finalidade: Quando a finalidade específica para a qual os dados foram coletados é alcançada ou quando os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada. Por exemplo, após a conclusão de um contrato, os dados pessoais coletados para sua execução em regra devem ser eliminados, salvo se houver uma base legal que justifique sua conservação.
- Fim do Período de Tratamento: Quando o prazo de tratamento estipulado ou acordado se encerra. Se uma organização estabelece que certos dados serão mantidos por um período específico, o término desse período exige que os dados sejam eliminados ou anonimizados.
- Revogação do Consentimento: Caso o tratamento dos dados se baseie no consentimento do titular, este pode ser revogado a qualquer momento, resultando no término do tratamento dos dados.
- Determinação da ANPD: A Autoridade Nacional de Proteção de Dados (ANPD) pode ordenar o término do tratamento de dados em determinadas situações, quando houver violação à LGPD.
Cada uma dessas situações destaca a importância de um tratamento responsável e consciente dos dados pessoais, alinhado às finalidades previamente definidas e ao respeito pelos direitos dos titulares.
O destino dos dados após o término do tratamento
O caput do art. 16 da LGPD dispõe que os dados pessoais serão eliminados após o término do tratamento, no âmbito e nos limites técnicos das atividades.
O dispositivo, porém, autoriza a conservação dos dados pessoais para quatro finalidades:
- Cumprimento de obrigação legal ou regulatória pelo controlador: em alguns casos, o controlador precisa seguir lei ou regulação específica que exige a conservação dos dados mesmo após o fim do tratamento.
- Estudo por órgão de pesquisa: órgão de pesquisa, nos termos da LGPD, é um órgão ou uma entidade da administração pública direta ou indireta ou uma pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Tais órgãos podem conservar dados pessoais após o fim do estudo, porém devem garantir, sempre que possível, a anonimização dos dados pessoais.
- Transferência a terceiro: neste caso, o agente de tratamento precisa respeitar os requisitos de transferência de dados dispostos na LGPD.
- Uso exclusivo do controlador: o controlador pode usar os dados pessoais mesmo após o fim do tratamento para as suas finalidades específicas, mas precisa anonimizar esses dados e não pode conceder acesso a terceiros.
Essas disposições garantem que, após o término do tratamento, os dados pessoais sejam manipulados de forma ética e em conformidade com a LGPD, minimizando riscos de vazamento ou uso indevido.
Consequências legais do não cumprimento dos arts. 15 e 16
O não cumprimento das disposições dos arts. 15 e 16 pode acarretar sérias consequências legais para os agentes de tratamento.
A LGPD prevê no art. 52 sanções que vão desde advertências até multas severas, que podem atingir até 2% do faturamento da empresa, ainda que limitadas a R$ 50 milhões por infração.
Uma das sanções previstas no artigo, inclusive, é a eliminação dos dados pessoais a que se refere a infração.
Além disso, a reputação da organização pode ser gravemente afetada, impactando a confiança de clientes e parceiros.
A fiscalização é realizada pela ANPD, que tem poder para realizar auditorias e exigir a adoção de medidas corretivas.
Por isso, é importante que controladores e operadores estejam plenamente cientes das exigências legais e adotem práticas adequadas de término do tratamento de dados pessoais, garantindo o cumprimento das normas da LGPD.
Conclusão
Compreender o término do tratamento de dados pessoais é crucial para qualquer organização, afinal, em maior ou menor medida, toda empresa hoje lida com informações das pessoas.
Os arts. 15 e 16 da LGPD oferecem um guia claro sobre como os dados devem ser geridos ao final de seu ciclo de vida, garantindo a proteção dos direitos dos titulares e a conformidade com a legislação.
Estudantes de Direito Digital devem dominar essas disposições para garantir que possam atuar com competência na área de privacidade e proteção de dados pessoais, oferecendo orientações seguras e juridicamente embasadas.
