Por quanto tempo posso armazenar os dados dos meus clientes?

A LGPD exige que todo documento que contenha dado pessoal tenha um ciclo de vida definido, isso significa que a empresa deve processar, armazenar e após o término da sua finalidade, excluir ou armazenar esse material, caso necessário devido a outras leis ou regulamentações, mas a Lei não responde de maneira direta e objetiva. Assim, muitos fatores específicos do negócio precisam ser analisados para se ter uma resposta acertada.

         Para que isso aconteça respeitando a legislação, é indispensável criar um programa de privacidade para gerenciar tudo. O art. 37 impõe que o controlador e operador devem manter o registro das atividades de tratamento. Ou seja, ele precisa identificar quais tipos de dados são arquivados na empresa, qual é a finalidade de cada um e a sua temporalidade, de acordo com as bases legais.

         Apesar de não constar na lei um período determinado, é importante buscar entender quais são os prazos previstos para os arquivos, como atestados médicos, por exemplo. Uma dica é organizar uma tabela com tempo de guarda de documentos de acordo com instituições oficiais e órgãos governamentais, que indicam a temporalidade requerida por lei.

         O que se pode dizer de maneira geral é que a Lei Geral de Proteção de Dados visa limitar o armazenamento prolongado e desnecessário de dados e informações pessoais. Trata-se de uma das bases da lei e de seus princípios. Para além disso, uma limitação muito explícita trazida pela LGPD, em relação ao armazenamento de dados, diz respeito a motivação desse armazenamento, a finalidade desse armazenamento.

         Nesse sentido, pode-se armazenar até que essa finalidade tenha sido alcançada. O art. 15, I da Lei prevê:

Art. 15. “O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada”

         Em outras palavras, o período de armazenamento dos dados deve respeitar a autorização/consentimento do titular do dado e a concretização da finalidade da coleta. Tudo isso deve ser previsto de maneira clara, objetiva e destacada antes da coleta do dado.

         Por exemplo, se uma empresa visa guardar os dados de alguns clientes para o envio de promoções, é importante que seja calculado um prazo em que se vislumbre que essa propaganda enviada seja efetiva. Esse prazo de armazenamento e envio de propagandas deve ser apresentado no momento da coleta do dado pessoal, ou seja, do cadastro do cliente.

         Após esse prazo os dados devem ser apagados, sob pena desse armazenamento ser considerado ilegal. A lei viabiliza o armazenamento de dados por períodos mais longos, mas desde que tenham tal necessidade baseada em alguma base legal que assim justifique. Esses casos permissivos não se enquadram na situação da maioria das empresas, que, ainda por cima, possuem finalidades econômicas.

         Concluímos que a LGPD tem início e meio, mas não tem fim, pois os processos e dinâmicas mudam constantemente. Além disso, uma vez que você coleta dados, você é responsável por todo o ciclo, desde a coleta até a destruição. Por isso, é importante sempre se manter atualizado para estar em conformidade e não sofrer com vazamentos e multas.

Por Vitória Ribeiro

REFERÊNCIA

https://politica.estadao.com.br/blogs/fausto-macedo/o-tempo-de-armazenamento-de-dados-e-a-lgpd/

https://cntdrs.com.br/menu/boletim/noticias_nova/not.php?id=44870&id_cliente=1650