Um dos conceitos mais importantes definidos pela LGPD [1] é o de ‘Tratamento de Dados Pessoais”. Além de importante, este é um conceito bastante amplo de acordo com a própria definição dada pela lei (art. 5):

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Como pode-se perceber, “tratamento” é uma espécie de termo coringa para qualquer coisa que seja feita com os dados pessoais. A lei previu, através de outros termos, praticamente todas as operações que podem ser feitas por um controlador de dados de forma a deixar claro que não existe forma de usar ou manipular dados pessoais sem estar enquadrado pela LGPD.

Contudo, uma rápida leitura dos termos usados no texto da lei deixa claro que estas operações podem ser agrupadas em categorias de tratamento com maior valor semântico do ponto de vista da privacidade e da proteção de dados. De fato, a lei foi verborrágica para abarcar os vários termos usados normalmente, mas este artigo irá apresentar as “macro-operações” em que se dividem os tratamentos de dados pessoais. Por exemplo, “transmissão”, distribuição” e “transferência” compõem uma categoria onde o dado é compartilhado. Em outro exemplo, “arquivamento” e “armazenamento” são praticamente sinônimos e estão relacionados à retenção do dado pelo controlador.

A partir destas similaridades entre os termos usados na LGPD, e como forma a facilitar a análise e tomada de decisão em processos de negócio que fazem uso de dados pessoais, é uma boa prática dividi-los em grupos que, além de categorizar as operações, as coloca em uma sequência lógica de fácil paralelo com o mundo real. Tal sequência e categorias de operações são chamadas de “Ciclo de Vida do Tratamento de Dados Pessoais”.

O termo “ciclo de vida” é usado em um sentido semelhante ao da biologia onde existe uma certa ordem desde o nascimento até o fim de algo vivo. De forma análoga, porém adaptada, o ciclo de vida do tratamento de dados pessoais ilustra as categorias de tratamento desde sua captação, passando pelas definições de retenção, processamento e vão até algum destino final que pode ser a transferência, a anonimização ou a eliminação definitiva.

Figura 1 – Ciclo de Vida do Tratamento de Dados Pessoais

Neste artigo, apresentaremos um ciclo de vida composto por seis etapas: 1. Coleta, 2. Retenção, 3. Processamento, 4. Transferência, 5. Anonimização e 6. Eliminação. A figura 1 mostra a relação entre estas etapas e seu fluxo lógico. A figura ainda ilustra o fato de que as três primeiras etapas são onde o dado pessoal é efetivamente usado, podendo seguir para qualquer etapa ao fim deste uso ou, no caso da transferência, ocorrer em paralelo.

A seguir, será descrita cada uma das etapas e suas características específicas que ajudam a agrupar operações similares. As etapas têm insumos chave que são fontes importantes nas definições de privacidade e proteção de dados de uma solução digital. Estes insumos ajudam a entender a divisão dos tratamentos nestas etapas específicas e na tomada de ações particulares para cada uma.

Coleta

A coleta é o momento que os dados pessoais cruzam a fronteira para dentro da solução. Ela pode ocorrer através de um formulário, tela ou qualquer outra forma de “input” pelo próprio usuário bem como pode ocorrer pela recepção (transferência) destes dados de uma outra solução ou mesmo de terceiros.

A forma de coleta pode ser importante para as ações de proteção de dados uma vez que formulários eletrônicos apresentam riscos diferentes de documentos em papel, por exemplo. Assim, esta também é uma informação relevante nas definições de privacidade.

A coleta deve ser guiada pelos limites de privacidade definidos, captando apenas os dados que foram declarados necessários para que as finalidades sejam atingidas. Além disso, no momento da coleta, é importante estar atento às configurações de privacidade by default em suas telas e formulários eletrônicos de coleta. Veja mais sobre este conceito na seção “Princípio 2: Privacidade como Configuração Padrão (by Default)” do artigo Privacidade “by Design”.

Operações Definidas na LGPD

A operações listadas na LGPD que podem ser enquadradas como coleta são: “coleta” e “recepção”.

Conceitos Chave

  1. Origem – Definição da origem do dado coletado, especificando se é o usuário, um sistema externo ou outra fonte. A origem do dado pode influenciar na tomada de decisão e estabelecimento de limites do uso de dados pessoais – por exemplo, se a entrada for diretamente em uma tela na qual o usuário digita as informações, é preciso garantir que o tratamento do dado em questão foi consentido.
  2. Forma de Entrada – A forma de entrada é a definição do “como” o dado entra na solução. São consideradas entradas os formulários eletrônicos, cliques de mouse, arquivos físicos e/ou digitais etc. A forma como o dado é captado pode influenciar questões de segurança – por exemplo, utilização de um formulário que utilize um protocolo seguro.

Retenção

A retenção é o momento após a coleta em que o dado pessoal assume um estado perene (não volátil) dentro da solução, sendo armazenado de forma física ou digital. A maioria das soluções faz algum tipo de retenção dos dados que utiliza, variando o período de retenção de acordo com suas necessidades. Antes da LGPD e da preocupação com privacidade a maioria das aplicações fazia retenção indefinida, ou seja, sem tempo limite. Com a chegada da LGPD, GDPR e demais regulamentações, as soluções precisam adequar seus tempos de retenção às finalidades declaradas de uso de dados pessoais. Assim, a retenção é uma etapa distinta dentro do ciclo de vida justamente por esta característica de “posse” permanente ou não do dado pessoal e sua devida publicidade.

Operações Definidas na LGPD

A operações listadas na LGPD que podem ser enquadradas como retenção são: “arquivamento” e “armazenamento”.

Conceitos Chave

  1. Período – É o insumo inicial da retenção e diz qual é o período previsto pelo qual o dado será retido pela solução. Idealmente, o período de retenção deve estar alinhado ao período necessário para que as finalidades sejam alcançadas. No entanto, a própria lei define algumas exceções.
  2. Prorrogação – São as situações ou necessidades especiais que fazem com que a retenção tenha seu período estendido. A prorrogação é uma forma de dar transparência quanto ao uso de dados pessoais além do descrito inicialmente, desde que dentro dos parâmetros especificados na lei para este tipo de uso ampliado.
  3. Embasamento – É a base ou amparo legal para o período de retenção definido, incluindo um período sem fim (retenção sem fim previsto). Um bom exemplo de amparos legais são os itens apresentados no artigo 7 da LGPD onde são previstas as situações em que se pode usar dados pessoais. A situação considerada “padrão” é o consentimento onde o usuário dá autorização explícita para uso dos dados pessoais mediante a apresentação clara de finalidades e necessidades além, é claro, do período de retenção previsto.
  4. Armazenamento – O armazenamento é a definição técnica de onde e como são guardados os dados pessoais. Tecnologias de banco de dados, formulários em papel, redundância lógica e física, critérios de acesso e segurança entre outros fazem parte deste conceito. Resumidamente, é a descrição de como os dados são armazenados para, entre outras coisas, prestar contas ao titular do dado e aos órgãos reguladores.

Processamento

O processamento é a etapa mais abrangente do ciclo de vida do uso de dados pessoais. É no processamento que a solução faz uso do dado para atingir as finalidades declaradas. A palavra “processamento”, no âmbito da privacidade e proteção de dados tem vários sinônimos, entre eles “produção”, “derivação”, “utilização”, “acesso” etc.

Na prática, o termo “processamento” representa o que de fato a solução digital fará com o dado. Isto pode ocorrer logo em seguida da coleta e/ou retenção bem como muito tempo depois. Tais utilizações do dado precisam estar claramente definidas nos termos de consentimento e/ou nas políticas de privacidade de forma que o usuário possa ter ciência do processamento em questão. Assim como na coleta e na retenção, o processamento deve ser guiado pelos limites das finalidades e necessidades definidas de modo a não ultrapassá-los. 

Operações Definidas na LGPD

As operações listadas na LGPD que podem ser enquadradas como processamento são: “produção”, “classificação”, “utilização”, “acesso”, “reprodução”, “processamento”, “avaliação ou controle da informação”, “modificação” e “extração”.

Conceitos Chave

  1. Utilização – Relação e classificação de todos os dados pessoais que são processados (utilizados) pela solução. Inclui ainda a forma como estes dados são usados dentro das finalidades e necessidades declaradas.
  2. Derivação – A derivação é uma forma de utilização especial, pois é a criação de novos dados a partir dos dados originalmente coletados e retidos. A derivação pode transformar dois dados não pessoais em um dado pessoal, gerando, inclusive, a capacidade de identificar o titular do dado. A derivação é especial por ser a operação mais comum a empresas que geram receita com o processamento de dados atualmente. A capacidade de gerar novas informações a partir de outras pode ser um diferencial para uma empresa com acesso a dados pessoais. Dessa forma, este insumo deve ser bem especificado nas operações de processamento.
  3. Ampliação – A ampliação ou “utilização ampliada” é similar à prorrogação (da retenção), ou seja, uma extensão para além do que estava inicialmente previsto e declarado. Empresas que geram receita processando dados podem através do uso de dados para além de suas finalidades conseguir uma fonte de receita muito importante. A LGPD também prevê tais situações como o “legítimo interesse” para uso de dados além do que normalmente seria comum.

Transferência

A transferência é uma etapa ou momento especial no ciclo de vida devido à sua criticidade, pois dados compartilhados significam responsabilidade compartilhada e muitas vezes perda total do controle sobre este dado. Na transferência ocorre o envio de dados para fora da fronteira da aplicação, sendo uma espécie de etapa inversa da coleta.

A participação de agentes extras é o motivo de dar-se tamanha importância às operações de transferência de dados pessoais. Especial importância é dada para as operações onde as transferências ocorrem entre entes em países diferentes. Isto porque as regras e mesmo o nível de controle de privacidade pode variar e todo o trabalho de privacidade feito por uma gente pode ser posto a perder por outro que recebe o dado.

Operações Definidas na LGPD

A operações listadas na LGPD que podem ser enquadradas como transferência são: “transmissão”, “distribuição”, “comunicação” e “transferência” e “difusão”.

Conceitos Chave

  1. Relação – Relação clara de todos os dados transferidos e seus metadados. Estas informações são fundamentais para se ter controle sobre quais dados estão saindo da fronteira de uma solução digital.
  2. Destinos – Além de controlar quais dados saem da fronteira é vital ter o mapeamento para onde vão estes dados. Outros sistemas e organizações que recebem os dados devem ser cadastrados e classificados em termos de capacidade de realizar uma proteção de dados adequada. é importante lembrar que os dados compartilhados com outra organização ainda são de responsabilidade (conjunta) de quem o fornece e com quem o titular teve contato na coleta.
  3. Jurisdição – Países e legislações (e.g. GDPR) das organizações para onde os dados estão sendo transferidos. O local onde se encontra ou ao qual está jurisdicionada uma organização pode fazer toda a diferença nos controles de transferência de dados pessoais. Em alguns casos, inclusive, impondo restrições e controles diferenciados para as transferências.

Anonimização

A anonimização é uma etapa final no ciclo de vida do dado, podendo ou não ser a última. A anonimização é o processo pelo qual o dado pessoal perde a capacidade de identificar o seu titular (sujeito ao qual os dados se referem) e assim deixa de ser um dado pessoal. Contudo, a etapa de anonimização compreende dentro dela os processos de anonimização e pseudonimização, sendo o primeiro irreversível e o segundo ainda capaz de ser revertido e voltar a identificar o titular do dado.

Anonimização ou eliminação são os caminhos no ciclo de vida do uso de dados pessoais quando a retenção não é indefinida. Ou seja, uma vez que a retenção é descrita como tendo um período específico, a solução deve anonimizar ou excluir o dado após alcançadas as finalidades declaradas.

Deve-se prestar atenção para a capacidade do processo de anonimização realmente excluir a chance de identificação do titular do dado. Um processo só pode ser chamado de anonimização se realmente a identificação não for mais possível. Para casos onde há mascaramento ou transformação que ainda pode ser revertida dá-se o nome “Pseudonimização”, que é uma forma de esconder a identidade para um certo escopo, como por exemplo, para uma transferência de dados. Neste caso o receptor recebe um dado sem capacidade de identificação, mas o fornecedor ainda pode associar o dado ao seu titular original.

Operações Definidas na LGPD

A LGPD, no artigo 5, item X, não definiu nenhuma operação que se encaixa na categoria/etapa de anonimização. Isso contudo não significa que operações deste tipo não ocorram. Pelo contrário, a anonimização é um elemento chave na privacidade e proteção de dados como recurso para tornar um dado pessoal em dado não pessoal e assim permitir seu processamento mais livremente.

Conceitos Chave

  1. Motivação – É a descrição dos motivos pelos quais os dados serão anonimizados. De certa forma são como as finalidades expandidas que demandam um processo de anonimização.
  2. Estratégia – É a descrição de como será feita a anonimização levando em conta aspectos técnicos e a definição clara se o processo é de fato uma anonimização ou uma pseudonimização. No primeiro caso os dados são incapacitados de identificar o titular de forma definitiva e no segundo a incapacidade é parcial ou reversível.

Eliminação

A eliminação é, de fato, a última e derradeira etapa do ciclo de vida do uso de dados pessoais. Diferente da anonimização que transforma um dado pessoal em um dado não pessoal, finalizando o ciclo de vida do dado pessoal, a eliminação efetivamente exclui o dado pessoal de forma que ele não possa mais ser recuperado e acessado pela solução digital. Em alguns casos, pode não haver eliminação se o fim da retenção possa ser efetivado através de anonimização, mas se o dado pessoal não for ou não puder ser utilizado, é necessária sua eliminação definitiva de dentro da fronteira solução .

É importante frisar a questão da fronteira da solução, pois dados que porventura tenham sido compartilhados não estão dentro do escopo desta eliminação. Na verdade, se por acaso as demais soluções e/ou organizações que receberam o dado também o excluírem, será considerado um processo de eliminação separado, dentro de outras fronteiras. Contudo, uma vez fora da fronteira não é provável que a solução/organização tenham as mesmas condições de garantir a eliminação efetiva dos dados pessoais compartilhados.

Operações Definidas na LGPD

A operações listadas na LGPD que podem ser enquadradas como eliminação são: “eliminação”.

Conceitos Chave

  1. Procedimento – É a forma como a eliminação ocorre de fato. Descrição técnica do processo de exclusão do dado e indicação da existência de recursos de log e/ou backup capaz de restaurar o dado através de um processo de negócio previsto na solução ou mesmo através de intervenção humana não prevista.
  2. Auditoria – Descrição de como, após ocorrer a eliminação, é possível verificar tal eliminação e aferir se, de fato, o dado foi eliminado. Na auditoria é sempre uma boa prática o registro de quem e quando e qual processo de negócio realizou a eliminação.

Conclusão

Este artigo apresenta uma reflexão sobre o problema de mapear e classificar os processos de negócio sob a ótica do tratamento de dados pessoais definido na LGPD. Ser capaz de definir o que é ou não um tratamento e seu nível de granularidade pode ser um grande desafio. Dessa forma, este artigo procurou apresentar uma abordagem de divisão dos tipos de operação em seis categorias que compõem o “ciclo de vida do tratamento de dados pessoais”. Assim, separado em etapas e desmembrado nos seus insumos chave, uma solução digital pode fazer suas definições e especificações de privacidade e proteção de dados com mais qualidade de informação, tornando–se mais capaz de responder aos desafios de construir software mais seguro e confiável bem como de responder órgãos e entidades regulatórias.

A visão dos tratamentos de dados pessoais organizado em etapas e principais conceitos cria uma visão geral que pode ser incorporada em artefatos clássicos como os documentos de requisitos não funcionais, por exemplo. Assim, boa parte do trabalho de “privacidade” de uma solução digital poderia ser organizado em uma seção “privacidade e proteção de dados”, além de ser integrada aos trabalhos de governança, modelagem de dados e segurança da informação.

Referências

[1] LGPD, https://artesoftware.com.br/2019/09/28/lgpd/

Deixe uma resposta