Pexels Muito se fala em processo de adequação à LGPD, mas o que se esquece é que ele mexe com todos os processos internos da empresa que passa pela adequação.
Como o próprio nome já diz a princípio, quando vamos iniciar um processo de adequação à LGPD, a primeira coisa que fazemos é examinar se a empresa segue os princípios da LGPD e, dentre eles, um dos principais é o princípio da necessidade.
Mas o que vem a ser esse princípio? Vou pegar emprestado o texto legal para ficar mais claro: “necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados” (artigo 6°, inciso III, Lei 13.709/2018).
Por este princípio o controlador, ou seja, a empresa que trata os dados, deve coletar o menor número de dados possíveis para realização da finalidade que ela objetiva.
Por exemplo, outro dia fui me inscrever para participar de uma live e o cadastro de participação pedia nome, RG, CPF, data de nascimento, sexo, empresa, cargo na empresa e e-mail.
Agora pensa comigo, para assistir uma live eu preciso entregar todos esses dados? De acordo com o princípio da necessidade não.
Você Contador, sabe melhor que eu que, com todos esses dados, um indivíduo mal intencionado consegue abrir uma empresa em meu nome ou contratar um serviço de telefonia, por exemplo.
Lembre que a Lei Geral de Proteção de Dados protege os dados pessoais, por isso quando a empresa for coletar, sempre aplique o princípio da necessidade.
Mas não apenas na coleta, como também em todo tratamento.
Eu sei tratamento de dados pessoais pode soar meio vago, então, novamente vou pegar emprestado o texto legal para você saber tudo que é considerado tratamento de dados pessoais na LGPD: “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (artigo 5°, inciso X, da Lei 13.709/2018)
A lei traz 20 modalidades de tratamento, que deixa bem amplo, tudo que é considerado, na lei, como tratamento de dados pessoais.
Se um processo interno não precisa desse ou daquele dado, exclua, porque armazenar dados desnecessários, além de aumentar o risco de incidentes de segurança como vazamento ou acesso indevido, ainda aumenta o custo de proteção desse banco de dados, teóricamente inútil.
Assim, faça uma varredura no seu sistema e mantenha apenas os dados que realmente são indispensáveis à finalidade que a empresa objetiva.
