Em nosso artigo “O que é a LGPD?” demos uma introdução ao tema e mencionamos o termo “minimização”. Neste artigo, explicaremos o que “data minimization” ou “minimização de dados” significa e como você pode aplicá-la em seu trabalho. 

Buscando no dicionário, podemos ver “Ato ou efeito de minimizar, de reduzir a proporções mínimas.”. Mas o que exatamente isto significa para o tratamento de dados pessoais? 

Se olharmos a Lei e o artigo “O que é a LGPD?” vemos que a Lei Geral de Proteção de Dados tem um foco muito grande no propósito e na necessidade do tratamento. A LGPD então indica: “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;” 

Ou seja, a lei não determina quanto é suficiente. Mas deixa aberto para que cada organização identifique qual é o conjunto de dados pessoais mínimos necessários para atingir o propósito daquele determinado tratamento.  

Para avaliar qual é o conjunto mínimo de dados pessoais coletados, é importante compreender a razão do processamento. Para que sua empresa processará dados pessoais? Exemplo: Se você faz um cadastro em um site de busca online de médicos, será que este precisa saber seu tipo sanguíneo?  

Interessante considerar também, que para determinado tipo de usuário, o conjunto mínimo de dados pode ser diferente dos demais, não fazendo sentido armazenar todos os dados para todos os tipos de usuários. Sendo possível granularizar (inclusive ao nível de usuário), sempre será a abordagem recomendável.  

O importante é sempre garantir que o dado seja relevante, dentro do propósito de tratamento e claramente comunicado ao titular. Aquele dado que é um “nice to have” ou que em uma hipótese (real ou remota) poderá vir a ser utilizado no futuro, mas que hoje não tem uso, não deve ser processado. Se o dado não é necessário para o tratamento proposto, mantê-lo é desnecessário, não coberto pela LGPD e um risco para sua organização. Quanto mais dados coletados e armazenados, maior será o impacto ao titular em uma situação de vazamento.  

O mesmo vale para sua vida útil, salvaguardadas as questões legais. 

Dados pessoais em locais não-óbvios

 

Ah, e importante lembrar que tratamento/processamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Até mesmo os dados em backups e logs devem ser revisados! 

 

Se interessou pelo tema? 

Precisa de suporte com seu projeto de adequação ou serviços de DPO / Encarregado? Consulte-nos

* Este material não tem como objetivo oferecer consultoria, recomendação, direção ou aconselhamento de qualquer tipo. Não oferece quaisquer garantias de acurácia, completude ou conformidade. Para uma análise especializada e adequada à sua necessidade, por favor entre em contato.