De modo geral, quando uma folha de papel no tem mais utilidade, faz-se o seu descarte na lixeira mais prxima, sem maiores preocupaes. 7391a

Entretanto, se a folha contiver informaes relativas a alguma pessoa identificada ou identificvel, ou seja, dados pessoais, este ato constitui um incidente de segurana, sujeito s disposies da Lei Geral de Proteo de Dados – LGPD (Lei n 13.709/2018).

Jogar a folha de papel na lixeira uma forma inadequada de descarte dos dados pessoais, que constitui tratamento de dados na modalidade de eliminao. Define a LGPD tratamento de dados como “toda operao realizada com dados pessoais, como as que se referem a coleta, produo, recepo, classificao, utilizao, o, reproduo, transmisso, distribuio, processamento, arquivamento, armazenamento, eliminao, avaliao ou controle da informao, modificao, comunicao, transferncia, difuso ou extrao” (art. 5, X).

Esto sujeitos ao cumprimento da LGPD todas as pessoas jurdicas de direito pblico e privado, independentemente do seu porte ou se possui fins lucrativos, includas empresas, associaes, fundaes, organizaes no-governamentais (ONG’s), organizaes religiosas, partidos polticos, sindicatos, condomnios, entes pblicos, alm das pessoas naturais, no exerccio de atividade econmica.

Estes agentes de tratamento de dados tm o dever legal de realizar cada operao de tratamento dados, como as exemplificadas acima, mediante os parmetros postos pela LGPD, notadamente indicando uma das hipteses da Lei que autorizam o tratamento de dados pessoais (base legal), implementando os princpios e os direitos dos titulares dos dados institudos na Lei, bem como medidas tcnicas e istrativas aptas a proteger os dados “de os no autorizados e de situaes acidentais ou ilcitas de destruio, perda, alterao, comunicao ou qualquer forma de tratamento inadequado ou ilcito” (art. 46).

O ato de descartar os dados pessoais na lixeira portanto constitui violao da LGPD, que pode ensejar aplicao de sano istrativa pela Autoridade Nacional de Proteo de Dados - ANPD e reparao por danos materiais e/ou morais eventualmente causados aos titulares daqueles dados.

No processo de adequao LGPD, a organizao estabelece uma poltica interna para o tratamento destes dados, define processos (incluindo modos adequados de descarte ou eliminao dos dados mantidos tanto em meio fsico, quanto eletrnico) e responsabilidades, alm de instituir um plano de resposta a incidentes de segurana com dados pessoais, dentre outras providncias.

O protocolo de resposta ao incidente de segurana inclui medidas a serem adotadas para mitigar danos aos titulares das informaes. Ao menos trs podem-se apontar para a hiptese: a imediata eliminao dos dados mediante uma adequada forma de descarte da folha de papel (como a fragmentao ou a incinerao), avaliao da necessidade de reviso do processo interno que permitiu o desvio de conduta que ensejou o incidente e realizao de novo treinamento dos colaboradores.

Estatisticamente, o erro humano uma das causas mais frequentes de incidente de segurana de dados pessoais, cujo risco pode ser minimizado mediante o treinamento da equipe.

Merece destaque a orientao para manuteno de registro de um incidente aparentemente irrelevante (ainda que no seja o caso). Ao contrrio do senso comum ainda vigente, que aponta para esconder os fatos, em matria de proteo de dados pessoais o registro, demonstrando adequadas apurao e aplicao de medidas corretivas, efetiva implementao do princpio da transparncia, considerado central na garantia dos direitos dos titulares dos dados.

Com o registro dos fatos relativos ao incidente, a organizao demonstra ser diligente, responsvel, cumpridora dos deveres legais, respeitosa dos direitos dos titulares dos dados, enfim, que trabalha no sentido da conformidade legal, o que tem um peso considervel na definio das sanes a serem eventualmente aplicadas.

No atende s exigncia da LGPD demonstrao de meras formalidades, como por exemplo a existncia do cdigo de boas prticas, sem a comprovao de realizao dos treinamentos dos colaboradores.

Uma vez que o princpio do privacy by design exige a eficcia das medidas efetivamente implementadas, a demonstrao de meras formalidades no faz prova sequer da boa f, um dos macro princpios que regem a atividade de tratamento de dados pessoais.