Implementar uma prática eficaz de record keeping, ou retenção de dados, é essencial para as organizações que desejam garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD), promover a segurança da informação e otimizar seus processos de gerenciamento de registros. Portanto, é de extrema relevância conhecer os principais passos e considerações necessárias para estabelecer um sistema sólido de retenção de dados, que permita garantir a conformidade legal, a proteção de dados e a eficiência operacional.
O primeiro passo essencial para estabelecer um processo de record keeping é realizar um inventário abrangente dos dados coletados e armazenados nas bases de dados da empresa. Esse inventário fornecerá uma visão clara e detalhada dos tipos de dados com os quais a empresa lida, possibilitando uma gestão mais eficaz e informada.
Após essa etapa, é importante compreender a finalidade da obtenção de cada tipo de dado e verificar se existem regulamentações que determinam o tempo mínimo de uma retenção. No entanto, é importante lembrar que as regulamentações podem definir um tempo mínimo de retenção, mas isso não significa que ele seja definitivo. A empresa deve considerar a finalidade original da coleta dos dados e suas próprias necessidades para definir o tempo adequado de retenção de cada tipo de dado, que pode ser maior do que o mínimo regulamentado.
Leia também: ANPD deve regular transferência internacional de dados pessoais
Com base na finalidade de coleta e no tratamento dos dados, é pertinente construir uma tabela de temporalidade que indique os diferentes tipos de dados, sua finalidade, o tempo mínimo de retenção estabelecido pela regulamentação e o tempo de retenção adequado para cada registro, levando em consideração as necessidades específicas da empresa.
O processo de descarte dos dados também requer atenção na prática de record keeping. Para garantir a conformidade com a LGPD e minimizar os riscos, a exclusão segura é uma opção comum para dados armazenados em sistemas digitais, garantindo sua remoção de forma irreversível. A anonimização pode ser utilizada quando é necessário manter certos dados para fins estatísticos ou de análise, mas sem identificar os indivíduos envolvidos.
Por fim, é essencial revisar e atualizar regularmente o processo de record keeping, que deve estar consolidado em procedimentos e normas internas da empresa, incluindo o inventário, os prazos de retenção e o descarte dos dados. As regulamentações e as necessidades das empresas podem mudar ao longo do tempo, portanto, é preciso garantir que o processo de retenção esteja sempre em conformidade.
Além disso, é indispensável realizar treinamentos sobre as políticas e os procedimentos de record keeping para promover a conscientização e a responsabilidade em relação à proteção e ao gerenciamento adequado dos dados.
*Alexandre Tamura é gerente sênior e Aline Silva Noleto é consultora. Ambos atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
Add new comment