A lei determina que deve haver a eliminação de dados pessoais após o término do tratamento.
A Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil desde 2020, é uma legislação que estabelece as diretrizes e regras para o tratamento de dados pessoais por organizações e entidades públicas e privadas. Seu objetivo é proteger a privacidade e os direitos dos indivíduos, bem como estabelecer diretrizes para o uso adequado e seguro de informações pessoais.
A LGPD cuida dos dados dentro de todo seu ciclo de vida da informação, da sua criação ou coleta, até a sua eliminação.
Para todo tratamento de dados, existe um prazo de tratamento (artigo 15º da LGPD) e um prazo de conservação (artigo 16º), o que ensejou a necessidade de se regulamentar a forma com que os dados são tratados.
Atingido o prazo de conservação o dado precisa ser devidamente eliminado, e é neste instante, que algo aparentemente simples vem causando grandes problemas.
Recomendo dividir os dados em dois tipos, os digitais e os físicos, neste artigo, vamos dos dedicar a falar um pouco sobre o descarte dos dados físicos e suas particularidades.
Quando falamos em eliminação ou destruição de dados físicos, um fator de estrema relevância é o volume, neste artigo, vamos dividir em dois tipos, grandes volumes e pequenos e médios volumes.
EVIDÊNCIA
Ainda no que se refere a destruição de dados pessoais, independente do volume, precisamos sempre nos atentar a necessidade de gerar a evidência que a eliminação do dado foi realizada, uma vez que o Titular de dados pode requisitá-la.
Para tanto, precisamos nos atentar a necessidade da existência de um procedimento formal que descreva a atividade, contemplando a maneira de se evidenciar que esta foi realizada. Importante que exista uma documentação que descreva o que está sendo destruído e a evidência da destruição dos dados pessoais, que pode se dar, por exemplo, através de um laudo especializado contemplando fotos ou filmagem do processo.
GRANDES VOLUMES
A Destruição Segura de Documentos pode ser efetuada dentro da própria empresa ou através da contratação de empresas especializadas.
- Dentro da própria empresa
O grande dificultador para a eliminação de dados em grandes volumes dentro da própria organização, ocorre primeiro na evidenciação do processo e segundo no alto custo de equipamentos (trituradora ou fornos) para realização adequada desta destruição.
Algumas empresas que possui em sua planta fabril fornos, optam por utilizá-los para este fim. Importante aqui ressaltar, que isto pode ser válido para empresas que já possuem fornos destro de especificações ambientais para realização do mesmo e profissionais preparados e a disposição para a gerar as evidências adequadas do procedimento.
Utilizar churrasqueiras ou mesmo fazer fogueira, está descartado, tendo em vista que estes materiais geram resíduos que não estão em conformidade com as legislações ambientais.
- Fora da própria empresa (Terceirização)
Este serviço indicado para as empresas que precisam descartar dados pessoais e informações físicas que não serão mais utilizados e não possuem uma obrigação legal de armazenamento ou base legal para o tratamento.
Os dados pessoais são informações em que o Controlador, quem toma as decisões referentes ao tratamento de dados pessoais, precisa garantir a devida confidencialidade dos mesmos, portanto, não podem ser descartados em lixo comum, pois têm o risco de serem vazados, tornando-se uma transgressão legal por parte do Controlador e podendo acarretar prejuízos para o Titular.
Importante salientar a importância de um rígido contrato de confidencialidade e a realização de due diligence pré-contratual para se evidenciar a eficácia da confidencialidade nos procedimentos efetuados.
A eliminação de dados pessoais segura, precisa trazer cuidamos em todas as etapas, desde a retirada dos documentos até o descarte e reciclagem, assegurando um ciclo de vida dos documentos mais seguro e sustentável.
A terceirização desta atividade, pode ser a maneira mais eficaz de se obter os seguintes resultados:
- Garantir a confidencialidade das informações de sua organização e de seus clientes; Através de um processo padronizado, rastreável e seguro, você mantém suas informações em conformidade com as políticas internas e externas, protegendo dados pessoais de seus stakeholders.
- Estender um compromisso sócio responsável para atingir suas metas de sustentabilidade: Além da destruição ser uma obrigação legal, destruir ativos de maneira consciente, sócio responsável e limpa, é uma oportunidade da organização conseguir reduzir níveis significativos de poluição e emissão de gás carbono.
- Reduzir custos e o risco de vazamento de dados: A contratação de uma empresa especializada, pode evitar os custos de aquisição de equipamentos de alto custo e facilitar a destruição de forma segura de seus ativos através de um sistema de gestão da informação especializado para esta atividade.
Alguns serviços que podem estar inclusos na destruição segura do tipo trituração:
- Coletores de segurança e transporte: Coletores de Segurança altamente resistentes e devidamente lacrados. Rastreio e controle de todo o processo.
- Trituração e Descarte Seguro: Com a trituração, toda informação é fragmentada de forma irreversível, reduzindo a patamares mínimos as chances de vazamento de dados. Em seguida é gerado o certificado de destruição para cada lote destruído, todo o material é compactado e encaminhado para usinas de reciclagem.
- Reciclagem: Para cada tonelada de papel reciclado são preservados: 350 m² de floresta, 5 mil KWh de energia e 98 mil litros de água.
PEQUENOS E MÉDIOS VOLUMES
- Dentro da própria empresa
Como ocorre em grandes volumes, aqui temos pelo menos duas alternativas:
Fornos
Caso a empresa já possua fornos dentro dos parâmetros ambientais, pode utilizá-los, seguindo as mesmas observações apresentadas para a situação de grandes volumes.
Trituradoras
As fragmentadoras de papel desempenham um papel importante no contexto da LGPD, estando em consonância com a ISO 27001, pois ajudam a reduzir o risco de exposição de informações e garantem a destruição segura de documentos. A destruição adequada de documentos obsoletos, por meio de fragmentação em pequenos pedaços, evita que terceiros mal-intencionados possam recuperar informações.
Em minha opinião pessoal, uma fragmentadora portátil de papel com nível de segurança 3, deveria ser entregue a todo gestor, juntamente com seu notebook, ao ingressar na empresa ou no cargo. Afinal é um item básico que ajuda a garantir a confidencialidade das informações da organização.
Estes equipamentos podem ser utilizados em quaisquer documentos que contenham dados pessoais e informações que se queira manter a confidencialidade. Além de papeis, a maioria dos equipamentos também tritura CD´s, DVD´s e cartões de créditos.
Lembrando que para uma boa durabilidade dos equipamentos, a lubrificação das lâminas é recomendada e pode ser realizada através da utilização de folhas com lubrificantes.
Importante ressaltar que o uso das trituradoras, gera resíduos e que uma empresa consciente, deve se preocupar na destinação correta destes resíduos para reciclagem.
Para a escolha da fragmentadora de papel ideal é fundamental identificar sua necessidade pelo equipamento, itens como:
A. O volume dos documentos que serão destruídos
Para iniciar esta análise é importante deixar claro que existem equipamentos para o uso pessoal e outras para o uso corporativo.
B. As Fragmentadoras de Papel para uso pessoal são compactas e mais acessíveis, atendem um volume menor de eliminação de papel, sendo ideais para o uso doméstico, home office ou micro escritórios.
Para o uso nas empresas a demanda de eliminação de papel é maior, exigindo maior resistência dos componentes internos da fragmentadora, maior velocidade de fragmentação e maior tempo de uso contínuo.
Há uma grande variedade de fragmentadoras para cada necessidade e ambiente, uma ideia de volume recomendado:
- Residencial: Volume de até 160 folhas/mês.
- Home-office: Volume de até 242 folhas/mês.
- Escritório: Volume de até 8.000 folhas/mês.
- Profissional: Uso contínuo sem parada para resfriamento, utilizada para grande volume ou acúmulo de papel.
C. Nível de segurança
Identificar o nível de segurança é essencial para garantir a confidencialidade dos dados contidos nos materiais a serem triturados.
Quanto menor o tamanho do papel, maior será a segurança visando a dificuldade de recuperação do documento fragmentado.
Os fabricantes de fragmentadoras seguem a norma DIN, que é um padrão internacional para o tamanho do corte (fragmento do papel).
A norma DIN 32757-1, foi substituída pela norma DIN 66.399. Esta nova norma DIN é utilizada pelos fabricantes, que redefiniam os tamanhos dos cortes para melhorar o entendimento do usuário e atender sua necessidade no sigilo da informação.
Com a nova DIN, todos os modelos a partir do P3, garantem que os fragmentos não sejam facilmente remontados.
O padrão internacional DIN 66399 determina o tamanho máximo das tiras ou partículas que são classificadas em 7 níveis:
| Nível | Papel | Cd’s / Dvd’s | Cartão de crédito |
| NÍVEL 1 | Largura máxima de 12mm | Partículas de 2000mm² | Tamanho normal |
| NÍVEL 2 | Largura máxima de 6mm | Partículas de 800mm² | Partículas de 2000mm² |
| NÍVEL 3 | Partículas de 320mm² | Partículas de 160mm² | Partículas de 320mm² |
| NÍVEL 4 | Partículas de 160mm² | Partículas de 30mm² | Partículas de 160mm² |
| NÍVEL 5 | Partículas de 30mm² | Partículas de 10mm² | Partículas de 30mm² |
| NÍVEL 6 | Partículas de 10mm² | Partículas de 5mm² | Partículas de 10mm² |
| NÍVEL 7 | Partículas de 5mm² | Partículas de 2.5mm² | Partículas de 2.5mm² |
- Tipos de Cortes
Os tipos de corte por nível de segurança (do menor para o maior) são: Tiras, Partículas e Micropartículas.
- Fora da própria empresa (Terceirização)
Para pequenos volumes normalmente a terceirização torna o processo muito caro, tornando-o inviável se comparado com os custos de se realizar internamente.
Já para os médios volumes, a terceirização pode ser uma alternativa a ser analisada, já que traz todas as vantagens descritas para a terceirização da destruição de grandes volumes.
