LGPD: O que é data minimization ou minimização de dados?
Em nosso artigo “O que é a LGPD?” demos uma introdução ao tema e mencionamos o termo “minimização”. Neste artigo, explicaremos o que “data minimization” ou “minimização de dados” significa e como você pode aplicá-la em seu trabalho.
Buscando no dicionário, podemos ver “Ato ou efeito de minimizar, de reduzir a proporções mínimas.”. Mas o que exatamente isto significa para o tratamento de dados pessoais?
Se olharmos a Lei e o artigo “O que é a LGPD?” vemos que a Lei Geral de Proteção de Dados tem um foco muito grande no propósito e na necessidade do tratamento. A LGPD então indica: “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;”
Ou seja, a lei não determina quanto é suficiente. Mas deixa aberto para que cada organização identifique qual é o conjunto de dados pessoais mínimos necessários para atingir o propósito daquele determinado tratamento.
Avaliando seus dados frente à LGPD
Para avaliar qual é o conjunto mínimo de dados pessoais coletados, é importante compreender a razão do processamento. Para que sua empresa processará dados pessoais? Exemplo: Se você faz um cadastro em um site de busca online de médicos, será que este precisa saber seu tipo sanguíneo?
Interessante considerar também, que para determinado tipo de usuário, o conjunto mínimo de dados pode ser diferente dos demais, não fazendo sentido armazenar todos os dados para todos os tipos de usuários. Sendo possível granularizar (inclusive ao nível de usuário), sempre será a abordagem recomendável.
O importante é sempre garantir que o dado seja relevante, dentro do propósito de tratamento e claramente comunicado ao titular. Aquele dado que é um “nice to have” ou que em uma hipótese (real ou remota) poderá vir a ser utilizado no futuro, mas que hoje não tem uso, não deve ser processado. Se o dado não é necessário para o tratamento proposto, mantê-lo é desnecessário, não coberto pela LGPD e um risco para sua organização. Quanto mais dados coletados e armazenados, maior será o impacto ao titular em uma situação de vazamento.
O mesmo vale para sua vida útil, salvaguardadas as questões legais.
Dados pessoais em locais não-óbvios
Ah, e importante lembrar que tratamento/processamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Até mesmo os dados em backups e logs devem ser revisados!
Se interessou pela Lei Geral de Proteção de Dados?
- Busque um de nossos treinamentos em https://www.machertecnologia.com.br/catalogo-de-treinamentos/ . Somos um centro autorizado para aplicação de exames EXIN e oferecemos a certificação PDPE (Privacy and Data Protection Essentials) com foco na LGPD.
- Leia nosso artigo: “A LGPD está chegando e ela pode ser boa para seu negócio!” – https://www.machertecnologia.com.br/blog-a-lgpd-esta-chegando-e-ela-pode-ser-boa-para-seu-negocio/
- Leia nosso artigo: “Podemos gerenciar uma iniciativa de conformidade ao LGPD com um projeto ágil?” – https://www.linkedin.com/pulse/podemos-gerenciar-uma-iniciativa-de-conformidade-ao-lgpd-antabi/
- Acesse a íntegra da Lei Geral de Proteção de Dados: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
- ICO (UK) – Em inglês – https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/data-minimisation/
Precisa de suporte com seu projeto de adequação ou serviços de DPO / Encarregado? Consulte-nos!
* Este material não tem como objetivo oferecer consultoria, recomendação, direção ou aconselhamento de qualquer tipo. Não oferece quaisquer garantias de acurácia, completude ou conformidade. Para uma análise especializada e adequada à sua necessidade, por favor entre em contato.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO
- Consultoria e projetos de adequação
- Treinamentos para a LGPD
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- ACADEMIA LGPD: Treinamentos "learning pills" de conscientização para a Lei Geral de Proteção de Dados e Cibersegurança.
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
- Revisão ou auditoria pontual em projetos e processos
- Terceirização de serviços e times
DPO AS A SERVICE
- Encarregado como Serviço (DPO-as-a-Service)
- Centro de Serviços Compartilhados para a LGPD e times de suporte
- Operação Assistida para seu DPO interno - Assessoria e Consultoria para a LGPD
- Data Mapping
- Mapeamento de Processos
- Gestão de Projetos e Riscos
- Serviços de Cybersecurity
- Revisão de Cláusulas Contratuais para a LGPD
- DPIA, DPA, ROPA
- Suporte à GDPR