LGPD: O que é data minimization ou minimização de dados?

Em nosso artigo “O que é a LGPD?” demos uma introdução ao tema e mencionamos o termo “minimização”. Neste artigo, explicaremos o que “data minimization” ou “minimização de dados” significa e como você pode aplicá-la em seu trabalho. 

Buscando no dicionário, podemos ver “Ato ou efeito de minimizar, de reduzir a proporções mínimas.”. Mas o que exatamente isto significa para o tratamento de dados pessoais? 

Se olharmos a Lei e o artigo “O que é a LGPD?” vemos que a Lei Geral de Proteção de Dados tem um foco muito grande no propósito e na necessidade do tratamento. A LGPD então indica: “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;” 

Ou seja, a lei não determina quanto é suficiente. Mas deixa aberto para que cada organização identifique qual é o conjunto de dados pessoais mínimos necessários para atingir o propósito daquele determinado tratamento.

Neste contexto, a “minimização de dados” valerá para “processos” e para tecnologia, ou seja. Enquanto o processo define a razão da necessidade de um determinado dado pessoal, a tecnologia irá suportar esta necessidade. Assim, tanto processos, quanto tecnologias (e suas bases de dados) precisam ser avaliados para entender as motivações e possibilidades de redução de uso de dados pessoais limitados ao “mínimo necessário“.

Avaliando seus dados pessoais frente à LGPD

Para avaliar qual é o conjunto mínimo de dados pessoais coletados, é importante compreender a razão do processamento. Para que sua empresa processará dados pessoais? Exemplo: Se você faz um cadastro em um site de busca online de médicos, será que este precisa saber seu tipo sanguíneo?  

Interessante considerar também, que para determinado tipo de usuário, o conjunto mínimo de dados pode ser diferente dos demais, não fazendo sentido armazenar todos os dados para todos os tipos de usuários. Sendo possível granularizar (inclusive ao nível de usuário), sempre será a abordagem recomendável.  

O importante é sempre garantir que o dado seja relevante, dentro do propósito de tratamento e claramente comunicado ao titular. Aquele dado que é um “nice to have” ou que em uma hipótese (real ou remota) poderá vir a ser utilizado no futuro, mas que hoje não tem uso, não deve ser processado. Se o dado não é necessário para o tratamento proposto, mantê-lo é desnecessário, não coberto pela LGPD e um risco para sua organização. Quanto mais dados coletados e armazenados, maior será o impacto ao titular em uma situação de vazamento.  

O mesmo vale para sua vida útil, salvaguardadas as questões legais. 

Minimização: Dados pessoais em locais não-óbvios

Ah, e importante lembrar que tratamento/processamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Até mesmo os dados em backups e logs devem ser revisados!

Saiba mais:

• PIA e LIA: O que são e quando prepará-los?
• Anonimização e Pseudonimização na LGPD

O papel do DPO na minimização de dados pessoais

O DPO (Data Protection Officer) é responsável pela avaliação e questionar às diferentes áreas de negócio sobre a real necessidade de um conjunto de dados pessoais. É esta função que liderará o processo de revisão para garantir que as empresas coletem e processem apenas as informações estritamente necessárias para a finalidade declarada.

Isso envolve a implementação de políticas e controles para reduzir o volume de dados armazenados, eliminando aqueles que não são essenciais e assegurando que as bases legais para o tratamento sejam bem definidas. Além disso, o DPO deve orientar a equipe sobre princípios como privacy by design e privacy by default, promovendo uma cultura organizacional voltada para a proteção de dados desde a concepção de novos produtos (e suas atualizações), sistemas ou serviços.

Nos processos de revisão, o DPO lidera auditorias e avaliações periódicas para garantir a conformidade contínua com regulamentações como a LGPD e o GDPR. Isso inclui revisar políticas de retenção de dados, analisar contratos com fornecedores que tratam informações pessoais e verificar a eficácia das medidas de segurança implementadas. Além disso, o DPO deve estabelecer um ciclo de revisões para detectar possíveis riscos e propor melhorias contínuas, assegurando que o princípio da minimização seja aplicado ao longo de todo o ciclo de vida dos dados, até seu efetivo descarte (ou anonimização definitiva).

Se interessou pela Lei Geral de Proteção de Dados?

• Busque um de nossos treinamentos em https://www.machertecnologia.com.br/catalogo-de-treinamentos/ . 
• Leia nosso artigo: “A LGPD está chegando e ela pode ser boa para seu negócio!” – https://www.machertecnologia.com.br/blog-a-lgpd-esta-chegando-e-ela-pode-ser-boa-para-seu-negocio/  
• Leia nosso artigo: “Podemos gerenciar uma iniciativa de conformidade ao LGPD com um projeto ágil?” – https://www.linkedin.com/pulse/podemos-gerenciar-uma-iniciativa-de-conformidade-ao-lgpd-antabi/  
• Acesse a íntegra da Lei Geral de Proteção de Dados: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm 
• ICO (UK) – Em inglês – https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/data-minimisation/ 

Precisa de suporte com seu projeto de adequação ou serviços de DPO / Encarregado? Consulte-nos! 

* Este material não tem como objetivo oferecer consultoria, recomendação, direção ou aconselhamento de qualquer tipo. Não oferece quaisquer garantias de acurácia, completude ou conformidade. Para uma análise especializada e adequada à sua necessidade, por favor entre em contato.