Provavelmente você já deve ter escutado por aí que na LGPD menos é mais!
Ou seja, quanto menos dados a empresa coletar, melhor!
E a razão para você adotar essa postura “minimalista” em relação aos dados é muito simples.
Nós já sabemos que para que uma empresa esteja em conformidade com a Lei Geral de Proteção de Dados, ela precisa atender a todos os princípios que a LGPD nos trouxe, e um desses princípios é justamente o que vem disposto no Art. 6º da LGPD, que é o Princípio da Necessidade!
“As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
A simples leitura do artigo já é suficiente para que a gente compreenda qual a mensagem que essa afirmação quer nos trazer: se tratando de atendimento às disposições da LGPD, quanto menos dados a empresa tratar, melhor!
E digo mais: não é só melhor pra empresa em termos da ocorrência de um eventual incidente de segurança, é melhor porque simplesmente, é a postura adequada a prática da minimização do uso dos dados.
O raciocínio é simples: a empresa consegue identificar uma finalidade lícita para o tratamento daquele dado? Coleta o dado para a realização daquele tratamento!
Agora, a empresa deseja coletar o dado somente porque é do seu interesse e não saber justificar a necessidade de determinado dado para tratamento? Ou porque deseja utilizar no futuro? O meu conselho é que você não colete esse dado!
Agora vamos para a prática para que você possa compreender exatamente o que essa expressão nos traz:
Eu gosto de trazer exemplos do nosso cotidiano porque depois na prática vocês vão ver como a LGPD é movimento e todos os dias temos um “case”novo na mesa.
Nós prestamos consultoria LGPD para diversas empresas e, há um mês atrás, aproximadamente, realizamos um serviço de revisão dos formulários de compra do e-Commerce deste cliente para fins de verificação de conformidade com a LGPD.
Ao revisarmos os formulários, imediatamente identificamos um campo para coleta de dados desnecessários para a contratação do serviço que a empresa estava ofertando.
Esta empresa disponibiliza somente a venda de produtos digitais, ou seja, jamais irá entregar algo em endereços físicos, contudo, o seu formulário de compra constava um campo para inserção do endereço residencial do cliente.
De imediato questionamos o time envolvido no desenvolvimento do projeto sobre a razão pela qual estavam solicitando o endereço residencial do cliente se não existia entrega física.
A resposta do time foi que, eventualmente, poderia haver a necessidade da empresa ingressar judicialmente em face desse cliente, por exemplo, se este resolvesse realizar um “chargeback” após o período de arrependimento e já de posse integral do produto ofertado.
Essa justificativa, inicialmente, até poderia ser aceitável, contudo, a lei é bastante clara sobre sobre a realização do tratamento com a limitação “ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados“, e aqui entra outro ponto que merece destaque em relação a este princípio: o tempo da coleta.
Quando uma empresa busca a conformidade com a LGPD, esta não pode ser adiantar e “prever” acontecimentos futuros que demandem a coleta de um dado que no momento ficará somente “guardado”em sua base para uma possível utilização, o tratamento precisa ser real para que seja legítimo.
É muito comum que as empresas queiram ter o “dado guardado” para um projeto ou finalidade futura, só que esta prática não é mais tolerada, uma vez que o dado só poderá ser coletado no momento em que a empresa for utilizá-lo efetivamente.
Atender ao Princípio da Necessidade não é somente tratar os dados que forem necessários, é compreender que a coleta só poderá ocorrer, também, no momento em que for necessária.
