As legislações brasileiras não estabelecem um tempo máximo de retenção para os dados. Algumas apontam para o tempo mínimo e outras não especificam este período, deixando-o em aberto, possibilitando discussões jurídicas sobre o assunto
Tamíris Guidugli (*)
Agora é para valer. A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, já tem recursos para sancionar as empresas, tanto públicas quanto privadas, com advertências e multas. Criada para proteger os dados pessoais, seu foco envolve qualquer tipo de informação que torne uma pessoa física identificável, incluindo não somente os dados associados aos cadastros de clientes, como nome, CPF, endereço e telefone, mas também os perfis comportamentais, financeiros e dados sensíveis, ou seja, aqueles que podem gerar algum tipo de discriminação, como as informações relacionadas à saúde, religião e orientação sexual.
As instituições atuantes no mercado financeiro devem abordar a LGPD com prioridade. Afinal, as consequências legais do não cumprimento dessa legislação vão muito além do prejuízo financeiro com as multas, que podem ser aplicadas pelo descumprimento da nova regulamentação. Estamos falando de danos à reputação e perda de confiança dos seus clientes e investidores, já que ambas são de extrema importância para a manutenção da notoriedade da instituição financeira no mercado e recurso essencial nas relações com os clientes e investidores.
Neste mercado competitivo e repleto de regulamentações, a LGPD junta-se a outras normas já existentes, reguladas principalmente pelo Conselho Monetário Nacional (CMN), formado por órgãos supervisores, como Bacen, CVM, B3 e Anbima, que proporcionam ao consumidor transparência e segurança aos tratamentos realizados com os seus dados.
Tendo em vista o próprio direito do titular, na qual o cliente pode revogar o consentimento em relação ao tratamento dos seus dados pessoais e pedir o descarte deles e a exigência de deleção dos dados, ambos previstos pela LGPD, é de extrema importância ter bem definido dentro das instituições financeiras não somente a finalidade do tratamento do dado pessoal, com o seu respectivo embasamento legal, mas, também, o prazo de retenção e o processo de deleção dos dados.
As próprias exigências do CMN e as demandas oriundas da Justiça, embasadas nos Códigos Civil e Penal, nas leis de Proteção à Lavagem de Dinheiro, bem como em quebra de sigilos bancários, advindas de investigações fiscais, tributárias e instaurações de CPIs (Comissões Parlamentares de Inquérito), servem de base para definir qual é o tempo máximo de retenção, de maneira correta e efetiva,
tornando-se um grande desafio perante esta emaranhada teia de leis e regulamentações em que vive o mercado financeiro atualmente.
Os dados pessoais contidos nas atividades de processamentos realizadas pelas instituições financeiras, em sua grande maioria, devem se manter à disposição do Banco Central pelo período mínimo de dez anos, contados a partir do primeiro dia do ano seguinte ao término do relacionamento com o cliente. Esse mesmo prazo vale para os registros de todas as operações realizadas, contado o prazo a partir do primeiro dia do ano seguinte ao da realização da operação.
Projeções futuras de negócio
A própria instituição financeira pode utilizar os dados dos seus clientes como forma de estudar e fazer projeções futuras de negócio, por isso o interesse no armazenamento dos dados. Esses históricos dos clientes, assim como os de transações, operações e análises de créditos ajudam o setor a identificar perfis para desenvolver novos produtos e serviços, possibilitando a continuação do negócio. Adicionalmente, estes dados também são utilizados em Cálculos de Capitais Regulatório e Econômico, determinados pelo Acordo de Basileia.
Em resumo, as legislações brasileiras não estabelecem um tempo máximo de retenção para os dados. Algumas apontam para o tempo mínimo e outras não especificam este período, deixando-o em aberto, possibilitando discussões jurídicas sobre o assunto. Vale ressaltar que, se uma instituição considera o tempo mínimo de retenção como tempo máximo, há o risco deste período não ser suficiente caso haja uma demanda de um órgão fiscalizador que não determina um tempo específico de retenção.
Apesar da LGPD prever que os dados precisam ser deletados após o encerramento da finalidade da atividade de processamento, as instituições também precisam continuar armazenando-os para o cumprimento de obrigações legais ou regulatórias, já que a Legislação Brasileira não estipula um tempo máximo de requerimento de informações.
Como alternativa para esta falta de clareza e de amadurecimento em relação a um assunto que ainda é novo e desafiador, a melhor solução para as instituições é a criação de uma tabela de temporalidade, definindo internamente quais serão os períodos mínimos e máximos de retenção que serão adotados. Mas, isso requer ampla divulgação, deixando claro ao titular e aos reguladores e fiscalizadores quando eles serão aplicados, garantindo a transparência e a segurança, princípios fundamentais dentro do competitivo mercado em que vivemos atualmente.
(*) Consultora de Data Privacy da ICTS Protiviti