É comum associarmos a quantidade de dados coletados ao nível de segurança necessária para o estabelecimento de uma relação jurídica. Todavia, o que se tem visto nos últimos tempos é a coleta excessiva de dados pessoais, muitas vezes sem um propósito específico. A ideia era (e em alguns casos, ainda é) coletar a maior quantidade possível de dados para apenas depois verificar se seriam efetivamente necessários.
Isso provavelmente decorria da intenção das empresas de tentar conhecer cada vez mais e melhor o seu público consumidor em paralelo com desenvolvimento da ciência de dados utilizada na análise de informações com objetivos estratégicos, mas também da ausência de lei específica regulando o tratamento dos dados pessoais.
No entanto, essa lógica deixou de se aplicar quando os dados coletados possuem natureza pessoal, em virtude da promulgação da Lei Geral de Proteção de Dados Pessoais ("LGPD") que passou a regular o tratamento de tais dados, gerando, portanto, novas obrigações para quem os coleta ou trata de alguma forma.
Considerando que a coleta exacerbada de dados foi uma das motivações da LGPD, é importante entender como a LGPD pretende mudar a forma como as empresas que realizam atividades de tratamento de dados pessoais ("Agentes de Tratamento") realizam coletas de dados pessoais, incitando a minimização.
Primeiramente, cumpre esclarecer que a LGPD estabelece que as atividades de tratamento de dados pessoais deverão observar determinados princípios. Dentre eles, estão os seguintes:
finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Ou seja, os dados pessoais coletados e posteriormente tratados pelos Agentes de Tratamento, devem ser compatíveis com as finalidades informadas previamente, como também limitar-se aquele mínimo necessário para a realização de tais atividades.
Ademais, a LGPD prevê ainda que toda a atividade de tratamento de dados pessoais deva estar respaldada em uma hipótese autorizativa. Isso significa dizer que toda a atividade de tratamento de dados pessoais exige uma base legal que justifique a sua realização, caso contrário, esta será considerada indevida. Nesse sentido, coletar mais dados pessoais significará ter uma responsabilidade maior, tendo em vista que (i) grandes volumes de dados pessoais geram proporcionais demandas por bases legais que fundamentem seu tratamento e (ii) essa fundamentação pode se tornar ainda mais complicada caso os dados coletados possuam natureza sensível, já que as bases legais que legitimam seu tratamento são mais restritivas do que as utilizadas para os dados pessoais comuns.
Claro que, se tal coleta for realmente necessária, encontrar a hipótese que autorize o tratamento será a única solução cabível. No entanto, optar por assumir uma maior responsabilidade sem necessidade pode ser uma estratégia arriscada. Estatística do site GDPR Enforcement Tracker, aponta a falta de bases legais que legitimem as atividades de tratamento de dados pessoais como a principal causa de aplicação de multas por violação ao General Data Protection Regulation (GDPR).
Além disso, não podemos deixar de levar em consideração que as novas obrigações impostas pela LGPD aos Agentes de Tratamento podem interferir em um importante aspecto do negócio em si: o seu custo operacional. O custo operacional pode se tornar um aspecto relevante quando o assunto for "coleta de dados pessoais" pois (i) o tratamento de bases de dados extensas pode requerer a utilização de ferramentas e/ou sistemas mais sofisticados (e custosos) e (ii) o tratamento de dados pessoais sensíveis exigirá maior cuidado por parte do Agente de Tratamento, o que também pode acabar gerando custos adicionais.
Sendo assim, levando em consideração que a quantidade de dados pessoais coletados pode estar diretamente ligada ao custo operacional de um Agente de Tratamento, minimizar essa coleta pode significar uma diminuição de custos no final do mês.
Em síntese, minimizar a coleta de dados pessoais de sua empresa pode significar redução não apenas do risco envolvido, mas também do custo operacional da atividade de tratamento de dados. Na lógica da LGPD, especialmente em se tratando da "coleta" de dados pessoais, menos pode sim significar mais.
Renata Ciampi / Ítalo Lima
Equipe de Tecnologia, Propriedade Intelectual e Direito Digital - Motta Fernandes