De modo geral, quando uma folha de papel não tem mais utilidade, faz-se o seu descarte na lixeira mais próxima, sem maiores preocupações.

Entretanto, se a folha contiver informações relativas a alguma pessoa identificada ou identificável, ou seja, dados pessoais, este ato constitui um incidente de segurança, sujeito às disposições da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).

Jogar a folha de papel na lixeira é uma forma inadequada de descarte dos dados pessoais, que constitui tratamento de dados na modalidade de eliminação. Define a LGPD tratamento de dados como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X).

Estão sujeitos ao cumprimento da LGPD todas as pessoas jurídicas de direito público e privado, independentemente do seu porte ou se possui fins lucrativos, incluídas empresas, associações, fundações, organizações não-governamentais (ONG’s), organizações religiosas, partidos políticos, sindicatos, condomínios, entes públicos, além das pessoas naturais, no exercício de atividade econômica.

Estes agentes de tratamento de dados têm o dever legal de realizar cada operação de tratamento dados, como as exemplificadas acima, mediante os parâmetros postos pela LGPD, notadamente indicando uma das hipóteses da Lei que autorizam o tratamento de dados pessoais (base legal), implementando os princípios e os direitos dos titulares dos dados instituídos na Lei, bem como medidas técnicas e administrativas aptas a proteger os dados “de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (art. 46).

O ato de descartar os dados pessoais na lixeira portanto constitui violação da LGPD, que pode ensejar aplicação de sanção administrativa pela Autoridade Nacional de Proteção de Dados - ANPD e reparação por danos materiais e/ou morais eventualmente causados aos titulares daqueles dados.

No processo de adequação à LGPD, a organização estabelece uma política interna para o tratamento destes dados, define processos (incluindo modos adequados de descarte ou eliminação dos dados mantidos tanto em meio físico, quanto eletrônico) e responsabilidades, além de instituir um plano de resposta a incidentes de segurança com dados pessoais, dentre outras providências.

O protocolo de resposta ao incidente de segurança inclui medidas a serem adotadas para mitigar danos aos titulares das informações. Ao menos três podem-se apontar para a hipótese: a imediata eliminação dos dados mediante uma adequada forma de descarte da folha de papel (como a fragmentação ou a incineração), avaliação da necessidade de revisão do processo interno que permitiu o desvio de conduta que ensejou o incidente e realização de novo treinamento dos colaboradores.

Estatisticamente, o erro humano é uma das causas mais frequentes de incidente de segurança de dados pessoais, cujo risco pode ser minimizado mediante o treinamento da equipe.

Merece destaque a orientação para manutenção de registro de um incidente aparentemente irrelevante (ainda que não seja o caso). Ao contrário do senso comum ainda vigente, que aponta para esconder os fatos, em matéria de proteção de dados pessoais o registro, demonstrando adequadas apuração e aplicação de medidas corretivas, é efetiva implementação do princípio da transparência, considerado central na garantia dos direitos dos titulares dos dados.

Com o registro dos fatos relativos ao incidente, a organização demonstra ser diligente, responsável, cumpridora dos deveres legais, respeitosa dos direitos dos titulares dos dados, enfim, que trabalha no sentido da conformidade legal, o que tem um peso considerável na definição das sanções a serem eventualmente aplicadas.

Não atende às exigência da LGPD demonstração de meras formalidades, como por exemplo a existência do código de boas práticas, sem a comprovação de realização dos treinamentos dos colaboradores.

Uma vez que o princípio do privacy by design exige a eficácia das medidas efetivamente implementadas, a demonstração de meras formalidades não faz prova sequer da boa fé, um dos macro princípios que regem a atividade de tratamento de dados pessoais.