Embora haja uma atenção voltada para os momentos de coleta e uso útil dos dados, o descarte deles também é uma modalidade de tratamento de dados e deve ser feito de modo adequado, para não colocar em risco os direitos e liberdades dos respectivos titulares.

A conduta de descarte inadequado dos documentos que contêm dados pessoais, por si só, representa um incidente de segurança de dados pessoais e sujeita o infrator às penalidades da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), independentemente de haver um efetivo prejuízo para o titular dos dados. Uma eventual ocorrência de dano poderá fazer acrescer, para o responsável, uma responsabilização indenizatória.

Empresas e organizações devem instituir processos seguros de destruição de documentos, arquivos e discos rígidos, que protejam a informação pessoal, seja ela relativa a clientes, fornecedores ou colaboradores.

A implementação de processos adequados de descarte da informação de natureza pessoal passa necessariamente pelo treinamento de todo o pessoal. Estudos revelam que a negligência ou o erro humano estão entre as maiores causas de incidentes de segurança com dados pessoais. 

A LGPD se aplica aos dados pessoais tratados tanto em ambiente digital, quanto físico, o que torna necessário despender uma atenção para o descarte de papel.

Comportamentos e rotinas definem o destino final dos documentos e dispositivos, de modo que a sua definição prévia pela organização, com o correspondente treinamento do pessoal, são medidas de adoção indispensável e inadiável.

A prática comum de descarte de documentos em lixeiras ou caixas de reciclagem abertas, ordinariamente dispostas próximas a impressoras ou em salas de reuniões, deve ser abolida, uma vez que tais locais se convertem num foco de vazamento de informações. 

Papéis e documentos que contenham dados pessoais devem ser destruídos antes de serem descartados. A utilização de máquinas trituradoras de papel pode ser uma solução, mas desde que se assegure a indisponibilidade do acesso ao material triturado e a inviabilidade da reconstituição dos originais. 

Os meios adequados a utilizar podem ser livremente decididos pelos responsáveis pelo tratamento dos dados, podendo variar dos mais sofisticados aos mais simples e rudimentares – importa que sejam aptos a alcançar o resultado almejado: a segurança das informações.

Um importante aspecto do regime jurídico da proteção de dados é o mecanismo da abordagem baseada no risco, segundo o qual o agente de tratamento de dados tem a faculdade de implementar as medidas técnicas e administrativas que melhor se encaixem no seu  modelo de negócio e atendam à sua realidade empresarial / organizacional, desde que tais medidas sejam aptas a promover o resultado esperado, que é o de proteger os dados pessoais contra acesso não autorizado ou o uso ilícito ou inadequado.

Isto significa que não tem o agente de tratamento de dados o dever de garantir a inocorrência de um vazamento de dados, mas que tem ele o dever de implementar medidas com aptidão para assegurar a proteção dos dados. 

Deste modo, na hipótese de ocorrer um vazamento de dados, apesar da implementação de tais medidas, a sua responsabilidade poderá ser atenuada, ou mesmo afastada, segundo a análise do caso concreto. 

Também os dados pessoais constantes de dispositivos eletrônicos devem ser protegidos, desde a criação até a eliminação (lembrando que deve sempre ser estimado um prazo de vida útil para os dados). 

Os agentes de tratamento devem implementar processos para uma eliminação segura destes dados, bem como uma destruição também segura de discos rígidos ou outros dispositivos de armazenamento, com pen drives e HD externos.

Se a organização não puder contratar os serviços de empresas especializadas em descarte de documentos físicos e digitais, aconselha-se a realização de treinamento para o pessoal interno, com um especialista em Tecnologia e Segurança da Informação, versado nos parâmetros da LGPD, para a instituição dos processos adequados de descarte de dados a serem seguidos.

Da conjugação dos princípios da prevenção e da responsabilização e prestação de contas decorre o dever das empresas e organizações de agir previamente e de ser capaz de demonstrar a implementação das medidas de proteção aos dados e a aptidão destas medidas para o objetivo visado, sendo esta a sua via de defesa, na hipótese de ocorrência de um incidente de segurança de dados pessoais.