Descarte de dados: Entenda sobre e quais cautelas tomar

A Lei Geral de Proteção de Dados, ou LGPD, está em vigor desde 2018 e, dentre tantos cuidados com as informações de terceiros, também prevê o descarte de dados, no Capítulo VII, que trata sobre segurança e boas práticas. 

Dessa forma, as organizações devem cumprir com as responsabilidades que lhe cabem, tanto sobre a captação quanto ao descarte de dados. 

Muitas das práticas envolvidas se relacionam como conformidade geral, pois a LGPD é um documento abrangente, que aborda todas as questões, desde a coleta e compartilhamento, até o descarte de dados. 

Por isso, as empresas devem tomar todas as precauções necessárias para que, a partir da coleta de dados de forma legal e com consentimento, também devem armazenar com segurança e privacidade, conforme estipula a LGPD.

Dentro das imposições da LGPD, e também como respeito aos direitos dos proprietários de dados, uma oficina de injeção eletrônica mais próxima, como qualquer outra, deve disponibilizar às pessoas a opção de limpar ou excluir qualquer informação por completo.

Seguindo os passos gerais, no momento que chega uma solicitação, os dados armazenados essenciais devem ser eliminados, e a coleta adicional deve ser interrompida. 

Caso alguma empresa ignore essas solicitações pode se prejudicar, tanto nas relações comerciais e com os consumidores, mas também pode resultar em multas.

A conformidade com o LGPD parece bastante simples, mas há preocupações além de simplesmente garantir que os dados sejam apagados de um disco rígido.

O que é descarte de dados?

O descarte de dados é um processo que elimina qualquer resquício em dispositivos portadores de informações, como uma loja que vende esquadria de alumínio sob medida para o setor da construção civil. 

Após o processo de descarte, os dados são considerados irrecuperáveis por qualquer pessoa que, posteriormente, venha a possuir a tecnologia. 

Nesse sentido, o descarte de dados é distinto da exclusão de arquivos. 

Um arquivo excluído de um dispositivo comercial, como um notebook, pode ficar inacessível ao usuário final, mas as informações permanecem, de alguma forma, no disco rígido do dispositivo. 

O descarte de dados é o processo de destruição de todas as informações ali contidas, na totalidade, impossibilitando qualquer tipo de recuperação.

Métodos de descarte de dados

O descarte de dados é a destruição completa de toda e qualquer tipo de informação, com o propósito de garantir que não estejam mais:

• Acessíveis 
• Disponíveis, 
• Legíveis;
• Recuperáveis.

Tudo se resume a um cronograma de retenção, seja uma organização pública ou particular, que fornece toda a base de gestão sobre registros e departamentos jurídicos, a fim de organizar os dados e informações dentro das necessidades comerciais e conformidade legal.

Cada organização pode implementar uma política de retenção, inclusive entre setores internos de uma estação de tratamento de água, mas deve ser baseada nos requisitos de negócios e nas regulamentações jurídicas externas, no caso a LGPD, que todos devem cumprir. 

Sendo assim, a partir da política de retenção de uma empresa, ela pode usar ao menos 5 métodos de descarte de dados.

1. Anonimização de dados

Essa é uma alteração de dados para que o titular não seja mais identificado, tanto de forma direta como indiretamente. 

Esse processo pode ser feito por uma técnica de “tokenização”, isto é, transforma um dado significativo em caracteres aleatórios. 

Essa metodologia é usada amplamente na indústria de cartões de pagamento para proteger os dados do titular do cartão, assim como no setor da saúde, para garantir a proteção de dados privados, e minimizar o risco de vazamento de informações. 

De qualquer maneira, a tokenização impede que uma empresa de arquitetura e engenharia use dados anônimos coletados em esforços de marketing, ou para personalização da experiência do usuário, simplesmente porque essa pessoa passa a ser uma desconhecida.

2. Exclusão de dados

Esse método remove os dados, mas deixa-os em um estado recuperável. 

Diferente de outros métodos, os dados são excluídos como estrutura de arquivo dentro de um SO (Sistema Operacional), mas podem ser recuperados a partir de comandos por meio de softwares dedicados.

Portanto, a exclusão de dados apresenta risco para uma empresa, exatamente porque as informações podem ser recuperadas com certo conhecimento técnico e uma ferramenta digital apropriada. 

3. Destruição de criptografia de dados 

A exclusão das chaves de criptografia de dados impossibilita a descriptografia enquanto estiverem em qualquer um dos 3 estados de dados, sendo: repouso, em trânsito ou em uso. 

Se os dados são criptografados, por que a preocupação sobre eles? 

Na verdade, é porque a força da criptografia pode ser enfraquecida com o tempo, conforme o poder da computação e tecnologia evolui.

A destruição de criptografia de dados é eficaz a partir do momento que há um serviço de criptografia protegendo os dados de um projetos de arquitetura, para evitar qualquer descarte inesperado. 

4. Desmagnetização de dados

Esse método apaga permanentemente os dados da mídia magnética ao enfraquecer o campo magnético para a limpeza digital, com o intuito de apagar por completo todo o conteúdo.

A desmagnetização de dados pode ser executada em certos tipos de dispositivos de armazenamento, mas não se aplica a SSDs, pois esses não armazenam dados magneticamente.

5. Destruição total de dados

A destruição física completa de discos, fitas de armazenamento, e outras formas de mídia eletrônica. 

A única consequência desse método é o custo da perda do dispositivo destruído, pois ele perde todo o poder de uso. 

Uma empresa administradora de condomínio pode optar pelo descarte de dados dependendo das necessidades de negócios, assim como da importância das informações armazenadas. 

A maneira mais apropriada e eficaz para o descarte de dados é, primeiro, aplicar a desmagnetização e, logo depois, executar a destruição física, eliminando qualquer risco de que um dispositivo destruído seja recuperado fisicamente.

Necessidade da política de descarte de dados

Além de seguir as boas práticas elaboradas pela LGPD, é importante que toda empresa tenha uma política de descarte de dados. 

1. Ajuda na proteção contra violações de dados

Uma política de descarte de dados consistente e à prova de falhar é primordial, pois atende a todos os pontos de contato e fluxos de ciclo de vida de ativos de TI (Tecnologia da Informação) de uma empresa. 

Isso inclui realocação e fluxos de trabalho de fim de vida. 

Dessa forma, permite que as equipes de gerenciamento de ativos de TI possam implementar práticas de descarte de dados de maneira rigorosa, sendo verificadas em todas as unidades e subsidiárias da organização, mantendo a adesão em larga escala.

2. Guia de descarte de dados conforme tipo de mídia 

A implementação da política de descarte de dados fornece orientações preciosas quanto a destruição de ativos com base no tipo de mídia que uma empresa que produz laudo técnico de inspeção predial utiliza na rotina de trabalho.

Um exemplo é a utilização de técnicas de destruição física para fita e mídia óptica, assim como o descarte de dados de SSDs em discos rígidos. 

Além disso, a política de descarte de dados define protocolos específicos para a eliminação de diferentes tipos de dados com base nos níveis de categorização e sensibilidade de segurança.

3. Define a propriedade e as responsabilidades

Quando bem articulada, a política de descarte de dados define de forma precisa a propriedade, dentro de uma cadeia de custódia, quanto aos dispositivos de armazenamento, demarcando as funções e demais responsabilidades. 

A política implementada fornece todo o mapeamento de responsabilidade, como um organograma de escalonamento, para abordar possíveis contingências e lacunas no processo de descarte de dados.

4. Garante a conformidade de acordo com a LGPD

A LGPD, assim como outras legislações vigentes em outros países, têm disposições que obrigam as empresas e demais organizações a realizar o descarte de dados do consumidor, com base no consentimento explícito concedido para coleta, armazenamento e processamento de dados. 

No entanto, pode haver diferenças, mesmo que sutis, nos requisitos quanto ao descarte de dados, estabelecidos nessas leis. Mas elas contemplam, de alguma forma, o respeito aos consumidores.

Conclusão

Por fim, vale reforçar que as empresas devem cumprir a LGPD pois, em caso de violação ou a falta de descarte de dados de maneira correta resulta em repercussões legais e financeiras.

Dessa forma, todas as empresas de transporte de cargas devem aderir à LGPD, incluindo o descarte de dados, que é um componente significativo.

Todo e qualquer usuário deve ter o controle para eliminar os dados confidenciais relacionados a ele, e a conformidade deve ser imediata.

Todos os dados existentes, físicos ou virtuais, devem ser devidamente destruídos quando uma solicitação nesse sentido é apontada. 

Para além disso, a mídia física deve ser descartada de maneira adequada após o uso, o que exige práticas cabíveis, como a trituração ou a desmagnetização. 

A falha em incorporar tais práticas leva a sérias consequências, o que pode prejudicar um negócio para sempre. 

Conforme a sociedade adota mais e novas tecnologias e a coleta de dados, as empresas devem continuar a honrar as diretrizes estabelecidas pela LGPD, e fazer o descarte de dados de maneira apropriada e correta.

Texto originalmente desenvolvido pela equipe do blog Business Connection, canal em que você pode encontrar centenas de conteúdos informativos sobre diversos segmentos.