Inês Oliveira, Especialista em proteção de dados pessoais
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), doravante RGPD, consagra como princípio relativo ao tratamento de dados pessoais a limitação da conservação (art. 5.º n.º 1 e)).
Com efeito, como regra, o RGPD determina que os dados pessoais devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados.
Esta norma revela-se de grande simplicidade, permitindo-nos afirmar que as organizações devem – podem e devem – arquivar dados pessoais durante o prazo necessário à execução do fim que legitimou a sua recolha. Ou seja, se uma empresa presta um serviço a um cliente, pode e deve guardar os dados pessoais desse cliente durante o período da prestação do serviço.
Isso mesmo resulta do art. 21.º da Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do RGPD, ao prever que o prazo de conservação de dados pessoais é o que estiver fixado por norma legal ou regulamentar ou, na falta desta, o que se revele necessário para a prossecução da finalidade (n.º 1). Simples.
A simplicidade normativa não é mais do que uma constatação temporária. Ao percorrer o citado art. 21.º da Lei n.º 58/2019, de 8 de agosto, torna-se evidente que o legislador abrilhantou a norma com a seguinte determinação: quando os dados pessoais sejam necessários para o responsável pelo tratamento, ou o subcontratante, comprovar o cumprimento de obrigações contratuais ou de outra natureza, os mesmos podem ser conservados enquanto não decorrer o prazo de prescrição dos direitos correspetivos (n.º 3). E é aqui que este princípio se torna pouco compreensível pelo comum dos mortais, havendo que questionar quais os direitos correspetivos a que o legislador quis dar destaque.
A prática tem tentado descomplicar a determinação concreta de prazos de conservação de dados pessoais, colando ao prazo de 10 anos a generalidade dos tratamentos de dados. 10 anos esses que aparecem como regra no Código Comercial (art. 40.º), sendo a obrigação de arquivar a correspondência, a escrituração mercantil e os documentos aplicável a todos os comerciantes.
Mas, sublinhe-se, apenas caso a caso, tratamento a tratamento, é que devemos aferir o prazo de conservação e não nos deixarmos levar por abstrações e obrigações generalistas de arquivamento.
E porquê é essencial determinar prazos de conservação?
Precisamente porque o seu decurso faz nascer a obrigação, para o responsável pelo tratamento, entenda-se, de destruição ou anonimização (art. 21.º n.º 4 da Lei n.º 58/2019, de 8 de agosto), visando o legislador com isso proteger Todos e cada Um de nós das amarras a informações que nos podem prejudicar, criando todo o tipo de estigmatizações, estereótipos e discriminações.
Por isso mesmo, se o princípio-regra da limitação da conservação é essencial no contexto do arquivo interno das organizações, de capital importância se torna quando falamos em informações publicadas na Internet. Nestas, sobretudo nestas, há que determinar um prazo para a sua divulgação pública.
Neste contexto, é, pois, de aplaudir o Conselho Superior da Magistratura (CSM), que recentemente aprovou a política de fixação de prazos para as publicações de dados judiciais em portais públicos e o respetivo prazo para apagamento, garantindo o cumprimento do RGPD e a conciliação entre os direitos à privacidade e à proteção de dados e o interesse público na manutenção da publicação online.
A Todos sugerimos a consulta aqui
Aproveitando a oportunidade para reforçar que, nos novos tratamentos de dados, futuros, a indicação do respetivo prazo de conservação e alarmística de apagamento findo o mesmo é fundamental.
Inês Oliveira, Especialista em proteção de dados pessoais
