A gestão documental desempenha um papel crucial na conformidade com a Lei Geral de Proteção de Dados (LGPD) e é fundamental para proteger a privacidade e os direitos dos titulares de dados.

A gestão documental, também conhecida como gestão de documentos, é o processo de gerenciar todos os documentos de uma organização, desde a sua criação até a sua destinação final, de maneira eficiente e organizada. Isso envolve a criação, captura, classificação, armazenamento, recuperação, preservação e, em alguns casos, a destruição de documentos de acordo com as necessidades da organização e as regulamentações aplicáveis.
Entenda a importância da gestão documental em relação à LGPD abaixo:
1-Identificação e Classificação de Dados Pessoais
A Gestão Documental ajuda na identificação e classificação de documentos que contêm dados pessoais e dados pessoais sensíveis. Isso permite que você saiba quais informações estão sob sua responsabilidade e como elas devem ser tratadas de acordo com a LGPD.
1-Exemplo: O cadastro de funcionários pode incluir informações como nome, endereço, número de seguro social, informações bancárias para pagamento de salário, registros de desempenho e informações de contato. Esses dados são claramente identificados como dados pessoais, uma vez que se relacionam diretamente com indivíduos identificáveis.
2-Exemplo: Registros médicos de pacientes em um hospital incluem informações como nome, data de nascimento, histórico de tratamento, diagnósticos e resultados de exames. Esses dados são identificados como altamente sensíveis e pessoais, pois contêm informações médicas confidenciais. Eles são frequentemente classificados como “dados pessoais sensíveis” de acordo com as regulamentações de privacidade ( LGPD ).
A identificação e classificação apropriadas dos dados pessoais são fundamentais para garantir que essas informações sejam tratadas de maneira adequada e que os requisitos de privacidade sejam atendidos. A classificação ajuda as organizações a entender quais medidas de segurança e políticas de privacidade devem ser aplicadas a cada tipo de dado pessoal.
Artigo 49º – Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
2- Controle de Acesso dos Dados Pessoais
Uma parte importante da LGPD é garantir que apenas pessoas autorizadas tenham acesso a dados pessoais. A segurança dos dados pessoais é fundamental para proteger informações confidenciais contra acesso não autorizado, vazamentos e violações de privacidade. A gestão documental ajuda a controlar quem pode acessar documentos que contenham esses dados e registra quem os acessou.
1- Exemplo: Uma instituição de saúde pode implementar controles rigorosos de acesso para garantir que apenas funcionários autorizados tenham permissão para visualizar registros médicos de pacientes. Seus funcionários deverão escolher senhas fortes para acessar sistemas que contenham dados pessoais e dados pessoais sensíveis. Os funcionários precisam autenticar-se e ter permissões específicas para acessar esses dados.
2-Exemplo: Uma instituição de ensino faz backup regular dos registros acadêmicos dos alunos e mantém cópias seguras em um local separado. Isso garante que os dados estejam disponíveis em caso de perda ou falha do sistema.
Artigo 6º- As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Artigo 44º – O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
3- Tempo de Retenção e Descarte Seguro
A LGPD estabelece que os dados pessoais só podem ser mantidos pelo tempo necessário para a finalidade para a qual foram coletados. A gestão documental ajuda a estabelecer políticas de retenção e descarte seguro de documentos, garantindo que os dados pessoais não sejam mantidos indefinidamente.
1- Exemplo: Uma empresa segue rigorosamente suas políticas de retenção de dados para garantir que os dados pessoais não sejam mantidos por mais tempo do que o necessário. Isso ajuda a reduzir o risco de exposição indevida.
2-Exemplo: Uma Clínica de Saúde mantem os registros médicos de seus pacientes por 20 anos após o último tratamento do paciente, conforme exigido por regulamentações de saúde. Após o período de retenção, os registros médicos são destruídos de forma segura, como por meio da fragmentação de documentos físicos ou da eliminação segura de registros eletrônicos, conforme a LGPD.
Artigo 15º – O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
4- Resposta a Solicitações dos Titulares de Dados
A LGPD permite que os titulares de dados solicitem o acesso aos seus próprios dados pessoais. Uma boa gestão documental facilita a localização e recuperação desses dados quando necessário para atender a essas solicitações.
1-Exemplo: Um cliente envia uma solicitação por e-mail solicitando acesso aos seus dados pessoais que uma empresa de comércio eletrônico coletou durante suas compras anteriores. A empresa verifica a identidade do cliente, localiza os dados pessoais relevantes e fornece uma cópia eletrônica dos dados em um formato legível por máquina.
2-Exemplo: Um funcionário percebe que seu endereço de e-mail no registro de recursos humanos da empresa está incorreto. O funcionário envia uma solicitação para corrigir o endereço de e-mail. A equipe de RH verifica a solicitação, faz a correção e notifica o funcionário sobre a atualização.
Artigo 6º- As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
5- Registro de Consentimento
O consentimento é um elemento importante na Lei Geral de Proteção de Dados (LGPD) e em outras regulamentações de privacidade, pois permite que os titulares de dados concedam permissão para o tratamento de seus dados pessoais. Se o processamento de dados pessoais exigir consentimento dos titulares, é importante manter registros claros desse consentimento. A gestão documental ajuda a armazenar e acessar esses registros de consentimento de maneira organizada.
Artigo 7º -O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
Artigo 8º – O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
6- Auditorias e Conformidade
A LGPD exige que as organizações estejam em conformidade com seus requisitos. Uma gestão documental eficaz ajuda a demonstrar essa conformidade por meio de registros claros de políticas, procedimentos e ações tomadas para proteger os dados pessoais.
A auditoria de conformidade com a LGPD (Lei Geral de Proteção de Dados) é um processo crítico para garantir que uma organização esteja aderindo às regulamentações de privacidade de dados. Ela envolve a avaliação minuciosa das políticas, processos e práticas da organização para determinar se estão alinhados com os requisitos da LGPD.
Auditoria irá realizar a analise dos documentos, práticas e processos em relação aos requisitos da LGPD, como obtenção de consentimento, direitos dos titulares de dados, segurança de dados, registro de atividades de tratamento, realização de avaliações de vulnerabilidades em sistemas e redes para identificar e corrigir possíveis pontos fracos.
Artigo 6º- As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Artigo 37º -O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
7- Segurança de Dados
A segurança dos dados pessoais é de extrema importância para proteger a privacidade e a confidencialidade das informações pessoais de indivíduos.
A gestão documental também contribui para a segurança dos dados pessoais. Ela pode incluir medidas para proteger documentos eletrônicos, como sistemas operacionais, aplicativos e software de segurança, ( firewall, antivírus, relatório de eventos ) atualizados com as últimas correções de segurança e patches para proteger contra vulnerabilidades conhecidas. bem como garantir que apenas pessoas autorizadas tenham acesso. Também medidas para proteger documentos físicos como controle de acesso com senhas e pessoal autorizado no local onde os documentos estão armazenados.
Artigo 6º- As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
8- Treinamento e Conscientização
A gestão documental envolve a conscientização da equipe sobre as políticas e procedimentos relacionados à LGPD. Treine a equipe em práticas de segurança de dados, incluindo como identificar phishing, evitar malware e proteger informações confidenciais. Uma equipe bem treinada é fundamental para garantir a conformidade.
Artigo 50º- Regras de boas práticas e governança:
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
A gestão documental desempenha um papel central na conformidade com a LGPD, ajudando as organizações a identificar, proteger, reter e, quando necessário, descartar adequadamente os dados pessoais. Ter um sistema eficaz de gestão documental não apenas ajuda a cumprir a LGPD, mas também contribui para a proteção da privacidade dos indivíduos e a construção de confiança com os clientes e parceiros de negócios.