Esse tema surgiu durante uma reunião com um cliente nesta semana, onde discutíamos sobre a coleta excessiva de dados. Utilizamos o exemplo do processo de Recursos Humanos, que la é conhecido como: Recrutamento, Gestão e Seleção.
Nessa etapa, o RH estava solicitando informações como CPF, número da Carteira de Trabalho e nome do cônjuge. Imagine que eles estavam recebendo cerca de 100 currículos (eletrônico e físico) com todas essas informações. Isso representa um risco latente para a empresa.
Foi então que começamos a explicar a importância da minimização da coleta de dados, principalmente durante a jornada do recrutamento até a contratação efetiva do funcionário. Recomendamos que apenas nessa fase final o RH solicite dados mais detalhados.
Por que é importante minimizar a coleta de dados?
Antes de falar sobre minimizar a coleta de dados, é importante entender por que isso é tão importante. Quando nossos dados são coletados em excesso, corremos o risco de expor informações pessoais sensíveis e permitir que elas sejam usadas de maneiras que não consentimos. Além disso, a coleta excessiva de dados pode criar um risco maior de violações de segurança para empresa, e um custo maior para proteção.
Coletando apenas o necessário
Ao coletar dados, é essencial garantir que você esteja coletando apenas o necessário. Antes de começar a coleta de dados, pense nos diferentes tipos de informações que você precisa e tente limitar sua coleta ao estritamente necessário. Por exemplo, se o seu aplicativo só precisa saber o ano de nascimento dos usuários, não há necessidade de armazenar a data de nascimento completa.
Quando se trata de dados especialmente sensíveis, como informações de saúde ou condenações criminais, é crucial coletar apenas o mínimo necessário. Se possível, evite coletar esses tipos de dados, pois eles estão sujeitos a regulamentações rigorosas. A solução mais simples é não coletá-los, a menos que seja absolutamente necessário para o funcionamento do seu aplicativo.
No exemplo do processo de Recrutamento, Gestão e Seleção, é comum realizar uma verificação de antecedentes, como um background check. No entanto, não é necessário coletar dados detalhados, como o CPF, de todos os 100 candidatos, considerando que apenas 3 a 5 serão selecionados para a shortlist. Nesse caso, é recomendado minimizar a coleta de informações e solicitar o CPF apenas dos candidatos da shortlist. Isso otimiza o processo e evita a coleta desnecessária de dados.
Definindo períodos de retenção de dados
Para garantir uma gestão adequada dos dados coletados, é essencial associar períodos de retenção a cada categoria de dados, dependendo do objetivo do processamento e das obrigações legais e regulamentares relacionadas à sua retenção. Documente as durações de retenção definidas e esteja preparado para justificá-las, se necessário.
Finalizou o processo de contratação? Já decidiu qual candidato escolher? Agora é hora de eliminar os dados do demais 100 candidatos, a menos que haja um propósito específico (e informado aos candidatos), como a intenção da empresa em contratar outros profissionais para posições semelhantes, nesse caso, os currículos poderão ser mantidos. Quanto menos informações pessoais forem coletadas, menor será o custo para a área de TI/Segurança proteger esse repositório de currículos.
Excluindo dados automaticamente
Uma vez coletados, é importante implementar mecanismos de exclusão automática para garantir que os dados não sejam mantidos além do necessário. Configure um sistema de deleção automática no final do período de retenção. Além disso, é recomendado realizar revisões manuais periódicas dos dados armazenados para garantir a exclusão completa.
Para garantir a exclusão completa dos dados, é importante apagar fisicamente todas as informações que não são mais necessárias. Use ferramentas especializadas ou destrua fisicamente a mídia em que os dados estão armazenados. Se os dados ainda forem úteis, é possível reduzir sua sensibilidade por meio de técnicas como a pseudonimização ou anonimização.
Lembra que mencionamos que eles também estavam recebendo currículos em papel? Bem, aqui também será necessário um procedimento seguro para o descarte dessas informações.
Por fim, minimizar a coleta de dados é essencial para proteger a privacidade e diminuir custos para a empresa. Ao coletar apenas o necessário e implementar mecanismos de exclusão automática, você pode garantir que os dados sejam tratados com responsabilidade.
