I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Excepcionalmente, a lei traz casos de possibilidade da conservação dos dados pessoais, para além dos casos descritos acima, quais sejam:

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Já a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), art. 7º, inciso X, aduz que é assegurado o direito a “exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei e na que dispõe sobre a proteção de dados pessoais”.

Pois bem: o Marco Civil da Internet complementa os casos de guarda obrigatória de registros de acesso a aplicações de internet na provisão de aplicações, para além do atingimento das finalidades para as quais foram criados. Aqui também se tratam de obrigações legais, que extrapolam o contrato e devem ser respeitadas:

Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento. (REGRA GERAL)

§ 1º Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não estão sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que se trate de registros relativos a fatos específicos em período determinado.

§ 2º A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior ao previsto no caput, observado o disposto nos §§ 3º e 4º do art. 13.

§ 3º Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo.

§ 4º Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.

Além das ordens supracitadas, as obrigações legais pendentes previstas em legislação esparsa no ordenamento jurídico pátrio também dão às empresas controladoras o dever de armazenar alguns dados pessoais. Parcelas a pagar, prazos de garantia ou de arrependimento, notas ficais e tributos são também exemplos de ocasiões que podem justificar a manutenção dos dados.

Como última ressalva, os contratos particulares que prevêem a manutenção dos dados pessoais além do prazo previsto em lei, devem fazê-lo somente se houver embasamento legal para tanto, sob pena de manutenção abusiva de dados pessoais.

Segundo as leis reguladoras, o provedor deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses.

Existem, no entanto, algumas razões que justificam a manutenção de dados pessoais além de 6 (seis) meses apos o término dos contratos:

• Cumprimento de obrigação legal ou regulatória pelo controlador (art. 16, inciso I da LGPD);
• Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais (art. 16, inciso II da LGPD);
• Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei (art. 16, inciso III da LGPD);
• Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (art. 16, inciso IV da LGPD).
• Sobrevindo ordem judicial, desde que se trate de registros relativos a fatos específicos em período determinado (Art. 15 § 1º do Marco Civil da Internet).
• Também a autoridade autoridade policial ou administrativa ou ainda o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior a 6 (seis) meses (Art. 15 § 2º do Marco Civil da Internet).
• Se a legislação esparsa trouxer casos em que as empresas devem manter seus registros por período superior, como a legislação tributária, por exemplo.
• Finalmente, se o contrato versar nesse sentido, desde que haja base legal para tanto, sendo preferencialmente anonimizados os dados.

A empresa precisa ter um diagnóstico de sua base de dados, avaliar caso a caso e criar um procedimento interno para atender a esses pedidos judiciais, quando pertinentes.

Se for necessário o armazenamento posterior, todo o cuidado é necessário para evitar o seu vazamento e responsabilização, sendo a anonimização uma saída para a conservação de dados imprescindíveis.

Finalmente, atentem-se na eliminação de dados desnecessários, excessivos, tratados em desconformidade e, em alguns casos, com o consentimento revogado.

Advogado. Sócio Fundador do Escritório Sousa Cruz Advogados, em Belo Horizonte. Consultor jurídico em diversas empresas no ramo de licitações e contratos administrativos, com 20 anos de experiência. Ex-pregoeiro, com mais de 300 licitações realizadas. Consultor NBR ISO 37001 – Sistema de Gestão Antissuborno, ABNT – ISO 19600. Pós graduado no Curso de Gestão Jurídica, IBMEC-BH. Experiência em Direito Civil, Direito de Família e Direito Administrativo. Pioneiro em ações de direito autoral virtual, tendo reconhecimento no programa nacional “A Voz do Brasil”, por um trabalho inédito relacionado com direito autoral de websites.