Navegar na LGPD do Brasil: Boas Práticas para Retenção de Dados de Identidade (PT-PT)

A Conformidade com a LGPD é CrucialA Lei Geral de Proteção de Dados (LGPD) do Brasil impõe requisitos rigorosos sobre como as organizações recolhem, processam e armazenam dados pessoais, incluindo dados recolhidos durante os processos de verificação de identidade. O incumprimento pode levar a multas significativas e danos à reputação.

Minimização de Dados e Limitação da FinalidadeAs organizações devem recolher apenas os dados estritamente necessários para uma finalidade específica e legítima e retê-los apenas pelo período necessário para cumprir essa finalidade ou obrigações legais. Este princípio é fundamental para a conformidade com a LGPD.

Políticas Robustas de Retenção de DadosA implementação de políticas de retenção de dados claras e configuráveis é essencial para a gestão de dados de verificação de identidade. Isso inclui capacidades de eliminação automatizada e manual, garantindo que os dados são expurgados assim que a sua necessidade legal ou operacional expira.

Didit Simplifica a ConformidadeA plataforma Didit oferece configurações configuráveis de retenção de dados, eliminação manual de sessões e uma função clara de processador de dados, capacitando as empresas a cumprir os requisitos da LGPD de forma eficiente, enquanto aproveitam soluções de verificação de identidade nativas de IA.

Compreender a LGPD e o seu Impacto nos Dados de Identidade

A Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil, em vigor desde setembro de 2020, redefiniu significativamente a forma como os dados pessoais são tratados no Brasil. Semelhante ao GDPR europeu, a LGPD estabelece um quadro abrangente para a proteção da privacidade dos indivíduos, concedendo-lhes maior controlo sobre as suas informações pessoais. Para as empresas que operam no Brasil ou com ligações ao Brasil, isso significa uma mudança fundamental nas práticas de gestão de dados, especialmente no que diz respeito aos dados de verificação de identidade.

Os processos de verificação de identidade, como os que utilizam a Verificação de Identidade, a Prova de Vida Passiva e Ativa, ou o Reconhecimento Facial 1:1 da Didit, envolvem intrinsecamente a recolha e o processamento de dados pessoais sensíveis. Isso inclui nomes, datas de nascimento, números de documentos, dados biométricos e muito mais. De acordo com a LGPD, as organizações devem ter uma base legal para processar esses dados, como consentimento explícito, interesse legítimo ou conformidade com uma obrigação legal. Além disso, os princípios de minimização de dados e limitação de finalidade são primordiais: recolher apenas o que é absolutamente necessário para uma finalidade definida e não o reter por mais tempo do que o exigido.

O incumprimento da LGPD pode resultar em penalidades severas, incluindo multas de até 2% das receitas de uma empresa no Brasil, limitadas a R$50 milhões por infração, juntamente com outras sanções administrativas. Para além das repercussões financeiras, o incumprimento pode prejudicar gravemente a confiança do cliente e a reputação da marca, tornando a governação robusta de dados um imperativo empresarial.

Estabelecer Políticas Eficazes de Retenção de Dados para a LGPD

Um pilar da conformidade com a LGPD, particularmente para dados de identidade, é a implementação de políticas sólidas de retenção de dados. Estas políticas ditam por quanto tempo os dados pessoais, uma vez recolhidos, podem ser armazenados. O objetivo é equilibrar as necessidades comerciais — como a prevenção de fraudes ou a conformidade com as regulamentações de combate ao branqueamento de capitais (AML), que o Rastreio e Monitorização AML da Didit pode ajudar a abordar — com o direito do indivíduo à privacidade e à minimização de dados.

Ao definir os períodos de retenção, as empresas devem considerar vários fatores:

• Obrigações Legais e Regulamentares: Certas indústrias (por exemplo, serviços financeiros) podem ter leis específicas que ditam por quanto tempo os dados dos clientes, incluindo registos KYC/AML, devem ser guardados.
• Requisitos Contratuais: Acordos com clientes ou parceiros podem especificar períodos de retenção de dados.
• Necessidades Comerciais: Os dados podem ser necessários para a resolução de litígios, auditorias ou para melhorar os serviços. No entanto, estas necessidades devem ser justificáveis e equilibradas com as preocupações de privacidade.
• Tipo de Dados: Diferentes tipos de dados (por exemplo, dados biométricos versus dados transacionais) podem justificar diferentes períodos de retenção.

As melhores práticas sugerem que os dados devem ser anonimizados ou eliminados de forma segura assim que a sua finalidade for cumprida e todas as obrigações legais tiverem sido satisfeitas. A gestão proativa do ciclo de vida dos dados, em vez da eliminação reativa, é fundamental para demonstrar conformidade e minimizar riscos. Isso inclui revisões regulares dos registos de dados e processos automatizados para expurgar dados após o seu prazo de retenção.

O Papel do Controlador de Dados vs. Processador de Dados

De acordo com a LGPD, é crucial compreender a distinção entre um controlador de dados e um processador de dados. O controlador de dados é a entidade que determina as finalidades e os meios de processamento de dados pessoais. Este é tipicamente o negócio que interage diretamente com o utilizador final (por exemplo, um banco, uma plataforma de e-commerce ou uma empresa de jogos que utiliza a Estimativa de Idade). O processador de dados, por outro lado, processa dados pessoais em nome do controlador. Fornecedores de verificação de identidade como a Didit atuam tipicamente como processadores de dados.

Como processador de dados, a Didit está empenhada em apoiar os seus clientes no cumprimento das suas obrigações LGPD. A Didit processa dados de verificação de identidade de acordo com as instruções do controlador de dados e implementa medidas de segurança robustas. Por padrão, a Didit processa dados na UE, apoiando o GDPR e os regimes de proteção de dados locais. Para contas empresariais, o processamento no país (residência de dados local) pode ser ativado, auxiliando ainda mais com requisitos regulamentares específicos. Esta clara delimitação de funções, combinada com as configurações de retenção configuráveis da Didit, capacita as empresas a manter o controlo sobre a sua estratégia de governação de dados.

Implementar Estratégias Práticas de Gestão de Dados

Para gerir eficazmente a retenção de dados de identidade sob a LGPD, as organizações devem adotar uma abordagem multifacetada:

1. Inventariar e Mapear Dados: Compreender que dados de identidade são recolhidos, onde são armazenados e para que finalidade. Isso inclui dados de Verificação de Identidade, Prova de Vida Passiva e Ativa, e outras etapas de verificação.
2. Definir Períodos de Retenção: Para cada categoria de dados de identidade, estabelecer períodos de retenção claros e justificáveis com base nos requisitos legais e na necessidade comercial.
3. Automatizar a Eliminação: Sempre que possível, implementar sistemas automatizados para eliminar ou anonimizar dados assim que o seu período de retenção expirar. Isso reduz o risco de erro humano e garante conformidade consistente.
4. Ativar Capacidades de Eliminação Manual: Fornecer mecanismos para a eliminação manual de registos específicos quando necessário, como em resposta a um pedido de acesso do titular dos dados (DSAR) ou a uma investigação.
5. Proteger Dados em Repouso e em Trânsito: Garantir que todos os dados de identidade são protegidos com medidas de segurança técnicas e organizacionais apropriadas, independentemente do seu estado de retenção.
6. Auditorias e Revisões Regulares: Rever periodicamente as políticas e práticas de retenção de dados para garantir que permanecem em conformidade com as regulamentações em evolução e as necessidades comerciais.

Estas estratégias, quando combinadas com uma plataforma de verificação de identidade flexível e em conformidade, criam uma base sólida para a adesão à LGPD. A arquitetura modular da Didit permite que as empresas integrem verificações de identidade específicas conforme necessário, garantindo a minimização de dados ao recolher apenas informações relevantes para cada fluxo de trabalho de verificação.

Como a Didit Ajuda

A Didit, como plataforma de identidade nativa de IA e focada no desenvolvedor, foi concebida para ajudar as empresas a navegar pelas complexidades das regulamentações de privacidade de dados, como a LGPD do Brasil. A nossa arquitetura modular e recursos robustos capacitam-no a implementar as melhores práticas para a retenção de dados de identidade e conformidade.

A Didit atua como um processador de dados, dando-lhe, o controlador de dados, controlo total sobre os seus dados. A nossa plataforma permite-lhe configurar políticas de retenção de dados diretamente na Consola Empresarial. Pode selecionar janelas de retenção de 1 mês a 10 anos, ou mesmo defini-lo como 'ilimitado' se exigido por obrigações legais específicas, garantindo flexibilidade para atender a diversas exigências regulamentares. Estas políticas aplicam-se a todas as entradas, saídas, resultados derivados e metadados operacionais armazenados pela Didit.

Para situações que exigem a remoção imediata de dados, a Didit oferece capacidades de eliminação manual. Pode facilmente eliminar sessões de verificação individuais e todos os dados associados, incluindo biometria e documentos, diretamente do Painel da Consola. Este recurso é crucial para responder prontamente a pedidos de acesso do titular dos dados ou gerir preocupações específicas de privacidade, apoiando diretamente a conformidade com o GDPR e a LGPD.

As nossas soluções, incluindo Verificação de Identidade, Prova de Vida Passiva e Ativa, e Reconhecimento Facial 1:1, são construídas com privacidade por design. Oferecemos KYC Básico Gratuito, permitindo-lhe começar a verificar identidades com ferramentas robustas e em conformidade. Sem taxas de configuração e com um modelo de pagamento por verificação bem-sucedida, a Didit facilita a integração de uma verificação de identidade segura e em conformidade nas suas operações, minimizando a exposição de dados e maximizando a confiança e a segurança.

Pronto para Começar?

Pronto para ver a Didit em ação? Obtenha uma demonstração gratuita hoje.

Comece a verificar identidades gratuitamente com o nível gratuito da Didit.