LGPD: Quais são os direitos dos titulares?
Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra
A Lei Geral de Proteção de Dados (“LGPD”) traz um capítulo dedicado aos direitos dos titulares. É importante que as empresas se preparem para garantir esses direitos aos seus clientes – afinal, ninguém quer receber uma sanção da Autoridade Nacional de Proteção de Dados. Como sabemos, as multas (e demais sanções previstas da LGPD) são aplicáveis no caso de descumprimento de qualquer norma prevista na lei.
Ao mesmo tempo, caso seja titular, é importante que conheça seus direitos.
E por onde começar?
O primeiro artigo do capítulo sobre os direitos do titular é o art. 17, que traz um aspecto bastante importante: o direito à titularidade dos dados pessoais. Parece redundante, mas a importância está exatamente em lembrar o motivo do termo “titular dos dados”. O principal intuito aqui é deixar claro que os dados pessoais não pertencem à empresa (controladora ou operadora), mas sim ao indivíduo, à pessoa física, a quem os dados dizem respeito.
Num segundo momento, esse mesmo artigo traz os direitos à liberdade, intimidade e privacidade, trazendo aqui um forte vínculo com a nossa Constituição Federal.
Mas o artigo da LGPD que realmente toma os holofotes quando falamos em direitos do titular é o art. 18. Ele traz, de forma direta e em tópicos, os direitos dos titulares que têm um caráter mais pragmático, ou seja, esse é um dos artigos que traz maior empoderamento ao titular.
Vamos falar sobre cada um desses direitos?
Confirmação da existência do tratamento
O primeiro direito é a confirmação da existência do tratamento. Como o próprio nome sugere, é o direito garantido ao titular de confirmar se a empresa (controladora ou operadora) realiza o tratamento de seus dados pessoais. Esse direito pode ser efetivado de forma simplificada (um mero “sim” ou “não” por parte da empresa, podemos assim dizer) – hipótese na qual a resposta deve ser dada de forma imediata; ou em formato completo, devendo ser respeitado, nessa segunda opção, o prazo de até 15 dias para a resposta.
E o que seria esse formato completo? Segundo a lei, “declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento” (sempre respeitando os segredos comercial e industrial, é claro).
Acesso aos dados
O segundo direito trazido pelo artigo 18 é o acesso aos dados. Aqui, a lei garante aos titulares o direito de obter uma cópia de seus dados pessoais (dentre outras informações relacionadas). Assim como no caso da confirmação do tratamento, o titular pode requisitar o acesso em formato simplificado (ou seja, de forma imediata) ou em formato completo (com o prazo de 15 dias para atender à solicitação).
Correção de dados incompletos, inexatos ou desatualizados
Também é garantido ao titular o direito à correção de dados incompletos, inexatos ou desatualizados, que consiste no direito de solicitar que os dados tratados sejam corrigidos ou atualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
O titular tem o direito de pedir a anonimização, bloqueio ou eliminação, caso os dados pessoais tratados pela empresa se mostrem 1) desnecessários para a finalidade que justifica a realização do tratamento; 2) excessivos em relação ao necessário para alcance da finalidade; 3) em desconformidade, ou seja, caso não estejam sendo tratados para finalidades específicas ou o tratamento não seja justificável por nenhuma base legal.
Portabilidade dos dados a outro fornecedor de serviço ou produto
É garantido ao titular o direito de solicitar o compartilhamento dos dados fornecidos à empresa, ou seja, a portabilidade dos dados a outro fornecedor de serviço ou produto. Esses dados devem ser transferidos em formato estruturado, em linguagem comum e amplamente utilizada, e de forma “legível” para qualquer computador. Ou seja: de forma aproveitável para que o terceiro possa fornecer bens ou serviços ao titular.
Eliminação dos dados pessoais tratados com o consentimento do titular
Caso não deseje mais que seus dados pessoais sejam tratados pela empresa, o titular tem o direito de solicitar e eliminação de seus dados pessoais da base da empresa. É importante ressaltar, todavia, que esse direito não é absoluto: dados necessários para cumprimento de obrigação legal ou regulatória, bem como dados financeiros e outros tratados com finalidade legítima que transcende a vontade do titular não devem ser excluídos. Em hipótese de requisição desse direito, devem ser eliminados dados relacionados ao consentimento do titular, como para fins de marketing ou cadastro.
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
É direito do titular saber com quem os seus dados estão sendo compartilhados. Aqui, temos presente o princípio da transparência. Ou seja: não adianta colocar informações amplas e genéricas como “compartilhado com terceiros”, “parceiros terão acesso aos dados pessoais”.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
Para que o consentimento seja considerado realmente livre, é necessário que a empresa dê a informação sobre a possibilidade de não fornecer consentimento. Junto a essa informação, devem ser apresentadas as consequências de não fornecer o consentimento, como possíveis prejuízos na experiência do usuário, menor customização, limitação de acesso a determinadas “áreas logadas” que necessitem desse consentimento, dentre outras. Aqui também vemos presente o princípio da transparência.
Revogação do consentimento
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado. É importante ressaltar que os tratamentos realizados anteriormente sob amparo desse consentimento retirado continuam válidos, até que haja expressa manifestação do titular pela eliminação de tais dados.
O que mais temos a dizer sobre o assunto?
- O formato das informações fornecidas ao titular pode ser eletrônico ou de forma impressa (fica à critério do titular requisitante a escolha do formato preferido).
- O titular dos dados tem direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
- Os procedimentos devem ser garantidos de forma facilitada e gratuita.
Bom, por hoje é só. Espero ter ajudado você, titular, a compreender melhor os seus direitos, bem como você, empresa, a compreender aquilo que precisará ser garantido aos titulares até agosto de 2020. Melhor não deixar a adequação para última hora, não é mesmo?
Até a próxima edição!
Advogada em proteção de dados/senior data protection analyst no Banco Safra. Graduada em Direito pela Faculdade de Direito de São Bernardo do Campo (FDSBC) e certificada em Financial Markets pela Yale University. Palestrante convidada na EACH-USP e na FDSBC. ISO/IEC 27001 (Information Security) certified. Coautora do capítulo “Regulation of Personal Data Processing” na International Encyclopaedia of Laws (IEL) for Cyber Law. Professora na Associação Brasileira de Propriedade Intelectual (ABPI) e na Privacy Academy.