LGPD: conheça seus direitos como titular de dados pessoais
Governança

LGPD: conheça seus direitos como titular de dados pessoais

A importância de se preparar para ter uma cultura de privacidade em uma sociedade cada vez mais digital.

Desde o último dia 1º de agosto, a Autoridade Nacional de Proteção de Dados (ANPD) já pode aplicar as sanções previstas na Lei Geral de Proteção de Dados (LGPD). Contudo, ainda há pontos a serem regulamentados sobre a forma de atuação dos controladores para responder às demandas dos titulares, como a própria ANPD reconheceu em sua agenda regulatória, da qual destaco dois pontos:

i) a regulamentação dos direitos dos titulares (incluindo, mas não limitado aos artigos 9º, 18, 20 e 23) terá início somente no primeiro semestre de 2022 (item 4);

ii) o processo de estabelecimento de Resolução para aplicação das sanções previstas no art. 52, incluindo a definição de situações em que se deve aplicar multa – iniciada no primeiro semestre deste ano (item 5) -, bem como a metodologia para cálculo do seu valor-base. Neste caso, a ANPD encontra-se em fase de conclusão da elaboração do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, que passou por Consulta Pública entre 28 de maio e 28 de junho de 2021.

A advogada Patrícia Peck Pinheiro afirma que “um dos objetivos da LGPD é assegurar a proteção e o livre desenvolvimento da personalidade da pessoa natural” e que isso está relacionado à garantia de titularidade de seus dados e “inviolabilidade da vida privada”. E, como a LGPD já está totalmente em vigor, torna-se possível a qualquer titular requisitar aos controladores a observância aos seus direitos.

E quais são os direitos do titular?

O art. 18 da LGPD definiu os direitos específicos que podem ser exercidos pelo titular dos dados pessoais, ou seja, o titular tem o direito de obter informações sobre os seus dados pessoais tratados pelos controladores. Controlador é qualquer organização pública ou privada a quem competem as decisões referentes ao tratamento de dados pessoais. Os direitos previstos nesse artigo são os seguintes:

  1. Confirmação da existência de tratamento: o titular tem o direito de saber se o controlador faz algum tratamento com seus dados pessoais. Tratamento de dados é qualquer atividade realizada com tais dados, como coleta, armazenamento, uso e classificação. Pela LGPD, a resposta do controlador deve ser feita de forma imediata e simplificada ou por meio de uma declaração completa — em até 15 dias —, indicando como o dado foi coletado, os critérios utilizados e a finalidade do tratamento.
  2. Acesso aos dados: o titular tem o direito de acesso aos dados pessoais tratados pelo Controlador, solicitando, inclusive, cópia desses dados que estão de posse da empresa.
  3. Correção de dados incompletos, inexatos ou desatualizados: não é raro que os dados que estão em posse de empresas estejam desatualizados, como endereço ou estado civil. O titular tem o direito de solicitar a alteração dos dados pessoais tratados pelo controlador sempre que estiverem incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD: é um direito do titular requerer a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados pelo controlador em desconformidade com a legislação de proteção de dados pessoais. Aqui cabe destacar o art. 12 da LGPD define que os dados anonimizados não são considerados dados pessoais, salvo quando o processo de anonimização for reversível, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. O parágrafo 1º desse artigo tenta clarificar a definição de esforços razoáveis, colocando como parâmetros o custo e o tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis e utilização exclusiva de meios próprios. Já o parágrafo 3º estabelece que a ANPD poderá dispor sobre os padrões e técnicas de anonimização e realizar verificações sobre sua segurança, ouvido o Conselho Nacional de Proteção de Dados.
  5. Portabilidade de dados a outro fornecedor de serviço ou produto: é direito do titular solicitar a transmissão dos dados tratados por um controlador para outro fornecedor de serviços. Por meio de requisição expressa. Dados anonimizados não são incluídos nessa portabilidade, uma vez que não são considerados dados pessoais. Cabe ainda regulamentação desse direito pela Autoridade Nacional de Proteção de Dados, especialmente quanto à salvaguarda de segredos comercial e industrial.
  6. Eliminação de dados pessoais tratados mediante consentimento: o consentimento é uma das hipóteses previstas no art. 7º para que os controladores possam realizar o tratamento de dados pessoais (inciso I). Contudo, o consentimento deve ser uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º inciso XII). Claro que tal consentimento pode ser revogado pelo titular e, quando isso ocorrer, é um direito exigir a eliminação dos dados pessoais tratados. Contudo, há casos em que esse direito não pode ser exercido, especialmente quando o controlador deve manter os dados por exigência legal ou regulatória.
  7. Informação das entidades públicas e privadas com as quais houve compartilhamento de dados: as empresas podem compartilhar dados pessoais com outras entidades públicas ou privadas (e frequentemente fazem), sem ferir a finalidade na qual o tratamento se baseia. Contudo, como a transparência é um dos princípios da LGPD (art. 6º inciso VI), o titular tem o direito de ser informado sobre isso e pode, se assim entender, não fornecer consentimento para tal, devendo ser informado das eventuais consequências desta negativa.
  8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: trata-se do direito de revogar o consentimento a qualquer momento, por meio de manifestação expressa, por procedimento gratuito e facilitado.
  9. Revogação do consentimento: o titular tem o direito de revogar o consentimento dado anteriormente. Para isso, o controlador deve ter meios facilitados para o exercício esse direito, como, por exemplo, uma opção “opt-out”.
  10. Revisão às decisões automatizadas: ao titular é garantida a possibilidade de revisão de decisões tomadas pelos controladores unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses. Por exemplo, uma análise de crédito feita de forma automatizada, por algoritmos, pode ser contestada pelo titular. Outro exemplo que foi muito comum na pandemia era a análise feita para concessão do auxílio emergencial, efetuada com respaldo em dados existentes nas bases de dados do Governo, para deferir ou indeferir o auxílio.

O canal entre o titular e o controlador: Encarregado de Dados

O encarregado pelo tratamento de dados pessoais, definido no art. 41 da LGPD, é o responsável pelas comunicações entre controlador, titular de dados e a ANPD, sendo um canal interativo entre esses atores. O § 2º do artigo 41 da LGPD define, de forma não exaustiva, as principais responsabilidades do encarregado de dados1.

O § 1º do artigo 41 da LGPD exige que a identidade e informações de contato do encarregado sejam publicadas no sítio eletrônico do controlador, para que ele possa ser facilmente encontrado, tanto pela ANPD quanto pelos titulares dos dados e demais interessados, atendendo ao princípio da transparência. Isso é importante pois “os direitos dos titulares (art. 18) são, em regra, exercidos perante o controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento”, como diz a LGPD.

Assim, as requisições do titular devem ser enviadas para o encarregado de dados do controlador, por meio de canais disponibilizados publicamente no site da organização. De acordo com Viviane Nóbrega Maldonado, “o que se impõe ao controlador é que sempre processe a requisição que lhe é formulada, não sendo admissível ignorá-la, ainda que possa se mostrar ilegítima ou despropositada”.

Eduardo Nunes de Souza e Rodrigo da Guia Silva defendem que tais direitos atribuem a cada pessoa a prerrogativa de “controlar a circulação de seus próprios dados, por meio de uma série de medidas e procedimentos”. Ou seja, mesmo que nem todas as solicitações sejam atendidas, é importante receber e tratar todas as requisições, sendo que, em caso de negativa, o controlador deverá sustentar razões relevantes, destacando a base legal do tratamento e justificar sua perfeita e regular continuidade. Cabe destacar que o encarregado não precisa ser necessariamente um funcionário da organização: é possível contratar os serviços de uma pessoa jurídica ou física.

Meu direito não foi atendido. O que fazer?

Apesar dos direitos de os titulares de dados estarem bem discriminados na LGPD, há inúmeros pontos da lei que precisam ser regulamentados pela ANPD, o que dificulta um plano de resposta das empresas às solicitações dos titulares de dados. Um exemplo são os prazos de resposta, que são mencionados na lei apenas no caso de confirmação da existência de tratamento e no direito de acesso aos dados. Nestes casos, o controlador deve responder imediatamente em formato simplificado (art. 19, inciso I) ou em até 15 dias, se a resposta for uma declaração completa, indicando como os dados foram coletados, a finalidade e os critérios utilizados para o tratamento art. 19, inciso II).

Além disso, é importante ressaltar que nenhum direito é absoluto e que há situações em que os controladores podem não conseguir atender às requisições do titular. Isso não isenta o controlador do dever de responder à requisição, devendo indicar os motivos para a negativa como, por exemplo, o cumprimento de obrigações legais ou regulatórias.

Fato é que as organizações devem seguir buscar se organizar (processos, pessoas e tecnologias) para responder a essas demandas, pois há outros caminhos que podem ser seguidos pelos titulares para fazerem valer seus direitos:

i) comunicar a ANPD sobre o não atendimento, por meio de peticionamento eletrônico disponível no site da autoridade2;

ii) comunicar o fato ao Procon, principalmente se a relação entre o controlador e o titular se configurar uma relação de consumo;

iii) se houve dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais (art. 42 da LGPD), buscar a reparação por meio de uma responsabilização na esfera cível.

O importante é que o titular conheça seus direitos para que possamos cada vez mais ter uma cultura de privacidade em uma sociedade cada vez mais digital.


Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e Colunista da MIT Technology Review.

Nossos tópicos