Drops de proteção de dados pessoais: requisições dos titulares de dados – sobre quais direitos dos titulares as empresas devem estar cientes?
Publicado em 02/08/2024
*Bruno Junqueira Meirelles Marcolini
A Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (“LGPD”) prevê uma série de direitos ao titular de dados pessoais (a pessoa física cujos dados são utilizados). Em contrapartida, entrega ao controlador, enquanto responsável pelas operações de tratamento de dados pessoais, o dever de receber solicitações dos titulares de dados e atendê-las, quando pertinente.
A lista a seguir traz uma explicação detalhada de cada direito previsto na LGPD e onde podemos encontrá-los no texto da referida lei:
Confirmação da existência do tratamento (art. 18, I): o titular pode solicitar ao controlador confirmação de que seus dados pessoais são ou não tratados por ele.
Acesso (art. 18, II e 19, I e II): o titular pode solicitar o acesso aos dados que a empresa possui sobre ele. Esse direito pode ser alcançado de duas formas, simplificada ou completa.
Na versão simplificada, basta que a empresa confirme imediatamente a existência do tratamento e os tipos de dados tratados (o que pode ser realizado por meio de Avisos de Privacidade publicados no site da empresa, por exemplo), enquanto na versão completa a empresa deverá confirmar a existência do tratamento e informar o titular sobre as finalidades, casos de compartilhamento, duração e prazo de tratamento, origem e tipos de dados tratados, respeitada a proteção ao segredo comercial e industrial da empresa.
Ainda, nos casos baseados no consentimento ou em contrato celebrado com o titular, ele pode também solicitar a cópia eletrônica integral dos dados tratados naquela hipótese legal.
Correção (art. 18, III): o titular pode solicitar a correção de dados incompletos, inexatos ou desatualizados. Na sequência a empresa deverá informar a cadeia de agentes de tratamento sobre a ação.
Cancelamento (art. 18, VI, IV e IX): o titular pode requisitar que os dados tratados com a base legal consentimento sejam eliminados, anonimizados e/ou bloqueados. O controlador também deve comunicar toda a cadeia de agentes de tratamento sobre a ação.
Limitações: nem sempre é possível apagar ou excluir dados devido a questões técnicas. Para esses casos, sugere-se prosseguir com anonimização ou bloqueio do acesso aos dados.
Oposição (art. 18, §2º): o titular pode se opor ao tratamento que não está cumprindo com o disposto na LGPD, quando a base legal for diversa do consentimento.
Limitação: o controlador poderá apresentar base legal válida para executar o tratamento ou que não existe qualquer descumprimento da LGPD.
Explicação (não é previsto de forma expressa, decorre dos princípios da LGPD): O controlador deve fornecer informações claras, precisas e facilmente acessíveis sobre a realização do tratamento ao titular.
Limitação: segredo industrial ou comercial.
Revisão de Decisão Automatizada (art. 20): o titular pode requisitar a revisão de decisões que forem tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses. Nesse direito, a LGPD frisa decisões que traçam o perfil pessoal, profissional, de consumo e de crédito ou de aspectos da personalidade do titular.
Limitação: o direito só é válido para casos em que o interesse do titular é diretamente afetado.
Portabilidade (art. 18, V): o controlador deve transferir os dados pessoais do titular de seu sistema para outro sistema, ainda que de uma empresa concorrente.
Limitação: segredos industriais ou comerciais. Outrossim, a portabilidade não poderá ser realizada quando os sistemas dos controladores não forem compatíveis.
Tratando de prazos, todos os direitos previstos devem ser atendidos de forma imediata (sugere-se entre um ou dois dias), devendo o titular ser avisado dos motivos do atraso ou impossibilidade caso o atendimento imediato não seja possível. A única exceção se observa na requisição completa do direito de acesso, hipótese em que o art. 19, II, confere ao controlador o prazo de 15 dias corridos.
Ademais, a LGPD ainda prevê quatro maneiras para o titular exercer tais diretos: (i) requisição direta ao controlador (art.18); petição contra o controlador no sistema da ANPD (art. 18, §1º); (iii) requisição via nos órgãos de defesa do consumidor (art. 18, §1º); e (iv) peticionamento no poder judiciário. Destaca-se, ainda, que a LGPD não estabelece hierarquia entre as maneiras, o titular pode requisitar em qualquer ordem.
Dessa forma, é fundamental que as empresas estejam preparadas para lidar com tais requisições, sob pena de serem sancionadas pela Autoridade Nacional de Proteção de Dados (“ANPD”), conforme previsões do art. 52 da LGPD.
Diante do exposto, é fundamental que as empresas possuam condições para receber requisições dos titulares e realizar a análise crítica para verificar se o pedido deve ser executado.
Ademais, um canal de comunicação entre o controlador e o titular, como um e-mail ou chat interativo, deve ser estar disponível de forma gratuita e facilmente acessível nos sites e plataformas da empresa. Por fim, é crucial determinar fluxos contratuais claros e bem definidos entre todas as partes envolvidas no tratamento de dados, garantindo que os operadores também cumpram suas obrigações. Isso não só assegura conformidade com a LGPD, mas também minimiza riscos de sanções pela Autoridade Nacional de Proteção de Dados (ANPD) e protege os direitos dos titulares. Além disso, a disponibilização de canais de comunicação acessíveis e gratuitos reforça a transparência e a confiança entre as empresas e os titulares de dados.
*Bruno Junqueira Meirelles Marcolini é bacharel em Direito pela Universidade Federal do Paraná (UFPR) e pós-graduando em Direito Digital pela FGV SP. Possui a certificação “Data Protection Officer” da FGV RIO. É advogado na Andersen Ballão Advocacia.
Artigos Relacionados
Registro de “marcas de posição”
*Gabriela Carolina de Araujo De maneira ampla, uma marca consiste num sinal distintivo que serve a identificar visualmente a origem e distinguir um produto ou…
Leia maisCriação da Autoridade Nacional de Proteção de Dados…
Em agosto de 2018, foi promulgada a Lei nº 13.709, denominada Lei Geral de Proteção de Dados Pessoais (LGPD). Naquela oportunidade, o então presidente Michel…
Leia mais