A criação da Lei Geral de Proteção de Dados (LGPD) requer muitas mudanças quanto ao uso de dados pessoais pelas empresas. Por isso, entender quais são os direitos do titular dos dados é fundamental.
Mas às empresas e ao poder público não basta apenas entender quais são os direitos do titular dos dados, é preciso garantir sua aplicabilidade ou estarão expostos às sanções previstas em lei.
O que significa direitos do titular dos dados?
Os direitos do titular dos dados são garantias previstas na LGPD, onde a Lei garante que toda pessoa natural (física) tenha a titularidade de seus dados pessoais, inclusive protegendo seus direitos de liberdade, intimidade e privacidade, dentro desse contexto.
Essas mudanças trazidas pela nova legislação brasileira surgem como uma resposta ao cenário mundial sobre o uso dos dados pessoais.
Um movimento que iniciou-se na Europa com a aprovação do GDPR (General Data Protection Regulation).
O cenário ao qual estamos nos referindo já é bem familiar. Isso porque todos estamos cientes de que a exploração de dados pessoais tornou-se um modelo de negócio para muitas empresas.
Em posse de inúmeros dados, é comum que as empresas os utilizem para a personalização de ofertas, para traçar perfis comportamentais utilizados na análise de crédito e até mesmo como moeda de troca.
Esses dados constituem qualquer informação referente a um indivíduo, como identificação, características físicas, geográficas e hábitos, por exemplo.
A maior preocupação, nesse caso, é com os cada vez mais frequentes casos de violação de dados. Afinal, trata-se de uma situação que expõe o titular dos dados, podendo gerar a ele danos morais e financeiros.
Assim, regulamentar o uso e tratamento desses dados passou a ser uma necessidade, de forma que seus controladores passassem a processá-los com mais responsabilidade e transparência.
Desse modo, além de impor obrigações aos controladores dos dados, isto é, as organizações detentoras das informações, a LGPD também configurou o direito do titular de dados pessoais.
O que diz a LGPD sobre os direitos do titular dos dados?
Como versa a LGPD (Lei 13.709/2018), pode ser considerar como titular de dados toda “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.
Isto é, os direitos garantidos na LGPD contemplam a todo e qualquer indivíduo que concedeu qualquer tipo de informação à empresas ou ao poder público.
A primeira abordagem da lei brasileira de proteção de dados quanto ao direito do titular diz respeito à garantia da titularidade dos seus dados pessoais, como descreve o Art. 17.
Pode parecer redundante, mas o que a lei pretende salientar é que qualquer pessoa natural tem o direito de reivindicar a titularidade de suas informações pessoais, de forma a frisar que essas não pertencem às empresas.
O mesmo artigo ainda garante ao titular os direitos fundamentais de liberdade, intimidade e privacidade, trazendo, nesses termos, um forte vínculo com a Constituição Federal.
Em suma, a LGPD apresenta três compromissos quanto à gestão de dados pessoais:
- a exigência de um propósito ou finalidade para o tratamento dos dados pessoais;
- a exigência do consentimento informado do titular para o tratamento; e
- transparência na gestão do tratamento dos dados.
Quais são os direitos do titular dos dados?
Os principais direitos dos titulares previstos na LGPD podem ser observados no Art. 18º da LGPD. Dentre eles podemos citar:
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimação, bloqueio ou eliminação de dados
- Portabilidade de dados
- Eliminação dos dados pessoais
- Informação das entidades com as quais houve compartilhamento de dados
- Informação sobre a possibilidade de não fornecer o consentimento
- Revogação do consentimento
Confirmação da existência de tratamento
O primeiro direito do titular LGPD descrito no Art. 18º diz respeito a confirmação da existência de tratamento.
Como o próprio nome já sugere, trata-se do direito do titular de solicitar que a organização confirme se realiza, ou não, uso ou tratamento de seus dados pessoais.
A resposta da organização deve vir de forma imediata, com uma afirmativa ou negativa. Caso contrário, deverá responder o titular de forma completa em um prazo de até 15 dias.
Essa resposta completa deve informar claramente o titular sobre a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento.
Acesso aos dados
O segundo direito do titular descrito no artigo é o de requerer o acesso aos dados em poder do controlador.
Isso quer dizer que o controlador dos dados deverá fornecer acesso a qualquer informação capaz de identificar o titular quando essa for requerida por ele.
Isso inclui os mais diversos dados, uma foto de perfil, por exemplo.
Assim como no tópico anterior, o titular pode requerer o acesso em formato simples, de maneira imediata, ou no formato completo, onde a organização conta o prazo de de 15 dias para atender.
Correção de dados incompletos, inexatos ou desatualizados
Outro direito do titular é o de solicitar a correção de dados incompletos, inexatos ou desatualizados.
Isto é, como dono de suas próprias informações, o titular pode requerer quaisquer correções que achar conveniente.
Para exemplificar, supondo que o estado civil do titular altere-se com o tempo, essa correção poderá ser solicitada. Dentre outras possibilidades de correções.
Anonimação, bloqueio ou eliminação de dados
A LGPD ainda garante ao titular o direito a anonimação, bloqueio ou eliminação de dados.
Ou seja, trata-se do direito de ter garantida a desvinculação dos dados pessoais, de requerer a suspensão temporária ou de solicitar a exclusão de um dado ou conjunto de dados quando estes se mostrarem:
- desnecessários para a finalidade que justifica a realização do tratamento;
- excessivos para o alcance da finalidade;
- em desconformidade, isto é, se não estiverem sendo tratados para um fim específico ou o tratamento não seja legalmente justificável;
O titular pode, por exemplo, requerer a eliminação ou anonimização de dados sensíveis.
Portabilidade de dados
Ao titular também é dado o direito de solicitar a transferência de seus dados pessoais a outro fornecedor de serviço ou produto.
Isto é, a organização deve compartilhar os dados fornecidos pelo titular a outra organização caso lhe seja requerido.
Desde que garantido o segredo comercial e industrial e em conformidade com a regulamentação da Autoridade Nacional de Proteção de Dados (ANPD).
As informações devem ser transferidas de maneira estruturada e em linguagem comum.
Eliminação dos dados pessoais
Dentre os direitos do titular LGPD está a eliminação dos dados pessoais tratados com o consentimento do titular.
Isso quer dizer que, caso não deseje mais que seus dados sejam tratados por determinada organização, o titular pode solicitar sua eliminação de qualquer sistema dentro da empresa, como um banco de dados.
Exceto nas hipóteses previstas no Art. 16 da LGPD, que autoriza a conservação dos dados para as seguintes finalidades:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na lei; ou
- Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Informação das entidades com as quais houve compartilhamento de dados
O titular dos dados também tem o direito de saber com quais organizações os seus dados foram compartilhados.
Isto é, se o controlador dos dados compartilhar essas informações com terceiros, deverá ser transparente com o titular, explicitando qual foi a entidade, pública ou privada, e para qual finalidade, por exemplo.
Ou seja, as respostas devem ser o mais completas possíveis.
Informação sobre a possibilidade de não fornecer o consentimento
Outro direito do titular é o da informação sobre a possibilidade de não fornecer seu consentimento e sobre as consequências da negativa.
Ou seja,é preciso que o titular tenha consciência de que seu consentimento é, realmente, livre, de modo que o controlador o informe sobre a possibilidade da negativa.
A organização também deve informar quais são as consequência para o titular caso não tenha seu consentimento, como prejuízos na experiência do usuário, determinadas limitações e outras.
Revogação do consentimento
Por fim, também é de direito do titular das informações a revogação do seu consentimento a qualquer momento, mediante manifestação expressa.
O procedimento de revogação deve ser gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado, conforme descreve o Art. 8º da LGPD.
Como garantir os direitos do titular?
O grande desafio para as organizações, portanto, é adaptar-se a LGPD, de forma a proteger e garantir o direito à liberdade, intimidade e privacidade do titular dos dados.
Para isso é preciso conhecer com profundidade todos os pontos da LGPD para, então, aplicá-los à organização.
Esse conhecimento nem sempre vem apenas da leitura do texto. Na verdade, é possível contar com um curso completo sobre os principais pontos da LGPD e sua aplicação à organização.
O curso Privacy and Data Protection Essentials (PDPE), por exemplo, atribui ao profissional conhecimentos essenciais quanto a organização de proteção de dados pessoais e as regras da LGPD.
Você pode encontrar o curso PDPE aqui no Certifiquei. Com ele você também pode se preparar para a realização do exame EXIN — instituição reconhecida no mercado de TI —, a fim de tirar a sua certificação.
Assim, você estará pronto para garantir os direitos do titular dos dados na sua organização e estará livres das sanções previstas em lei para o descumprimento de suas normas.