A Lei Geral de Proteção de Dados (LGPD) confere uma série de direitos aos titulares dos dados. No entanto, a maioria deles não são considerados direitos novos, mas garantias que já eram previstas em legislações setoriais, como o Código de Defesa do Consumidor e o Marco Civil da Internet.
Agora, previstos especificamente na LGPD, podemos destacar os direitos de acesso, retificação, oposição e cancelamento, portabilidade, explicação e revisão de decisões automatizadas.
No entanto, a única grande novidade da citada lei, é o direito à portabilidade dos dados pessoais.
Sobre adequar uma empresa à LGPD, é bom lembrar que essa tarefa é muito maior do que revisar um website. Um projeto de adequação completo envolve palestras de conscientização, treinamentos, elaboração e revisão de contratos, entre outras medidas de governança que forem necessárias, de acordo com a particularidade de cada organização.
Nesse passo, uma das medidas necessárias durante a implementação de um programa de governança é garantir um procedimento para que os titulares possam exercer os seus direitos.
Resumidamente, o titular poderá exercer os seus direitos mediante requisição ao controlador, à Autoridade Nacional de Proteção de Dados, aos órgãos de defesa do consumidor e, também, em juízo, individual ou coletivamente.
Vamos conhecer quais são esses direitos?
Direito de acesso aos dados pessoais (artigo 18, II, da LGPD)
O direito de acesso está previsto nos artigos 9 e 17 a 19 da Lei Geral de Proteção de Dados. Confira os dispositivos citados:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso […]
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: […] II – acesso aos dados;
Em síntese, esse direito garante que o titular dos dados pessoais deve ter acesso aos dados que uma entidade pública ou privada tenha sobre ele, informando-o sobre o tratamento.
Esse direito poderá ser exercido por meio de duas formas: a) simplificada; ou b) completa.
A versão simplificada, a ser fornecida imediatamente, deve abranger tão somente a existência e os tipos de dados tratados. Por outro lado, a versão completa, a ser fornecida no prazo de até 15 dias, deve abranger a origem, critérios e finalidades, ressalvado, obviamente, o segredo de negócio.
Nesse passo, sempre que a organização entender que a revelação desses dados importará a revelação de um segredo de negócio, poderá, de forma fundamentada, recusar total ou parcialmente o pedido.
Por último, é bom ressaltar que, futuramente, a Autoridade Nacional de Proteção de Dados também poderá dispor sobre esses formatos e prazos.
Direito de retificação dos dados (artigo 18, III, da LGPD)
O direito de retificação tem como finalidade garantir que o titular do dado possa retificar ou corrigir dados que estejam incompletos, inexatos ou desatualizados.
Embora pareça ser um direito novo, na verdade, este direito já era previsto no art. 43, § 3º, do Código de Defesa do Consumidor e, também, no art. 5º, inciso III, da Lei do Cadastro Positivo. Vejamos:
Lei do Cadastro Positivo
Art. 5º São direitos do cadastrado: […] III – solicitar a impugnação de qualquer informação sobre ele erroneamente anotada em banco de dados e ter, em até 10 (dez) dias, sua correção ou seu cancelamento em todos os bancos de dados que compartilharam a informação;
Código de Defesa do Consumidor
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. […] § 3º O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.
Lei Geral de Proteção de Dados
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: III – correção de dados incompletos, inexatos ou desatualizados;
Com relação ao direito de retificação dos dados pessoais, a LGPD não define prazo para a realização, mas o não atendimento o imediato deve ser justificado.
Além disso, caberá ao controlador comunicar com quem ele compartilhou esses dados pessoais para que procedam a retificação.
Por último, é bom lembrar que os dados anonimizados não precisam de retificação.
Dúvida comum: o que deve ser corrigido?
Sempre surge a dúvida no que diz respeito ao que deve ser corrigido, se deve ser apenas um erro de grafia, uma data apostilada por engano ou um cadastro desatualizado.
O Regulamento Europeu (GDPR) permite tanto a retificação de natureza objetiva quanto a subjetiva. Vamos explicar:
De natureza objetiva, citadas acima, são aquelas em que ocorreram um erro de ordem material.
Ex.: Um endereço desatualizado.
Por outro lado, a natureza subjetiva diz respeito à informação sobre algum fato que pode ter impacto na vida do titular.
Ex.: “FULANO” foi condenado em primeira instância pela prática de um crime, sendo que tal circunstância noticiada em um jornal. Caso ele seja absolvido em segunda instância, terá direito a retificar a informação publicada?
Ex.2: Um colaborador recebeu uma avaliação de desempenho negativa, que o afastou de receber um bônus semestral ou anual. Essa avaliação possui informações sobre o colaborador, permitindo individualizá-lo. Esse relatório, portanto, será considerado um dado pessoal. De posse dessa informação, o colaborador nota que foi avaliado de forma negativa, pois faltou em determinado dia de trabalho. Contudo, neste dia, ele estava com problemas pessoais (doença laboral). Consequentemente, ele gostaria de incluir essa informação neste relatório para que, quando fosse avaliado novamente, isso fosse levado em consideração.
Portanto, com base no Regulamento Europeu (GDPR), todas as correções acima são possíveis. A LGPD, por sua vez, é omissa, mas a doutrina entende que a LGPD abrange as duas situações, ou seja, as retificações de natureza objetiva ou subjetiva. Para dar segurança jurídica, esperamos que a ANPD regulamente e solucione está controvérsia.
Direito de cancelamento (artigo 18, IV e VI, da LGPD)
O direito de cancelamento visa garantir que o titular tenha o direito a eliminar os dados que foram fornecidos mediante o uso de consentimento. Nesse passo, obviamente, somente poderá ser exercido quando a base legal for o consentimento.
Para facilitar, caso seja requisitado o cancelamento desses dados, uma das soluções possíveis é a anonimização desses dados ou o bloqueio/eliminação dos dados.
Além de estar previsto na LGPD, o direito em exame também está previsto no artigo 17 do GDPR, artigo 43, § 5º do CDC e artigo 5º, I, da Lei do Cadastro Positivo. Vejamos:
Código de Defesa do Consumidor
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. […] § 5º Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.
Lei do Cadastro Positivo
Art. 5º São direitos do cadastrado: I – obter o cancelamento ou a reabertura do cadastro, quando solicitado;
Lei Geral de Proteção de Dados
Art. 18. […] IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
O exercício desse direito não possui prazo definido, mas o não atendimento imediato deverá ser justificado pela organização.
Por outro lado, é bom lembrar que podem existir limitações de ordem técnica, até porque o controlador deverá comunicar a todos agentes com os quais esses dados foram compartilhados, conforme preceituam os artigos 16 e 18, § 6º, da LGPD.
Além disso, também existem casos em que o cancelamento desses dados poderá levar ao cancelamento de dados de terceiros.
Portanto, durante o exercício desse direito, é essencial que a organização considere os limites técnicos, a teor do artigo 18, § 6º, da LGPD.
Exemplo: Um colaborador que foi desligado da empresa exerce esse direito e depois entra com reclamação trabalhista. Nessa situação, a empresa poderia argumentar que ela tem um interesse legítimo na manutenção desses dados pessoais para o exercício dos seus direitos.
2º Exemplo: Um consumidor compra um produto e depois pede para excluir os dados. A empresa pode guardar os dados durante o prazo prescricional previsto no Código de Defesa do Consumidor, pelos mesmos motivos acima. Entretanto, nessa situação, os dados armazenados devem ser guardados tão somente para o exercício de direitos, e não para outras finalidades.
Direito de oposição (artigo 18, § 2º, da LGPD)
O direito de oposição, que já era previsto na Lei do Cadastro Positivo, poderá ser exercido quando o tratamento de dados pessoais for feito em hipóteses de dispensa do consentimento.
Confira o que diz a LGPD:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
Nesse cenário, quando o tratamento for feito com base no legítimo interesse ou outra base legal, o titular tem direito de se opor ao tratamento.
Via de regra, esse direito deverá ser exercido imediatamente ou em prazo razoável, desde que seja feito de forma justificada.
Sempre que o tratamento de dados pessoais seja necessário para o exercício de uma finalidade, e esse ato esteja ligado a uma outra funcionalidade, se houver uma consequência negativa, ao titular dos dados, você terá que informá-lo. Essa regra tem como consequência tentar mitigar a opção de você conceder todos os dados ou não poderá usar ele.
Hoje, verifica-se que alguns aplicativos já perguntam, separadamente: posso ter acesso à câmera? Posso ter acesso à geolocalização? Posso ter acesso ao álbum?
Direito à Explicação
O direito à explicação – right of explanation – decorre do princípio da transparência e do direito à informação. Nesse passo, aos titulares dos dados pessoais devem ser fornecidas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento.
Neste caso, evidentemente, a organização não só pode, como deve resguardar o segredo de negócio, o código-fonte, software etc.
Quer um exemplo prático? Veja aqui como o Facebook já está garantindo este direito.
Direito à Revisão de Decisões Automatizadas (art. 20 da LGPD)
A LGPD traz a possibilidade de o titular do dado ter a revisão de decisões feitas de forma automatizada. Trata-se da possibilidade da revisão humana de uma decisão automatizada, que foi feita por meio da aplicação de uma sequência de algoritmos.
Aqui, destacamos que a Lei do Cadastro Positivo também prevê esse direito no artigo 5º, VI. Na LGPD, o direito é mais abrangente do que no GDPR. Isso porque o GDPR, no artigo 22, limita a revisão aos casos de “profiling, which produces legal effects”.
Lei do Cadastro Positivo
Art. 5º São direitos do cadastrado: VI – solicitar ao consulente a revisão de decisão realizada exclusivamente por meios automatizados; e
Lei Geral de Proteção de Dados
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Esse direito é necessário, pois o uso de Inteligência Artificial também está sujeito a erros, talvez por deficiência tecnológica, ou até por um acesso limitado a dados, que levam a supostas verdades que, na realidade, mostram-se erradas, de modo que a revisão de decisões automatizadas se revela essencial.
Sobre o tema, no livro em que aborda o “Poder dos Algoritmos”, Erik Nybo[1] ensina que é necessário “que existam humanos que possam rever as decisões tomadas pelos algoritmos, transparência dos modelos de treinamento adotados para determinado sistema, auditoria dos dados e do código para garantir que haja responsabilidade e qualidade no uso dessas ferramentas”.
No entanto, é bom lembrarmos que a lei não traz o conceito do que seria considerada uma decisão totalmente automatizada. Por isso, vamos exemplificar alguns casos de decisões automatizadas: cálculo do credit score, cálculo de juros, etc.
Direito à Portabilidade (art. 18, V, da LGPD)
O direito à portabilidade não se confunde com o direito de acesso.
O direito em exame garante ao titular a possibilidade de pleitear a portabilidade dos seus dados, como e-mails, listas de amigos, publicações, fotografias, avaliações de usuários, para outra plataforma, rede social ou aplicativo, ainda que pertencente à um concorrente. Veja o que diz a LGPD:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: […] V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
Aliás, o direito à portabilidade permite maior autonomia ao titular dos dados, diminuindo os custos da troca de fornecedor de produto ou serviço.
Isso faz com que as empresas melhorem o atendimento de modo a não perder o usuário. Nesse cenário, algumas empresas estão trabalhando em conjunto para definir os padrões técnicos, circunstância que ainda está pendente de regulamentação pela ANPD.
Na Europa, nos termos do GDPR, os dados de inferência e metadados também foram considerados dados pessoais de modo que se permite a portabilidade.
Exemplo: Um motorista de Uber poder portar as suas avaliações, viagens, para um aplicativo concorrente.
Exemplo nº 2: Um corredor pode retirar os seus dados de corrida, como quilometragem, frequência cardíaca, e levá-los a um aplicativo concorrente.
Conclusão
É fácil notar que a LGPD trouxe inúmeros já existentes na nossa legislação, trazendo, como novidade, o direito à portabilidade, ainda pendente de regulamentação pela Autoridade Nacional de Proteção de Dados. Em um projeto de adequação, nem sempre é fácil criar processos que garantam esses direitos, pois, alguns deles, dependem de soluções técnicas específicas – e até onerosas – ou de regulamentação pela ANPD.
Portanto, um projeto de adequação deve ser elaborado por profissional munido de conhecimentos técnicos e clareza sobre a organização, uma vez que esse profissional será capaz de trazer segurança à atividade desenvolvida.
Se quiser saber mais sobre como garantir os direitos dos titulares, você pode entrar contato conosco!
[1] NYBO, Erik Fontenelle. O Poder dos Algoritmos. São Paulo: Editora Enlaw, 2019, p. 136.