Eichenberg, Lobato, Abreu & Advogados Associados - Direito Empresarial em Porto Alegre

NOTÍCIAS

  • Eichenberg, Lobato, Abreu & Advogados Associados

Cuidados relativos à requisição do exercício dos Direitos dos Titulares de Dados Pessoais

Muito se fala sobre a necessidade de adequação das empresas à LGPD, sobre a importância da conscientização de toda a organização, a escolha do Encarregado de Dados (ou “DPO”), treinamentos dos colaboradores, implementação de segurança da informação e dos riscos por conta de falha nestes sistemas que venham a ocasionar infrações à lei de proteção de dados.


Assim, imensa é a produção de materiais específicos como Avisos e Políticas de Privacidade em sites, Avisos e Políticas de cookies, Políticas Internas de Segurança da Informação e de Proteção de Dados Pessoais, cláusulas específicas nas contratações, dentre outros.


No entanto, até por ainda ser pouco utilizado, parece que quase não existe movimentação relativa a ponto bem relevante, e que merece cuidado, que é o exercício dos direitos pelos titulares dos dados que se encontra no Capítulo III, da Lei 13.708, de 2018 (a “LGPD”) e onde o Artigo 17, assim indica: “toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade(...)”.


Sim, a lei que rege proteção de dados cria direitos aos indivíduos, pessoas naturais titulares dos dados, que não necessariamente precisam ser brasileiros, podendo ser, também, estrangeiros no momento que, no Brasil, tiverem seus dados pessoais captados e tratados.


E como funcionam esses direitos dos titulares de dados?


Segundo o Artigo 18 da LGPD, a qualquer momento, os titulares de dados podem requisitar expressamente, junto ao controlador, por si ou através de procurador legalmente constituído, sem que seja acarretado custo ao titular:


I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e

IX - revogação do consentimento, nos termos do § 5º do art. 8º da Lei.


Segundo a norma, se impossibilitada a adoção da providência de forma imediata, o controlador responderá comunicando não ser o agente de tratamento dos dados, onde já indicará o agente; ou indicará as razões de fato ou de direito que impedem a adoção imediata da providência.


Vejam, porém que, confirmada a existência ou acesso aos dados pessoais, o controlador está obrigado a, nos termos do Artigo 19 da LGPD, responder de forma segura, em meio eletrônico ou impresso:


a) de forma simplificada de imediato ou,

b) em 15 dias da solicitação do titular dos dados, através de declaração clara e completa que indique origem, registros, critérios e finalidade dos referidos dados, resguardados segredos comerciais e industriais.


Assim, há que se ter muita atenção para estes “Direitos dos Titulares” eis que, deles, emanam muitas obrigações àquele que restar questionado acerca dos dados pessoais, obrigações estas que possuem um prazo extremamente curto de resposta.


Nesse ponto, importante trazer um comparativo com a própria General Data Protection Regulation (a “GDPR”), a lei de proteção de dados pessoais europeia e onde a LGPD foi buscar inspiração. Na lei europeia, a previsão de prazo para resposta aos questionamentos dos titulares é de até 30 (trinta) dias, prorrogáveis por outros 60 (sessenta) dias. Mesmo assim, uma pesquisa realizada indicou que apenas 52% (cinquenta e dois por cento) das empresas lá instaladas conseguem responder sem utilizar a prorrogação, o que mostra que no Brasil será uma missão árdua tal cumprimento.


Claro que, para potencializar a capacidade de retorno – e aí precisamos pensar em empresas como de telefonia ou instituições financeiras que possuem um cadastro gigantesco – já existem diversos produtos tecnológicos com templates de retornos mais sistematizados e buscas informatizadas, sempre visando auxiliar nas responsabilidades inerentes em razão desta obrigação legal.


Porém, a realidade é que essas escolhas envolvem custos, plataformas nem sempre rápidas de parametrizar com os dados existentes nas empresas e, portanto, precisamos estar ao par das responsabilidades para que possamos criar métodos de controles próprios e que melhor se encaixem a cada realidade/necessidade/possibilidade.


Dentro disso, necessário, trazer à tona que métodos extremamente informatizados, que buscam a entrega de respostas prontas, ao invés de auxiliar, podem prejudicar na medida em que é uma responsabilidade daquele que detém os dados pessoais evitar sua divulgação indevida e, para tanto, fundamental que tenha certeza da procedência do pedido.


Para criar essa “certeza” começam a aparecer as mais diferentes práticas que vão desde uma chamada em vídeo, na qual o solicitante das informações apresenta um documento com foto, até a necessidade de que aquele que se diz titular responda às perguntas demonstrando ser mesmo quem alega. Enfim, a criatividade humana, as boas práticas e até mesmo a forma como a Autoridade Nacional de Proteção de Dados (a “ANPD”) vai agir, vai nos guiar por esse novo mundo.


Outro ponto bem relevante no que diz respeito ao retorno aos titulares é que esses registros de certificação sejam armazenados durante o processo eis que, pelo princípio da responsabilização, fundamental não apenas executar o procedimento mais adequado, mas ter condições de provar que assim procedeu.


Enfim, a proteção de dados muito se relaciona com avaliação e gestão de riscos e, por isso, importante ter a mente aberta a novas tecnologias, mas entendendo o verdadeiro significado de cada providência, revisitando sistematicamente os processos para averiguar se novas medidas devem ser adotadas e repassadas às políticas da empresa, não só em razão de mudanças legislativas, posicionamentos de autoridades, mas também, em virtude de formas de ataques e fraudes à esses sistemas antes implementados.


Nós, do Eichenberg, Lobato, Abreu Advogados Associados estamos à disposição para ajudá-lo nessa jornada complexa, nova e ágil.


Gabriela Dornelles

14 visualizações

Posts recentes

Ver tudo