Como cumprir os direitos dos titulares quanto a seus dados pessoais

Direitos dos Titulares na LGPD

Até a aprovação da Lei Geral de Proteção de Dados, existiam no Brasil diversos direitos esparsos sobre o assunto, como na área consumerista, trabalhista, de direitos no ambiente digital, telecomunicações, entre outros. Não existiam, contudo, direitos específicos relacionados à Privacidade e Proteção de Dados que possibilitassem maior controle, por todos nós, sobre os nossos dados.

Assim, a LGPD trouxe em seu Capítulo II os direitos dos titulares de dados pessoais que podem ser exercidos a qualquer momento e mediante requisição ao controlador. Como exemplo, temos o direito de acesso; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; eliminação dos dados pessoais tratados com o consentimento do titular; revogação do consentimento; entre outros.

Porém, como os controladores podem dar efetividade a esses direitos que podem ser solicitados pelos titulares a qualquer momento? Como se adequar à LGPD e estar preparado a dar vazão às solicitações que as empresas receberão a partir de agosto de 2020?

1) Governança em Privacidade e Proteção de Dados

É importante que a empresa crie um programa de Governança em Privacidade e Proteção de Dados, como boa prática trazida pelo art. 50 da LGPD. Com isso, garantirá que a organização atinja o nível adequado de conformidade, evitando, por exemplo, que as respostas dadas aos titulares abram espaço para futuros litígios ou ações por parte da Autoridade Nacional de Proteção de Dados (ANPD).

Dentro desse programa de Privacidade, é importante que esteja claro quem são os responsáveis por todo o processo de recebimento, tratamento e resposta das requisições dos titulares, garantindo que estas sejam atendidas dentro do prazo legal, com a qualidade necessária e sem expor dados de terceiros e segredos de negócio do controlador.

Idealmente, dentro desse fluxo de tratamento das requisições dos titulares, o Encarregado (DPO) terá participação ativa para que faça a correta gestão dos pontos mencionados acima, além de garantir que situações atípicas ou que tragam maior risco à organização sejam tratadas adequadamente.

2) Operacionalização procedimental

Definidas as regras internas e os atores responsáveis, a empresa deverá decidir como operacionalizar o cumprimento das solicitações de direitos dos titulares.

A ICO (Information Comissioner’s Office – Autoridade de Proteção de Dados do Reino Unido) recomenda o seguinte checklist para a operacionalização do cumprimento dos direitos dos titulares, especialmente o direito de acesso [1], em tradução livre:

A) Preparação para as requisições de direito de acesso dos titulares:

  1. Sabemos como reconhecer uma solicitação de direito de acesso e entendemos quando o direito de acesso se aplica;
  2. Temos uma política sobre como registrar solicitações que recebemos verbalmente (se for uma forma que a empresa recebe a solicitação);
  3. Entendemos quando podemos recusar uma solicitação e estamos cientes das informações que precisamos para fornecer aos titulares quando recusarmos;
  4. entendemos a natureza da informação complementar que precisamos fornecer em resposta à solicitação de direito de acesso.

B) Cumprimento das solicitações de direito de acesso:

  1. temos processos vigentes para garantir que respondamos a uma solicitação de direito de acesso sem atraso injustificado e dentro do prazo determinado pela legislação;
  2. estamos cientes das circunstâncias de quando poderemos estender o prazo de atendimento da solicitação;
  3. entendemos que há uma ênfase particular para se usar linguagem clara e simples quando revelarmos tratamento de dados de crianças e adolescentes;
  4. entendemos que precisamos considerar se uma solicitação inclui informação sobre terceiros.

A empresa controladora poderá usar canal especializado ou canal pré-existente (desde que preparado para tanto) para recebimento das solicitações dos direitos dos titulares, que deverá ser amplamente divulgado aos titulares de dados. Importante lembrar que os colaboradores do controlador também devem ter acesso a este canal.

O controlador deverá então verificar a identidade do titular dos dados, para evitar revelar dados pessoais sobre outros titulares. Se for o caso, o Encarregado ou alguém de sua equipe poderá remover menções ou dados de terceiros do documento que contenha dados pessoais do requisitante, para cumprir com o pedido sem expor dados de outros titulares.

Por fim, a depender do volume de requisições que se espera receber (empresas B2C podem esperar número mais elevado que aquelas que somente se relacionam com outras empresas), é recomendável que se use alguma solução para gerenciar as requisições que foram abertas, observando tempo de resposta e tipo de direito que foi requisitado, sendo tais dados, inclusive, utilizados pelo Encarregado para ter melhor panorama do Programa de Privacidade. É possível também utilizar ferramentas tecnológicas de data Discovery para identificar rapidamente o local dos dados pessoais relacionados à solicitação do titular, bem como detalhes sobre o consentimento fornecido, quando aplicável.

3) Controle, evidências e armazenamento

Além de cumprir a solicitação do direito do titular em tempo hábil, o controlador deve gerar, ainda, todas as evidências sobre quando e por quem a solicitação foi feita, por meio de qual canal, quem respondeu e em qual prazo, para que possa se resguardar de quaisquer reclamações ou fiscalizações futuras relacionadas ao pedido do titular. É válido lembrar que essas solicitações podem, inclusive, ser feitas dentro de um contexto de relação de consumo, trazendo uma possível inversão do ônus da prova ao controlador, que deverá provar o que foi solicitado, quando e como foi respondido.

Essas evidências podem, ainda, ser requeridas, posteriormente, em ações judiciais, procedimentos perante entidades de defesa dos consumidores, investigações pelo Ministério Público ou fiscalizações pela Autoridade Nacional de Proteção de Dados.

Em resumo:

Para garantir a resposta aos direitos dos titulares, três grandes pilares devem ser observados:

  1. Jurídico – Análise se a requisição é válida e se a resposta é correta, sem trazer riscos ao controlador, por exemplo, expor dados corporativos confidenciais;
  2. Operacional – Canal para recebimento das requisições, gerando todas as evidências que poderão ser necessárias em momento posterior;
  3. Tecnológico – Solução para gestão das requisições abertas, solução para identificação rápida dos dados nos sistemas da empresa e garantia de que os sistemas da empresa estão aptos a “acatar” os pedidos, por exemplo, de exclusão ou bloqueio dos dados.

[1] Disponível em <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/>, acesso em 21 de janeiro de 2020.

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode utilizar as tags HTML e atributos a seguir:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.