Pular para o conteúdo

LGPD na Prática: Direitos e Garantias dos titulares de dados pessoais?

Direitos e Garantias dos titulares

A LGPD – Lei Geral de Proteção de Dados Pessoais – Lei n. 13.709/2018 tem por objetivo central a proteção de direitos fundamentais, como a liberdade e privacidade e livre desenvolvimento da personalidade da pessoa natural. Um dos principais avanços da lei, mas que também representa um dos maiores desafios apresentados às empresas e organizações para a sua adequação, é a implementação dos direitos e garantias dos titulares de dados na prática. 

Este é o oitavo texto da Série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados. Neste texto você compreenderá não somente quais são os direitos garantidos aos titulares de dados pela LGPD, mas também quando cada um deles se aplica, bem como algumas medidas e procedimentos na prática que as empresas e organizações podem implementar para garantir o respeito à lei e aos direitos dos titulares dos dados que venham a tratar. 

Quais são os direitos dos titulares de dados pessoais?

A Lei Geral de Proteção de Dados (LGPD) é uma lei que tem como principal foco os titulares de dados pessoais. Todas as disposições da lei, sejam elas sobre bases legais de tratamento, medidas e procedimentos de segurança e até mesmo multas e sanções administrativas, no final das contas, tem como objetivo proteger o titular de dados pessoais. 

No século XXI, ceder os próprios dados pessoais se torna cada vez mais um “preço compulsório” para os cidadãos poderem ter uma participação ativa na sociedade, visto que cada vez mais não somente a utilização de redes sociais mas também o acesso à serviços, bens e produtos, bem como até mesmo serviços públicos no meio digital, tem como contrapartida para o cidadão a entrega de seus dados pessoais.

Para que os cidadãos não fiquem desamparados e sem controle dos dados, que são verdadeiramente parte constitutiva de sua identidade e personalidade na esfera virtual, é importante que seja defendida sua autodeterminação informativa, seu direito de decidir quais dados vão ser entregues a quem, bem como de quais modos estes dados poderão ser tratados. 

Para efetivar este direito de proteção de dados e de autodeterminação informativa na prática a LGPD, assim como o RGPD (Regulamento Geral sobre a Proteção de Dados) da União Europeia que a inspirou, atribuem ao titular de dados certos direitos subjetivos em face dos responsáveis pelo controle, coleta e tratamento dos dados. 

A LGPD dedica seu Capítulo III integralmente para tratar dos direitos dos titulares, porém outros direitos, bem como informações e qualificações para estes direitos, são encontrados ao longo do texto da lei. 

A seguir, apresentamos alguns dos direitos garantidos aos titulares de dados a partir da leitura dos princípios da LGPD dispostos em seu art. 6º.

Direitos do titular e princípios da LGPD:

Direitos dos TitularesPrincípio correspondenteReferência Legislativa
Direito ao tratamento restrito somente às finalidades e propósitos legítimos, específicos, explícitos e informados ao titular

Princípio da Finalidade


Art. 6º, I
Direito ao tratamento adequado, compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento
Princípio da adequação

Art. 6º, II
Direito à limitação do tratamento ao mínimo necessário para a realização de suas finalidades
Princípio da Necessidade

Art. 6º, III
Direito à consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais

Princípio do livre acesso


Art. 6º, IV
Direito à exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade para o cumprimento da finalidade de seu tratamento


Princípio da qualidade dos dados



Art. 6º, V
Direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial


Princípio da transparência



Art. 6º, VI
Direito à segurança dos dados, ao qual se contrapõe o dever, por parte dos agentes de tratamento, de utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão




Princípio da segurança





Art. 6º, VII
Direito à adequada prevenção de danos, ao qual se contrapõe o dever, por parte dos agentes de tratamento, de adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais



Princípio da prevenção




Art. 6º, VIII
Direito de não ser discriminado de forma ilícita ou abusivaPrincípio da não discriminaçãoArt. 6º, IX
Direito de exigir a adequada responsabilização e prestação de contas por parte dos agentes de tratamento. 
Princípio da responsabilização e prestação de contas

Art. 6º, X
Como implementar Direitos e Garantias dos titulares de dados pessoais?

    Além dos princípios elencados no art. 6º da lei, é possível encontrar fontes de direitos dos titulares em outros artigos, como por exemplo:

    • Direito ao consentimento expresso, inequívoco e informado, salvo para as exceções legais (arts. 7º, I e 8º).
    • Direito de ser informado sobre a utilização de dados pela Administração Pública, para os fins autorizados pela lei e para a realização de estudos por órgão de pesquisa (Art. 7º, III, IV)
    • Direito de ser informado e de ser requisitada nova confirmação do consentimento quando do compartilhamento dos dados pessoais do titular com terceiros (Art. 7º, §5º)
    • Direito de exigir o cumprimento de todas as obrigações de tratamento previstas na lei mesmo para os casos de dispensa de exigência de consentimento (Art. 7º, §6º). 
    • Direito à inversão do ônus da prova quanto ao consentimento (Art. 8º, §2º)
    • Direito de requerer a nulidade de autorizações genéricas para o tratamento de dados pessoais (Art. 8º, §4º). 
    • Direito de revogar o consentimento a qualquer tempo, mediante manifestação expressa do titular, por procedimento gratuito e facilitado (Art. 8º, §5º)
    • Direito de requerer a nulidade do consentimento caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca (Art. 9º, §1º)
    • Direito à eliminação dos dados, no âmbito e nos limites técnicos das atividades, autorizada a conservação somente nas exceções legais (Art. 16). 
    • Direito à portabilidade de dados (Art. 18)
    Como implementar Direitos e Garantias dos titulares de dados pessoais?

    A lei traz, em seu artigo 18, uma compilação destes direitos que, ainda sem criar nenhum novo direito além dos já citados, vale a pena ser reproduzida em sua integridade:

    Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

    I – confirmação da existência de tratamento;

    II – acesso aos dados;

    III – correção de dados incompletos, inexatos ou desatualizados;

    IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

    V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

    VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

    VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

    VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

    IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

    Procedimentos para implementar os Direitos e Garantias dos Titulares

    Como a lista de direitos garantidos aos titulares de dados pessoais é extensa, o desafio de estar preparado para cumprir de maneira efetiva estes direitos pode parecer grande para as empresas e organizações. Porém, com a implementação de certos procedimentos aliados com um processo de coleta e tratamento de dados organizado e consciente, a garantia dos direitos dos titulares pode se tornar mais simples. 

    O primeiro aspecto essencial para um bom sistema de resposta aos requerimentos de direitos dos titulares é a organização e o conhecimento do processo de tratamento de dados. É essencial que a empresa saiba bem quais dados estão em sua posse, quais são os dados coletados e em que hipóteses esta coleta ocorre, quem são os titulares de dados, quais são as bases legais para a coleta e tratamento destes dados, como e quando estes dados são eliminados, etc.

    É importante que a empresa tenha todas estas informações documentadas por meio de um mapeamento de dados, que ajudará na organização interna da empresa e consequentemente nas respostas às requisições externas, sejam elas das autoridades, titulares ou de parceiros comerciais. 

    Tendo em mãos o mapeamento de dados, e consequentemente tendo consciência e organização sobre o ciclo de vida dos dados em sua empresa, a gestão dos direitos dos titulares se torna muito mais fácil. A desorganização, por outro lado, é o maior obstáculo para um bom sistema de gestão de direitos, especialmente considerando que a LGPD e a ANPD estabelecem prazos e cronogramas para as respostas aos pedidos dos titulares. 

    Outro aspecto que precisa ser levado em consideração no momento da estruturação de seu sistema de gestão de direitos dos titulares é o tamanho de sua empresa e o volume de dados tratados. Com base nestas informações você pode analisar a necessidade e a eficácia de efetuar procedimentos manuais internos, implementar softwares e processos automatizados ou contratar consultorias e auditorias externas. 

    Direito à Confirmação da Existência do Tratamento:

    No momento em que o titular de dados exige da empresa ou organização seu direito à confirmação da existência do tratamento, ele deve receber as seguintes informações:

    • Nome e dados de contato da organização, bem como do encarregado de proteção de dados;
    • As finalidades para o tratamento de seus dados; 
    • A base legal para o tratamento;
    • O legítimo interesse do controlador, quando aplicável;
    • A categoria e natureza dos dados tratados; 
    • A fonte dos dados;
    • Possíveis recipientes ou terceiros com quem os dados são compartilhados;
    • Detalhes sobre a transferência internacional dos dados, quando aplicável;
    • Os períodos de retenção dos dados;
    • Os direitos do titular, especificamente aqueles elencados no art. 18 da LGPD;
    • O direito de interpor uma reclamação à ANPD, bem como detalhes de contato desta;
    • Detalhes sobre a utilização dos dados para decisões automatizadas. quando aplicável.

    Estas informações devem ser apresentadas ao titular de dados pessoais de forma concisa, transparente, inteligível, acessível e por meio de linguagem simples e clara. 

    Direito ao Acesso:

    A empresa ou organização deve disponibilizar ao titular de dados canais e meios de requerimento do seu direito ao acesso aos dados tratados. Pode consistir de um endereço de email específico para este tipo de requisição ou de formulários já disponibilizados para que os titulares preencham com suas informações, por exemplo. 

    É importante que a empresa execute também métodos de registrar todo e qualquer pedido de acesso aos dados, registrando pelo menos o nome do titular e a data em que o pedido de acesso foi efetuado. Este registro pode ser feito tanto por meio de softwares e outros processos automatizados quanto por meio da edição de um documento de propriedade do Encarregado de Proteção de Dados, por exemplo. 

    A empresa precisa ter também implementado algum procedimento de confirmação da identidade do titular, para evitar que terceiros tenham acesso aos dados deste sem sua autorização. Segundo a ICO (Information Commissioner’s Office, autoridade britânica de proteção de dados), o ponto chave para a confirmação correta da identidade do titular é a proporcionalidade, devendo ser requisitado do titular somente os documentos e/ou informações necessários para a comprovação da informação.  

    É essencial que a empresa tenha em prática sistemas de gestão da informação organizados e eficientes para que as informações exigidas pelos titulares sejam encontradas de forma rápida e completa, sem que se perca nenhuma informação. Neste ponto, como em diversos outros, a adequação à LGPD é uma boa oportunidade para melhorar a organização de sua empresa não somente para a proteção de dados, mas para otimizar os processos de modo geral. 

    Diversos cuidados devem ser tomados no momento de responder uma requisição de acesso à dados pessoais, como por exemplo:

    → Se certificar de que é o próprio titular quem está efetuando o pedido;

    → Se certificar que informações e dados de terceiros não sejam enviadas ao titular por meio deste pedido;

    → Se certificar que informações de menores de idade não sejam enviadas;

    A LGPD afirma que os dados devem ser disponibilizados aos titulares de forma “clara, adequada e ostensiva”. A lei também define que os dados devem ser armazenados em formato que favoreça o exercício do direito de acesso e entregues ao titular em formato eletrônico, seguro e idôneo para esse fim ou de forma impressa, conforme escolha do titular. 

    De acordo com o §3º do Art. 19, quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento. 

    Importante ressaltar que tanto as requisições de titulares à confirmação da existência do tratamento quanto as requisições de acesso aos dados pessoais devem ser respondidas e os dados fornecidos no prazo de até 15 dias. 

    Direito à Retificação de dados incompletos:

    A LGPD dá ao titular o “direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito”. Ou seja, o titular de dados tem o direito de corrigir dados incompletos, inexatos ou desatualizados, até porque o tratamento destes dados incorretos pode acarretar em problemas para o titular ou até mesmo para o controlador de dados. 

    Todas as empresas que tratam dados pessoais devem implementar algum mecanismo para o recebimento de pedidos de retificação de dados, nos mesmos moldes dos pedidos referentes ao direito ao acesso ou à confirmação da existência do tratamento. 

    Os controladores de dados pessoais têm o dever de retificar os dados exigidos quando o pedido for razoável, levando em consideração também a importância do dado e a relevância da informação incorreta ou incompleta. Ainda que nem sempre seja tecnicamente possível efetuar esta correção, o controlador deve se dispor a tomar todas as medidas razoáveis para a correção, especialmente em contextos em que os dados incorretos são utilizados para embasar decisões automatizadas, por exemplo. É importante que o controlador seja transparente com o titular, explicando se os dados requeridos foram ou não corrigidos, destacando os motivos pelos quais não foram corrigidos quando este for o caso. 

    Caso os dados corrigidos tenham sido compartilhados com terceiros, a empresa deve contatá-los e informar da retificação dos dados, desde que este contato não gere um esforço ou custos excessivos ao controlador. 

    Direito à Eliminação dos Dados:

    Enquanto o Art. 16 da LGPD traz ao controlador de dados pessoais a obrigação de eliminar os dados após o término de seu tratamento, fora certas exceções, o Art. 18, VI estabelece esta eliminação como direito subjetivo do titular, quando a base legal do tratamento é o consentimento. 

    Ou seja, o titular de dados cujo tratamento ocorre a partir do consentimento tem o direito de exigir que o controlador de dados os elimine. O controlador tem a obrigação de providenciar a eliminação de forma imediata e, em caso de impossibilidade da eliminação deve comunicar ao titular as razões de fato ou de direito que impedem a adoção imediata da providência. No caso de, por razões técnicas ou organizacionais, os dados continuarem presentes, por exemplo em backups, isto deve ser informado ao titular e o controlador deve se assegurar de que, mesmo ainda presentes, estes dados não sejam utilizados novamente. 

    Além das exceções para pedidos irrazoáveis, excessivos ou infundados, a LGPD traz outras situações na qual o controlador não é obrigado a eliminar os dados requisitados:

    1. cumprimento de obrigação legal ou regulatória pelo controlador;
    2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
    3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
    4. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

    Direito à Anonimização, Bloqueio ou Eliminação de dados desnecessários:

    O titular de dados pessoais tem o direito de exigir que o controlador anonimize, bloqueie ou elimine dados desnecessários. Este direito, disposto no Art. 18, IV, é decorrente do próprio conjunto da lei, que considera que dados desnecessários nem ao menos deveriam ser coletados, sendo assim o pedido do titular uma maneira de corrigir esta situação. 

    O bloqueio dos dados consiste de uma medida temporária, conceituada no Art. 5º da lei como “suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados”. A eliminação dos dados desnecessários, porém, é medida definitiva, e deve seguir procedimentos similares aos da eliminação de dados tratada acima. 

    A anonimização de dados é, então, a medida mais complexa dentre as três garantidas. Isto se dá porque, segundo a LGPD, o dado anonimizado é aquele que “não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. É importante que o processo de anonimização dos dados seja completo e rigoroso, de modo que não seja possível sua reversão de forma simples ou facilitada. A grande questão referente à anonimização consiste no grau de segurança e confiança na irreversibilidade do processo. 

    Ainda que diversos estudos e experiências práticas demonstrem que muitos dos dados anonimizados podem ser reidentificados com base em outros dados, especialmente por meio da utilização de algoritmos. Assim, é importante acompanhar a ANPD, que possivelmente divulgará no futuro medidas e boas práticas que delimitam qual o nível de cuidado e rigor necessários para que um dado pessoal seja efetivamente considerado anonimizado conforme a LGPD. 

    Tanto no caso do direito à anonimização, bloqueio e eliminação de dados desnecessários quanto no do direito à eliminação de dados com base no consentimento, é de suma importância que a empresa ou organização tenha um rigor que impeça que estes dados voltem a ser tratados, uma vez que a comprovação da continuidade da utilização dos dados, mesmo que causada por desorganização ou falta de consciência do pedido de eliminação/bloqueio/anonimização por parte do titular pode ensejar multas e sanções ao controlador de dados. 

    Direito à Portabilidade:

    Segundo o Art. 18, V da LGPD, o titular de dados tem o direito de, mediante requisição expressa, solicitar a transferência de seus dados pessoais a outro fornecedor de serviço ou produto, com a exceção de quando o dado já tiver sido devidamente anonimizado. O embasamento deste direito consiste no reforço da autodeterminação informativa do titular, considerando que os dados são seus e que podem ser utilizados até mesmo para a migração de um serviço para um concorrente.

    Para simplificar, podemos comparar com a ideia de trocar de companhia telefônica mas manter o mesmo número de celular, porém ampliado para todos os dados coletados e tratados. Além da troca de serviço entre concorrentes, é possível imaginar a portabilidade de dados entre empresas parceiras, como por exemplo no caso de uma imobiliária, a pedido do usuário, enviar seus dados para uma seguradora de imóvel, para que esta efetue de modo mais completo seus trabalhos. 

    A LGPD foi mais sucinta e pouco específica ao tratar deste direito do que o RGPD europeu, de modo que é relevante analisarmos as disposições do regulamento europeu para imaginar como este direito se aplicará no Brasil. Para o RGPD, o titular tem direito à portabilidade dos dados somente nos casos em que o seu tratamento for automatizado, quando decorrer do consentimento do titular ou quando for necessário para cumprimento de um contrato, limitando as hipóteses de sua ocorrência. 

    Um possível problema para a aplicação prática do direito à portabilidade é o da interoperabilidade entre o controlador original e o controlador que vier a receber os dados. Como a LGPD não exige que os agentes mantenham sistemas interoperáveis entre si, enquanto não forem publicados regulamentos, boas práticas ou standards neste sentido, as empresas não podem ser obrigadas a modificar ou adaptar os formatos dos dados entregues para satisfazer aos interesses do titular ou de outro controlador.

    Por outro lado, a ANPD deverá atuar para impedir que esta incompatibilidade não seja utilizada deliberadamente para impedir os efeitos de concorrência entre controladores previstos pelo direito de portabilidade. Na União Europeia, estão em vigor as “Guidelines on the right to data portability”, que pretendem esclarecer estas questões. 

    São requisitos essenciais para o cumprimento do direito à portabilidade:

    → A transmissão de todos os dados pessoais coletados diretamente do titular de forma estruturada e em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento;

    → A utilização de métodos seguros de transferência de dados pessoais;

    → A asseguração de que nos arquivos transmitidos em decorrência do pedido do titular não constem dados de terceiros, devendo estes serem anonimizados ou devendo ser requisitado o consentimento dos terceiros envolvidos;

    Direito à Revogação do Consentimento:

    O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação. 

    O direito à revogação do consentimento deve estar presente e claro na política de privacidade e em qualquer outro documento por meio do qual seja tomado o consentimento do titular. Neste documento, e de modo geral, deve ser disponibilizado de forma simples e clara ao titular quais os meios e procedimentos que ele deve efetuar para exigir a revogação de seu consentimento. 

    Dicas e procedimentos gerais:

    → Os titulares de dados devem ter sempre disponíveis de forma simplificada explicações sobre como exigir cada um de seus direitos previstos pela LGPD;

    → Devem ser implementados sistemas de registro de pedidos para cada tipo de requerimento possível, para cada direito garantido pela LGPD. Assim, cada pedido de garantia de direitos de titulares deverá ser registrado em documento que contenha pelo a identificação do titular, a data do pedido e o status de cumprimento do pedido;

    → É recomendável que as empresas instituam endereços de e-mail específicos para o recebimento de cada tipo de queixas e/ou pedidos dos titulares. Estes endereços específicos facilitam que não sejam misturados pedidos ou exigências distintas e permitem melhor controle da empresa;

    → As empresas devem se assegurar de maneira rigorosa de que os requerimentos sejam cumpridos. É extremamente danoso para a empresa, por exemplo, continuar utilizando e tratando dados que foram objeto de um pedido de eliminação, bloqueio ou anonimização, por exemplo. 

    Fonte: 

    ICO (Information Commissioner’s Office). Guide to the General Data Protection Regulation (GDPR). Disponível em: <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/

    Bruno Feigelson e Antonio Henrique Albani Siqueira. Comentários à Lei Geral de Proteção de Dados: Lei 13.709/2018. São Paulo: Thomson Reuters Brasil. 

    Ana Frazão. Nova LGPD: direito de anonimização, bloqueio ou eliminação de dados. Jota. Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/nova-lgpd-direito-de-anonimizacao-bloqueio-ou-eliminacao-de-dados-31102018>

    Ana Frazão. Nova LGPD: Direito à Portabilidade. Jota. Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/nova-lgpd-direito-a-portabilidade-07112018>

    Time BL Consultoria Digital – Direito Digital e Análise Regulatória

    Este artigo “Série LGPD na Prática: Como implementar Direitos e Garantias dos titulares de dados pessoais? foi escrito Por Rodrigo Glasmeyer, Revisado por MSc. Graziela Brandão. Conheça o BL Consultoria Digital, acesse aqui!

    Time BL Consultoria
    Time BL Consultoria
    Time BL Consultoria Digital - Direito Digital e Análise Regulatória

    Posts Relacionados

    Fale Conosco

      Categorias

      Assine nossa Newsletter

      Open chat
      Olá, tudo bem? Como podemos te ajudar?
      Olá! Como podemos ajudar?