Chegamos ao último post da série “Entendendo a LGPD”. Passamos pela análise da história, dos principais conceitos, dos princípios da Lei e dos fundamentos e bases legais para o tratamento de dados. Hoje vamos falar especificamente sobre os direitos dos titulares de dados e os deveres dos controladores e operadores de dados pessoais.
A LGPD é uma lei que estabelece de forma transparente as regras do jogo da proteção de dados pessoais. Ela traz tudo aquilo que uma empresa pode fazer e todos os direitos que os titulares dos dados têm. Assim, a LGPD busca empoderar os titulares de dados, fazendo-os ter mais conhecimento e controle sobre seus dados pessoais. Por isso, um dos pilares da lei é a transparência na relação entre as pessoas e as empresas.
Para que exista esse empoderamento e transparência, é necessário o estabelecimento de direitos e deveres bem definidos. Além disso, é essencial também o estabelecimento de sanções no caso de violações dos direitos ou não observância dos deveres. Então, hoje vamos esclarecer todos os direitos, deveres e sanções que a LGPD estabelece.
Quais os direitos dos titulares de dados segundo a LGPD?
Os titulares dos dados pessoais têm diversos direitos determinados pela LGPD. Esses direitos existem durante todo o processo de tratamento de dados feito pelas empresas.
A LGPD, em primeiro lugar, assegura às pessoas a titularidade de seus dados pessoais. Isso significa que os seus dados pessoais são propriedade sua e você não tem a obrigação de fornecer seus dados contra a sua vontade e sem uma justificativa plausível. Por isso, a lei estabelece algumas bases legais que permitem que as empresas tratem os seus dados pessoais. Fora dessas hipóteses, o uso dos dados é ilegítimo.
Por esse motivo, “As plataformas de serviços na internet terão que solicitar o consentimento dos usuários e informar o que é feito com eles: por exemplo, o rastreio para publicidade direcionada, como funciona, quais dados são coletados, como e com quem são compartilhados para esta finalidade”, diz Raquel Saraiva, presidente do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.Rec) e integrante da Coalizão Direitos na Rede.
Além disso, a LGPD garante os direitos de liberdade, intimidade e privacidade. Esses direitos são consequência dos próprios princípios da LGPD e são as base que fundamentam todos os outros direitos mais específicos.
Vamos a eles.
Acesso à informação facilitada e gratuita
Todos os titulares de dados pessoais têm direito a obter informações de forma facilitada sobre seus dados. Isso significa que você pode solicitar ao controlador de dados as informações que você tem dúvidas. Essas informações pode ser sobre:
- A confirmação da existência ou não de tratamento dos seus dados;
- A finalidade específica do tratamento;
- Forma e duração do tratamento;
- Identificação do controlador de dados;
- Informações de contato do controlador dos dados;
- Informações sobre se há ou não compartilhamento de dados com outras pessoas e o porquê;
- Qual a responsabilidade dos agentes de tratamento, ou seja, quais as pessoas que realizam o tratamento e o que elas fazem.
Direito ao tratamento de dados adequado e compatível com as finalidades informadas
Os controladores e operadores de dados pessoais (as empresas no geral) precisam informar as pessoas qual é a finalidade do tratamento de dados pessoais. Isso significa que, se uma empresa pede o e-mail de alguém para enviar mensagens de publicidade, essa finalidade tem que ser informada. Pedir um dado pessoal sem falar o motivo não é mais possível.
Dessa forma, o tratamento de dados pessoais tem que ser adequado e condizente com a finalidade informada.
Direito de recusar o tratamento e revogar o consentimento.
O titular de dados pessoais não é obrigado a aceitar o tratamento de seus dados pessoais. Isso pode ocorrer nos casos em que a empresa usa como base legal de tratamento o consentimento (leia mais aqui). Se a empresa depende do consentimento para realizar o tratamento dos dados, o titular tem o pleno direito de recusar. Além disso, o consentimento pode ser revogado a qualquer momento, bastando que a pessoa informe à empresa da sua vontade.
Existe também uma outra possibilidade de revogação do consentimento. As empresas são obrigadas a informar a finalidade do tratamento de dados pessoais e, se a finalidade mudar, a empresa precisa informar o titular de dados essa mudança e ele não é obrigado a aceitar. Então, quando há mudança na finalidade do tratamento de dados pessoais, o titular pode revogar o consentimento fornecido anteriormente.
Direito à correção de dados incompletos, incorretos e desatualizados
Um dos princípios da LGPD é o princípio da qualidade dos dados. Os dados pessoais precisam ser claros, exatos e atualizados. Portanto, se uma empresa guarda um dado incorreto de uma pessoa, nada mais justo que essa pessoa possa requerer à empresa a sua correção.
Direito à anonimização e eliminação de dados excessivos
A anonimização é o processo que permite que os dados não possam mais ser relacionados a uma pessoa específica. Dado anonimizado é aquele que não permite a identificação do seu titular. Sempre que possível, a LGPD demanda que os dados sejam anonimizados.
Uma outra questão importante é que as empresas não podem usar dados de forma excessiva e sem justificativa. Dados excessivos são aqueles que não atendem às finalidades informadas, são desnecessários. Dessa forma, o titular pode pedir a eliminação desses dados que estão em excesso.
Direito à revisão de decisões automatizadas
Os dados pessoais podem servir de fontes para algoritmos de inteligência artificial. Essas inteligências constroem o perfil de uma pessoa e tomam decisões de forma automática. Por exemplo, um banco pode utilizar uma inteligência artificial para traçar perfis de pessoas que são ou não são aptas a receber um empréstimo.
Essas decisões automatizadas podem afetar os interesses das pessoas. E, por isso, quem se sentir lesado por essas práticas, tem o direito de obter informações sobre os procedimentos e critérios que são utilizados para chegar a uma decisão automatizada.
Além desses direitos, os princípios e fundamentos da LGPD permitem a existência de vários outros como o livre acesso aos dados, a não-discriminação, direito à portabilidade dos dados (levar seus dados para outra empresa, por exemplo, mudar de empresa de telefonia e manter seu número pessoal), direito à segurança dos dados.
Quais os deveres dos controladores e operadores de dados pessoais?
De forma geral, os controladores de dados pessoais – empresas, profissionais autônomos e instituições públicas – precisam fazer a adequação de todos os seus processos para que entrem em conformidade com a LGPD. É importante destacar que a LGPD não impacta somente as relações entre as empresas e seus clientes, mas também entre a empresa e seus próprios funcionários.
E isso significa que será necessário adotar diversas práticas como transparência, informar a finalidade de tratamento de dados, manter registro sobre as atividades de tratamento, responder as demandas dos titulares dos dados. Para realizar todo esse monitoramento e servir como ponte de comunicação entre a empresa, as os titulares dos dados e a ANPD (falarei sobre ela no final do artigo), a empresa deve escolher um encarregado, ou DPO – Data Protection Officer.
As empresas também precisarão manter a segurança dos dados e boas práticas de governança. Para isso, é importante realizar um projeto de adequação ou implementação da LGPD, que deve integrar toda a empresa, além de assessoramento jurídico e de tecnologia da informação. As empresas terão que mudar bastante a sua forma de lidar com os dados e isso deverá ser feito de forma permanente.
Nesse sentido, “as empresas deverão trabalhar com a adoção de procedimentos que tenham a privacidade por padrão, o que pode alterar a forma de coleta dos dados de algumas empresas. Antes da vigência da LGPD era comum que serviços de Internet, por exemplo, coletassem dados indiscriminadamente, para, posteriormente, tratá-los, sem finalidade específica. Agora, o objetivo deve estar bem claro e ser previamente informado ao titular dos dados pessoais, que pode concordar, ou não, em submeter ao procedimento”, destaca Raquel Saraiva, presidente do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.Rec) e integrante da Coalizão Direitos na Rede.
Sanções e fiscalização da LGPD
A LGPD estabelece várias sanções para as pessoas que descumprem a lei. As penas variam entre advertência, medidas corretivas, multa de até 2% do faturamento da empresa (o limite é de até R$ 50 milhões de reais), bloqueio ou eliminação de dados pessoais, suspensão parcial do funcionamento do banco de dado ou proibição total ou parcial do tratamento.
A fiscalização da lei e a imposição das sanções ficará a cargo da Autoridade Nacional de Proteção de Dados, a ANPD. A ANPD tem muitas outras competências além da fiscalização, ela vai elaborar diretrizes para a proteção de dados e ainda realizar auditorias. É importante destacar que a ANPD está ainda em processo de estruturação.
As sanções da LGPD ainda não entraram em vigor, elas entrarão em vigor somente em 2021. Entretanto, isso não significa que a Lei não tem eficácia. Ela tem sim! Mesmo que as sanções ainda não podem ser aplicadas às empresas, elas ainda podem ser responsabilizadas pelo mau uso de dados pessoais ou violação das regras da Lei.
Inclusive, já tem sentença sobre a LGPD no Brasil. Uma delas envolve a empresa Cyrela, do ramo imobiliário. Essa empresa foi condenada por ter compartilhado de forma indevida os dados pessoais de alguns clientes. O autor da ação foi um cliente que comprou um imóvel e passou a receber mensagens de parceiros da Cyrela que ofereciam serviços que não eram de seu interesse. A Cyrela, então, foi condenada a pagar indenização de R$ 10.000,00 (dez mil reais) ao autor da ação (leia mais aqui).
Portanto, fique atento!
Bem, chegamos ao final dessa série de posts que apresenta os pontos mais importantes da LGPD, aqueles que todo mundo precisa saber. Mas eu preciso alertar que o assunto não termina por aqui. Existe uma infinidade de temas e polêmicas que envolvem a LGPD, então fique ligado e não perca as próximas postagens.
Referências
A LGPD e o Direito Imobiliário. 1ª sentença do Brasil aplicando LGPD no ramo imobiliário – Luciana de Carvalho Paulo Coelho (acesse aqui).
Entenda o que muda com a Lei Geral de Proteção de Dados – Jornal do Brasil (acesse aqui).
Guia de Boas Práticas LGPD – Gov.br. (acesse aqui).
