Clientes, empregados, parceiros comerciais, entre outras pessoas, independentemente da categoria que ostentem, têm seus dados coletados por empresas, que terão que adequar seus procedimentos à Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/18), que entra em vigor neste mês.
No entanto, para além de garantir que a coleta e o manuseio dos dados pessoais se deem de acordo com as diretrizes legais, as organizações terão que adequar seus processos e procedimentos para garantir os direitos desse público, inclusive criando canais de contato e observando prazos para resposta.
O princípio do livre acesso garante o acesso facilitado às informações sobre o tratamento dos dados, as quais devem ser claras, adequadas e ostensivas, conforme prevê o art. 9º da legislação.
As empresas deverão garantir que o titular saiba, por exemplo, a finalidade, forma e duração do tratamento (resguardados os segredos comercial e industrial); quem será o controlador dos dados, inclusive prestando informações para contato; as informações sobre o uso compartilhado de dados com outros agentes; a responsabilidade de cada um dos agentes que têm acesso aos dados e todos os demais direitos garantidos pela LGPD.
Direitos do titular dos dados
A LGPD expressamente dispõe que a pessoa natural é titular dos seus dados pessoais. Trata-se de bem indisponível, decorrente dos direitos fundamentais de liberdade, intimidade e privacidade (art. 17, da LGPD).
Não por outra razão, a qualquer momento, bastando requisição expressa, as empresas deverão garantir, gratuitamente, o acesso aos dados; a realização correções de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; a portabilidade dos dados a outro fornecedor de serviço ou produto; a eliminação dos dados, exceto nas hipóteses em que a lei permite sua manutenção após o término do tratamento; o fornecimento da relação das entidades públicas e privadas que receberam os dados do titular em razão de uso compartilhado; a informação sobre a possibilidade de não fornecer o consentimento e quais as consequências nesta hipótese; a revogação do consentimento; e, a informação quanto a existência ou não de tratamento de dados do titular (art. 18, LGPD).
Como atender aos direitos do titular
No seu plano de adequação à LGPD, as organizações deverão mapear as situações de tratamento de dados e estruturar a forma como os direitos acima serão garantidos.
É importante notar que, em regra geral, os referidos direitos devem ser garantidos imediatamente com o requerimento do titular, sendo que, nos casos em que não seja possível, o controlador deverá informar as razões pelas quais a solicitação não pode ser atendida de imediato (art. 18, §4º, inc. II, da LGPD).
Veja-se que o não atendimento imediato da solicitação do titular é exceção e deve ser fundamentado, sob pena de se configurar violação à lei. Por essa razão, recomenda-se estabelecer canal de comunicação específico para receber essas solicitações, como um e-mail por exemplo, e incluir nas políticas de privacidade da organização prazos razoáveis para atendimento dos pedidos.
Além disso, no caso de compartilhamento dos dados com outras empresas, a organização deve ter um procedimento adequado de comunicação com seus parceiros, pois esses também deverão ser instados nas hipóteses em que o titular solicitar a correção, eliminação, anonimização ou bloqueio dos seus dados.
De igual forma, essa comunicação com parceiros deve ser imediata, exceto se o controlador conseguir comprovar que não é possível realizar de plano a comunicação ou quando o procedimento exigir esforço desproporcional (art. 18, §6º, LGPD).
A violação dos direitos do titular
O titular que tiver quaisquer dos seus direitos violados poderá recorrer à Autoridade Nacional de Proteção de Dados (ANPD) e aos organismos de defesa do consumidor (art. 18, §§1º e 8º, LGPD).
O descumprimento da legislação poderá gerar o dever de indenizar os danos materiais e morais sofridos pelo titular, sendo que os agentes envolvidos no processo de tratamento responderão solidariamente (art. 42, §1º, inc. I, LGPD).
Não obstante, a legislação permite a inversão do ônus da prova no processo. Isto é, se as alegações do titular dos dados forem verossímeis, o juiz poderá determinar que a(s) empresa(s) comprove(m) que respeitou(aram) os direitos do titular, sob pena de responsabilização – ao invés de determinar que o próprio titular realize a prova de que seus direitos foram violados (art. 42, §2º, LGPD).
Ademais, não se pode olvidar que a legislação também traz sanções administrativas (art. 52, LGPD), que poderão ser aplicadas pela ANPD a partir de agosto de 2021, sendo essas independentes das indenizações postuladas pelos titulares (que poderão ser requeridas assim que a lei entrar em vigor, neste mês).
Considerações finais
Portanto, além de garantir a adequação de seus procedimentos às hipóteses que autorizam o tratamento de dados, as organizações devem criar procedimentos capazes de atender os direitos dos titulares, conforme características expressas na legislação.
A desídia no atendimento dos titulares dos dados é um risco que, inevitavelmente, gerará perdas financeiras e reputacionais às empresas.
Sobre os autores
RAFAEL SGODA TOMAZETI – Advogado, sócio da Moreno Moro Advogados. Graduado em Direito pelo UniBrasil – Centro Universitário Autônomo do Brasil, tendo sido laureado com o título de melhor aluno do Curso de Direito (2017.2). Especialista em Compliance e Integridade Corporativa pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). Especializando em Direito Empresarial pela Faculdade Legale. Membro da Comissão de Compliance e Governança Corporativa (Curitiba/PR) da ABA – Associação Brasileira de Advogados. Membro do Comitê Público da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Possui formação em propriedade intelectual pela World Intellectual Property Organization (WIPO) e em proteção de dados pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio). Membro participante da Comissão de Inovação e Gestão da Ordem dos Advogados do Brasil – Seção do Paraná (OAB Paraná).
E-mail: rafael.tomazeti@morenomoro.com.br
TAILANE MORENO DELGADO MORO – Advogada, sócia fundadora da Moreno Moro Advogados. Graduada pelo Centro Universitário Curitiba (UniCuritiba). Especialista em Direito Tributário e Processo Tributária pela Universidade Positivo (UP); MBA em Gestão e Business Law pela FGV (Fundação Getúlio Vargas). Membro da Comissão de Compliance e Governança Corporativa (Curitiba/PR) da ABA – Associação Brasileira de Advogados. Ex-diretora do IBPT Educação e do IBPT – Instituto Brasileiro de Planejamento e Tributação. Palestrante, coautora de livro e artigos jurídicos, especialmente nas áreas de governança jurídica, Compliance e LGPD (Lei Geral de Proteção de Dados).
E-mail: tailane.moro@morenomoro.com.br