Ana Paula O. Ávila
A Lei Geral de Proteção de Dados em breve entrará em vigor e possui três compromissos bem claros quanto à gestão de dados pessoais: (a) a exigência de um propósito ou finalidade para o tratamento dos dados (art. 6º, I, II e III), (b) a exigência do consentimento informado do titular para o tratamento (art. 7º, I, c/c 8º) e transparência na gestão do tratamento dos dados (art. 6º, VI).
Confira aqui os principais direitos que a lei assegura ao titular de dados pessoais:
1. SEUS DADOS PESSOAIS SÃO PROPRIEDADE SUA
Dados pessoais, segundo a lei, são as informações relacionadas a pessoa natural identificada ou identificável; portanto, entram nessa categoria informações como seu nome, CPF e RG, e também outros dados complexos como a informação geoespacial fornecida pelo serviço de localização do seu telefone móvel. A lei também faz referência a dados que são considerados sensíveis pois possibilitam tratamento discriminatório, tais como informações sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, informações quanto à saúde ou vida sexual e informações biométricas (por ex., impressões digitais ou reconhecimento facial).
Em geral, os dados pessoais pertencem a você e, como expressão do seu direito constitucional à privacidade e intimidade, você não é obrigado a fornecê-los a quem quer que seja; isso é muito importante ter em mente: em geral, você só fornece seus dados se assim desejar. Em muitos casos, seus dados são solicitados se você deseja obter alguma facilidade (por ex., para acessar gratuitamente uma rede wi-fi ou aplicativos) ou descontos em preços; são situações em que você deverá avaliar a conveniência em fornecê-los e tomar sua decisão, devendo ser informado sobre o modo como seus dados serão utilizados.
Há contudo casos em que a lei obriga que você forneça seus dados pessoais se quiser praticar certos atos (art. 7º, §2º); por exemplo, ao comprar medicamentos de uso controlado nas farmácias, a ANVISA exige a identificação do usuário e do comprador; ao realizar operações em casas de câmbio ou adquirir bens imóveis, o COAF exige a identificação do comprador. Noutras situações, se você deseja celebrar algum contrato ou estabelecer relações mais duradouras (por exemplo, compras online e compras a prestações, haverá interesse na identificação das partes envolvidas (art. 7º, V) e seus dados serão tratados enquanto durar a relação.
Em todos os casos, você sempre deverá ser informado quanto à finalidade da solicitação dos seus dados (art. 6º, I).
2. O CONSENTIMENTO PARA O TRATAMENTO DE DADOS
Quem quer que solicite seus dados estará realizando operações de “tratamento”, expressão referente a operações de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão e armazenamento, entre outras atividades relacionadas a dados pessoais.
Fora das situações impostas pela lei, os seus dados pessoais somente serão tratados se houver o seu consentimento, devendo ser manifestado de forma expressa e informada, preferencialmente em destaque (art. 8º, §1º).
A finalidade da coleta dos seus dados deve ser informada, assim como as consequências do não fornecimento; assim, você poderá tomar a melhor decisão para os seus interesses. O consentimento anteriormente manifestado pode ser revogado a qualquer momento (art. 8º, §5º), e você poderá requerer eliminação dos seus dados (v. abaixo, como funciona o direito à eliminação).
3. DIREITO DE INFORMAÇÃO
Como correspondência ao objetivo de transparência, o direito de informação ressai entre os mais relevantes – e a obrigação de informar a finalidade do tratamento não tem exceções na lei. A operação dos dados ficará estritamente vinculada à finalidade informada (art. 6º, II e III); se a finalidade for modificada ao longo do tratamento, será necessário tomar novo consentimento quanto às alterações ocorridas (art. 8º, §§4º e 6º, c/c 9º, I).
Somente os dados estritamente pertinentes e necessários para a finalidade informada deverão ser tratados (art. 6º, II e III), portanto fique atento para não fornecer dados em excesso. Além disso, se seus dados estiverem sujeitos ao compartilhamento com outras entidades, sejam públicas ou privadas, você deverá ser informado (art. 18, VII). Preste atenção na política de privacidade de todos os serviços e aplicativos que lhe são oferecidos. Lembre que seus dados possuem valor e o mais importante: eles revelam fatos sobre você; assim, nenhum serviço que lhe seja oferecido “gratuitamente” em troca dos seus dados pessoais é realmente gratuito.
4. DIREITO AO LIVRE ACESSO
Você deverá ter livre acesso às informações sobre o tratamento dos seus dados, que deverão ser claras, precisas e de fácil acesso (arts. 6º, IV e 18, II). A consulta quanto à forma e duração do tratamento, assim como a exatidão dos seus dados pessoais é gratuita (art. 18, §5º).
Os dados deverão ser armazenados em formato que favoreça o acesso, e poderão ser solicitados aos agentes de tratamento por via eletrônica ou impressa (art. 19, §2º, I, II). Você poderá obter, a qualquer tempo e mediante requisição, a confirmação da existência de tratamento quanto aos seus dados, sendo atendido imediatamente e em formato simplificado, ou no prazo de 15 dias no caso de informações mais complexas (art. 19, I, II).
5. DIREITO À SEGURANÇA QUANTO AOS SEUS DADOS
Você tem direito à segurança dos dados pessoais fornecidos, com o correspondente dever dos agentes de tratamento quanto à adoção de medidas técnicas para garantir a proteção dos dados contra brechas, acesso indevido, destruição, perda, alteração, comunicação ou difusão.
Qualquer invasão a sistema de dados por pessoas sem acesso autorizado configura um incidente de segurança que deve ser comunicado à autoridade nacional para as providências devidas.
6. RESPONSABILIDADE DOS AGENTES DE TRATAMENTO
A lei prevê deveres e protocolos de segurança da informação que devem ser seguidos para garantir a confidencialidade dos dados pessoais objeto de tratamento.
No caso de danos à privacidade decorrentes do tratamento dos dados pessoais –e isso vale tanto para os danos efetivos quanto para o risco de dano relevante–, você terá direito à responsabilização dos agentes de tratamento e à correspondente indenização. A lei admite a tutela individual e coletiva para a defesa dos interesses e direitos dos titulares de dados (art. 22).
7. DIREITO À REVISÃO DE DECISÕES AUTOMATIZADAS
Os dados pessoais que você fornece podem servir de input a algoritmos que realizam perfilamento pessoal, profissional, de consumo ou de crédito, com base nas suas informações e calculam decisões de forma automatizada que podem afetar os seus interesses.
Nessas hipóteses, o titular tem direito a obter informações sobre os critérios e procedimentos empregados no processo de decisão, além do direito a solicitar a revisão dessas decisões (art. 20). A revisão em tela, na esteira do previsto no art. 22º da GDPR (regulamentação da União Europeia), implica a revisão por ser humano, para que confirme ou corrija eventuais erros da decisão automática anterior, de forma justificada.
De modo análogo, a Lei do Cadastro Positivo já permitia a revisão de decisões (automáticas) pelo consulente das informações cadastrais obtidas em bancos de dados (Lei 12.414/2011, art.5º, VI); naturalmente, a expressão refere-se a pessoa natural.
8. DIREITO À NÃO-DISCRIMINAÇÃO
Não que isso seja novidade, pois a própria Constituição Federal proíbe a discriminação em seu texto original desde sua promulgação, mas a lei reforça que o titular tem direito a não ser discriminado de forma ilícita ou abusiva com base nos dados pessoais informados (art. 6º, IX).
9. DIREITO À RETIFICAÇÃO, ANONIMIZAÇÃO, ELIMINAÇÃO OU BLOQUEIO DOS DADOS
Segundo a LGPD, sempre que possível, os dados serão anonimizados, ou seja, tratados de forma a não permitir a identificação do titular; dados desnecessários ou excessivos são aqueles que não atendem às finalidades informadas para o tratamento e, por isso, devem ser eliminados. Você também tem direito à retificação de dados incorretos ou incompletos (art. 18, III) e, se os dados não forem de manutenção obrigatória por exigência legal, você tem direito a solicitar sua eliminação (art. 18, IV, VI).
Essa solicitação deverá ser atendida imediatamente, a menos que o requerido não seja o agente de tratamento (sempre que possível ele deverá indicar quem o seja) ou apresente justificativa que impeça a eliminação imediata dos dados (18, §§ 3º e 4º). De fato, os dados não poderão ser eliminados quando a lei determinar sua conservação para cumprimento de obrigação legal ou regulatória pelo controlador, entre outros casos (art. 18, VI, c/c 16).
Uma vez requerida a correção, anonimização, bloqueio ou eliminação dos seus dados pessoais, o agente de tratamento deverá providenciar para que medida idêntica seja adotada por todos os demais agentes com quem tenha realizado o uso compartilhado (art. 18, §6º).
10. DIREITO À PORTABILIDADE DOS DADOS
A portabilidade significa que o titular pode levar seus dados para outro fornecedor de serviço ou produto. Para isso deverá fazer requisição expressa, de acordo com a regulamentação da autoridade nacional (e desde que a transferência dos dados não importe em violação de segredos comercial e industrial). Por exemplo, um motorista de aplicativo que deseje mudar de plataforma poderá levar para o novo serviço as avaliações pelo usuário que foram obtidas na plataforma anterior.