O que o titular de dados pessoais têm direito de requerer ao controlador de dados?

Artigo 18

Direitos do Titular de Dados Pessoais em relação ao Controlador

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

• I - confirmação da existência de tratamento;
• II - acesso aos dados;
• III - correção de dados incompletos, inexatos ou desatualizados;
• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
• VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

• 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
• 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
• 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
• 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
  • I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
  • II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
• 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
• 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
• 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
• 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.

Neste artigo, fizemos uma breve análise entre a LGPD e o CDC, bem como explicamos de forma clara e com exemplos práticos os principais direitos do titular de dados pessoais.

Uma breve análise entre os direitos do titular de dados (LGPD) e os direitos do consumidor (CDC)

Muitas pessoas acreditam que a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei Nº 13.709/2018) foi criada com o intuito de aumentar a burocracia e aplicar multas, Contudo, conforme veremos adiante, esta crença está equivocada.

Visto que um dos principais objetivos da LGPD é proteger os direitos do titular de dados pessoais, ou seja, defender os nossos direitos.

Há 30 anos, quando o Código de Defesa ao Consumidor (CDC – Lei nº 8078/1990) entrou em vigor, poucos consumidores sabiam dos direitos que tinham. Por exemplo, o direito se arrepender ao fazer um compra online.

E, por outro lado, as empresas não tinham consciência das obrigações de que deveriam cumprir nas relações de consumo.

Entretanto, atualmente, tantos os consumidores como os fornecedores de bens e serviços conhecem – quase que de cor – os principais pontos do CDC.

Nesse sentido, a LGPD também precisará de um tempo de amadurecimento para que a sociedade entenda os principais conceitos e, consiga, de fato, colocá-la em prática. Todavia, o direito não costuma socorrer as pessoas que dormem.

Em outras palavras, quem não buscar se adequar à LGPD, provavelmente terá problemas com a Autoridade Nacional de Proteção de Dados (ANPD) ou poderá ser acionado na Justiça.

Dessa forma, para ajudar o titular e o controlador dos dados pessoais a compreenderem melhor seus direitos e suas obrigações, elaboramos este artigo.

(Se você não conhece os termos: Controlador, operador, titular, tratamento, consentimento, entre outros, recomendamos a leitura deste Manual, onde explicamos os principais conceitos da Lei)

1. Confirmação da existência de tratamento – art 18, inciso I

Primeiramente, precisamos explicar o que é tratamento de dados pessoais previsto no art. 5, inciso X, LGPD:

tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Portanto, o legislador deu uma extensão ampla ao conceito de tratamento de dados pessoais, abarcando qualquer operação que utilize informações de pessoas naturais vivas.

Nesse sentido, mediante solicitação ao controlador, o titular tem o direito de saber se seus dados estão sendo processados.

Para melhor compreendermos, segue um exemplo:

• um cliente (titular), que não se recorda se fez um cadastro em uma determinada empresa (controladora), solicita a ela que confirme se existe algum tipo de tratamento dos seus dados.

Esta situação é muito comum no mundo digital, pois muitas vezes para termos acesso a um conteúdo, a empresa solicita que o titular preencha um cadastro – na maioria das vezes com informações pessoais.

Nesse contexto, entendemos que a empresa (controladora), além de confirmar a existência ou não do tratamento, deve também informar:

• a finalidade específica para a qual os dados são utilizado
• a forma e duração do tratamento
• identificação da empresa: seu nome empresarial e o número do seu CNPJ
• as informações de contato: deve a empresa informar localização atual, e-mail, telefones, ou qualquer outro meio digital ou físico para contato
• se há uso compartilhado de dados e para qual finalidade
• os direitos do titular: a empresa deve sempre que possível expor claramente quais são os direitos dos titulares, recomenda-se, que eles estejam previstos na política de privacidade da empresa.

2. Acesso aos dados – art. 18, inciso II

O direito de acesso pode ser exercido quando o titular já sabe que seus dados estão sendo tratados por uma empresa. Porém, não sabe exatamente quais informações ela possui sobre ele.

Veja um exemplo:

• um titular forneceu seus dados a uma empresa para obter gratuitamente um ebook. Contudo, após alguns meses, ele não recordava quais foram as informações que inseriu no cadastro para ter acesso ao livro digital;

Desse modo, o titular deve solicitar a empresa, com base no direito de acesso, quais informações foram coletadas no momento em que realizou o cadastro.

3. Correção de dados incompletos, inexatos ou desatualizados – art. 18 inciso III;

O titular de dados pode solicitar que seus dados sejam completados, corrigidos e atualizados.

Por exemplo:

• ao fazer uma compra online, o cliente (titular dos dados) insere, por um equívoco, um endereço que não é o seu, ou;
• um cliente, ao fazer uma compra online em uma loja, na qual já tinha cadastro, esquece de atualizar o seu endereço, pois havia mudado de residência há pouco tempo;

Nesses exemplos, basta o titular solicitar à loja que atualize seu cadastro com o endereço atual.

Entretanto, as empresas (controladoras) antes de fazer uma correção, deve ter certeza de quem está solicitando-a é realmente o titular de dados.

Visto que, infelizmente, existem terceiros mal-intencionados que podem utilizar desse direito para aplicar algum golpe.

4. Anonimização, bloqueio ou eliminação – art. 18 inciso IV4.1 . Anonimização:

É quando um dado pessoal não pode mais identificar o titular, por exemplo:

• uma empresa que realiza estudos científicos sobre a eficácia de um remédio convida um grupo de pessoas para efetuar uma pesquisa. Após obter os resultados necessários para concluir o estudo, são apagados os dados que poderiam identificar as pessoas do grupo, tornando-os, desse modo, em dados anonimizados;

4.2. Bloqueio

O Bloqueio é definido pela LGPD da seguinte forma: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

4.3 Eliminação

O titular pode solicitar que sejam excluídos dados desnecessários, excessivos ou tratados em desconformidade com LGPD.

5. Portabilidade – art. 18, inciso X

O titular pode requerer portabilidade de seus dados de uma empresa/controladora para outra.

Porém, não sabemos como o direito de portabilidade poderá ser exercido no Brasil, inclusive, segundo a própria LGPD, esse direito deverá ser regulamento pela ANPD.

6. Eliminação dos dados pessoais tratados com o consentimento do titular – art. 18, inciso XI

Mediante solicitação, o titular pode retirar – a qualquer momento – o  consentimento que deu a uma  empresa/controladora para processar seus dados.

E como consequência, a empresa não poderá mais tratar os dados dele e também será obrigada a apagá-los, salvo as exceções previstas no artigo 16.

7. Informação sobre compartilhamento de dados – art. 18, inciso VII

Uma empresa/controladora pode, de acordo os requisitos legais e contratuais, compartilhar dados pessoais com outra empresa/operadora.

E por outro lado, o titular tem o direito de saber se houve ou não o compartilhamento de suas informações, seja essa companhia pública ou privada.

8.Informação sobre a possibilidade de não fornecer consentimento – art. 18, inciso VIII

O titular tem o direito de ser informado pelo controlador sobre a possibilidade, em uma determinada situação, de que não é obrigado a seu consentimento.

Por outro lado, deve ser explicado a ele quais serão os efeitos negativos que ele poderá sofrer se não conceder seu consentimento.

9. Revogação do consentimento – art. 18, inciso IX

A LGPD define consentimento como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Nesse sentido, o direito da revogação do consentimento reforça a ideia que a qualquer momento o titular pode retirar o seu consentimento que foi fornecido a um controlador de dados.

10. Reclamação perante a Agência Nacional de Proteção de Dados (ANPD), art. 18, §1º

É direito do titular, em relação aos seus dados pessoais, peticionar em desfavor de um controlador perante a ANPD.

11. Oposição – art. 18, §2º

O titular pode opor-se a tratamento realizado por um controlador ou operador, com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD.

Informações adicionais

Por último, esperamos que depois da leitura deste artigo você tenha compreendido os principais direitos do titular de dados, e oportunamente recomendamos que você veja este texto onde comentamos sobre os benefícios da implementação da LGPD.

O que o titular tem direito a obter do controlador?

Quais direitos o titular dos dados pessoais tem de exigir do controlador em relação aos seus dados particulares por ele tratados?

Quais são os direitos do titular dos dados pessoais?

O que o titular tem direito LGPD?