sexta-feira, 3 de dezembro de 2021

COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de Proteção de Dados >
  4. O direito de acesso na Lei Geral de Proteção de Dados Pessoais (LGPD)

O direito de acesso na Lei Geral de Proteção de Dados Pessoais (LGPD)

sexta-feira, 23 de outubro de 2020

Em um sistema aberto, as figuras jurídicas passam por alterações em seus sentidos ao longo do tempo, ainda que a terminologia permaneça idêntica. Trata-se do caráter histórico-relativo dos conceitos, que sofrem verdadeira mutabilidade de significado, podendo desempenhar distintas funções, a depender do contexto histórico, geográfico, cultural e social em que se inserem. A privacidade parece constituir boa ilustração de tal característica.

Tradicionalmente, a privacidade era definida como o direito a ser deixado só, isto é, a um espaço reservado de intromissões indesejadas. Todavia, na sociedade tecnológica, o conceito de privacidade passa a se distinguir do de intimidade e a ser concebido também como direito ao controle dos dados pessoais. Analisa-se a privacidade em perspectiva extrapatrimonial, diante de sua relação essencial com o princípio da dignidade da pessoa humana, fundamento do sistema jurídico (art. 1º, III, CRFB/88).

Na prática, a adequada tutela do direito à privacidade depende essencialmente da efetividade do que se denomina de direito de acesso. De fato, escanteado do tratamento dos dados que lhe pertencem, torna-se inviável qualquer possibilidade de exercício do controle por parte do titular. O direito de acesso se traduz, assim, em pedra angular para a proteção das informações pessoais.

Há, contudo, barreiras que devem ser transpostas para a plena realização das potencialidades funcionais do direito de acesso. A esse respeito, Stefano Rodotà enunciou as principais causas do tímido exercício desse direito na prática, as quais foram por nós divididas, para fins didáticos, em três grupos: (i) o aspecto do procedimento do acesso, relativo aos custos financeiros e de tempo envolvidos, à carência de alfabetização, à falta de informação e ao desnível de poder entre os titulares dos dados pessoais e os agentes que detêm as informações; (ii) o aspecto do funcionamento do acesso, que diz com a escassa relevância das informações fornecidas quando não se conhece a maneira de atuação do sistema de tratamento e (iii) o aspecto do âmbito de incidência do acesso, referente ao excesso de vedações a certas categorias de informações1.

Buscando superar, de certo modo, esses conhecidos obstáculos, o legislador brasileiro fornece, na recém-vigente Lei Geral de Proteção de Dados Pessoais (LGPD, lei 13.709/2018), inúmeras previsões para a efetividade do direito de acesso. É o que se passa a ver.

A LGPD consagra, como dois de seus princípios basilares, o do livre acesso, estabelecendo a "garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais" (art. 6º, IV), e o da transparência, assegurando aos titulares "informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial" (art. 6º, VI).

Mais especificamente quanto ao procedimento do acesso, cabe destacar que os custos financeiros envolvidos no exercício do direito em análise sem dúvida se traduzem em barreira à sua efetividade, sobretudo em países marcados por desigualdades sociais, como no caso brasileiro. Por tal razão, essencial a previsão do artigo 6º, IV, da LGPD, a respeito da gratuidade no exercício do direito, ao dispor sobre o princípio do livre acesso. No mesmo sentido, demanda o artigo 18, § 5º, da LGPD, que o requerimento de acesso seja atendido sem custos para o solicitante.

Também no que diz com a superação dos obstáculos referentes à obtenção e à compreensão dos dados pelo titular, bem como à demora do processo, a lei visa a assegurar a facilitação do acesso (art. 6º, IV). Nesse sentido, estabelece o artigo 9º que as informações sejam disponibilizadas de forma clara, adequada e ostensiva. Além disso, o requerimento de acesso será atendido em formato simplificado, de modo imediato, ou no prazo de 15 dias, contados da data do pedido, por meio de declaração clara e completa, que informe a origem dos dados, a inexistência de registro, os critérios utilizados e o objetivo do tratamento, ressalvado o sigilo comercial e o industrial (art. 19, I e II)2.  As informações poderão ser obtidas por meio digital, seguro e idôneo, ou por meio físico. A escolha da forma de atendimento do pedido caberá ao requerente (art. 19, § 2º, I e II). Por fim, prevê o artigo 19, em seu § 1º, que os dados pessoais serão armazenados em condições que favoreçam o exercício do direito de acesso.

Sob outro ângulo, os obstáculos descritos, referentes ao desnível de poder entre as partes e à falta de informação do requerente, encontram importante solução na possibilidade de assistência do titular por profissional qualificado bem como de tutela coletiva desse direito. De fato, a assistência do titular por um especialista permite mitigar a disparidade de conhecimentos técnicos e jurídicos entre o titular dos dados e o agente de tratamento. No mesmo sentido, a forma coletiva de tutela do direito de acesso assegura uma ação coordenada, sistemática e, por consequência, possivelmente mais assertiva. A lei cuida do tema no artigo 18, § 3º, ao dispor que "os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento", e no artigo 22, ao prever que "a defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva", de modo a dotar de efetividade o direito de acesso.

Já no aspecto do funcionamento do acesso, o obstáculo a ser superado diz com a escassa relevância das informações fornecidas quando não se conhece a maneira de atuação do sistema. A esse respeito, a lei permite que o acesso seja estendido, para além do dado pessoal em si, à forma de operação do tratamento, bem como à circulação da informação. Assegura-se, desta feita, que o direito de controle dos dados pessoais seja exercido de modo efetivo, abarcando o modo de desempenho do sistema e alcançando as informações onde quer que estejam, no bojo do processo dinâmico de uso e compartilhamento dos dados.

Nesse sentido, o artigo 9º da LGPD garante o acesso a informações sobre a finalidade específica, a forma e a duração do tratamento, ressalvados os segredos comercial e industrial, a identificação e os dados de contato do controlador, o uso compartilhado de dados pelo controlador e a finalidade, as responsabilidades dos agentes que realizarão o tratamento e os direitos do titular, com menção explícita aos contidos no artigo 18 da lei.

Ainda no tocante ao funcionamento do sistema, destaca-se a previsão do artigo 20, que, em tema de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive com a formação de perfis, permite o pedido de revisão dessas decisões, bem como o acesso aos critérios e procedimentos utilizados na operação, observados os segredos comercial e industrial. Neste último caso, se o conhecimento esbarrar na proteção do sigilo, a autoridade nacional zelará pelo princípio da não discriminação, assegurando a isonomia. O dispositivo se destina à tutela do livre desenvolvimento da personalidade do titular. Com efeito, constata-se que, na sociedade tecnológica, a construção da identidade do sujeito passa a depender do modo como os dados o descrevem. O corpo se torna eletrônico e a percepção de si se opera de fora para dentro - a personalidade é aquela definida pelo conjunto de informações3. Nessa toada, o controle dos dados pessoais, por meio do acesso aos critérios e procedimentos utilizados e da solicitação de revisão das decisões automatizadas, objetiva evitar que aquela pessoa humana seja indevidamente discriminada com base em característica que lhe foi atribuída por meio do tratamento de dados pessoais.

Sobre o tema, a lei contempla como princípio basilar de sua incidência o de não discriminação, que preconiza a "impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos" (art. 6º, IX). Note-se, portanto, que se admite que os titulares de dados pessoais sejam tratados de modo distinto, como o oferecimento de condições de crédito diferenciadas a partir do perfil de cada consumidor, mas se afigura vedada a discriminação quando ilícita ou abusiva4.

Além disso, tomando-se o direito de acesso como instrumento de efetividade da tutela de diferentes situações jurídicas existenciais, cabe destacar a amplitude dos direitos conferidos pela lei ao titular dos dados pessoais, que pode requerer: (i) confirmação da existência de tratamento; (ii) correção de dados incompletos, inexatos ou desatualizados; (iii) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei; (iv) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial5;  (v) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da lei; (vi) informação das entidades com as quais o controlador realizou uso compartilhado de dados; (vii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (viii) revogação do consentimento, nos termos do § 5º do artigo 8º da lei6  (art. 18, incisos I a IX7); (ix) medidas em relação aos seus dados contra o controlador perante a autoridade nacional, bem como perante os organismos de defesa do consumidor (art. 18, §§ 1º e 8º); (x) oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, uma vez descumprida a lei (art. 18, § 2º) e (xi) cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, quando o tratamento tiver origem no consentimento do titular ou em contrato (art. 19, § 3º8).9

No que tange ao âmbito de incidência do acesso, pretendeu o legislador superar o obstáculo relativo ao excesso de vedações a certas categorias de informações. Para tanto, foi contemplado o direito de acesso à integralidade dos dados pessoais (art. 6º, IV) e prevista a regra da possibilidade de seu exercício em relação a qualquer tratamento realizado por pessoa natural ou por pessoa jurídica, de forma a estabelecer, em todas as searas sociais, a prevalência do controle sobre o sigilo (arts. 1º e 3º).

Em síntese, o recém-chegado direito de acesso se apresenta, no cenário jurídico nacional, marcado pela busca por efetividade. Trata-se de produto da nova concepção do direito à privacidade e associado à transparência que permeia grande parte das relações sociais na contemporaneidade. Nesse cenário, a Lei Geral de Proteção de Dados Pessoais, que acaba de entrar em vigor no ordenamento pátrio, escorada nos avanços doutrinários sobre os assuntos de que se ocupa, procurou enfrentar as principais barreiras que obstaculizam o controle dos dados pessoais.  Incorporou, assim, poderoso cabedal de ferramentas, ora postas à disposição das pessoas, convidando-as, então, ao exercício do direito de controle de suas informações pessoais. Em meio às turbulências do mundo líquido do Século XXI, a plena eficácia social do direito de acesso consubstancia gigantesco passo civilizatório a favor da tutela integral da pessoa humana.

*Carlos Edison do Rêgo Monteiro Filho é professor Titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ. Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da PGE-RJ (ESAP). Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Advogado, parecerista em temas de Direito Privado.

**Diana Loureiro Paiva de Castro é mestre em Direito Civil pela UERJ. 

__________

1 RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008, p. 68.

2 Ressalve-se a previsão do artigo 19, § 4º, da LGPD: "A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos".

3 RODOTÀ, Stefano. Dal soggetto alla persona. Napoli: Editoriale Scientifica, 2007, p. 35.

4 MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luz da Lei Geral de Proteção de Dados (lei 13.709/18). Revista de Direitos e Garantias Fundamentais, v. 19, n. 3, 2018, p. 164.

5 Conforme o artigo 18, § 7º, da LGPD, "a portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador".

6 Aqui também há a garantia de gratuidade, conforme prevê o artigo 8º, § 5º, da LGPD.

7 Importante ressaltar que, consoante o artigo 18, § 6º, da LGPD, "O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional".

8 Isso se dará, segundo o dispositivo, "nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento".

9 Ademais, dispõe o artigo 21 da LGPD: "os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo".

Atualizado em: 23/10/2020 08:27