MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. LGPD: O dilema entre a proteção dos dados pessoais e o direito de acesso dos titulares

LGPD: O dilema entre a proteção dos dados pessoais e o direito de acesso dos titulares

Juliana Guimarães de Castro Neves

Boas práticas na LGPD - o que fazer para não tornar a proteção dos dados pessoais um obstáculo para os próprios titulares exercerem seus direitos.

terça-feira, 26 de outubro de 2021

Atualizado às 07:46

(Imagem: Arte Migalhas)

A lei Geral de Proteção de Dados (LGPD), em vigor desde o dia 18 de setembro de 2020, trouxe uma série de direitos aos titulares de dados pessoais, mas também diversas obrigações às pessoas físicas e jurídicas com relação à proteção e privacidade de dados pessoais.

Apesar de a LGPD não ser a única e nem a primeira lei que trata do tema da privacidade de dados pessoais no Brasil, ela é sem dúvida a de maior importância pela sua especificidade e abrangência. Um de seus fundamentos é a autodeterminação informativa, isto é, permite que o titular exerça um maior controle sobre a circulação de seus dados pessoais e garante a esses uma participação mais efetiva nos processos de tratamento de seus dados. Para tanto, a LGPD dispõe sobre uma série de direitos do titular em relação aos seus dados pessoais, como, por exemplo, o direito de solicitar acesso aos seus dados pessoais, sua correção e, em determinados casos, até exclusão de suas informações que estejam nos bancos de dados de empresas privadas e públicas.

Para que seja possível atender as solicitações dos titulares relativas aos seus direitos, a empresa de posse dos dados pessoais (o "controlador"1) tem como tarefa desenvolver um processo para atendimento, de forma efetiva e eficaz, dessas solicitações. Para tanto, é necessário, primeiramente, identificar o requerente, isto é, garantir que ele é mesmo o titular dos dados em questão. Se a LGPD trata de proteção e privacidade de dados pessoais, é preciso garantir, antes de tudo, que os direitos fundamentais de liberdade, privacidade e intimidade dos titulares sejam preservados2. Uma solicitação de acesso a dados feita por pessoas não autorizadas resulta em uma violação desses direitos.

Por outro lado, a LGPD exige que essas solicitações sejam atendidas de maneira imediata e simplificada, para que os titulares tenham facilidade em exercer os direitos relativos ao acesso a seus dados. Desse modo, o controlador deve evitar um processo de identificação muito complexo ou, ainda, a coleta de dados pessoais adicionais apenas para realizar essa identificação.

Assim, se uma organização dificulta o exercício dos direitos dos titulares, criando requisitos desproporcionais para acesso aos seus dados pessoais, ela poderá, na prática, acabar por violar os direitos legais do titular e, portanto, estará sujeita a sanções previstas na própria LGPD.

Na prática, como devemos agir?

Tomemos como exemplo uma solicitação de um titular que deseje que seu endereço de e-mail seja removido de um banco de dados usado para marketing direto. Imaginemos que esse banco de dados é composto por apenas duas categorias de dados pessoais: nome completo e endereço de e-mail. Como o controlador desse banco de dados deve realizar a identificação do solicitante? Como garantir que o solicitante é o titular dos dados pessoais?

A solicitação de uma cópia de um documento de identidade, como carteira de motorista, RG ou ainda passaporte é usada por muitas organizações como método padrão para realizar essa identificação. Mas, no nosso exemplo, será que esse método é o ideal?

Ao receber a cópia da identidade do solicitante, o controlador estaria de posse de outros dados pessoais que antes não possuía, como: número do RG, número do CPF, filiação e até mesmo a foto do requerente. Assim, por conta de um pedido de exclusão de um endereço de e-mail do banco de dados, o controlador coletaria inúmeros novos dados pessoais do titular.

Esse tipo de coleta pode ser prejudicial tanto para quem enviou os dados quanto para quem os recebeu. É razoável imaginar que o titular nem sempre estará disposto a compartilhar outros dados pessoais com a empresa, quando sua solicitação é exatamente para exclusão de seus dados. Já a empresa que solicitou por novas informações acaba coletando mais dados pessoais e, como "guardiã" desses novos dados, acaba criando riscos adicionais aos titulares e a ela própria. A empresa provavelmente precisará tomar medidas de segurança mais elevadas que garantam agora a proteção de outras categorias de dados, que podem ser mais sensíveis do que os coletados inicialmente.

Portanto, o método de identificação do titular deve ser elaborado considerando vários aspectos, tais como o contexto da solicitação, a categoria dos dados e as expectativas dos titulares, entre outros. Uma regra simples é seguir o mesmo método utilizado no momento da coleta desses dados. Por exemplo, se um dado pessoal foi coletado por um e-mail enviado pelo titular, esse mesmo endereço de e-mail pode ser utilizado para a identificação do titular quando este faz uma solicitação.

Mas essa regra deve ser repensada caso a caso. Como dissemos, o processo utilizado para identificação dos titulares também deve considerar o tipo de dados pessoais envolvido. Se os dados são sensíveis, por exemplo, um método de identificação pura e simplesmente pode não ser o mais adequado. Nesse caso, a combinação da identificação com uma autenticação do usuário pode se fazer necessária. De qualquer modo, a recomendação é sempre a de não solicitar dados adicionais para identificar/autenticar o titular e sim se utilizar das informações que já estejam em posse do controlador.

No mais, entre não atender uma solicitação pela impossibilidade de se identificar o titular ou coletar informações excessivas para identificação, deve-se optar pela estratégia que produz menor impacto na proteção e privacidade de dados. Ainda, nesse sentido, todas as atividades que envolvam o tratamento de dados pessoais devem seguir o "Princípio da Necessidade" abordado na LGPD, isto é, deve-se limitar o tratamento ao mínimo necessário, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Diante do dilema apresentado, a proteção dos dados pessoais deve ser considerada prioridade. Como boa prática, as organizações devem criar processos de identificação de titulares que sejam realizados sem a coleta de novos dados. A cautela com os dados pessoais deve estar presente em qualquer atividade que englobe tratamento de dados dentro de uma organização, mesmo naquelas necessárias para o exercício dos direitos dos próprios titulares dos dados pessoais.

_______

1 Segundo artigo 5°, VI, da LGPD o controlador é "toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais".

2 A proteção de dados pessoais também foi, recentemente, incluída no rol dos direitos e garantias fundamentais do cidadão. Em 20/10/2021, o Senado aprovou a Proposta de Emenda à Constituição 17 (PEC 17) que trata do assunto e que segue agora para promulgação.

Juliana Guimarães de Castro Neves

Juliana Guimarães de Castro Neves

Advogada e engenheira mecânica, com pós-graduação em administração de empresas pela Fundação Getúlio Vargas e mestrado (LLM) em Arbitragem Internacional pela University of Miami School of Law. Realizou o curso Privacidade e Proteção de Dados - Teoria e Prática do Data Privacy Brasil e é certificada em Sistemas de Informação pelo Exin (ISFS ISO/IEC 27001). Membro da Comissão de Privacidade e Proteção de Dados da OAB/SP e integrante da equipe de privacidade do Mendonça de Barros Advogados, com larga experiência em projetos de adequação à LGPD em diversas empresas de grande, médio e pequeno porte.

Mendonça de Barros Advogados Mendonça de Barros Advogados
APOIADORES
Apoiador Migalhas
ver todos
FOMENTADORES
Fomentador Migalhas
ver todos

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca
QUERO SER MIGALHEIRO VIP