Por que atender às demandas dos titulares não é tão simples quanto parece?

Em que pese a Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei 13.709/18 - estar em vigor há quase 2 anos (à exceção das sanções administrativas), responder aos titulares de dados pessoais ainda não é uma tarefa fácil.

Dispõe a LGPD, em seu artigo 18:

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - Confirmação da existência de tratamento;

II - Acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 

Ainda, o titular tem o direito de peticionar contra o Controlador perante a ANPD (Autoridade Nacional de Proteção de Dados), se opor a determinado tratamento e solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. 

Como diz Arnaldo César Coelho, a regra é clara: quem responde demanda de titular é o Controlador. E é de suma importância dizer isso, porque temos visto, na realidade, muitos Operadores assumindo essa função, sem compreender o tamanho da responsabilidade que estão assumindo. Explicamos: 

Para que as organizações possibilitem o exercício dos direitos dos referidos titulares, há a necessidade de organização, conscientização e investimento. Organização, através dos esforços para atingir uma finalidade; conscientização, e investimento, pois profissionais competentes e ferramentas tecnológicas custam caro. 

Do que vemos em nossa atuação prática, sim, há empresas (poucas) que ainda não receberam alguma solicitação de titular, no entanto, há organizações que recebem em torno de 5 demandas por dia (ou mais), o que enseja um fluxo para que todas as respostas sejam enviadas, bem como evidenciadas, para efeito de fiscalizações. 

Não basta ter um modelo de e-mail pronto ou uma ferramenta que dispare respostas sem fundamento. É imperioso que a demanda seja analisada, compreendida e respondia dentro do prazo estabelecido pela lei. Ainda, evidenciar os atendimentos é fundamental, para efeito de accountability, conforme o inciso X, do artigo 6º da LGPD: "Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas". 

Exemplos práticos: 

Um titular pede acesso aos seus dados para determinada empresa. Como respondê-lo? Inicialmente, quem recebe a demanda deve conseguir identificar que é uma demanda relacionada à proteção de dados pessoais e, caso não seja o DPO o primeiro a receber, treinar o profissional que receberá é essencial. Ainda, a depender da estrutura da empresa, será necessário entrar em contato com outros setores, para verificar se há dados desse titular, quais são os dados e como eles serão informados ao titular. 

Traz, o artigo 19 da LGPD: 

A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I - Em formato simplificado, imediatamente; ou

II - Por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.

§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:

I - Por meio eletrônico, seguro e idôneo para esse fim; ou

II - Sob forma impressa.

Em suma: a organização precisa ter uma gestão de dados, para que possa encontrá-los de forma rápida, compilá-los e responder ao titular dentro do prazo legal. Ademais, no caso de meio eletrônico, que é forma da maioria dos dados, precisa ter um meio seguro, ou seja, deve adotar medidas de segurança a fim de proteger não somente os dados, como também seu compartilhamento.

Claro que, ter um sistema de gestão não é uma obrigação, todavia, atualmente, quem armazena dados somente em planilhas e arquivos de texto? O risco é muito maior, não só pela falta de um controle de acesso, comprometendo a confidencialidade das informações, como também, por uma deleção de uma linha, que já comprometerá a integridade do documento. Logo, o barato pode sair muito caro.

Outra situação prática: o titular solicita a portabilidade dos seus dados para outra empresa. Como fazer? Nem sempre a organização terá ferramentas que permitam a portabilidade. Como proteger direitos de terceiros e os segredos comerciais? Infelizmente, hoje temos mais perguntas do que respostas.

E o principal questionamento é: Qual serão o padrão e o custo dessa interoperabilidade? Em seu artigo 40, a LGPD menciona o assunto, mas ainda não temos definições por parte da ANPD (Autoridade Nacional de Proteção de Dados): "A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência".

Importante dizer, também, que durante todo esse processo, o princípio da transparência (artigo 6º, inciso VI, da LGPD) precisa ser cumprido!

Ou seja, dependendo do tipo de direito a ser solicitado, dar certa resposta não é uma tarefa simples, tampouco barata. Além de iniciar uma mudança de mindset, as empresas precisam compreender que implementar privacidade necessita de investimento, para que haja uma estrutura objetiva e que atenda aos requisitos legais vigentes e aplicáveis.

E quando o Controlador, por qualquer motivo que seja, não conseguir responder dentro do prazo? Dispõe a LGPD, no mesmo artigo 18, em seu § 4º:

Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I - Comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II - Indicar as razões de fato ou de direito que impedem a adoção imediata da providência. 

Isto significa que, mesmo que a resposta completa não possa ser enviada de imediato, o Controlador precisará dar uma satisfação ao titular sobre a ausência de explicações. E o ponto crucial é: nem sempre a demanda será atendida, porém, ela sempre precisará ser respondida!

Entregar uma resposta clara e intempestiva ao titular de dados pessoais, não somente coopera para o cumprimento da legislação, mas também, fortalece a relação de confiança e transparência, com titulares e atuais e futuros clientes.

Por fim, mas longe de finalizar a discussão sobre o tema em tela, ensina a LGPD, em seu artigo 17:

Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Em suma, permitir que os titulares de dados pessoais exerçam seus direitos não é somente cumprimento da LGPD, mas também a demonstração de boa-fé da organização, bem como o respeito ao direito constitucional de privacidade.