Direitos do Titular
Quem é o titular?
É toda a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art. 5º, V, da LGPD).
Quais direitos possui?
Os Direitos do Titular estão expressamente previstos nos artigos 17 a 22 da LGPD.
- Art. 17:Há a previsão de que os titulares possuem a garantia da titularidade de seus dados pessoais e dos direitos fundamentais de liberdade, de intimidade e de privacidade.
- Art. 18:O titular dos dados pessoais tem direito a obter do Agente de Tratamento, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
- confirmação da existência de tratamento;
O tratamento de dados é qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso e classificação. Por lei, o titular dos dados tem o direito de confirmar se uma organização realiza o tratamento de seus dados pessoais.
A LGPD estabelece ainda que a resposta pode ser feita de forma imediata e de maneira simplificada, ou por meio de declaração “clara e completa”, que indique a origem dos dados, os critérios usados e a finalidade do tratamento. O prazo para a resposta no formato completo é de até 15 dias contado a partir da data do requerimento.
- acesso aos dados;
Além de saber se a organização trata seus dados pessoais, o titular também pode pedir acesso aos dados. Ou seja, é possível obter uma cópia dos dados pessoais que a organização possui em seus arquivos.
Da mesma forma que a confirmação de tratamento, o acesso também pode ser respondido de forma imediata e simplificada ou por meio de declaração completa no prazo de até 15 dias contado da data do requerimento.
correção de dados incompletos, inexatos ou desatualizados;
Outro direito do titular de dados é solicitar a organização a correção de dados pessoais incompletos, inexatos ou desatualizados.
É o caso, por exemplo, de uma atualização de endereço, número de telefone ou estado civil.
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
Caso queira, o titular de dados também tem o direito de solicitar a anonimização (processo que torna um dado impossível de ser vinculado a um indivíduo), bloqueio ou eliminação de dados quando eles forem “desnecessários, excessivos ou tratados em desconformidade” com a lei.
Por exemplo, se a organização trata dados que não são necessários para alcançar a finalidade do tratamento ou se o tratamento não é enquadrado em nenhuma das bases legais previstas na lei.
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
A LGPD prevê ainda que o titular de dados pode solicitar a portabilidade dos dados, ou seja, a transferência das suas informações pessoais a outro fornecedor de serviço ou produto.
Neste caso, é preciso uma requisição expressa, seguindo uma regulamentação que deverá ser feita pela ANPD (Autoridade Nacional de Proteção de Dados). Além disso, a portabilidade não inclui dados que já tenham sido anonimizados pelo Agente de Tratamento – dados anonimizados, aliás, ficam de fora do escopo da LPGD.
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
Se o titular dos dados consentiu com o tratamento, mas mudou de ideia e não quer mais que a organização trate seus dados pessoais, ele pode solicitar a eliminação desses dados.
No entanto, há situações em que esse direito não pode ser exercido, como quando a organização precisa conservar os dados para cumprir obrigação legal ou regulatória.
- informação das entidades públicas e privadas com as quais o Agente de Tratamento realizou uso compartilhado de dados;
A LGPD preza, neste e em outros pontos da lei, pela transparência. Desta forma, é direito do titular saber exatamente com quem o Agente de Tratamento está compartilhando seus dados.
Isso inclui entidades públicas e privadas, que devem ser expressamente nomeadas, e não mencionadas apenas de forma genérica.
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
A premissa do consentimento é que ele seja pedido e concedido de forma clara, transparente e totalmente livre. Para isso, o titular de dados tem o direito de ser informado sobre a possibilidade de não fornecer o consentimento e de quais as consequências caso o consentimento seja negado.
É o caso, por exemplo, de um usuário que é convidado a consentir ou não com o uso de cookies em um site. Se o não consentimento for prejudicar a experiência de navegação ou impedir o acesso a algumas ferramentas, o usuário deve ser informado disso.
- revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Por fim, qualquer consentimento dado para o tratamento de dados pessoais pode ser revogado. Este é um direito do titular de dados, que pode fazer uma solicitação revogando o consentimento.
No entanto, vale lembrar que para que os dados tratados até então sejam de fato eliminados é preciso fazer uma requisição específica, conforme mencionamos no item 6.
- peticionar em relação aos seus dados contra o Agente de Tratamento perante a autoridade nacional.
O Titular de dados pessoais tem o direito de questionar o tratamento dos dados pessoais relacionados a sua pessoa realizado pelo Agente de Tratamento perante a ANPD – Autoridade Nacional de Proteção de Dados.
- opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
O Titular de dados pessoais tem o direito de questionar o tratamento dos dados pessoais relacionados a sua pessoa realizado de forma inadequada pelo Agente de Tratamento.
Os direitos previstos no Art. 18 serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, à SEDU via formulário eletrônico.
- Art. 19:A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
- Em formato simplificado, imediatamente; ou
- Por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
- Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
- As informações e os dados poderão ser fornecidos, a critério do titular: por meio eletrônico, seguro e idôneo para esse fim; ou sob forma impressa.
Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
- Art. 20:O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizadode dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, acadêmico, de consumo e de crédito ou os aspectos de sua personalidade: O Agente de Tratamento deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. Em caso de não oferecimento de informações baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
- Art. 21: Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo;
- Art. 22:A defesados interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
Acrescentar a categoria “Glossário” abaixo da categoria “Direito do Titular”
Glossário
Aqui é possível acessar os principais conceitos trazidos pela Lei Geral de Proteção de Dados.
DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável (Art. 5.º, I). Exemplo de dado pessoal de pessoa natural: nome completo, data de nascimento/idade, RG, CPF, e-mail, telefone, endereço. Atenção: a lei NÃO considera dado pessoal os dados relativos às pessoas jurídicas (Art. 1.º, caput e Art. 5.º, I da LGPD). Além disso, por expressa disposição legal (art. 4.º, III), a LGPD não se aplica ao tratamento de dados pessoais realizado para os fins exclusivos de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais, entre outras exceções previstas no diploma.
DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Art. 5.º, II, da LGPD). Ex: registro de licença para tratamento médico, licença maternidade, prontuário médico, deficiência, fator sanguíneo. A lei requer uma análise mais cuidadosa destes tipos de dados, justamente porque podem gerar discriminação ou preconceito.
DADO PESSOAL DE CRIANÇA E ADOLESCENTE: A lei também dá atenção aos dados da criança e do adolescente. Eles são considerados outra categoria de dados que também necessita atenção. Estes podem incluir tanto dados pessoais, como também dados pessoais sensíveis. Os dados da criança e do adolescente sempre serão dados pessoais, podendo vir a ser sensíveis dependendo do caso em análise (Art. 14 da LGPD).
BANCO DE DADOS: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico (Art. 5.º, IV).
TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art. 5.º, V, da LGPD).
CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5.º, VI).
OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Agente de Tratamento (Art. 5.º, VII).
ENCARREGADO: pessoa indicada pelo Agente de Tratamento e operador para atuar como canal de comunicação entre o Agente de Tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (Art. 5.º, VIII).
AGENTES DE TRATAMENTO: o controlador e o operador (Art. 5.º, IX).
TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5.º, X). Todo o tratamento de dados pessoais deve observar os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6.º da LGPD).
ANONIMIZAÇÃO: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (Art. 5.º, XI).
DADO ANONIMIZADO: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (Art. 5.º, III).
CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (Art. 5.º, XII). Entretanto, há exceções em que não será necessário esse consentimento (Art. 7.º, II-X; Art.11, II; Art. 14, §3.º).
ARMAZENAMENTO: a lei não refere expressamente sobre o armazenamento, nem o seu conceito, mas, em uma leitura conjunta, é possível compreender acerca do tema. Conforme o art. 5.º, X, da LGPD, o tratamento também envolve a atividade de armazenamento de dados pessoais. O armazenamento somente ocorrerá quando for necessário para que seja concretizada a finalidade da coleta. Mesmo que armazenado o dado, o dever de observância aos princípios previstos na lei ainda permanece, como a efetiva necessidade da coleta (Art. 15, I, da LGPD).
BLOQUEIO: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados (Art. 5.º, XIII).
ELIMINAÇÃO: exclusão de dados ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado (Art. 5.º, XIV).
TRANSFERÊNCIA INTERNACIONAL: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro (Art. 5.º, XV). A transferência internacional de dados apenas é permitida em determinados casos (Art. 33).
USO COMPARTILHADO DE DADOS: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados (Art. 5.º, XVI). Ainda, poderá ser realizado sem consentimento, pela administração pública, tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (Art. 7.º, III).
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS: documentação do Agente de Tratamento que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco (Art. 5.º, XVII).
BOAS PRÁTICAS: este tema encontra-se no Capítulo VII da LGPD. O Art. 46 refere que: “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.