2100 caracteres
Tomada de Subsídios: Direitos dos Titulares de Dados Pessoais
Órgão: Autoridade Nacional de Proteção de Dados
Setor: ANPD - Coordenação-Geral de Normatização
Status: Encerrada
Abertura: 02/02/2024
Encerramento: 03/04/2024
Contribuições Recebidas: 49
Resumo
A Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – surge como um marco significativo no cenário de proteção de dados no Brasil. Seu objetivo principal é fortalecer o controle dos titulares sobre seus dados pessoais. Em uma era caracterizada pela digitalização massiva de produtos e serviços, a LGPD reconhece a necessidade imperativa de empoderar os indivíduos e garantir que eles exerçam controle e detenham o conhecimento sobre seus dados pessoais de maneira eficaz.
A LGPD introduziu no ordenamento jurídico brasileiro uma série de direitos para os titulares de dados pessoais, muitos dos quais inspirados em princípios internacionais de proteção de dados, como os¿Fair InformationPracticeprinciples¿(FIPP), a Convenção 108 do Conselho da Europa¿e as Diretrizes sobre a Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais da Organização para a Cooperação e Desenvolvimento Econômico (OCDE).
Estes direitos estão principalmente localizados no Capítulo III da Lei nº 13.709, de 14 de agosto de 2018 e serão objeto de análise por esta Autoridade para a identificação dos tópicos de importância a serem considerados para verificação de necessidade de elaboração de algum instrumento normativo ou orientativo.
Nesta Tomada de Subsídios alguns dos direitos previstos na LGPD foram agrupados em tópicos com o intuito de simplificar a análise das contribuições, visando facilitar o desenho de possíveis ações regulatórias, a compreensão do exercício dos direitos pelos titulares e do atendimento pelos agentes de tratamento.
______________________________________________________________________________________________________________________
ORIENTAÇÕES PARA ENVIO DE CONTRIBUIÇÕES
Importante: As contribuições devem ser encaminhadas exclusivamente por meio da Plataforma Participa Mais Brasil. Eventuais relatórios, imagens ou outros anexos que façam parte da sua contribuição podem ser enviados para o e-mail normatizacao@anpd.gov.br, durante o prazo desta consulta. Somente serão aceitos por e-mail os materiais complementares às contribuições.
Cada
participante somente pode enviar contribuições uma única vez, considerando que
a plataforma não permite mais de uma contribuição por usuário. Portanto,
sugerimos que todas as respostas sejam submetidas ao mesmo tempo.
É
necessário cadastrar e estar logado para inserir a contribuição.
______________________________________________________________________________________________________________________
REFERÊNCIAS BIBLIOGRÁFICAS
[i] UNITED STATES OF AMERICA. U.S. DEPARTMENT OF HEALTH, EDUCATION & WELFARE. Records, computers and the rigths of citizens. Report of the Secretary''''''''''''''''s Advisory Committee on automated personal data systems. 25 june 1973. Washington, D.C., 1973. Disponível em: https://www.justice.gov/opcl/docs/rec-com-rights.pdf. Acesso em: 23 jan. 2021. p. 41.
[ii] COUNCIL OF
EUROPE. Convention for the Protection of Individuals with
regard to Automatic Processing of Personal Data. Strasbourg, 1981. Disponível em: https://rm.coe.int/1680078b37.
Acesso em: 2 nov. 2021.
[iii]
OCDE. Guidelines on the Protection of Privacy and Transborder Flows of Personal
Data. Paris: OECD Publications Service, 2001.
[iv] UNIÃO EUROPEIA. PARLAMENTO EUROPEU E CONSELHO DA UNIÃO EUROPEIA. Regulamento (UE) 2016/679 de 27 de abril de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Bruxelas, 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679. Acessoem: 8 dez. 2022.
[v] OECD (2012), Quality Framework and Guidelines for OECD Statistical Activities, Version 2011/1, Statistics Directorate, OECD, Paris, www.oecd.org/statistics/qualityframework
[vi] UNIÃO EUROPEIA. TRIBUNAL DE JUSTIÇA. A. Kumin. OQ contra Land Hessen sendo interveniente SCHUFA Holding AG. Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 22.o — Decisão individual automatizada — Sociedades que fornecem informações comerciais — Determinação automatizada de um valor de probabilidade relativamente à capacidade de uma pessoa para cumprir as suas obrigações de pagamento no futuro (“scoring”) — Utilização deste valor de probabilidade por terceiros. 2023. Disponível em: https://eur-lex.europa.eu/legal-content/pt/TXT/?uri=CELEX:62021CJ0634. Acessoem: 25 jan. 2024.
[vii] EUROPEAN UNION. EUROPEAN DATA PROTECTION BOARD. EDPB. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679. WP251rev.01 ed. Brussels, 2020. Disponível em: https://ec.europa.eu/newsroom/article29/redirection/document/49826. Acesso em: 17 mar. 2021.
Registre sua Opinião
I. Relacionamento entre o controlador e o titular
O primeiro bloco de questões está relacionado às diretrizes que devem reger a forma e ao prazo que devem ser atendidos para ao exercício dos direitos dos titulares.
A existência de regras claras para o relacionamento entre os titulares de dados e os agentes de tratamento pode assumir um papel crucial na proteção dos dados pessoais e na promoção de um ambiente de negócios saudável e transparente. Assim, a criação de regras tem o potencial para constituir uma base para a confiança entre os titulares e agentes e aumentar a segurança jurídica das relações no mercado, permitindo também que os titulares saibam que possuem meios para exercerem seus direitos.
Neste sentido, a própria LGPD – em seu art. 18, §§ 3º e 5º – ao indicar a necessidade de requerimento expresso ao agente de tratamento nos termos de regulamento, já sinalizou que a efetividade dos direitos dos titulares requer alguma formalidade e que depende do exercício das competências desta Autoridade para promover as bases nas quais a comunicação se dará.
De todo modo, espera-se que um agente de tratamento empenhado na construção de uma cultura de proteção dos dados pessoais, destaque-se não apenas por sua capacidade técnica ou na solução das falhas do tratamento que executa, mas também no atendimento às demandas dos titulares, ainda que oriundas de um eventual desconhecimento dos demandantes sobre o tratamento de seus dados.
Por outro lado, para o regulador vale tentar aproveitar, sempre que possível, as práticas legítimas e comumente adotadas pelos agentes de tratamento, buscando a harmonização de regras cuja aplicação ao exercício dos direitos dos titulares possa ser útil para minimizar os custos e os esforços dos atores no desenvolvimento e na adaptação às novas sistemáticas. São situações nas quais poderiam ser aproveitados, na medida do possível, ferramentas e procedimentos já testados e conhecidos, com ganhos de escala e escopo.
Em suma, as regras de relacionamento podem ser um marco essencial para se criar um ambiente de confiança entre titulares e agentes de tratamento que, ao mesmo tempo que protegem e respeitam as regras. Para que isso ocorra, é fundamental enfrentar e superar eventuais desafios associados à implementação e aplicação de alguns princípios, a fim de garantir um contexto equitativo e confiável para todos.
Estabelecer prazos claros para responder aos titulares também é essencial para garantir eficiência, responsabilidade e comunicação eficaz em qualquer relação. Essa prática reduz mal-entendidos, alinha expectativas sobre o tratamento das demandas dos titulares e evita conflitos entre as partes.
Já sob o prisma dos titulares, prazos previsíveis são de suma importância para demonstração de comprometimento dos controladores em analisar seus pedidos e solicitações, dado que estabelecer um tempo limite para respostas tem o potencial de criar uma sensação de comprometimento com análise da demanda.
Um ponto que poderá ser esclarecido pela ANPD e que demandará uma detida análise jurídica pela unidade competente é a interpretação de que a LGPD derrogaria prazos previstos em outras leis quando referentes ao tratamento de dados pessoais.
Parece correto considerar que a LGPD não revogou automaticamente os prazos estabelecidos em outras legislações. Por ser uma norma geral, a LGPD deve coexistir com prazos previstos em outras leis. Havendo divergência entre a LGPD e outra lei, parece razoável considerar que a disposição mais benéfica e protetiva ao exercício do direito fundamental deve prevalecer.
Por outro lado, seria juridicamente válido assumir que, na ausência de uma definição legal específica e havendo competência da ANPD para regulamentar, a manifestação da Autoridade implicaria na perda de eficácia de outras normativas infralegais relacionadas aos prazos para o exercício de direitos dos titulares.
Com isto, neste momento inicial, seria importante a oitiva de interessados sobre as seguintes questões:
a. É razoável para o setor privado, para o atendimento aos direitos do titular de dados pessoais, a adoção de prazos similares aos previstos na Lei nº 12.527, de 18 de novembro de 2011? Em caso negativo, o que tornaria o atendimento inviável nos prazos previstos e quais seriam os prazos razoáveis?
b. Na definição de prazos, quais critérios deveriam ser levados em consideração para dispor de forma diferenciada como previstos nos incisos I e II do caput do art. 19 da LGPD?
2100 caracteres
c. Quais características de um canal de atendimento são essenciais para assegurar a efetividade na comunicação entre o titular e o agente de tratamento?
2100 caracteres
d. Há responsabilidade dos operadores na concretização dos direitos dos titulares? De que maneira eles devem cooperar com os controladores para o atendimento aos direitos dos titulares?
2100 caracteres
e. Seria viável a adoção de diretrizes e procedimentos análogos aos do Serviço de Atendimento ao Consumidor, estabelecido pelo Decreto nº 11.034, de 5 de abril de 2022, para o exercício dos direitos do titular de dados pessoais? Em caso negativo, quais diretrizes não deveriam ser adotadas e por qual motivo?
2100 caracteres
f. Existe um modelo de atendimento adotado por agentes privados ou pelo setor público que poderia servir como paradigma, considerando principalmente a capacidade de se tratar grandes volumes de demandas com economicidade? Exemplifique.
2100 caracteres
II. Informações sobre o tratamento (art. 18, incisos I, II, VII e VIII):
Passando para um segundo bloco, que trata dos direitos relacionados ao acesso às informações sobre o tratamento, temos na LGPD o art. 18, incisos I, II, V, VII e VIII, e no art. 20, § 1º, da LGPD:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
(...)
I - confirmação da existência de tratamento;
II - acesso aos dados;
(...)
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
O direito de acesso às informações sobre o tratamento – e aos dados pessoais propriamente ditos – é fundamental na proteção dos dados pessoais e da privacidade, tendo suas raízes associadas à dignidade humana e à preservação da privacidade, sendo essencial para a promoção da autodeterminação informativa. A disponibilidade de informações claras e precisas representa o ponto de partida para que o titular compreenda como seus dados estão sendo utilizados, permitindo-lhe tomar decisões mais conscientes e melhor informadas.
Vale destacar a importância da transparência ativa nos tratamentos de dados pessoais. Além de ser uma exigência legal, a transparência constrói confiança entre titulares e agentes de tratamento com a demonstração de compromisso com a integridade e a conformidade legal, prevenindo abusos, promovendo a accountability e contribuindo para uma cultura de respeito à privacidade.
Nesse sentido, espera-se que o controlador assuma a responsabilidade de manter o titular devidamente informado sobre o tratamento de seus dados, visando a permitir que suas expectativas em relação às obrigações dos agentes de tratamento sejam respeitadas. Tal postura contribui para a construção de relações sólidas com os titulares, sustentando um relacionamento duradouro e ético.
Especificamente sobre o direito de acesso, as disposições da LGPD facultaram aos titulares o acesso aos seus dados pessoais propriamente ditos, garantida a portabilidade. Sendo o dado pessoal a informação relacionada a pessoa natural identificada ou identificável, nos termos da LGPD o titular teria o direito de acesso a todo e quaisquer de seus dados pessoais tratados pelo agente de tratamento, não somente aqueles dados originalmente apresentados pelo titular , em um amplo direito de acesso.
Portanto, o direito de acesso compreenderia, p. ex., o recebimento da integra dos dados de perfil vinculados ao titular a partir de padrões identificados nos seus históricos de comportamento; dos dados indicativos de classificação em grupos ou segmentos com base em características específicas – inclusive as características identificadas e inferidas – para recomendações de produtos, personalização de serviços, publicidade direcionada, entre outras aplicações. É o que se entende da leitura do art. 12, § 2º, da LGPD, excluídas apenas as hipóteses de segredo comercial e industrial.
Caberia ao regulador atuar neste bloco para reduzir a assimetria de informações entre os agentes de tratamento e os titulares dos dados pessoais tratados. Sobre isto, seria relevante receber manifestações e respostas sobre os seguintes pontos:
a. Existe hipótese excepcional para negar o direito de confirmação da existência do tratamento? Cite e exemplifique.2100 caracteres
b. Quais informações devem ser fornecidas para os titulares para a identificação dos controladores, inclusive no caso de uso compartilhado dos dados pessoais?
2100 caracteres
c. Qual a responsabilidade dos operadores no que se refere ao direito do titular de obter informações sobre o tratamento de dados pessoais?
2100 caracteres
d. Quais as informações mínimas sobre o tratamento de dados pessoais deveriam constar da declaração em formato simplificado prevista no art. 19, inciso I, da LGPD?
2100 caracteres
e. Quais as informações mínimas sobre o tratamento de dados pessoais deveriam ser evidenciadas pelo controlador, independentemente de requerimento – inclusive a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada – para garantir a transparência e o direito à informação?
2100 caracteres
f. Poderia ser considerado satisfeito o direito de acesso quando o agente de tratamento disponibilizar os dados pessoais para conhecimento do titular em formato digital e em papel, conforme escolhido pelo titular?
2100 caracteres
III. Portabilidade dos dados (art. 18, inciso V)
Já no que se refere à portabilidade, a previsão foi inscrita no inciso V do art. 18:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
(...)
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
O termo é mais conhecido no Brasil pela possibilidade de um usuário de serviços de telefonia manter seu número de telefone ao mudar de operadora, facilitando a livre escolha de consumidores e incentivando a competição entre as empresas de telecomunicações. Esta faculdade vem sendo expandida para outros serviços e setores, como no caso de planos de saúde, financeiros e bancários.
No quadro em análise, o conceito de portabilidade vai além do simples acesso aos dados pessoais por seu titular. Está relacionado à noção de controle: portabilidade é a qualidade daquilo que é portável, ou seja, que se pode portar, levar, conduzir ou carregar. Na disciplina da proteção de dados pessoais, a portabilidade pode ser entendida como a qualidade que garante aos titulares a mobilidade de seus dados pessoais de maneira que permita a utilização por diferentes agentes de tratamento.
Nesse sentido, o direito de portabilidade deveria garantir aos titulares não só a obtenção de seus dados pessoais, mas a entrega em formato que facilitasse a transferência dos dados entre agentes de tratamento.
Na prática, a portabilidade teria efetividade se garantida a interoperabilidade, que é a característica do conjunto de dados que permitiria a transferência entre agentes de tratamento sem a necessidade de transmissão ou contato entre eles. O titular deveria poder transportar seus dados sem qualquer barreira que dificultasse ou impedisse a entrega e o pronto aproveitamento por outro agente de tratamento.
É assim não somente pela interpretação da LGPD, mas, também, na inspiração europeia de nossa legislação. Vejamos que o Considerando 68 do Regulamento 2016/679 , que positivou estabeleceu esta correlação:
Para reforçar o controlo sobre os seus próprios dados, sempre que o tratamento de dados pessoais for automatizado, o titular dos dados deverá ser autorizado a receber os dados pessoais que lhe digam respeito, que tenha fornecido a um responsável pelo tratamento num formato estruturado, de uso corrente, de leitura automática e interoperável, e a transmiti-los a outro responsável. Os responsáveis pelo tratamento de dados deverão ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados.
Por seu turno, ao assegurar aos titulares o acesso direto e a mobilidade de seus dados pessoais entre agentes de tratamento, a LGPD reforçou a necessidade de transparência no manuseio dos dados, bem como instrumentalizou e empoderou os titulares para o exercício de outros direitos previstos na legislação.
Sob outro prisma, para além do direito, a portabilidade dos dados pessoais pode ser desejada em setores específicos da atividade econômica, o que cria incentivos para o estabelecimento de padrões de interoperabilidade e de procedimentos de transferência dos dados pessoais por iniciativa dos próprios agentes de tratamento interessados, não obstante a competência da ANPD para dispor sobre padrões de interoperabilidade para fins de portabilidade (art. 40).
Neste quadro, o conjunto de dados pessoais portáveis também passaria a constituir acervo do titular com potencial para facilitar a formação da confiança necessária às relações sociais e comerciais mais éticas e justas, além de fomentar a competição entre diversos agentes interessados em informações sobre a reputação e o comportamento do titular, em benefício do próprio titular e de toda a sociedade.
Diante do exposto, auxiliariam o estudo do tema a apresentação de respostas aos seguintes questionamentos:
a. Em quais setores haveria maturidade nos processos de negócio e tecnologia para implementar o direito à portabilidade dos dados diretamente entre agentes de tratamento, a pedido do titular?2100 caracteres
b. Quais são os desafios tecnológicos que devem ser enfrentados para implementar um padrão de interoperabilidade?
2100 caracteres
c. Quais aspectos devem ser objeto de padronização para garantir a interoperabilidade (ferramentas, formato dos arquivos de dados portáveis etc.)?
2100 caracteres
d. É adequado considerar satisfeito o direito à portabilidade quando o agente de tratamento disponibilizar para o titular todos os seus dados pessoais em formato interoperável, conforme for estabelecido no regulamento previsto pelo art. 40 da LGPD?
2100 caracteres
e. É razoável permitir que o setor privado defina padrões de interoperabilidade específicos para certas atividades econômicas para fins de portabilidade? Qual prazo seria razoável?
2100 caracteres
IV. Correção dos dados tratados (art. 18, inciso III):
O direito à correção foi estabelecido no art. 18, III, da LGPD e pode ser abordado de forma isolada:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: (...)
III - correção de dados incompletos, inexatos ou desatualizados;
Este direito desempenha um papel fundamental na garantia da precisão e qualidade dos dados pessoais sob custódia dos controladores, tendo em vista sua função de conferir aos titulares a capacidade de solicitar a correção de informações incompletas, inexatas ou desatualizadas relacionadas aos seus dados pessoais.
Assim, para compreender adequadamente o direito de correção dos dados, é necessário considerar o princípio da qualidade dos dados, que determina a garantia de exatidão, clareza, relevância e atualização dos dados, alinhando-se com o postulado internacional de data accuracy da Organização para a Cooperação e Desenvolvimento Econômico (OECD).
Se a informação depender exclusivamente da declaração do titular do dado, sobre a qual se presume a boa-fé, não haveria justificativa plausível para qualquer demora.
Não obstante, a fidedignidade dos dados pessoais, além de ser um direito do titular, é um dever do agente de tratamento, um princípio geral da proteção de dados pessoais e um pressuposto para a adequação do tratamento.
Por decorrência lógica, uma vez ciente da desatualização, surge a obrigação de atualizar o dado imediatamente para cessar o risco de tratar os dados pessoais em situação de irregularidade, além de informar sobre a correção aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados de forma imediata.
A obrigação do controlador de comunicar o pedido de retificação aos agentes de tratamento com os quais compartilhou o dado é um aspecto crítico para garantir a eficácia do direito à correção de dados pessoais sob a LGPD este o encargo deve ser suportado pelo agente que decidiu compartilhar os dados pessoais.
Tanto a correção pelo controlador quanto a comunicação sobre tal necessidade aos demais agentes de tratamento envolvidos somente poderiam ser retardadas em caso de impossibilidade ou esforço desproporcional comprovados.
De todo modo, não parece plausível aceitar como impossível ou desproporcional os efeitos de algo que poderia e deveria ter sido previsto e remediado desde a concepção até a execução do tratamento.
Enfim, o exercício do direito à correção ou retificação de dados pessoais é essencial para a proteção da privacidade e qualidade dos dados. Todavia, a sua efetivação pode requerer uma série de procedimentos e considerações prévias, incluindo justificações para não atendimento imediato, validação de identidade, e a comunicação eficiente com agentes de tratamento, a fim de garantir a plena eficácia desse direito sob a LGPD.
Nesse sentido, vale coletar subsídios sobre os seguintes questionamentos:
a. Quais critérios objetivos devem ser considerados para qualificar um dado como incompleto, inexato ou desatualizado?2100 caracteres
b. Em quais situações a simples declaração do titular não seria suficiente para o exercício do direito à correção? Fundamente.
2100 caracteres
c. Quais critérios objetivos devem ser considerados para avaliar a impossibilidade ou o esforço desproporcional para os efeitos do art. 18, § 6º, da LGPD? Exemplifique.
2100 caracteres
d. Existe situação excepcional em que o direito de correção pode ser negado pelo controlador? Exemplifique.
2100 caracteres
V. Anonimização, bloqueio, eliminação e oposição no caso de tratamento irregular (art. 18, IV e § 2º):
O bloco dos direitos que objetivam a limitação do tratamento irregular dos dados pessoais é composto dos artigos 18, IV e § 2º da LGPD:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
(...)
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
(...)
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
A prerrogativa titular de impor limites aos tratamentos indevidos é fundamental na salvaguarda dos direitos dos titulares de dados no contexto da sociedade digital. Os dispositivos legais mencionados permitem exigir o término de tratamentos irregulares – “em caso de descumprimento” ou “desconformidade” com a LGPD – apresentando seu requerimento diretamente ao agente de tratamento.
O inciso IV do artigo 18 confere ao titular o direito de requerer a anonimização, o bloqueio ou a eliminação de dados considerados desnecessários, excessivos ou tratados em desconformidade com os preceitos da LGPD.
Essa prerrogativa visa assegurar que o tratamento de dados seja estritamente necessário, proporcional e em conformidade com os princípios fundamentais estabelecidos pela legislação.
Pela lei, os efeitos da incidência do inciso IV do artigo 18 da LGPD – anonimização, bloqueio ou eliminação – são diferentes e poderiam ser adotados de forma distinta diante de um tratamento em desconformidade com o disposto na LGPD, de acordo com os efeitos pretendidos pelo titular e de uma utilidade residual para o controlador.
Por definição, a anonimização acarretará o término do tratamento e o afastamento da LGPD, pois dados anonimizados não são dados pessoais (art. 12 da LGPD), embora os dados anonimizados possam preservar informações úteis para o controlador, mesmo sem a possibilidade de associação, direta ou indireta, a um indivíduo.
Da mesma forma, a eliminação extingue o tratamento, pois consiste na exclusão do dado ou do conjunto de dados pessoais. Neste caso, nenhuma informação relacionada aos dados eliminados poderia ser mantida pelo controlador, ainda que desassociadas dos dados pessoais de origem.
Para o titular que deseja obstar o tratamento de seus dados, a anonimização e a eliminação teriam o mesmo efeito: ambas extinguiriam o tratamento. Todavia, como mencionado, os efeitos para o controlador não seriam os mesmos: a anonimização preservaria informações que poderiam ser úteis, e.g., para fins de estudo, pesquisa e análises estatísticas.
Ademais, a conservação dos dados anonimizados pelo controlador é garantida em certas situações, a exemplo do art. 16, IV, da LGPD. Entretanto, os permissivos legais que avalizam a manutenção de dados anonimizados partem de um cenário de conformidade do tratamento, diverso do que motiva a anonimização indicada no dispositivo em análise. A anonimização poderia acarretar benefício para o agente de tratamento advindo da própria conduta irregular.
Já o bloqueio consiste na suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados, e pode ser instrumento útil aos interessados em situações na qual se discute a regularidade do tratamento ou para a preservação de evidências de determinada situação que possa ser objeto de questionamento futuro.
Noutro giro, o § 2º do mesmo artigo confere ao titular o direito de opor-se o tratamento realizado com base em dispensa de consentimento, nos casos de descumprimento da LGPD. Esta oposição, se considerada legítima, indicaria a irregularidade do tratamento.
Esta disposição é particularmente relevante, pois reconhece a importância do respeito ao titular dos dados pessoais, mesmo quando o consentimento para o tratamento não é exigido. Isto é vital para coibir tratamentos de dados realizados em desacordo com as disposições da LGPD e exigir que sejam interrompidos.
Diante desse contexto, é imperativo reconhecer e enfatizar a importância de limitar e impedir o tratamento indevido de dados pessoais, não apenas como um meio de proteção individual, mas como um pilar essencial para a construção de uma sociedade digital que respeite e preserve os direitos fundamentais de seus cidadãos.
Assim, seguem as seguintes indagações para coleta de subsídios à ANPD:
a. É necessário que o titular fundamente o seu requerimento e comprove a desnecessidade dos dados, a excessividade do tratamento, a desconformidade ou o descumprimento legal verificado? Fundamente.2100 caracteres
b. A anonimização e a eliminação podem ser adotadas alternativamente, considerando situações específicas? Explique.
2100 caracteres
c. Considerando que a oposição prevista no art. 18, § 2º, da LGPD, seria aplicável em caso de descumprimento ao disposto na Lei, qual o seu efeito se a alegação do titular for considerada legitima? Explique.
2100 caracteres
VI. Revogação do consentimento (art. 18, VI e IX):
No bloco dos direitos relacionados à revogação do consentimento e seus efeitos estão listados os incisos VI e IX do art. 18, assim como indicado no art. 8º, § 5º, todos da LGPD:
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
(...)
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
(...)
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
(...)
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
A revogação do consentimento decorre da autodeterminação informativa: ele garante ao titular a possibilidade de retirar a autorização dada para o tratamento de seus dados pessoais.
Parece evidente que o tratamento amparado na hipótese legal do consentimento deve ser interrompido após a revogação do consentimento, uma vez que o agente de tratamento deixaria de ter legitimidade para continuar a tratar os dados pessoais com base naquela hipótese legal. Salvo se houver outra hipótese legal que o autorize, a continuidade do tratamento dos dados será irregular.
Neste sentido, caso não haja outra hipótese legal para o tratamento dos dados ou se não estiver claramente configurada uma das situações mencionadas no art. 16 da LGPD, a revogação do consentimento implicaria também na obrigação de eliminar os dados pessoais tratados com base no consentimento revogado.
Isto porque, em princípio, manter o dado pessoal após a revogação do consentimento é, pelo conceito legal, tratamento. Inexistindo outra hipótese para ampará-lo a consequência é o término do tratamento, fazendo incidir o caput do art. 16 da LGPD: "os dados pessoais serão eliminados após o término do tratamento", ressalvadas as exceções previstas no mesmo artigo.
Outra consequência da revogação do consentimento é a possibilidade de tornar irregular tratamentos realizados sob o amparo do consentimento revogado, pois, segundo a letra do art. 8º, § 5º, da LGPD, “ficam ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.”
Portanto, havendo requerimento de eliminação nos termos do inciso VI do caput do art. 18, uma interpretação aceitável, em tese, seria a de que os tratamentos pretéritos poderiam perder a regularidade, dependendo da extensão do requerimento de eliminação. A exclusão teria efeito sobre os tratamentos já realizados, e.g., sobre os dados de perfil comportamental vinculados ao titular com base em padrões identificados a partir de dados pessoais tratados com o consentimento do titular.
Por outro lado, o direito à eliminação seria autônomo e, s.m.j., independente da revogação do consentimento. Exemplo comum – situação prosaica, mas relevante para preservação da privacidade do titular – é a exclusão de dados de comportamentos pretéritos tratados para formação do perfil comportamental, sem a revogação do consentimento dado para o tratamento com esta finalidade, ou seja, os dados pessoais continuarão sendo tratados e haverá a formação de um novo perfil comportamental.
Pelo exposto, sobre a revogação do consentimento, é pertinente receber contribuições dos interessados sobre as seguintes questões:
a. A revogação do consentimento prevista no art. 18, IX, da LGPD, implica na obrigação de eliminar os dados pessoais tratados com base no consentimento do titular? Explique.2100 caracteres
b. Considerando o art. 8º, quais são os efeitos do requerimento de eliminação sobre os tratamentos realizados sob o amparo do consentimento anteriormente manifestado?
2100 caracteres
VII. Decisões baseadas em tratamento automatizado (art. 20, caput)
O direito à revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais está posicionado no art. 20, caput, da LGPD:
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
A análise deste artigo leva a certas reflexões, especialmente porque a necessidade de interpretação do texto normativo deve ser inversamente proporcional à clareza do texto.
Inicialmente, é importante frisar que o caput do dispositivo indica que assiste ao titular o direito de revisão de todas as decisões – automatizadas ou não – “tomadas unicamente com base em tratamento automatizado”. Tal observação é relevante, pois pode afetar a atuação regulatória e a identificação de direitos e deveres.
Exclusivamente em relação às decisões automatizadas, o titular tem o direito de receber do controlador, “sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados”, respeitados os segredos comercial e industrial.
Disto decorrem possibilidades interpretativas, pois temos atividades reguladas distintas: decisão e tratamento. Uma interpretação válida seria a que considera a existência de um direito à informação “qualificado”, nas hipóteses de decisões automatizadas e tomadas unicamente com base em tratamento automatizado – hipótese do § 1º do artigo 20 transcrito acima – já que o direito geral de receber informações sobre o tratamento abarcaria o tratamento de dados pessoais automatizado, independentemente de como se dá a decisão.
Assim sendo, o art. 20, além do direito de revisão, também positivaria, em seu § 1º, um direito à informação, diferenciado pelo destaque normativo, incidente sobre as decisões automatizadas e tomadas unicamente com base em tratamento automatizado, s.m.j., alinhado explicitamente ao direito de explicação.
Por outro lado, muito embora o texto seja claro em relação à aplicação às decisões tomadas “unicamente”, a literalidade não seria suficiente para delimitar o campo de aplicação do dispositivo diante da complexidade das atividades de tratamento.
Uma possibilidade seria admitir que eventuais intervenções humanas no processo automatizado de decisão ou de tratamento não afastariam, per se, a incidência do artigo, devendo ser avaliado se os efeitos da interferência humana na decisão ou no tratamento seriam suficientes para afastar a sua natureza autônoma.
O problema não é trivial e foi objeto de recente discussão no âmbito do processo C-634/21 e de orientações do regulador europeu , que seguiram pela trilha da necessidade de avaliação do real efeito de eventuais intervenções humanas na decisão ou no tratamento, diante do caso concreto, antes de desqualificar a decisão ou o tratamento automatizado.
Assim, seguem as seguintes indagações para coleta de subsídios à ANPD:
a. O que caracterizaria uma decisão automatizada e uma decisão tomada unicamente com base em tratamento automatizado de dados pessoais? Fundamente.2100 caracteres
b. Quais são os critérios para determinar quando um interesse está sendo efetivamente afetado? Fundamente.
2100 caracteres
c. Quais são os desafios práticos para implementar o direito de revisão de decisões previsto no art. 20 da LGPD?
2100 caracteres
d. Existem situações em que o controlador pode negar o direito de revisão sobre decisões automatizadas? Fundamente.
2100 caracteres