LGPD garante ao titular de dados pessoais o direito de administrá-los: conheça as novas diretrizes

Em vigor desde setembro deste ano, a Lei Geral de Proteção de Dados (LGPD) doutrina as regras para o tratamento de informações pessoais usadas para mapear hábitos de consumo, histórico financeiros e uma infinidade de outros objetivos. A partir dessa lei, o usuário – ou “titular de dados”, como é chamado na LGPD –  pode ter mais controle sobre  seus dados pessoais, inclusive em alguns casos sendo capaz de limitar quem pode utilizá-los, de que modo e para qual finalidade. Importante conhecer quais direitos do titular de dados passam a ser garantidos pela lei.

“A LGPD permite que o usuário procure sobre suas informações em vários sites. Regula a atuação de pessoas físicas ou jurídicas que têm intenção de oferecer um produto ou serviço, mas se aplica de modo diferente no caso de órgãos públicos, que têm outro arcabouço de permissões”, explica o gerente de Tecnologia da Informação (TI) do CESAR, Carlos Sampaio. 

Podemos começar pelo direito garantido pela LGPD de confirmação e acesso. “O direito que o titular tem de saber se em determinada ação da empresa (um telefonema, por exemplo) há dados dele e quais são. Ele pode pedir acesso”, explica Sampaio.

No direito da correção, “se eu identificar que determinado dado está incompleto ou incorreto, eu posso pedir para corrigir”, diz o gerente. Já no da oposição, o usuário tem direito de se opor ao tratamento de seus dados pessoais. “Você simplesmente pode dizer que não quer que seus dados sejam usados em uma determinada análise”.

A LGPD também prevê o direito à anonimização, bloqueio ou eliminação. “Se eu fiz uma consulta e percebi que existem dados pessoais meus, se eu não quero que aquilo esteja associado a mim, mas a exclusão pode prejudicar o serviço, posso pedir a anonimização. Por exemplo, em uma pesquisa que detecte quantas pessoas tiveram covid-19 em determinado bairro e que tenha alguma informação que me identifique. Eu posso declarar que não quero, mas optar pela permanência da informação, mesmo de forma anônima. É o direito à anonimização, ao bloqueio ou à exclusão”, detalha Carlos Sampaio.

“O usuário tem direito de saber se a empresa tem dados seus e, se considerar que o serviço não está sendo prestado como entende interessante, pode pedir que sejam enviados para um concorrente. É o caso da portabilidade, outro direito assegurado pela LGPD. Exemplo disso é uma empresa de telefonia que sabe que meu contrato está próximo de acabar e está me ligando insistemente. Eu posso ligar pra ela e dizer: os dados que você tem sobre mim, tudo que você levantou do meu histórico, eu quero que você apague da sua base. Mas, antes, quero que você mande para a empresa y”, continua Sampaio. Na eliminação, diferentemente da anonimização, o usuário pode exigir a eliminação dos dados. Esse processo de eliminação definitiva dos dados pessoais pode ter limitações, visto que, em alguns casos, quem os coletou pode precisar retê-los por uma obrigação legal. Um exemplo disto seria um funcionário que se desliga de uma empresa e quer seus dados excluídos das bases daquela organização. A empresa não pode excluir todos os dados pessoais daquele titular, porque tem a obrigação legal de reter várias informações sobre o contrato de trabalho que se encerrou, por vários anos.

Já a revogação de consentimento é o direito de manifestar, por procedimento facultativo, a desistência da permissão já concedida para o tratamento de dados. “Tem alguns dados que o usuário precisa consentir o acesso. Por exemplo, ele clica no botão e autoriza a colocação de um cookie na sua máquina – todo site tem isso – mas, em algum momento, pode revogar essa autorização”, explica Sampaio.

Então, “revogar o consentimento” é diferente de solicitar para apagar a informações. “Quando o site coloca um cookie na máquina, se o usuário acessa outro site que tenha, por trás, algum sistema de Analytics em comum, eles vão se conversar. Digamos que você foi em uma loja virtual, procurar por um sapato, e autorizou a colocação de um cookie na sua máquina. Você acessa outro site, de venda de livros, que tem o mesmo mecanismo do anterior. Vai aparecer neste uma coluna com o display de um produto que você estava procurando no site de sapatos. Se achar que aquilo não é interessante, você pode revogar”.

Já o compartilhamento é muito parecido com o direito à portabilidade, mas o usuário não pede para apagar os dados na origem. “Posso, simplesmente, dizer que a empresa compartilhe os meus dados que ela tem com uma concorrente para que possa receber outras possibilidades de ofertas, com preços melhores”, continua Sampaio. Um outro aspecto do direito ao compartilhamento é o titular dos dados saber com quem seus dados pessoais são compartilhados.

O direito à explicação é interessante e vai dar dor de cabeça. “Quando você pedia crédito, antigamente, o gerente do banco fazia várias perguntas, analisava seu histórico financeiro e dizia se você ia ter, ou não, crédito. Hoje, quem faz isso é um algoritmo. Com a LGPD, você pode questionar qual a lógica usada para a negativa de um pedido de crédito ou cartão”, explica Sampaio. E se for identificada a utilização de alguma prática antiética ou discriminatória, cabem multa e processo.

“Não se podem aplicar as multas previstas na LGPD ainda; essa parte só será iniciada em agosto de 2021. Eu prefiro olhar a LGPD não pelo viés da multa, da punição, mas pelo do amadurecimento do uso de dados”, conclui Sampaio.

Neste momento inicial de vigência da lei, é importante que se entenda que a LGPD não será implantada da noite para o dia; é um processo que mexe com organizações e no modo como os dados pessoais são tratados, e ajustes são em geral necessários em várias áreas das instituições. Mas é essencial que as empresas demonstrem que não estão inertes, e que estão dedicando esforços para atender à legislação.