Baixe o app para aproveitar ainda mais
Prévia do material em texto
Unidade III Os Direitos dos Titulares de Dados Lei Geral de Proteção de Dados Pessoais Diretor Executivo DAVID LIRA STEPHEN BARROS Gerente Editorial CRISTIANE SILVEIRA CESAR DE OLIVEIRA Projeto Gráfico TIAGO DA ROCHA Autoria RAIANNY LIMA BARROS INTERAMINENSE SILVIA CRISTINA DA SILVA AUTORIA Raianny Lima Barros Interaminense Silvia Cristina da Silva Olá. Somos Raianny Lima Barros Interaminense e Silvia Cristina da Silva. Eu, Raianny, sou formada em Direito pela Universidade de Ciências Sociais Aplicadas (Unifacisa) e especialista em Direito Tributário pelo Ins- tituto Brasileiro de Estudos Tributários (IBET). Atualmente sou professora conteudista e advogada. Como jurista, atuo na área de Direito Tributário. Antes de me dedicar integralmente à advocacia privada, tive experiência na área de direito público, em virtude do período de estágio na Procura- doria da Fazenda Nacional e no Ministério Público Estadual. Sou apaixo- nada e entusiasta pelo direito e adoro transmitir minha experiência de vida àqueles que estão iniciando em suas profissões. Eu, Silvia, sou mestre interdisciplinar em Educação, Ambiente e Sociedade – UNIFAE e tenho participação docente e discente no mestrado em Análise do Discurso - Universidade Federal de Buenos Aires. Sou especialista em Investigação de Antecedentes em instituições públicas e privadas; especialista em Docência do Ensino Superior e Direito e Educação pela Faculdade Campos Elíseos; pós-graduanda em EAD pela Faculdade Campos Elíseos e graduada em Ciências Jurídicas e Sociais – UNIFEOB. Atuo como vice-diretora acadêmica na Agência Nacional de Estudos em Direito ao Desenvolvimento (ANEDD); docente e conteudista em diversas instituições educacionais para cursos de graduação e pós-graduação; elaboradora de questões para concursos públicos em várias organizadoras; degravadora, redatora, tradutora e intérprete da língua espanhola. Por isso, fomos convidadas pela Editora Telesapiens a integrar seu elenco de autores independentes. Estamos muito felizes em poder ajudar você nesta fase de muito estudo e trabalho. Conte conosco! ICONOGRÁFICOS Olá. Esses ícones irão aparecer em sua trilha de aprendizagem toda vez que: INTRODUÇÃO: para o início do desenvolvimento de uma nova compe- tência; DEFINIÇÃO: houver necessidade de se apresentar um novo conceito; NOTA: quando forem necessários obser- vações ou comple- mentações para o seu conhecimento; IMPORTANTE: as observações escritas tiveram que ser priorizadas para você; EXPLICANDO MELHOR: algo precisa ser melhor explicado ou detalhado; VOCÊ SABIA? curiosidades e indagações lúdicas sobre o tema em estudo, se forem necessárias; SAIBA MAIS: textos, referências bibliográficas e links para aprofundamen- to do seu conheci- mento; REFLITA: se houver a neces- sidade de chamar a atenção sobre algo a ser refletido ou dis- cutido sobre; ACESSE: se for preciso aces- sar um ou mais sites para fazer download, assistir vídeos, ler textos, ouvir podcast; RESUMINDO: quando for preciso se fazer um resumo acumulativo das últi- mas abordagens; ATIVIDADES: quando alguma atividade de au- toaprendizagem for aplicada; TESTANDO: quando o desen- volvimento de uma competência for concluído e questões forem explicadas; SUMÁRIO Obrigatoriedade do consentimento ...................................................10 Natureza e forma ........................................................................................................................... 10 Validade.................................................................................................................................................. 12 Vício e nulidade ................................................................................................................................ 14 Revogação e renovação ............................................................................................................. 15 Direito de acesso .........................................................................................19 Requisição de informações pelo titular .......................................................................... 21 Direitos correlatos do titular de dados pessoais ......................................................23 Direito à revisão de decisões automatizadas ..........................................24 Direito à retificação dos dados ..............................................................................................26 Direito da portabilidade ..........................................................................................27 Direito de informação das entidades públicas e privadas ...........28 Disposições acerca dos direitos do titular ....................................................................28 Anonimização, bloqueio e eliminação de dados ..........................31 Anonimização ..................................................................................................................................... 31 Bloqueio dos dados ......................................................................................................................35 Eliminação de dados .................................................................................................................. 36 Disposições aplicáveis à anonimização, bloqueio e eliminação de dados ....................................................................................................................................................... 38 Segurança e sigilo ..................................................................................... 40 Segurança da informação ........................................................................................................ 40 Incidentes de segurança .........................................................................................................44 7 UNIDADE 03 Lei Geral de Proteção de Dados Pessoais 8 INTRODUÇÃO Com o avanço tecnológico e o aumento significativo do uso dos dados pessoais, viu-se a necessidade de proteger os direitos individuais dos titulares dessas informações. Frente a essa problemática, a Lei Geral de Proteção de Dados Pessoais trouxe o titular como protagonista, uma vez que este é o verdadeiro dono dos dados e, portanto, deve ter o efetivo controle sobre eles. Nesses termos, a LGPD estabeleceu direitos para o titular de dados pessoais, com o fito de assegurar a autodeterminação informativa. Mas quais são esses direitos? Qual foi o motivo de serem efetivados na referida Lei? Nesta unidade, iremos identificar todos esses direitos do titular, além de analisar a obrigatoriedade do consentimento, o direito de acesso, a anonimização, o bloqueio e a eliminação dos dados pessoais, segurança e sigilo. Vamos juntos embarcar nesse conhecimento! Lei Geral de Proteção de Dados Pessoais 9 OBJETIVOS Olá. Seja muito bem-vinda (o). Nosso propósito é auxiliar você no desenvolvimento das seguintes objetivos de aprendizagem até o término desta etapa de estudos: 1. Definir e aplicar o conceito de consentimento; 2. Entender o direito do titular ao acesso dos seus dados armazenados em sistemas de terceiros; 3. Discernir sobre os conceitos de anonimização, bloqueio, eliminação de dados e suas ocorrências; 4. Identificar as medidas de segurança, técnica e administrativa para o tratamento dos dados. Então? Preparado para uma viagem sem volta rumo ao conhecimento? Ao trabalho! Lei Geral de Proteção de Dados Pessoais 10 Obrigatoriedade do consentimento INTRODUÇÃO: Ao término deste capítulo você será capaz de compreender o conceito de consentimento e sua forma de aplicação no âmbito da proteção de dados pessoais. E então? Motivado para desenvolver essa competência? Vamos lá! Cada vez mais os dados pessoais são necessários para o bom exercício dos negócios e políticas públicas, o que afetaos indivíduos que, enquanto donos das informações, se tornam vulneráveis diante das operações de tratamento dos dados (BIONI, 2019). À vista disso, a Lei Geral de Proteção de Dados Pessoais buscou trazer o titular dos dados como protagonista, utilizando-se a regra da exigência de consentimento nas operações que envolvam essas informações pessoais. Desse modo, “o consentimento permaneceu sendo o elemento nuclear da estratégia regulatória da privacidade informacional”, sendo de extrema importância conhecer suas particularidades (BIONI, 2019, p. 188). Natureza e forma O consentimento é um termo que já vem sendo utilizado pelo Direito Civil, mais precisamente pelo Direito do Consumidor, eis que com o advento das vendas on-line, viu-se a necessidade de haver uma proteção maior dos consumidores quanto aos contratos de adesão (FEGEILSON; SIQUEIRA, 2019). Assim, por se tratar de uma exigência legal, o consentimento é um critério para verificar a legitimidade de determinado tratamento de dados pessoais. Noutros termos, deve-se observar se houve autorização do titular para a realização da operação com seus dados. Lei Geral de Proteção de Dados Pessoais 11 Figura 1 - Aspectos do consentimento Verificação da legitimidade de determinado tratamento de dados pessoais Consentimento Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 123. Ocorre que há discussão sobre a natureza do consentimento para fins de tratamento de dados pessoais. Especificadamente, são três as correntes acerca do tema, as quais são perfeitamente explicadas por Fegeilson e Siqueira (2019): (i) uma que estabelece a natureza do consentimento como declaração de vontade negocial; (ii) outra que entende que se trata de um ato jurídico unilateral sem natureza negocial; e (iii) a última que vislumbra o consentimento como um ato que se assemelha ao negócio jurídico sem o ser. (FEGEILSON; SIQUEIRA, 2019, p. 102) Como se vê, aqueles que defendem a natureza de ato jurídico unilateral sem natureza negocial, entendem que o consentimento não deve ser incluído no âmbito contratual, em razão de seus elementos de personalidade (FEGEILSON; SIQUEIRA, 2019). Por outro lado, Fegeilson e Siqueira (2019) pontuam que há quem defenda a natureza do consentimento como o ato que se assemelha com o negócio jurídico. Isso porque acreditam que se trata de uma figura atípica, visto que possui tanto características negociais quanto personalíssimas. Nesse último caso, poderia haver aplicação das normas contratuais, por se defender que o consentimento teria a mesma função da declaração de vontade, prevista no artigo 107 do Código Civil (BRASIL, 2002). Ato jurídico consiste em “um fato jurídico com elemento volitivo e conteúdo lícito”, ao passo que negócio jurídico é o “ato jurídico em que há uma composição de interesses das partes com uma finalidade específica” (TARTUCE, 2020, p. 346-347). Lei Geral de Proteção de Dados Pessoais 12 De mais a mais, nos termos do artigo 8º da Lei Geral de Dados Pessoais, o consentimento deve ser “fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular” e, caso seja por escrito, deve constar em uma cláusula contratual destacada, conforme o §1º desse dispositivo (BRASIL, 2018b). Logo, é notório que o consentimento deve ser fornecido de forma expressa e clara, a fim de que seja demonstrada com transparência a vontade do titular dos dados pessoais. Assim, compreendida a natureza e forma do consentimento, passa- se a analisar a validade deste. Validade Primeiramente, deve-se atentar para a definição do termo consen- timento trazida pela Lei Geral de Proteção de Dados Pessoais, em seu artigo 5º, inciso XII. O consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, nos termos do art. 5º, XII, LGPD (BRASIL, 2018b). Partindo desse conceito, conclui-se que o consentimento deve ser livre, informado, inequívoco e ter uma finalidade determinada para que possa ser considerado válido. Mas o que significa cada termo? Quando se fala em manifestação informada, quer dizer que o titular dos dados deve ser comunicado sobre “as consequências e riscos da sua anuência, assim como os detalhes acerca de quais dados pessoais estão sendo coletados, de quais as finalidades do tratamento e das obrigações e direitos decorrentes de seu aceite” (FEGEILSON; SIQUEIRA, 2019, p. 104). Por sua vez, o consentimento livre consiste naquele “fornecido mediante escolha autônoma e consciente”, ou seja, sem nenhum tipo de coação, é o titular que, por sua própria vontade, autoriza o uso de seus dados pessoais (FEGEILSON; SIQUEIRA, 2019, p. 104). Lei Geral de Proteção de Dados Pessoais 13 No caso de uma relação entre empregado e empregador, em que há subordinação, é possível que o funcionário se sinta coagido a dar seu consentimento, com receio de sofrer alguma advertência ou demissão. Por isso que a LGPD se preocupou em estabelecer que o consentimento deve ser livre. Ademais, todas as informações acerca do tratamento dos dados devem ser claras e precisas, isto é, de forma inequívoca, de modo que o titular compreenda todos os aspectos da operação que pretende ser realizada com seus dados, em conformidade com o que dispõe o art. 9º da LGPD, observe: Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponi- bilizadas de forma clara, adequada e ostensiva acerca de, en- tre outras características previstas em regulamentação para o atendimento do princípio do livre acesso. (BRASIL, 2018b) Figura 2 - Informações sobre tratamento dos dados Clareza Precisão Tratamento de dados Inequívoca Fonte: Elaborado pelas autoras com base em Brasil, 2018b. Por fim, cabe registrar que todo tratamento de dado pessoal deve apresentar uma finalidade determinada, eis que “qualquer declaração de vontade deve ter um direcionamento, já que não se consente no vazio e de forma genérica” (BIONI, 2019, p. 248). Além do mais, os dados pessoais não podem ser utilizados sem limites, uma vez que se deve proteger os direitos individuais dos seus titulares. Partindo dessa premissa, iremos estudar os vícios e as nulidades do consentimento. Lei Geral de Proteção de Dados Pessoais 14 Vício e nulidade Tomando como base os critérios de validade do consentimento, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estabeleceu as hipóteses em que este será considerado viciado ou nulo. Nos casos em que houver dolo, coação ou erro, estará configurado o vício do consentimento, o que acarreta a proibição do tratamento de dados pessoais, nos termos do §3º do artigo 8º da referida Lei (BRASIL, 2018b). Por sua vez, tem-se o caso de nulidade previsto no §1º do art. 9º. Observe a redação do referido dispositivo: § 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. (BRASIL, 2018b) Infere-se, portanto, que no caso de a informação acerca do tratamento do dado pessoal ser falsa ou ocultar algum aspecto da operação, será o consentimento declarado nulo e, desse modo, o dado pessoal não poderá ser utilizado. IMPORTANTE: Cabe frisar que todas as informações transmitidas para o titular dos dados devem ser claras, a fim de que ele possa compreender como se dará a operação, a finalidade desta e os riscos existentes. Nesse contexto, em consonância com o princípio geral da finalidade, “o consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”, nos termos do §4º do artigo 8º da Lei nº 13.709/2018 (BRASIL,2018b). O princípio geral da finalidade consiste na “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, Lei Geral de Proteção de Dados Pessoais 15 sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”, conforme art. 6º, I da LGPD (BRASIL, 2018b). Logo, no momento do consentimento, o titular deve ter conhecimento sobre as finalidades da coleta, uso e demais operações com seus dados pessoais, haja vista não ser possível o tratamento de dados sem uma finalidade pré-estabelecida. Agora que já se sabe as causas de nulidade e de vício do consentimento, deve-se saber de quem é o ônus da prova, isto é, a quem cabe demonstrar que o consentimento é válido. Nos termos do §2º do artigo 8º da Lei nº 13.709/2018, o ônus da prova cabe ao controlador, que é o agente responsável pela tomada de decisões do tratamento de dados pessoais. Desse modo, este deve provar que o consentimento ocorreu em conformidade com as regras da Lei Geral de Proteção de Dados Pessoais. Figura 3 - Ônus da prova ControladorÔnus da prova Fonte: Elaborado pelas autoras com base em Brasil, 2018b. Agora que já entendemos os casos de vício e nulidade do consentimento, bem como do ônus da prova, passa-se a estudar as hipóteses de revogação e renovação do consentimento. Revogação e renovação Reforçando a ideia de que a Lei Geral de Proteção de Dados Pessoais conferiu protagonismo ao titular, buscando alcançar a autodeterminação informativa, cujo objetivo é dar controle dos dados pessoais ao dono destes, a Lei trouxe as possibilidades de revogação e renovação do consentimento. Nos termos do §5º do art. 8º da LGPD, o titular poderá revogar seu consentimento a qualquer momento. Veja: Lei Geral de Proteção de Dados Pessoais 16 § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei. (BRASIL, 2018b) Ao que se depreende, o requerimento de revogação deve ser feito de forma expressa. Ressalte-se que houve o cuidado de fixar na Lei a necessidade de que esse pedido seja gratuito e facilitado, a fim de se evitar que o controlador apresente dificuldades para tentar impedir a revogação. Outrossim, a norma estabelece que todos os tratamentos anteriores à revogação serão mantidos, haja vista que à época estavam assegurados pelo consentimento do titular. Nesse ponto, cumpre registrar que a revogação não precisa ser motivada (FEGEILSON; SIQUEIRA, 2019). VOCÊ SABIA? “No ordenamento alemão, o consentimento sempre pode ser revogado sem a necessidade de justificativa, sendo tratado como uma forma de controle não apenas preventivo, mas, também, posterior” (FEGEILSON; SIQUEIRA, 2019, p. 109). Quanto à renovação do consentimento, é necessário recordar que o tratamento de dados pessoais não pode ser genérico, ou seja, precisa haver finalidades específicas. Nesse cenário, o titular dará o seu consentimento de acordo com tais fins determinados pelo controlador. Ocorre que é possível que haja mudança na finalidade pretendida com a operação de dados pessoais e nesse caso o controlador será obrigado a informar ao titular sobre essas alterações, para que ele renove seu consentimento e, caso não concorde com as novas finalidades, peça a sua revogação. Nesse sentido, tem-se o §6º do artigo 8º da LGPD. Observe a dicção do dispositivo: Lei Geral de Proteção de Dados Pessoais 17 § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração. (BRASIL, 2018b) Fica claro, portanto, que se insiste no princípio da transparência, constante no art. 6º, VI da LGPD (BRASIL, 2018b), em toda comunicação realizada com o titular, para que ele consiga compreender todos os aspectos da atividade de tratamento de dados pessoais e assim possa efetivamente tomar suas próprias decisões. Note que o dispositivo faz menção aos casos em que o consentimento é exigido, uma vez que, como já visto, existem hipóteses em que a exigência da autorização prévia do titular é dispensada. SAIBA MAIS: Relembre as hipóteses em que o consentimento não é exigido para o tratamento dos dados pessoais, lendo os incisos II a X do art. 7º e as alíneas constantes no inciso II do art. 11 da LGPD. Clique aqui para acessar. Quanto a esse ponto, cabe ressaltar que, mesmo nos casos em que o consentimento do titular é exigido, ele tem o direito de ser informado “sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa”, conforme preceitua o art. 18, VIII da Lei Geral de Proteção de Dados Pessoais (BRASIL, 2018b). Por seu turno, o §2º do artigo 9º da Lei nº 13.709/2018 prevê que na hipótese de mudança de finalidade, o titular deve ser informado, dando a possibilidade deste revogar ou renovar o consentimento. § 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as Lei Geral de Proteção de Dados Pessoais http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm 18 mudanças de finalidade, podendo o titular revogar o consenti- mento, caso discorde das alterações. (BRASIL, 2018b) Como se vê, conferiu-se ao titular o pleno exercício de sua vontade quanto ao tratamento de seus dados pessoais, podendo este revogar ou renovar seu consentimento. RESUMINDO: E então? Gostou do que lhe mostramos? Aprendeu tudo? Agora, só para termos certeza de que você realmente entendeu o tema de estudo deste capítulo, vamos resumir o que vimos. Você deve ter aprendido que, em prol do controle do titular em relação aos seus dados pessoais, é exigido, em regra, consentimento deste para que seja autorizada a operação de tratamento de dados. Quanto à natureza desse consentimento, há discussão, especificamente se consiste em uma declaração de vontade negocial, em um ato jurídico unilateral sem natural negocial ou um negócio jurídico sem o ser. Você viu também que o consentimento deve ser expresso e claro. No que se refere à validade, estudou que deve ser o consentimento livre, inequívoco, informado e com finalidades determinadas. Nos casos de dolo, coação ou erro, haverá vício de consentimento, ao passo que na hipótese de serem oferecidas informações enganosas ou abusivas o consentimento será declarado nulo. Viu ainda que o ônus da prova da validade do consentimento é do controlador. Por fim, estudou que a qualquer tempo e sem necessidade de motivação, o titular dos dados pode revogar seu consentimento e, em caso de alteração das finalidades, deverá renová-lo. Lei Geral de Proteção de Dados Pessoais 19 Direito de acesso INTRODUÇÃO: O direito de acesso é um dos mais relevantes direitos trazidos pela Lei Geral de Proteção de Dados Pessoais para a garantia da autodeterminação informativa. Neste capítulo iremos compreender todos os aspectos desse direito, bem como aqueles correlatos a este. Vamos lá! O titular dos dados pessoais, como detentor do controle de suas informações, tem o direito ao acesso, o qual consiste na garantia de que ele terá ao seu alcance a obtenção de informações sobre seus dados e o referido tratamento conferido a estes. Nesse sentido, a Lei nº 13.709/2018, em seu artigo 9º, determina os parâmetros necessários para o exercício do direito ao acesso. Confira a dicção legal: Art. 9º O titular tem direito ao acesso facilitadoàs informações sobre o tratamento de seus dados, que deverão ser dispo- nibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I - finalidade específica do tratamento; II - forma e duração do tratamento, observados os segredos comercial e industrial; III - identificação do controlador; IV - informações de contato do controlador; V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI - responsabilidades dos agentes que realizarão o tratamento; e VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei. (BRASIL, 2018b) Lei Geral de Proteção de Dados Pessoais 20 Como se vê, o direito ao acesso se trata da efetivação ao princípio geral do livre acesso, cuja intenção é assegurar o conhecimento gratuito e facilitado sobre os dados ao seu titular, previsto no inciso IV do artigo 6º da Lei Geral de Proteção de Dados Pessoais. Noutros termos, confere-se ao titular dos dados pessoais “o acesso às informações dos procedimentos pelo quais os seus dados estão submetidos e de quem está por traz desse tratamento” (FEGEILSON; SIQUEIRA, 2019, p. 110). Mas não é só. O titular dos dados pessoais, em virtude do disposto no inciso VII do art. 9º, também deve ter pleno acesso ao conhecimento de seus direitos, constantes no art. 18 da LGPD, os quais estudaremos em momento oportuno. Figura 4 - Direitos do titular dos dados pessoais Pleno acesso ao conhecimento Acesso gratuito aos dados Direito de reivindcação Fonte: Elaborado pelas autoras com base em Brasil, 2018b. Logo, é notória a preocupação da lei em não apenas estabelecer direitos ao titular, mas assegurar que eles tenham plena consciência sobre eles e, dessa forma, possam reivindicá-los. SAIBA MAIS: Para conhecer todos os direitos do titular elencados pela Lei Geral de Proteção de Dados Pessoais, leia o artigo 18. Clique aqui para acessar. Ademais, o referido dispositivo exige que o fornecimento das informações ocorra de forma simples e rápida, a fim de assegurar a compreensão do titular, em evidente conformidade com o princípio geral da transparência, consagrado pelo art. 6º, VI da LGPD (BRASIL, 2018b). Lei Geral de Proteção de Dados Pessoais http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm 21 Cumpre consignar que a LGPD, em seu §3º do artigo 9º, estabeleceu a obrigação de comunicação ao titular nas hipóteses em que o tratamento de dados é necessário para fornecimento de produto ou serviço, veja: § 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei. (BRASIL, 2018b) Ao que se depreende, a Lei buscou enfatizar essas informações, em virtude da finalidade específica do tratamento dos dados pessoais, que está relacionada aos fins econômicos/comerciais. IMPORTANTE: Ressalta-se que o direito ao acesso dos dados foi reforçado pelo inciso II do art. 18, ao passo que o inciso I do mesmo artigo dispôs sobre o direito do titular de saber se seus dados estão sendo tratados (BRASIL, 2018b). Dito isso e conhecendo o que se trata o direito ao acesso, assim como tendo em mente a motivação deste, passa-se a analisar a forma de efetivação do direito, por meio da requisição do titular dos dados. Requisição de informações pelo titular Você pode se perguntar como se dá a efetivação do direito ao acesso, ou seja, como o titular pode solicitar essas informações e se existem regras específicas sobre o tema, certo? Nesse ponto, a Lei Geral de Proteção de Dados Pessoais foi precisa ao estabelecer, em seu artigo 19, os meios pelos quais o titular poderá requisitar as informações e as regras atinentes a essa requisição. Observe a redação do referido artigo: Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: Lei Geral de Proteção de Dados Pessoais 22 I - em formato simplificado, imediatamente; ou II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. (BRASIL, 2018b) Infere-se, portanto, que o titular deve requisitar as informações de seus dados de forma mais simplificada ou por declaração mais completa, na qual conste todos os aspectos dos dados e do tratamento, sendo importante mencionar que no último caso, o prazo para a disponibilização será de 15 (quinze) dias e o termo a quo é a data do requerimento. Quanto ao prazo, a autoridade nacional pode regulamentá-lo de forma diversa para setores específicos, conforme dispõe o §4º do art. 19 da LGPD (BRASIL, 2018b). VOCÊ SABIA? A legislação europeia sobre o tema, o GDPR, não fixou prazos para o fornecimento das informações, estabelecendo apenas o prazo de 1 (um) mês para o prosseguimento da requisição (FEGEILSON; SIQUEIRA, 2019). Acerca do armazenamento e fornecimento dos dados, veja o que estabelece os parágrafos do art. 19 da LGPD: § 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. § 2º As informações e os dados poderão ser fornecidos, a critério do titular: I - por meio eletrônico, seguro e idôneo para esse fim; ou II - sob forma impressa. Lei Geral de Proteção de Dados Pessoais 23 § 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrô- nica integral de seus dados pessoais, observados os segre- dos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento. (BRASIL, 2018b) Desse modo, torna-se clara a intenção da lei em estipular meios que facilitem o acesso do titular às informações sobre seus dados pessoais, as quais poderão ser disponibilizadas tanto por meio eletrônico quanto físico. Vale salientar, ainda, que a LGPD buscou possibilitar a utilização dos dados do titular para outras operações, através da adoção de formato que permita isso. O princípio do livre acesso, disposto no art. 6º, IV da LGPD, prevê que a consulta dos dados será gratuita. No entanto, “a legislação não é clara quanto ao ônus do fornecimento das informações no formato impresso, o que pode gerar uma dúvida sobre quem (agente ou titular) recairá este custo administrativo” (FEGEILSON; SIQUEIRA, 2019, p. 159). Agora que já foi demonstrado o que é e como é efetivado o direito do titular de acesso aos dados, vamos estudar os demais direitos do titular, correlatos ao princípio do livre acesso. Direitos correlatos do titular de dados pessoais A Lei nº 13.709/2018 conferiu direitos importantes aos titulares dos dados pessoais, todos eles em prol da garantia da autodeterminação informativa, que consiste em dar o controle das informações aos donos dessas. Em vista disso, o artigo 17 da LGPD estabelece que “toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade” (BRASIL, 2018b). Lei Geral de Proteção de Dados Pessoais 24 Antes de adentrar no tema dos direitos elencados pelo capítulo III da LGPD, cumpre mencionar que a referida Lei, por toda a sua extensão fixou direitos aos titulares, como através dos fundamentos e princípios da proteção de dados pessoais. SAIBA MAIS: Para relembrar alguns direitos do titular, leia com atenção o art. 1º; o art. 2º, que elenca os fundamentos da Lei; e o art. 6º,que fixa os princípios gerais da proteção de dados pessoais, eis que todos os dispositivos referidos trazem direitos específicos dos titulares. Clique aqui para acessar. Direito à revisão de decisões automatizadas De início, cabe recordar que o tratamento dos dados pessoais, muitas vezes, ocorre através de processos automatizados, ou seja, sem intervenção humana. Em vista disso, é possível que haja defeitos ou decisões equivocadas sobre o titular. Assim, por meio da formação de perfis pelo uso dos dados pessoais, pode-se enxergar os riscos das decisões automatizadas. Nesse ponto, elucidativa é a lição de Bioni (2019): Muitas vezes, processos de decisões automatizados valem- se desses perfis que não necessariamente identificam uma pessoa em específico, mas um grupo – grouping. É pelo fato de ela estar catalogada, inserida, referenciada ou estratificada nesse grupo que uma série de decisões serão tomadas a seu respeito, ainda que sem individualizá-la diretamente. (BIONI, 2019, p. 114) Frente a essa problemática, a Lei Geral de Proteção de Dados Pessoais concedeu ao titular o direito de revisão dessas decisões automatizadas, observe: Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento Lei Geral de Proteção de Dados Pessoais http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm 25 automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. (BRASIL, 2018b) Ao que se depreende, foi dada uma enorme proteção ao titular, eis que todo tratamento de dado pessoal que afete seu interesse próprio pode ser objeto de revisão. Em outras palavras, “não se condiciona o exercício desse direito com base apenas em ‘perfil’ referente a uma ‘pessoa identificada’, mas todos aqueles que se valem de aspectos de sua personalidade e que afetem seus interesses” (BIONI, 2019, p. 115). IMPORTANTE: A Lei do Cadastro Positivo prevê, em seu artigo 5º, VI, no âmbito das formações de perfil, “que aquele que optasse por inserir suas informações em bancos de dados poderia obter revisão de decisões automatizadas sobre sua pessoa por um funcionário da instituição financeira” (FEGEILSON; SIQUEIRA, 2019, p. 160). Por outro lado, a LGPD, em seus §§1º e 2º do art. 20, determinou a obrigação de serem dadas justificativas ao titular acerca das decisões automatizadas: § 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. § 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais. (BRASIL, 2018b) Lei Geral de Proteção de Dados Pessoais 26 Como se vê, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) procurou tornar mais transparente o processo das decisões automatizadas, a fim de minimizar suas falhas e consequências sociais (FEGEILSON; SIQUEIRA, 2019). VOCÊ SABIA? No Brasil, o direito à explicação está presente na Lei do Cadastro Positivo, que dispõe sobre a possibilidade de o usuário requerer informações sobre o adimplemento e revisão de decisões automatizadas (FEGEILSON; SIQUEIRA, 2019). Ademais, as informações dos titulares não podem ser utilizadas em seu prejuízo (art. 21), e a defesa de seus direitos pode ser feita judicialmente, através de ações individuais ou coletivas, conforme estabelece o art. 22 da LGPD (BRASIL, 2018b). Direito à retificação dos dados Os titulares terão direito a retificar seus dados pessoais, ou seja, poderão solicitar a “correção de dados incompletos, inexatos ou desatualizados”, conforme preceitua o art. 18, III, da Lei Geral de Proteção de Dados Pessoais (BRASIL, 2018b). Nos dizeres de Bioni (2019), “os direitos de acesso e retificação transitam na esfera pública e não na privada, na medida em que se busca apenas tutelar que o dado pessoal projete fidedignamente o seu titular” (BIONI, 2019, p. 127). Em outras palavras, o direito à retificação dos dados pessoais tem o intuito de assegurar que as informações armazenadas e utilizadas pelo terceiro sejam a representação fiel da realidade, a fim de que todas as conclusões adquiridas com o tratamento desses dados estejam corretas. Cumpre ressaltar que o referido direito é um reforço do princípio da qualidade dos dados pessoais, previsto no artigo 6º, V da Lei nº 13.709/2018. Lei Geral de Proteção de Dados Pessoais 27 Nessa linha, precisos são os ensinamentos de Bioni (2019): Ao lado do princípio da qualidade dos dados, o direito de correção é uma construção que deriva da perspectiva da identidade do sujeito e não do direito à privacidade. É o primeiro direito de personalidade que determina a necessidade de haver uma correspondência fidedigna entre a pessoa e seus dados pessoais. A esfera do que é público ou privado revela-se incompleta para dar vazão a esse tipo de dinâmica normativa. (BIONI, 2019, p. 100) O princípio geral da qualidade dos dados se refere à “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”, de acordo com art. 6º, V da LGPD (BRASIL, 2018b). Ora, se os dados estiverem incompletos, incorretos ou desatualiza- dos, os agentes de tratamento iriam ter resultados equivocados sobre o titular, não é mesmo? Fica clara, portanto, a importância desse direito do titular para a própria atividade de tratamento dos dados pessoais, uma vez que, na hipótese de os dados estarem incorretos, poderia haver incongruência do resultado da análise das informações. Direito da portabilidade Outro direito do titular é o da portabilidade, que consiste na possibilidade de “portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial”, nos termos do art. 18, V da LGPD (BRASIL, 2018b). Note que o dono dos dados pessoais deve requerer expressamente a portabilidade, sendo de grande valia ressaltar que quanto a esse tema, ainda haverá regulamentação por parte da ANPD. Lei Geral de Proteção de Dados Pessoais 28 IMPORTANTE: Por outro lado, esse direito não será aplicado aos “dados que já tenham sido anonimizados pelo controlador”, conforme previsão contida no §7º do art. 18 da Lei nº 13.709/2018 (BRASIL, 2018b). Direito de informação das entidades públicas e privadas Por fim, tem-se o direito do titular ser informado acerca “das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados”, nos moldes do art. 18, VII da Lei Geral de Proteção de Dados Pessoais (BRASIL, 2018b). Cabe frisar que se trata de “decorrência direta do princípio da transparência”, por isso garante aos titulares o conhecimento sobre todos os aspectos do tratamento de seus dados pessoais (FEGEILSON; SIQUEIRA, 2019, p. 157). Disposições acerca dos direitos do titular Nos moldes dos §§1º e 8º do art. 18 da LGPD, o titular terá resguardado o direito de petição contra o controlador perante a ANPD ou os órgãos do consumidor (BRASIL, 2018b). Por outro lado, nos casos de descumprimento das normas estabelecidas pela Lei Geral de Proteção de Dados Pessoais, o titular poderá discordar de tratamento de seus dados, mesmo que não seja necessário o consentimento, conforme §2º do art. 18 da Lei. A fim de obter a efetivação dos direitos estabelecidos pelo art. 18 da LGPD, o titular ou seu representante legal deveráapresentar requerimento ao agente de tratamento, sem custos ao titular, conforme dispõe os §§3º e 5º do referido artigo. Lei Geral de Proteção de Dados Pessoais 29 Para os casos em que não seja possível atender ao requerimento do titular, a Lei nº 13.709/2018 trouxe a seguinte previsão: § 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá: I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência. (BRASIL, 2018b) Logo, o controlador deve justificar o não atendimento do requerimento ao titular dos dados, expondo os motivos, a fim de manter a transparência exigida. Lei Geral de Proteção de Dados Pessoais 30 RESUMINDO: Neste capítulo você aprendeu que o direito ao acesso concedido aos titulares se refere à garantia de obtenção de informações sobre os dados e o tratamento desses. Viu que se trata da efetivação do princípio de livre acesso e também está relacionado ao fato de que o titular deve conhecer seus direitos, além de existir a obrigação de essas informações serem transmitidas de forma transparente. Estudou que o titular deve requisitar o acesso de forma simples ou completa e, nesse último caso, haverá um prazo de 15 (quinze) dias para o fornecimento das informações, salvo se a ANPD regulamentar de forma diversa. Ainda, viu que devem ser adotadas medidas para facilitar a consulta dos titulares. Outrossim, identificou os demais direitos do titular, que estão presentes por toda a LGPD, como nos fundamentos e nos princípios, mas também no art. 18. Analisou o direito de retificação dos dados; de portabilidade para outro fornecedor de serviço; de revisão e justificativa das decisões automatizadas e de informação sobre o uso compartilhado dos dados para entidades públicas e privadas. Você também aprendeu que os dados não podem ser utilizados em prejuízo do titular e que ele tem direito de petição para a ANPD ou órgãos do consumidor, além de ações coletivas ou individuais para buscar a efetivação de seus direitos. Também viu que o titular pode se opor ao tratamento de seus dados quando houver descumprimento das normas da LGPD, mesmo que não se trate de hipótese em que é exigido o consentimento. Por fim, viu que o titular pode requerer todos esses direitos ao agente de tratamento, sem custos, e deve receber justificativa caso não seja possível atender a seu requerimento. Lei Geral de Proteção de Dados Pessoais 31 Anonimização, bloqueio e eliminação de dados INTRODUÇÃO: Neste capítulo você irá discernir sobre os conceitos da anonimização, do bloqueio e da eliminação de dados pessoais, os quais são direitos do titular. Esse conhecimento é de grande valia para a aplicação da Lei Geral de Proteção de Dados Pessoais. Então? Está pronto para desenvolver essa competência? Vamos lá! Anonimização A anonimização consiste no procedimento pelo qual os dados se desvinculam da pessoa natural a quem correspondem, isto é, as informações deixam de ser pessoais pelo fato de não mais poderem identificar indivíduos. Na mesma perspectiva, Bioni explana: Essa inaptidão pode ser fruto de um processo pelo qual é quebrado o vínculo entre o(s) dado(s) e seu(s) respectivo(s) titular(es), o que é chamado de anonimização. Esse processo pode se valer de diferentes técnicas que buscam eliminar tais elementos identificadores de uma base de dados, variando entre: a) supressão; b) generalização; c) randomização; e d) pseudoanonimização. (BIONI, 2019, p. 104) É dizer, através da anonimização, que o dado que antes era pessoal se torna anônimo, ou seja, não se refere a uma pessoa natural. Veja que o referido autor expõe algumas técnicas que podem ser utilizadas para esse processo, como a supressão, generalização, randomização e pseudoanonimização. A supressão ou generalização são consideradas por Bioni (2019) como a retirada de algumas informações a fim de afastar a identificação Lei Geral de Proteção de Dados Pessoais 32 das pessoas. Para o autor, a intenção é “gerenciar circunstancialmente a identificabilidade de uma base de dados” (BIONI, 2019, p. 105). A fim de compreender melhor o processo de anonimização, observe os exemplos trazidos por Bioni (2019) sobre as técnicas de supressão e generalização. a) supressão do CPF: por ser um identificador capaz de dife- renciar até mesmo pessoas homônimas, sendo um identifica- dor único; logo, a sua disponibilização, ainda que parcial – e.g., cinco primeiros dígitos –, não seria prudente; b) generalização do nome completo: constaria apenas o prenome, desde que fosse observado que os nomes da base de dados não são comuns. O objetivo é evitar que um nome possa ser atribuído a um indivíduo em específico; c) generalização da localização geográfica: em vez de disponibilizar o número completo do CEP, seriam divulgados apenas os seus primeiros dígitos. Assim, haveria uma localização menos detalhada, a fim de quebrar o vínculo de identificação desta informação com um sujeito; d) generalização da idade: em vez de divulgar a idade exata, seria divulgada a faixa etária para viabilizar a categorização dos indivíduos como jovens, adultos ou idosos (coluna “E”) e, por outro lado, inviabilizar a sua individualização, dado o universo de pessoas que se enquadram naquela mesma faixa etária. (BIONI, 2019, p. 105) Infere-se, portanto, que independente do mecanismo utilizado no processo de anonimização, sempre deverá haver a análise de cada caso concreto, a fim de realizar o processo da melhor forma, de modo que o dado se torne anônimo e com poucas chances de reversão. Cabe destacar que os dados anonimizados não são objeto de aplicação da LGPD, desde que não haja possibilidade de reversão e não sejam utilizados para formação de perfis, de acordo com o caput e §2º do art. 12 da LGPD (FEGEILSON; SIQUEIRA, 2019). Lei Geral de Proteção de Dados Pessoais 33 Figura 5 - Processo de anonimização Não são objeto da LGPD Não pode haver reversão Não pode ser usado para a formação de perfis Fonte: Elaborado pelas autoras com base em Bioni, 2019, p. 105. Frise-se que no próprio art. 12, §1º a Lei Geral de Proteção de Dados Pessoais determina que devem ser considerados fatores como custo e tempo para reversão do processo de anonimização (BRASIL, 2018b). Logo, a referida norma demonstra que os processos de anonimização podem ser revertidos e por esse motivo que a própria LGPD se preveniu acerca dessa reversibilidade (BIONI, 2019). Nas palavras de Bioni: Por essa lógica, qualquer dado pessoal anonimizado detém o risco inerente de se transmudar em um dado pessoal. A agregação de diversos “pedaços” de informação (dados) pode revelar (identificar) a imagem (sujeito) do quebra-cabeça, a qual era até então desfigurada (anônimo) – o chamado efeito mosaico. (BIONI, 2019, p. 109) Seguindo a mesma linha, dispõem Fegeilson e Siqueira: Nesse sentido, a grande questão cinge em torno do grau de segurança e confiança na irreversibilidade da anonimização. Isto porque inúmeros estudos vêm demonstrando como é fácil identificar pessoas a partir de alguns tributos, mesmo que os dados sejam públicos. O processamento de dados por algoritmos, por exemplo, permite a reidentificação de dados anonimizados como preferências de consumo, transações comerciais, etc. (FEGEILSON; SIQUEIRA, 2019, p. 155) Nesse cenário, percebe-se a importância da adoção de medidas capazes de analisar o grau de reversão desses processos de anonimização, a fim de salvaguardar a proteção de dados pessoais e todos os direitos do titular conferidos pela LGPD, uma vez que, como visto, a norma não se aplica aos dados anonimizados. Lei Geral de Proteção de Dados Pessoais 34 Compreendido todos os aspectos inerentes à anonimização,passa-se a analisar o art. 18, IV da LGPD, o qual traz um direito do titular, especificadamente o de requisitar ao controlador a anonimização quando “os dados forem desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei” (BRASIL, 2018b). IMPORTANTE: Note que há um vínculo do referido direito ao princípio da necessidade, o qual determina que só devem ser utilizados os dados pessoais imprescindíveis para o alcance da finalidade do tratamento de dados, conforme preceitua o art. 6º, III da LGPD (BRASIL, 2018b). Em outras palavras, foi conferido ao titular o direito de exigir a anonimização, de forma a desvincular os seus dados, que estão em posse de terceiro, de sua pessoa, nas hipóteses em que se verifique que há excesso, uso de dados que não são necessários para a finalidade do tratamento ou até mesmo quando a operação não obedeçe a LGPD. Note que é concedido ao titular uma forma de proteção dos seus direitos individuais, como honra, imagem, privacidade. Além disso, a anonimização pode significar o impedimento de futuros vazamentos de dados pessoais do sistema do terceiro, entre outros casos de insegurança. Ora, se existe desconformidade do tratamento com a LGPD, a probabilidade do mau uso dos dados, somada à ausência de medidas capazes de proteger essas informações, inclusive de crimes digitais, é alta. Logo, ao requisitar a anonimização, o titular se vê resguardado. Vale ressaltar que em vários artigos da Lei Geral Proteção de Dados Pessoais, principalmente no que refere ao uso dos dados por órgãos de pesquisa e para estudos de saúde pública, existe o incentivo da anonimização, com o fito de proteger os dados dos titulares. Lei Geral de Proteção de Dados Pessoais 35 SAIBA MAIS: Para relembrar as disposições que incentivam o processo de anonimização, leia o art. 7º, IV; art. 11, II, c; art. 13 e art. 16, II da LGPD. Clique aqui para acessar. Dessa forma, a anonimização serve para proteger as informações pessoais, ao passo que possibilita o uso de dados pelas pessoas jurídicas, sem, contudo, haver associação desses com as pessoas naturais. Dito isso, passa-se a estudar o direito de bloqueio dos dados. Bloqueio dos dados A Lei Geral de Proteção de Dados Pessoais elencou em seu art. 18, IV, o direito de o titular requerer o bloqueio dos dados, veja: Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: IV - Anonimização, bloqueio ou eliminação de dados desne- cessários, excessivos ou tratados em desconformidade com o disposto nesta Lei. (BRASIL, 2018b) De início, o que se pode entender por bloqueio de dados pessoais? Nos termos do art. 5º, XIII da LGPD, bloqueio é a “suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados” (BRASIL, 2018b). Assim, o titular poderá solicitar a suspensão de uso de seus dados pessoais, no caso destes serem excessivos, desnecessários ou quando o tratamento não observar as normas da Lei Geral de Proteção de Dados Pessoais. Cabe destacar que se trata de uma medida temporária, que pode ser revertida com a anuência do titular dos dados, sendo de grande valia ressaltar que o bloqueio é um reforço do princípio da necessidade, cujo Lei Geral de Proteção de Dados Pessoais http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm 36 objetivo é assegurar o uso apenas dados necessários ao atingimento da finalidade da operação, constante no art. 6º, III da LGPD (BRASIL, 2018b). Agora que já compreendemos o direito do titular de bloqueio dos dados, iremos estudar a possibilidade de eliminação dos dados pessoais. Eliminação de dados Inicialmente, cabe informar que o artigo 18 da Lei Geral de Proteção de Dados Pessoais trouxe duas hipóteses de eliminação dos dados pessoais, constantes em seus incisos IV e VI. A primeira delas (art. 18, IV) tem como fundamento a existência de dados “desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei” (BRASIL, 2018b). Como se vê, autoriza-se a eliminação dos dados quando forem utilizados dados desnecessários, ou seja, informações que não são necessárias para a finalidade do tratamento. Em vista disso, é evidente que a referida norma é mais um reforço do princípio geral da necessidade, previsto no art. 6º, III da LGPD, que preceitua que só devem ser coletados e utilizados dados imprescindíveis para o alcance da finalidade da operação. Mas não é só. O disposto no art. 18, IV, da Lei nº 13.709/2018 também é aplicado para os casos de término do tratamento, conforme previsão expressa contida no art. 16 da Lei. Observe: Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou Lei Geral de Proteção de Dados Pessoais 37 IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. (BRASIL, 2018b) Logo, “não só quando o tratamento for ilícito, mas também quando houver seu término, sempre em conformidade com o preceituado no art. 16 que apenas autoriza a conservação dos dados para as finalidades nele descritas” (FEGEILSON; SIQUEIRA, 2019, p. 155). Compreendidas essas questões, o que se entende por eliminação de dados? A eliminação de dados consiste na “exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado”, de acordo com o art. 5º, XIV da LGPD (BRASIL, 2018b). Ao que se vê, a eliminação dos dados se trata de uma medida definitiva, ou seja, não há como reverter a exclusão das informações de um banco de dados. Por sua vez, o art. 18, VI da Lei nº 13.709/1990 traz a segunda hipótese de eliminação dos dados pessoais. Atente-se para a sua redação: Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: VI - eliminação dos dados pessoais tratados com o consenti- mento do titular, exceto nas hipóteses previstas no art. 16 des- ta Lei; Note que o dispositivo é claro ao determinar que esse caso de eliminação dos dados pessoais não se confunde com o art. 16 da LGPD, o qual se refere ao término do tratamento dos dados pessoais. Desse modo, nos casos em que é exigido o consentimento do titular para o tratamento dos dados, ele poderá revogá-lo e solicitar a eliminação de seus dados pessoais. Agora que estudamos as hipóteses de eliminação dos dados, iremos analisar os dispositivos aplicáveis à anonimização, bloqueio e eliminação de dados. Lei Geral de Proteção de Dados Pessoais 38 Disposições aplicáveis à anonimização, bloqueio e eliminação de dados Como visto, a anonimização, o bloqueio e a eliminação de dados consistem em direitos do titular, podendo ser efetivados através de requerimento desse agente de tratamento, de acordo com o §3º do art. 18 da LGPD. Em caso de negativa do requerimento, cabe ao controlador justificar o motivo pelo qual não irá atender ao solicitado, seja para (i) informar que não é o agente responsável ou (ii) indicar todos os fundamentos que impedem a resposta imediata, nos moldes do que determina o §4º do art. 18 da LGPD (BRASIL, 2018b). IMPORTANTE: O requerimento não terá custos para o titular (§5º), podendo este se opor ao tratamento, quando não é exigido consentimento, caso esteja em desconformidade com a LGPD (§2º). Cabe mencionarque, reforçando uma garantia constitucional, prevista no art. 5º, XXXIV, a, da CF, a Lei Geral de Proteção de Dados Pessoais estabeleceu o direito de petição ao titular, que será dirigida à ANPD ou aos órgãos do consumidor, conforme §§1º e 8º do art. 18. Especificadamente acerca dos direitos de anonimização, bloqueio e eliminação dos dados, a LGPD, em seu §6º do art. 18, determinou o seguinte: § 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. (BRASIL, 2018b) Como se vê, se o titular requerer a anonimização, a eliminação ou o bloqueio dos dados, deve o agente de tratamento informar as demais pessoas jurídicas com os quais compartilhou os dados do titular, para que Lei Geral de Proteção de Dados Pessoais 39 estes realizem a anonimização, o bloqueio ou a eliminação dos dados, conforme requerimento do titular. RESUMINDO: Ao final deste capítulo você deve ter aprendido que a anonimização se refere ao processo de desvinculação do dado da pessoa natural, tornando-o anônimo. Para tanto, são utilizadas as mais diversas técnicas, como supressão, generalização, randomização e pseudoanonimização. Viu que os dados anonimizados não são objeto de aplicação da LGPD, salvo se houver reversão destes para dados pessoais ou nos casos em que são utilizados para formação de perfis comportamentais. Além disso, você aprendeu que a LGPD, prevendo a possibilidade de reversibilidade da anonimização, determinou que o processo deve ser analisado de acordo com os critérios de custo e tempo para a reversão. Analisou também o direito do titular em requerer a anonimização nos casos em que os dados sejam excessivos, desnecessários ou quando o próprio tratamento esteja em desconformidade com as normas previstas na Lei nº 13.709/2018. Outrossim, você estudou que a anonimização também é incentivada nos tratamentos de dados para fins de pesquisa e estudos de saúde pública. Você também aprendeu que o bloqueio de dados é um direito do titular para os casos de dados desnecessários, excessivos ou na hipótese de o tratamento não obedecer às regras da LGPD, sendo esta uma medida temporária. Além do mais, você viu que existem duas hipóteses de eliminação dos dados, a primeira nos casos de dados excessivos, desnecessários ou quando o tratamento estiver em desacordo com a LGPD, aplicada também ao término do tratamento; e a segunda nos casos de operação por consentimento do titular. Viu, ainda, que em caso de uso compartilhado de dados, o controlador deve informar as demais entidades do pedido de anonimização, bloqueio ou eliminação dos dados, para que estas atendam ao solicitado. Por fim, cabe ao titular requerer esses direitos sem custos, e em caso de negativa, o controlador deve apresentar justificativas do não atendimento ao solicitado pelo titular. Lei Geral de Proteção de Dados Pessoais 40 Segurança e sigilo INTRODUÇÃO: Neste capítulo você irá identificar as medidas de segurança, técnica e administrativa para o tratamento de dados pessoais. Esse conhecimento é de suma importância para a compreensão dos riscos das operações de dados. Pronto para desenvolver essa importante competência? Avante! Segurança da informação A Lei Geral de Proteção de Dados Pessoais traçou critérios a serem exigidos no âmbito das medidas de segurança aplicadas às operações de tratamento de dados pessoais, com o afã de diminuir os riscos decorrentes de crimes digitais, como o vazamento de dados. A segurança da informação é “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio” (ABNT, p. x, 2005). Vale salientar que, segundo Fegeilson e Siqueira (2019), são três as finalidades da segurança da informação, conforme observa-se na figura 6. Figura 6 - As finalidades da segurança da informação Disponibilidade Confidencialidade Integridade Fonte: Elaborado pelas autoras com base em Fegeilson e Siqueira, 2019, p. 123. Mas o que podemos entender sobre cada uma delas? Lei Geral de Proteção de Dados Pessoais 41 A confidencialidade se refere ao impedimento de acesso dos dados pessoais por terceiros desautorizados, ou seja, pretende-se evitar um vazamento de dados. Já a integridade diz respeito ao fato de os dados se manterem completos, até que o titular decida pela exclusão destes. Por fim, a disponibilidade está ligada ao fato de os dados estarem à disposição das pessoas autorizadas para tanto (FEGEILSON; SIQUEIRA, 2019). Partindo dessa premissa, a Lei Geral de Proteção de Dados Pessoais fixou regras acerca das medidas de segurança que devem ser adotadas nas atividades de tratamento de dados pessoais, com o fito de salvaguardar as informações dos titulares. Nessa linha, observe a redação do art. 46 da LGPD: Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os da- dos pessoais de acessos não autorizados e de situações aci- dentais ou ilícitas de destruição, perda, alteração, comunica- ção ou qualquer forma de tratamento inadequado ou ilícito. (BRASIL, 2018b) Ao que se depreende, o controlador e o operador, enquanto agentes de tratamento (art. 5º, IX, LGPD), terão o dever de utilizar meios para conferir segurança às operações de tratamento dos dados pessoais. Ora, “quem se propõe a tratar os dados deve possuir, efetivamente, a capacidade de protegê-los, evitando ataques e acessos desautorizados, como forma de garantia de segurança das informações coletadas” (FEGEILSON; SIQUEIRA, 2019, p. 222). Vale salientar que essas previsões reforçam os princípios da segurança e da prevenção, os quais estabelecem a necessidade de aplicação de medidas capazes de proteger os dados de eventos ilícitos ou prejudiciais, além de incentivar a antecipação dos riscos, com a adoção de medidas preventivas (FEGEILSON; SIQUEIRA, 2019). Lei Geral de Proteção de Dados Pessoais 42 SAIBA MAIS: Para relembrar os princípios da segurança e da prevenção, leia os incisos VII e VIII do art. 6º da LGPD. Clique aqui para acessar. Mas como podemos saber se as medidas de segurança adotadas são suficientes? Nesse ponto, o §1º do art. 46 determina que a autoridade nacional será responsável por estabelecer os parâmetros mínimos exigidos para o reconhecimento das providências aplicadas. Para que não haja dúvida, observe o que dispõe o parágrafo: § 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei. (BRASIL, 2018b) Infere-se, portanto, que a ANPD irá estabelecer esses critérios de acordo com a necessidade de cada tipo de tratamento e dado pessoal, eis que as medidas exigidas para um podem não ser suficientes para outro e vice-versa. Frise-se que, por disposição expressa do §2º do art. 46 da LGPD, as medidas de segurança deverão ser aplicadas “desde a fase de concepção do produto ou do serviço até a sua execução” (BRASIL, 2018b). Além disso, é obrigação dos agentes de tratamento, controlador e operador, ou de outro que tenha participado da operação de dados assegurar a segurança desses, inclusive após o término do tratamento, conforme preceitua o art. 47 da LGPD (BRASIL, 2018b). Por fim, a Lei nº 13.709/2018 dispõe acerca dos sistemas de segurança, veja: Lei Geral de Proteção de Dados Pessoaishttp://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm 43 Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares. (BRASIL, 2018b) Como se vê, a Lei Geral de Proteção de Dados Pessoais trouxe regulamentação até para os sistemas utilizados pelos agentes, com o objetivo de facilitar e fomentar a promoção de segurança e a obediência das normas desta Lei. VOCÊ SABIA? Já existem normas infralegais acerca da segurança da informação no Brasil. Como exemplo, podemos citar a Resolução nº 4.658/2018 do BACEN, que regulamenta as medidas de segurança que devem ser tomadas no âmbito das instituições financeiras (FEGEILSON; SIQUEIRA, 2019). Cumpre registrar que a GDPR aborda o tema da segurança da informação de forma mais específica que a LGPD, uma vez que prevê a possibilidade de aplicação de: (i) técnicas de pseudonimização e criptografia dos dados pes- soais; (ii) garantias de confidencialidade, integridade, disponi- bilidade e resiliência permanentes dos sistemas e serviços de tratamento; (iii) capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais, de forma célere, em casos de incidentes; e (iv) processos de verificação periódica da eficá- cia das próprias medidas técnicas e organizacionais adotadas. (FEGEILSON; SIQUEIRA, 2019, p. 223-224) Percebe-se, portanto, que a Lei Geral de Proteção de Dados, em suma, se espelhou na GDPR, mesmo que não tenha discriminado todos os aspectos que poderiam ser exigidos. Lei Geral de Proteção de Dados Pessoais 44 O Decreto nº 9.637/2018, em seu art. 1º dispõe que Fica instituída a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional. (BRASIL, 2018a) Após aprender sobre a segurança de informação e sua importância para as atividades que envolvem dados pessoais e direitos individuais das pessoas, passa-se a analisar as regras atinentes aos incidentes de segurança. Incidentes de segurança Como visto, tornou-se obrigatória a doação de medidas de segurança nas operações de tratamento de dados pessoais, a fim de tentar evitar a ocorrência de fraudes, crimes digitais e outras ocorrências danosas às informações pessoais e, por via de consequência, aos direitos dos titulares. Ocorre que a aplicação de técnicas de segurança, por vezes, não é suficiente para impedir os incidentes de segurança, o que gerou a necessidade de regulamentação sobre o tema pela Lei Geral de Proteção de Dados Pessoais. Ressalte-se que estar diante de atividades intimamente ligadas à tecnologia, que vêm em patente evolução, pode justificar os ataques cibernéticos. Do mesmo modo, torna-se clara a necessidade de evolução também das medidas de segurança e prevenção. Sobre a diversidade dos incidentes de segurança, Araújo e Figueiredo (2020) pontuam: Incidentes de segurança são muito diversificados, podendo ser scans, notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles; worms notificações de atividades maliciosas relacionadas com o Lei Geral de Proteção de Dados Pessoais 45 processo automatizado de propagação de códigos maliciosos na rede; ataques web, que visam o comprometimento de servidores ou desfigurações de páginas na Internet; invasões, ou acesso não autorizado a computadores e redes; denial of service (DoS); e fraudes, tendo sido reportados quase 2 milhões de incidentes ao Núcleo de Informação e Coordenação do Ponto BR nos últimos dois anos. Assim, além da violação da privacidade e acesso não autorizado a dados pessoais de pessoas naturais, fatos como esses são capazes de resultar em danos patrimoniais, morais e até mesmo colocar em risco a vida de pessoas. (ARAÚJO; FIGUEIREDO, 2020, p. 337-338) Fica claro, portanto, que diante da variedade de hipóteses dos incidentes, é de suma importância padronizar o modo de agir nesses casos. Nos termos do art. 4º, item 12 da GDPR, violação de dados pessoais consiste em “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento” (EUROPA, 2016). E foi exatamente isso que a Lei Geral de Proteção de Dados Pessoais fez em seu artigo 48. Observe a redação do dispositivo: Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos; III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; Lei Geral de Proteção de Dados Pessoais 46 IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. (BRASIL, 2018b) Como se vê, a primeira medida a ser tomada no caso de ser detectado algum incidente de segurança é comunicá-lo à ANPD e ao titular do dado lesado. Isso porque quanto antes se tome providências acerca da violação, maiores as chances de reparo. Ademais, é a autoridade nacional que irá estipular o prazo para a comunicação, devendo esta ser a mais completa possível acerca do fato, apresentando as características dos dados envolvidos, dos titulares, dos riscos e as possíveis medidas de mitigação desses riscos. ACESSE: O Ministério Público do Distrito Federal já havia recomendado a providência da comunicação em caso de vazamento de dados após ocorrido esse tipo de incidente em uma empresa renomada. Veja detalhes do caso clicando aqui. Sobre a razoabilidade do prazo de comunicação previsto no §1º do art. 48 da LGPD, Fegeilson e Siqueira (2019) sabidamente expõem: Sob observância do princípio da razoabilidade, entende-se que a informação deverá ser apresentada tão logo detectada a falha ou, ao menos, com a brevidade necessária para plena ciência dos titulares e possibilidade efetiva de providências sobre o ocorrido, não havendo justificativa razoável para a retenção prolongada dos fatos pelo controlador. (FEGEILSON; SIQUEIRA, 2019, p. 225) Note que a brevidade exigida da comunicação se dá exatamente para garantir uma maior chance de mitigação ou eliminação do risco do Lei Geral de Proteção de Dados Pessoais https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/noticias/noticias-2018/9775-mpdft-recomenda-providencias-a-netshoes-apos-vazamento-de-quase-2-milhoes-de-dados-de-clientes 47 incidente de segurança, eis que quando mais tempo se passa, mais difícil se torna a análise da violação ocorrida. Cumpre registrar que o vazamento dos dados pessoais é considerado um dos incidentes mais graves, em razão da possibilidade de mau uso dessas informações. Sobre o tema, elucidativos são os ensinamentos de Araújo e Figueiredo (2020): O data breach poderá ocorrer de forma ativa/intencional ou passiva/negligente. A primeira, quando um cracker, com o intuito de obter proveito econômico em conduta ilícita, obtém acesso não autorizado a uma base de dados, podendo exigir o resgate mediante pagamento em dinheiro ou até mesmo criptomoedas; ou, de forma negligente por parte do agentede tratamento de dados, quando um hacker, com o objetivo de detectar vulnerabilidades em sistemas e aplicações de empresas identifica uma falha de segurança com exposição de informações, sujeito ao acesso de agente mal-intencionados. Nesse segundo caso, o hacker que identifica a falha de segurança não pratica crime, somente informa a empresa acerca dos dados expostos que deverá, então, identificar a ocorrência de coleta por outros agentes, por meio de parecer técnico emitido por profissional de segurança da informação. (ARAÚJO; FIGUEIREDO, 2020, p. 340-341) Ao que se depreende, o vazamento de dados pode ocorrer como modo de coação daquele que coleta determinados dados sem a devida autorização, em troca de vantagem econômica, podendo, nesses casos, ocorrer a “venda” dessas informações de forma totalmente ilícita. Por outro lado, também é possível que o vazamento seja apenas detectado e informado de boa-fé para a empresa. Lei Geral de Proteção de Dados Pessoais 48 VOCÊ SABIA? A resolução nº 4.658/2018 do BACEN também prevê a necessidade de comunicação ao Banco Central em casos de incidente de segurança, bem como especifica os parâmetros das medidas de compartilhamento no âmbito das instituições financeiras (FEGEILSON; SIQUEIRA, 2019). Frise-se que a autoridade nacional será responsável pela análise da gravidade das violações, de acordo com o §2º do Art. 48 da LGDP. Para que não haja dúvida, leia com a atenção o parágrafo: § 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como: I - ampla divulgação do fato em meios de comunicação; e II - medidas para reverter ou mitigar os efeitos do incidente. (BRASIL, 2018b) Infere do referido dispositivo que a partir da verificação da magnitude do ocorrido, a ANPD decidirá as medidas que deverão ser tomadas para minimizar as consequências do dano. Por fim, observe o que dispõe o §3º do art. 48 da LGPD: § 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los. (BRASIL, 2018b) Logo, a ANPD também será responsável por observar se efetivamente foram adotadas as medidas de segurança necessárias para a proteção dos dados pessoais. Lei Geral de Proteção de Dados Pessoais 49 RESUMINDO: Vamos revisar o que estudamos nesse capítulo? Você viu que a Lei Geral de Proteção de Dados Pessoais determinou que cabe aos agentes de tratamento adotarem medidas técnicas e administrativas de segurança, com o fito de proteger os dados, em patente reforço aos princípios da segurança e da prevenção. Você aprendeu que as finalidades da segurança da informação são a confidencialidade, integridade e disponibilidade dos dados. Viu também que a autoridade nacional será responsável por fixar os parâmetros mínimos para o reconhecimento das medidas, que deverão ser aplicadas desde a concepção até a execução dos produtos ou serviços, bem como após o término do tratamento. Ademais, a LGPD exige a adoção de sistemas estruturados no formato que permita assegurar os princípios da Lei e as demais medidas de segurança e boas práticas. Você também aprendeu que nos casos em que houve incidente de segurança, o controlador deve informar de imediato à autoridade nacional e ao titular, com todas as descrições do dado, do titular, das medidas de segurança adotadas, dos riscos e da forma de mitigação destes, em prazo razoável, a ser estipulado pela ANPD. Viu ainda que a autoridade nacional irá analisar a gravidade do incidente, a fim de verificar a necessidade de divulgação deste nos meios de comunicação e adoção de outras medidas para minimizar os riscos, além de observar a comprovação da aplicação das técnicas. Lei Geral de Proteção de Dados Pessoais 50 REFERÊNCIAS ARAÚJO, V. E. L. de.; FIGUEIREDO, D. D. V. de. Análise jurídica dos incidentes de segurança e a responsabilidade civil no Brasil. In: GROSSI, B. M. (org.). Lei Geral de Proteção de Dados: uma análise preliminar da Lei 13.709/2018 e da experiência de sua implantação no contexto empresarial. Porto Alegre: Editora Fi, 2020. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27002. 2005. BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. 2. ed. rev. atual. e reform. Rio de Janeiro: Forense, 2020. BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Código Civil. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/ l10406compilada.htm. Acesso em: 09 jan. 2021. BRASIL. Decreto nº 9.637/2018, 2018a. Disponível em: http://www. planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm. Acesso em: 09 jan. 2021. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais, 2018b. Disponível em: http://www.planalto.gov.br/ ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 13 dez. 2020. EUROPA. General Data Protection Regulation. Regulamento (UE) 2016/679 do parlamento europeu e do conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/ HTML/?uri=CELEX:32016R0679. Acesso em: 27 dez. 2020. FEIGELSON, B. SIQUEIRA, A. H. A. Comentários à lei geral de proteção de dados pessoais: Lei 13.709/2018. 1. ed. São Paulo: Thomson Reuters, 2019. Lei Geral de Proteção de Dados Pessoais http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679 https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679 51 MPDPF. MPDFT recomenda providências à Netshoes após vazamento de quase 2 milhões de dados de clientes. 2020. Disponível em: https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/ noticias/noticias-2018/9775-mpdft-recomenda-providencias. Acesso em: 9 jan. 2020. TARTUCE, F. Manual de direito civil: volume único. 10. ed. Rio de Janeiro: Forense; São Paulo: Método, 2020. Lei Geral de Proteção de Dados Pessoais https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/noticias/noticias-2018/9775-mpdft-recomenda-providencias https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/noticias/noticias-2018/9775-mpdft-recomenda-providencias Obrigatoriedade do consentimento Natureza e forma Validade Vício e nulidade Revogação e renovação Direito de acesso Requisição de informações pelo titular Direitos correlatos do titular de dados pessoais Direito à revisão de decisões automatizadas Direito à retificação dos dados Direito da portabilidade Direito de informação das entidades públicas e privadas Disposições acerca dos direitos do titular Anonimização, bloqueio e eliminação de dados Anonimização Bloqueio dos dados Eliminação de dados Disposições aplicáveis à anonimização, bloqueio e eliminação de dados Segurança e sigilo Segurança da informação Incidentes de segurança
Compartilhar