Artigo: A operacionalização da resposta à requisição do titular de dados na LGPD

Introdução

Com a entrada em vigor da LGPD em 18 de setembro de 2020, muitas empresas que, em plena pandemia, desconsideravam, para um futuro breve, investir num projeto de conformidade com a lei, passaram a preocupar-se em achar soluções rápidas e simplificadas a este grande desafio.

Porém, um eficaz projeto de conformidade, verdadeiramente comprometido com o atendimento aos requisitos legais e de segurança, demanda investimento de tempo, pessoal e recursos correspondentes à complexidade do tema inserido no contexto de cada organização.

Dentre os pontos mais críticos observados da adequação certamente figura a aptidão da organização a responder as requisições que podem ser formuladas pelos titulares de dados pessoais.

Os direitos dos titulares de dados pessoais na LGPD

De forma relativamente semelhante ao regulamento de proteção de dados vigente na União Europeia (comumente conhecido GDPR, na sigla em inglês, ou RGPD, em Portugal), a LGPD estabeleceu uma série de direitos aos titulares de dados, atores centrais das regulações desta natureza.

Mundo afora, a referência à requisição do titular de dados, e consequentemente ao processo correspondente ao seu atendimento, é dada pela sigla DSR (data subject request), ou DSAR (data subject acess request).

Podem ser citados, dentre tantos outros, os direitos de confirmação da existência de tratamento, de acesso aos dados, de correção de dados incompletos, inexatos ou desatualizados e de revogação do consentimento.

Tendo a lei entrado em vigor, tais direitos já podem prontamente ser exercidos em face das empresas controladoras, isto é, daquelas que determinam e decidem sobre os fins e os meios do tratamento dos dados pessoais.

Assim, engana-se aquele que deixa de preocupar-se com a adequação por ainda não ter sido estruturada a Autoridade Nacional de Proteção de Dados (ANPD) pelo Governo Federal, pois vários são os direitos dispostos aos titulares que, por isso, são os maiores e mais numerosos fiscais da lei em atividade.

Portanto, qualquer organização que custodia dados pessoais pode receber alguma destas requisições, que nada mais são que o legítimo exercício de um direito expresso em lei pelo titular dos dados.

E tal requisição não possui forma predeterminada, de modo que não necessariamente será apresentada por escrito, embora espera-se seja a situação mais comum. Então, qual será o seu formato? Por e-mail? Notificação extrajudicial? Carta? Pelo SAC? Requisição oral no próprio estabelecimento?

Presumindo-se grande a probabilidade destas requisições serem realizadas em massa, especialmente nas organizações de modelo B2C e cuja imagem se faz forte nos meios de comunicação, tem-se por recomendável a estruturação de um processo para lidar com estas requisições, para que as respostas sejam fornecidas o mais rápido possível, considerando o exíguo prazo legal estipulado.

Particularidades da LGPD em relação aos direitos do titular

Infelizmente, a LGPD peca pela falta de clareza e melhor estruturação da questão.

Primeiramente, porque estabelece um prazo muito menor que no GDPR.

Segundo, porque as duas data-limite estabelecidas referem-se, expressamente, a apenas dois dos direitos previstos na lei – a confirmação de existência de tratamento e o acesso a dados.

O artigo 19 assim dispõe:

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I – em formato simplificado, imediatamente; ou

II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. (negritou-se).

Em que pese o parágrafo quarto do mesmo artigo defira à ANPD a possibilidade dispor diferentemente sobre estes prazos, ainda pende a sua instituição pelo Governo Federal.

Terceiro, não há especificação na lei da forma com quem estas requisições devem ser respondidas e tampouco qual o conteúdo dos formatos simplificado e completo do direito de acesso a dados.

Em quarto lugar, ao contrário do GDPR, não estão elencadas as hipóteses em que seja possível a recusa da requisição. Por óbvio nem toda requisição poderá ser respondida, imaginando-se as requisições absurdas ou formuladas em repetição ou que, de alguma forma, criem risco à segurança dos dados, podendo prejudicar o próprio titular envolvido (como no caso do apagamento de seus dados).

Em quinto lugar, a lei também não especifica com clareza o início da contagem do prazo de atendimento ao titular. Pensando-se que não há formato pré-estipulado à requisição, esta poderia muito bem ser enviada por carta, levando dias para chegar à empresa controladora, de modo que é problemático a parte final do inciso II do artigo 19 ao estipular que o prazo é “contado da data do requerimento do titular”.

Assim, muitas dúvidas ficam ainda sem resposta definitiva diante das lacunas legais existentes e da ausência da atuação da ANPD.

Para isso, sugere-se a adoção de postura cautelosa na avaliação de cada situação em concreto, considerando o titular e o tipo de dados pessoais envolvidos, a natureza e finalidade do tratamento e a base legal que fundamenta o próprio tratamento, atentando-se especialmente à finalidade de cumprimento de obrigações legais pela empresa ou ao exercício regular de direitos em processo judicial/administrativo.

A estruturação de um processo DSR

A resposta a qualquer requisição formulada por titular depende da aptidão da organização em precisar quais dados pessoais detém sobre o específico titular requisitante e onde estes dados estão localizados, inclusive se em mais de um local e em diferentes formatos (físico e/ou digital), e, finalmente, possuir um processo que forneça a resposta à requisição, de preferência de forma padronizada.

Naturalmente, a aptidão para solucionar as DSRs dependerá de prévio mapeamento dos dados pessoais na organização. É o mapeamento que fornecerá uma compreensão clara e abrangente dos dados pessoais que a organização armazena e processa.

A realização de um processo voltado a DSR, ainda mais em se considerando a possibilidade de recebimento de requisições em massa, pode ser facilitado pela adoção de ferramentas que automatizem algum aspecto. Atualmente, diversas ferramentas estão disponíveis no mercado para este fim e tantas outras têm surgido continuamente, cabendo à organização avaliar com cautela a ferramenta que atenda suas necessidades e, ao mesmo tempo, esteja de acordo com a legislação.

Recebida uma requisição, exsurge uma outra problemática: a verificação e confirmação da identidade do solicitante.

Ora, a entrega de dados pessoais a indivíduo que não seja o titular dos dados solicitados gerará um grave incidente de segurança e as consequências ao titular serão imprevisíveis.

A confirmação da identidade do solicitante não possui caminho único, ficando a cargo da organização buscar a forma mais segura de fazê-lo.

Assim, em caso de dúvida sobre a identidade do solicitante, uma das opções pode ser pedir por informações adicionais, caso a organização já mantenha um relacionamento anterior com o titular. Ressalta-se que a organização não poderá pedir informações excessivas, isto é, que não sejam pertinentes à confirmação da identidade do solicitante.

Porém, de nada adiantaria a automatização e, diga-se mais, a própria implementação de um programa de governança na organização, sem a sensibilização e capacitação dos colaboradores, que atuarão na linha de frente do manuseio dos dados pessoais.

Por fim, tendo implementado um processo DSR, é recomendável a fixação de indicadores que forneçam informações específicas sobre a sua operatividade, possibilitando o monitoramento e avaliação. Isto é, podem ser fixados indicadores quanto ao número de requisições recebidas, a quantidade de requisições atendidas ou não pela organização, a natureza dos pedidos, a categoria do titular solicitante, o meio de comunicação mais e menos utilizado etc. Além disso, os resultados dos indicadores poderão subsidiar decisões quanto à manutenção, melhoria ou substituição do processo DSR.

O Advogado Jean Carlo Jacichen Luz, especialista em LGPD
SOBRE O AUTOR

Jean Carlo Jacichen Luz​

Advogado. Entusiasta da área de proteção de dados pessoais e conformidade. Pós graduado em direito administrativo e processual civil. Bacharel em Direito pela PUC-PR. Certificado EXIN Privacy and Data Protection Foundation (GDPR) e Essentials (LGPD) e Information Security Foundation.

Outras publicações: “LGPD nas empresas: por onde começar?”  e “A oportunidade por meio dos precedentes vinculantes na tradição civil law brasileira: necessidade e paradigma diante do Código de Processo Civil de 2015”.

acompanhe
nossas redes

receba
mais notícias

Receba dicas e notícias sobre LGPD, privacidade e segurança de dados.

CONFIRA
OUTROS POSTS