Os direitos do titular de dados pessoais formam um dos pilares da Lei Geral de Proteção de Dados Pessoais (LGPD), que, apesar do nome, não tem como objetivo proteger dados pessoais, mas sim as pessoas que são donas de tais dados.
O titular, na terminologia da lei, é a pessoa natural pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Tratamento, por sua vez, é qualquer operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).
Os direitos do titular de dados pessoais, apesar de terem um Capítulo próprio, estão também espalhados por todo o texto da lei.
Por isso, neste artigo, vamos buscar reunir e analisar todos esses direitos, incluindo:
- Direitos do titular de dados pessoais ao acesso facilitado às informações
- Garantia dos direitos fundamentais de liberdade, de intimidade e de privacidade
- Direitos do titular de dados pessoais mediante requisição ao controlador
- Direitos do titular de dados pessoais sobre a revisão de decisões automatizadas
- Vedação do uso de dados pessoais em prejuízo ao titular
- Defesa dos interesses e dos direitos do titular de dados pessoais
Vamos começar analisando os direitos do titular de dados pessoais ao acesso facilitado às informações.
Direitos do titular de dados pessoais ao acesso facilitado às informações
O art. 9º da LGPD dispõe que o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.
Como vimos no artigo sobre os princípios da LGPD, o princípio do livre acesso garante ao titular a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
O intuito do art. 9º, portanto, é materializar o princípio do livre acesso. Para tanto, o dispositivo indica que o agente de tratamento deve informar características como:
- finalidade específica do tratamento;
- forma e duração do tratamento, observados os segredos comercial e industrial;
- identificação do controlador;
- informações de contato do controlador;
- informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
- responsabilidades dos agentes que realizarão o tratamento; e
- direitos do titular, com menção explícita aos direitos contidos no art. 18 da LGPD.
Se você entrar em qualquer site de grande empresa, atualmente, provavelmente encontrará um link no rodapé com as informações da lista acima.
Caso essas informações não estejam disponíveis e o tratamento tenha sido realizado com base no consentimento do titular, tal consentimento será considerado nulo.
A nulidade também acontece caso as informações tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
Garantia dos direitos fundamentais de liberdade, de intimidade e de privacidade
O capítulo específico sobre os Direitos do Titular de Dados Pessoais abre-se reforçando que toda pessoa natural tem assegurada a titularidade dos seus dados pessoais.
Para a doutrina majoritária, essa titularidade é mais um direito da personalidade e menos um direito patrimonial.
Assim, não há total liberdade para o titular vender, alugar ou fazer qualquer uso dos seus dados pessoais que não esteja de acordo com as bases principiológicas previstas na Constituição Federal, na LGPD e em outras leis que tratam de privacidade e proteção de dados pessoais.
Além disso, o art. 17 da LGPD garante ao titular os direitos fundamentais de liberdade, de intimidade e de privacidade.
Direito fundamental de liberdade
O direito fundamental à liberdade aparece no caput do art. 5º da Constituição Federal, sendo reforçado em especificidades em outros sete incisos do mesmo dispositivo:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
A LGPD também dispõe, logo em seu art. 1º, que um dos objetivos da lei é justamente proteger o direito fundamental de liberdade.
Direito fundamental de intimidade
O direito à intimidade é um direito fundamental consagrado na Constituição Federal Brasileira de 1988.
O artigo 5º, inciso X, estabelece que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
Este dispositivo constitucional reconhece a importância de proteger o espaço íntimo dos indivíduos contra interferências indevidas, garantindo que cada pessoa tenha a liberdade de conduzir sua vida íntima sem ser sujeita a invasões arbitrárias.
Como falamos no artigo sobre o principal objetivo da LGPD, a Teoria das Esferas de Heinrich Hubmann oferece uma compreensão aprofundada do direito à intimidade, segmentando a vida privada em diferentes esferas que devem ser protegidas de forma distinta.
Segundo Hubmann, a vida de uma pessoa pode ser dividida em esferas ou círculos concêntricos, como a esfera pública, a esfera privada e a esfera íntima.
A esfera pública envolve aspectos da vida de uma pessoa que são expostos à sociedade em geral, como atividades profissionais e interações sociais.
A esfera privada engloba atividades e relações que, embora não sejam de domínio público, podem ser compartilhadas com um círculo restrito de pessoas próximas.
Já a esfera íntima refere-se aos aspectos mais profundos e pessoais da vida de um indivíduo, que devem ser absolutamente resguardados de qualquer exposição ou intrusão.
A preservação dessa esfera íntima garante que os indivíduos possam manter sua autonomia e liberdade, evitando que suas informações pessoais sejam exploradas ou manipuladas.
Direito fundamental de privacidade
A Constituição Federal não menciona o vocábulo “privacidade”, porém o direito à privacidade é entendido como um direito fundamental a partir da interpretação sistemática de diversos dispositivos constitucionais.
No julgamento da ADI 6387/2020, o Supremo Tribunal Federal (STF) interpretou que privacidade e proteção de dados já estavam cobertos pela Constituição Federal mesmo antes da Emenda Constitucional 115/2022, sobretudo por conta dos incisos X, LXIX e LIV do art. 5º.
Para fins práticos de aplicação da LGPD, o direito fundamental à privacidade pode ser entendido como o direito de se retrair da vida pública ou de nela participar de acordo com a vontade do titular dos dados, que os utiliza de forma controlada de acordo com as suas necessidades pessoais.
Direitos do titular de dados pessoais mediante requisição ao controlador
O núcleo duro dos direitos do titular de dados pessoais pode ser encontrado no art. 18 da LGPD, que dispõe que, mediante requisição e a qualquer momento, o titular pode obter do controlador informações sobre:
- Confirmação da existência de tratamento: o titular pode simplesmente perguntar ao controlador se existem dados pessoais sofrendo qualquer tipo de tratamento (como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).
- Acesso aos dados: o titular pode requerer que o controlador mostre quais são os dados pessoais que estão armazenados. A LGPD dispõe que os dados pessoais devem ser armazenados em formato que favoreça o exercício do direito de acesso.
- Correção de dados incompletos, inexatos ou desatualizados: além de acessar, o titular pode requerer que o controlador corrija algum dado equivocado. A lei diz que o responsável deve informar, de maneira imediata, aos agentes de tratamento a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD: o titular pode requerer o descarte de algum dado, ou pelo menos a desassociação do dado à pessoa.
- Portabilidade dos dados a outro fornecedor de serviço ou produto: aqui é preciso que o titular faça uma requisição expressa, de acordo com regulamentação da ANPD (Autoridade Nacional de Proteção de Dados), garantindo-se a observação de segredos comercial e industrial. Essa portabilidade não inclui dados que já tenham sido anonimizados pelo controlador.
- Eliminação dos dados pessoais tratados com o consentimento do titular: do mesmo modo como o consentimento pode ser revogado, o titular pode também requerer que os dados já tratados sejam eliminados. Neste caso, há quatro exceções previstas no art. 16 da LGPD (cumprimento de obrigação legal ou regulatória; estudo por órgão de pesquisa; transferência a terceiro; e uso exclusivo dos dados anonimizados pelo controlador).
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados: o titular tem o direito de saber como e com quem o controlador está compartilhando seus dados pessoais.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: como vimos no artigo sobre consentimento, o ok do titular para o tratamento de dados precisa ser livre, informado e inequívoco. Assim, ele tem o direito de não fornecer consentimento (caso contrário ele não será livre) e quais são as consequências da negativa (para que ele seja informado e inequívoco).
- Revogação do consentimento: o titular que deu consentimento para o tratamento de seus dados pode revogá-lo a qualquer momento, encerrando assim a possibilidade de tratamento baseado nesta hipótese legal. Além disso, o titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.
Todos esses direitos do titular de dados pessoais são exercidos mediante requerimento expresso do dele ou de representante legalmente constituído ao agente de tratamento (controlador, na maioria dos casos, ou operador).
Os direitos também podem ser exercidos perante os organismos de defesa do consumidor, como Procons, Delegacias de Defesa do Consumidor e entidades civis de defesa do consumidor, por exemplo.
O requerimento deve ser atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento a ser editado pela ANPD.
A lei diz ainda que a resposta deve ser fornecida, a critério do titular, por meio eletrônico, seguro e idôneo para esse fim, ou sob forma impressa.
Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular pode solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
Consequências da recusa do controlador
Caso o controlador não atenda à requisição, o titular pode peticionar perante a ANPD.
A Autoridade esclarece que a petição é “uma solicitação realizada à ANPD pelo titular de dados pessoais quando não conseguir exercer seus direitos perante o controlador de dados pessoais”.
A petição é eletrônica e deve ser enviada pelo sistema SUPER da ANPD.
Impossibilidade de atendimento da requisição
Quando o controlador não puder atender à requisição do titular, ele precisa responder e indicar as razões de fato ou de direito que impedem a adoção imediata da providência solicitada.
Caso não seja ele o responsável pelo tratamento, a resposta deve comunicar que o requisitado não é o agente de tratamento dos dados e indicar, sempre que possível, o agente responsável.
Prazo para resposta do controlador
O controlador precisa responder à requisição do titular imediatamente e em formato simplificado.
Não sendo possível a resposta imediata, cabe ao controlador emitir uma declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial.
Neste segundo caso, o prazo é de até 15 dias, contado da data do requerimento do titular.
Vale frisar que a ANPD pode dispor de forma diferenciada sobre esses prazos para os setores específicos.
Direitos do titular de dados pessoais sobre a revisão de decisões automatizadas
Atualmente, é comum que algoritmos tomem decisões baseadas no tratamento de dados pessoais, sem a intervenção humana. Um exemplo clássico é a concessão de crédito por instituições financeiras, que depende de uma análise do histórico de quem solicita o crédito.
Para evitar injustiças, a LGPD estabelece uma série de direitos do titular de dados pessoais sobre a revisão dessas decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir:
- Perfil pessoal
- Perfil profissional
- Perfil de consumo
- Perfil de crédito
- Aspectos da personalidade do titular
Para exercer esse direito de revisão, o titular deve enviar uma requisição ao controlador solicitando a revisão.
Na redação dada pela Lei nº 13.853/2019, a LGPD não dispõe que essa revisão necessariamente deva ser feita com intervenção humana. Então, em tese, também a revisão pode ser feita de forma automatizada.
Sendo a revisão automatizada ou não, controlador deve fornecer informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
Caso o controlador alegue segredo comercial e industrial para recusar o fornecimento dessas informações, a ANPD pode realizar auditoria para verificação de aspectos discriminatórios no tratamento automatizado.
Vedação do uso de dados pessoais em prejuízo ao titular
O art. 21 da LGPD dispõe que os “dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo”.
Escrito assim de forma sucinta, sem maiores detalhamentos em parágrafos ou incisos, o dispositivo abre ampla margem para interpretação.
Vale ressaltar que não é em qualquer caso que os dados não podem ser utilizados em prejuízo do titular. A vedação refere-se apenas aos casos em que os dados estão sendo usados para o exercício regular de direitos pelo titular.
O objetivo aqui é proteger os titulares de dados pessoais de qualquer tipo de retaliação ou discriminação decorrente do exercício de seus direitos.
Isso significa que, ao solicitar acesso, correção, anonimização, bloqueio, eliminação, ou qualquer outro direito previsto na LGPD, o titular não deve sofrer nenhum tipo de prejuízo ou consequência negativa por parte dos agentes de tratamento.
Defesa dos interesses e dos direitos do titular de dados pessoais
Por fim, o art. 22 da LGPD dispõe que a defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente.
Aqui a lei apenas diz que tal defesa deve se dar na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
O objetivo é garantir que os titulares possam buscar a proteção judicial de seus direitos quando acreditarem que suas informações pessoais foram tratadas de forma inadequada ou ilegal.
A possibilidade de recorrer à justiça individualmente permite que cada titular possa agir de acordo com suas necessidades específicas, buscando reparação por danos ou outras medidas judiciais cabíveis.
O art. 22 também prevê a defesa coletiva dos direitos dos titulares de dados, o que é especialmente relevante em situações onde o tratamento indevido de dados afeta um grande número de pessoas.
A ação coletiva pode ser um instrumento poderoso para a tutela dos direitos, permitindo que grupos de titulares, associações de consumidores ou entidades de defesa dos direitos digitais ajam em nome de um conjunto de indivíduos, promovendo uma solução mais eficiente e abrangente para problemas comuns.
Essa abordagem coletiva é essencial para garantir a eficácia da proteção de dados em larga escala e para fortalecer a aplicação da LGPD em diversos contextos.
Conclusão
Neste texto, vimos que os direitos do titular de dados pessoais estão espalhados por toda a LGPD, embora possuam um Capítulo específico para isso.
Conhecer tais direitos é essencial para todos os cidadãos, especialmente no contexto atual de intensa digitalização e coleta de dados.
Como já falamos em outro texto, o principal objetivo da LGPD não é exatamente proteger os dados pessoais, mas sim proteger as pessoas, os titulares desses dados pessoais.
Direitos como o de acesso, correção, anonimização, bloqueio, eliminação, portabilidade e revogação do consentimento são fundamentais para assegurar que os titulares sejam tratados de maneira ética e legal.
