Direito à eliminação, bloqueio e anonimização de dados pessoais

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), a legislação brasileira segue os passos da GDPR, levantando discussões sobre temas como a privacidade e o consentimento, além de possibilitar que as pessoas tenham maior autonomia sobre suas próprias informações. 

Essa preocupação vem como resposta a um momento onde vazamentos de dados são cada vez mais comuns, resultado de ações criminosas aliadas ao descuido das empresas. Segundo estudo realizado pela IBM em parceria com o Instituto Ponemon, as organizações brasileiras tiveram um gasto de R$4,72 milhões para reparar as violações de dados sofridas no ano de 2017. 

Devido a esse cenário, a autonomia do titular ganha ainda mais importância e é determinada explicitamente por meio do terceiro capítulo da lei nº 13. 709, que trata inteiramente sobre os direitos do titular do dados – é essa seção que aborda também as questões da anonimização, bloqueio e direito à eliminação dos dados pessoais. Você sabe dizer as diferenças entre esses procedimentos?

Conforme destacamos em nosso glossário, anonimização corresponde à utilização de meios técnicos razoáveis e disponíveis no momento, por meio dos quais um dado perde a possibilidade de associação – direta ou indireta – a um indivíduo. 

Já o bloqueio de dados se refere à suspensão, temporariamente, de qualquer operação de tratamento, mediante guarda de dado pessoal ou de banco de dados. E, por fim, o direito à eliminação é a exclusão de dados ou de conjunto de dados armazenados em bancos de dados, sendo assim uma medida irreversível.

É importante dizer que o direito à eliminação de dados pessoais é diferente do right to be forgotten, cláusula presente na GDPR. O “direito ao esquecimento”, em português, determina que os titulares dos dados podem pedir seu desvinculamento das informações, caso sejam consideradas incompletas, falsas ou irrelevantes. 

Quais são os direitos dos titulares de dados pessoais? 

Segundo o Art.17 da LGPD, toda pessoa natural tem assegurada a titularidade dos seus dados pessoais e garantidos direitos fundamentais como a liberdade, intimidade e privacidade. Dessa forma, o titular dos dados pessoais tem o direito de obter do controlador, a qualquer momento e mediante solicitação: 

  • A confirmação da existência do tratamento;
  • Acesso aos dados; 
  • Correção de dados incompletos, inexatos ou desatualizados; 
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;  
  • Portabilidade de dados para outro fornecedor ou serviço, mediante solicitação expressa, de acordo com a regulamentação da Autoridade Nacional de Proteção de Dados (ANPD) e desde que observados os segredos comercial e industrial; 
  • Eliminação dos dados pessoais tratados com o consentimento do titular – com exceção das situações dispostas no Art.16 da lei, sobre as quais falaremos adiante; 
  • Informações sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 
  • Informações sobre as possibilidades de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento, conforme o disposto no §5º do Art. 8 – a qualquer momento, mediante manifestação expressa do titular, por meio de procedimento gratuito e facilitado. 

Os procedimentos de correção, anonimização, bloqueio e eliminação de dados pessoais se estendem não apenas ao controlador, mas também às empresas com as quais ele tenha feito uso compartilhado das informações. Essas organizações devem ser informadas, pelo controlador, assim que qualquer um desses processos tenha sido solicitado pelo titular. 

Exceções aos casos de eliminação de dados pessoais

Em algumas exceções, sujeitas ao controle da ANPD, os dados podem ser conservados pelo controlador: 

  • Caso exista necessidade de cumprimento de obrigação legal ou regulatória; 
  • Em casos de estudos por órgãos de pesquisa, desde que os dados estejam anonimizados;
  • Também em casos de transferência a terceiros, desde que sejam respeitados os requisitos de tratamento de dados dispostos na lei;
  • Uso exclusivo do controlador, vedado o acesso por terceiros e desde que os dados sejam anonimizados. 

Como sua empresa pode se preparar para a LGPD

Mais do que nunca, faltando menos de 1 ano para a lei começar a valer, as empresas devem traçar um plano de ação para adequar seus processos à LGPD. Isso pode incluir vários passos: 

  • A implementação de procedimentos de segurança e treinamento dos colaboradores;
  • Contratação de pessoas qualificadas para atender às solicitações do titular de dados pessoais;
  • Escolher parceiros que estejam em um nível de adequação satisfatório em relação à LGPD;
  • Implementar sistemas de comunicação e execução eficazes para os casos em que a anonimização, correção, exclusão ou bloqueio de dados pessoais forem necessários. 

Em nosso quiz, você pode analisar qual o nível de adequação da sua empresa e que medidas podem ser tomadas até agosto de 2020. 

Por Mariana González - 12/08/2019
Posts relacionados
Quando falamos da Lei Geral de Proteção de Dados, o que exatamente significa consentimento? O ...Leia mais