As legislações de privacidade e proteção de dados pessoais ao redor do mundo reconhecem a centralidade da pessoa natural em seus artigos. Este fato fica evidente em instrumentos como o Data Protection Impact Assessment (DPIA), presente no Regulamento Geral de Proteção de Dados, e no Relatório de Impacto à Proteção de Dados Pessoais (RIPD) existente na LGPD, que têm o propósito de salvaguardar os interesses do titular de dados. Do mesmo modo, a tutela dispensada aos direitos da pessoa natural evidencia a importância atribuída pelas legislações de proteção de dados, como a chinesa, a europeia e a brasileira, apenas para citar alguns exemplos.

Antes de entrarmos na Gestão de Direitos dos titulares de dados, é necessário compreender que o titular, perante a LGPD, é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. Assegurar direitos ao titular de dados é um tema atual e de extrema relevância visto que, recentemente, o Senado Federal concluiu o rito de aprovação da Proposta de Emenda à Constituição que consignou a proteção de dados pessoais como um direito fundamental da pessoa natural.

Atualmente, o titular de dados tem a prerrogativa de requerer informações referentes a sua pessoa, e cabe ao controlador interpretar a LGPD de forma sistemática, considerando além dos direitos explícitos do Capítulo III a interseção com os fundamentos e princípios do diploma legal. Assim, o controlador deve divulgar ostensivamente à pessoa natural como seus dados são tratados, corroborando com a transparência e centralidade do titular. Dito de modo resumido, a LGPD assegura à pessoa natural o direito de saber do controlador sobre a forma de tratamento aplicado, as hipóteses elencadas na lei que o autorizam a realizar o tratamento, para quais finalidades ocorrem o tratamento e se estão compatíveis com os propósitos informados, no sentido de dar clareza aos motivos do tratamento dos dados, que na essência pertencem ao titular (autodeterminação informativa).

Como o controlador procedimentaliza ao titular o exercício de seus direitos?

Inicialmente, deve comprovar que a requisição dos dados é originada pelo próprio titular, pois a ele serão entregues as informações. Assim, ressalta-se a necessidade de autenticação do titular: caberá à organização dispor de meios para garantir que o titular é, de fato, quem ele diz ser, podendo solicitar informações complementares para confirmar sua identidade. Caso o pedido seja realizado por terceira pessoa, a organização deve certificar-se que o representante está autorizado pelo titular.

Sobre esse assunto “Direitos do Titular”, a Autoridade Nacional de Proteção de Dados (ANPD) tem a expectativa de iniciar o processo de regulamentação no primeiro semestre de 2022. Diante disso, o estudo de direito comparado com o Regulamento Geral de proteção de Dados (RGPD) permite antever a aplicação de boas práticas aplicadas ao contexto europeu.

De acordo com o considerando 64 do RGPD, “o controlador (uma pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados, ou seja, quem responde às requisições dos titulares) deverá adotar todas as medidas razoáveis para verificar a identidade do titular dos dados que solicite o acesso, em especial no contexto de serviços e de identificadores por via eletrônica”. A obrigatoriedade de autenticação não é observada no texto da LGPD, o que não impede que posteriormente a ANPD recomende essa boa prática, de modo a evitar que se impute à organização uma violação de dados pessoais.

Devem ser considerados o contexto e as expectativas razoáveis dos titulares de dados. Se a confirmação de sua identidade foi suficiente no momento da obtenção de seus dados, por consequência deverá ser suficiente quando a organização receber sua solicitação. Mas se não for possível confirmar se o titular é quem diz ser, a organização poderá se recusar a atender à solicitação para salvaguardar o próprio titular. Cabe ressaltar que é muito importante que o controlador divulgue, em seu sítio eletrônico por exemplo, como o titular deve proceder para requerer seus direitos.

Resta evidente que a LGPD resguardou maior carga valorativa para empoderar o titular de dados face às organizações, visto que, na maioria das vezes, a pessoa natural é a parte mais frágil – o elo mais fraco nas operações de tratamento. É uma regulamentação pensada não para que o dado pessoal não possa ser usado, mas sim para que o titular tenha o mínimo de controle sobre as informações que dizem respeito a ele e para que os dados possam fluir de maneira transparente e responsável, propiciando um ambiente mais seguro e inovador.

Como disse brilhantemente Stefano Rodotà, “a proteção de dados constitui não apenas um direito fundamental entre outros: é o mais expressivo da condição humana contemporânea. Relembrar isto a cada momento não é verbosidade, pois toda mudança que afeta a proteção de dados tem impacto sobre o grau de democracia que nós podemos experimentar”. (Rodotà, 2008, p. 21).

Essas imposições legais devem ser vistas pelas organizações não como dificuldades, mas sim como oportunidades de melhoria em seus serviços e governança, demonstrando seu compromisso e respeito perante os titulares de dados, o que poderá impulsionar e fortalecer suas marcas.

Nesse contexto, o Serpro disponibiliza a solução Privacidade Digital do Cidadão - PDC, na qual o titular pode, de forma segura, requerer seus direitos elencados na LGPD. Para as solicitações que o Serpro não é o controlador dos dados, serão prestadas informações do controlador responsável sempre que possível, para auxiliar o titular em seu pleito. 

Nome: Franklin Jeferson dos Santos
Cargo: Técnico
Atuação: Privacidade e Proteção de Dados
Mini currículo: Técnico de privacidade e proteção de dados no Serpro. Certificações ABNT Lead Implementer 27701; EXIN DPO; Introduction to Cybersecurity CISCO; Gestor de Dados SERPRO; Information Security & Privacy Risk Manager - TIEXAMES; Pós graduando LLM em LGPD/GDPR - FMP/Universidade de Lisboa; Pós graduação em LGPD - Legale.

Nome: José Roberto Rebelo Simões
Cargo: Analista
Atuação: privacidade e proteção de dados; segurança da informação; privacidade e proteção de dados; governança; gestão de projetos; gestão de processos; transformação digital.
Mini currículo: analista de privacidade e proteção de dados no Serpro, com formação acadêmica em Ciência da Computação, pós-graduado em Segurança da Internet pela Universidade Federal do Estado do Rio de Janeiro - UNIRIO e MBA Master in Project Management pela Universidade Federal do Rio de Janeiro - UFRJ. Certificado PMP pelo Project Management Institute - PMI, desde 2004, com experiência em Gerenciamento de Projetos, Programas e Portfólios e ABNT Lead Implementer 27701. Aprovado no processo seletivo de Líderes da Transformação Digital 2020 do Ministério da Economia / Secretaria de Governo Digital.