Você sabia que a Lei Geral de Proteção de Dados obriga as empresas a disponibilizar ferramenta específica para atendimento dos chamados “Direitos de Privacidade”?
Desde setembro de 2021, qualquer pessoa que tenha disponibilizado seus dados pode requerer informações utilizadas na sua prestação de serviço.
Como trouxemos anteriormente (clique aqui), a Lei Geral de Proteção de Dados (LGPD), seguindo a legislação europeia, trouxe em seu texto vários novos direitos ao titular dos dados e, consequentemente, diversas obrigações que impactam empresas de diversos ramos, inclusive do agronegócio.
Em seu art. 18, a Lei 13.709/2018 garante ao titular (cliente, colaborador ou prestador de serviços) e, portanto, obriga o controlador dos dados (empresa) a:
- disponibilizar a confirmação da existência de utilização do dado pessoal;
- dar acesso aos dados armazenados ao titular e a corrigir dados incorretos;
- anonimizar ou excluir dados considerados desnecessários para a prestação do serviço;
- migrar os dados para outro fornecedor (portabilidade, similar ao das operadoras de telefonia);
- excluir dados, retirando o consentimento dado anteriormente;
- informar a quem os dados foram transmitidos;
- informar o que acontece caso o consentimento seja retirado (qual o prejuízo na prestação do serviço).
Há uma tendência muito grande de que, a partir do início da nova legislação, ocorra uma onda de solicitações (Data Request) de consumidores e empregados no sentido de obter as informações cujo acesso passa a ser garantido, conforme visto acima.
As solicitações deverão ser respondidas de maneira efetiva em um prazo máximo de 15 dias, conforme inc. II do art. 19:
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I – em formato simplificado, imediatamente; ou
II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
O não atendimento a essas solicitações no prazo previsto pode acarretar responsabilização à empresa no âmbito judicial e administrativo (fiscalização pela Autoridade Nacional de Proteção de Dados – ANPD, órgão federal criado para aplicar as sanções legais).
Especialistas apontam que a Justiça do Trabalho e os Juizados Especiais Cíveis devem receber número significativo de ações, cujo objeto é justamente o não atendimento desta nova obrigação por parte dos fornecedores de bens e serviços.
Vale o questionamento: Como você pretende atender ao Data Request do seu cliente?
Em razão desta demanda que pode afetar os negócios, é necessário que a empresa disponha de pessoal treinado e ferramentas para cumprir com o prazo. Ter que consultar um arquivo físico a cada solicitação certamente levará a um gasto de tempo e possivelmente o não cumprimento do prazo legal. Sua resposta deve, ainda, ser efetiva, já que há critérios objetivos a serem atendidos, de forma técnica.
Estruturar um procedimento interno específico, no qual esteja estabelecido quem irá gerenciar as solicitações e respostas, bem assim estabelecer, previamente, qual a postura do seu negócio com relação aos pedidos é fundamental para se alcançar a segurança jurídica de que nenhuma indenização seja devida.
Contar com uma ferramenta de gestão também é fundamental para atendimento do Data Request, pois, por meio dela é que se pode ter um diagnóstico e mapeamento dos dados que a empresa possui em seu Data Center, bem como viabilizar a retirada de relatórios automatizados das informações do cliente e de como essas informações foram utilizadas dentro e fora da empresa.
Escrito por Felipe Rangel (OAB/PR 65.292).