A lei Geral de Proteção de Dados (LGPD), em vigor desde o dia 18 de setembro de 2020, trouxe uma série de direitos aos titulares de dados pessoais, mas também diversas obrigações às pessoas físicas e jurídicas com relação à proteção e privacidade de dados pessoais.
Apesar de a LGPD não ser a única e nem a primeira lei que trata do tema da privacidade de dados pessoais no Brasil, ela é sem dúvida a de maior importância pela sua especificidade e abrangência. Um de seus fundamentos é a autodeterminação informativa, isto é, permite que o titular exerça um maior controle sobre a circulação de seus dados pessoais e garante a esses uma participação mais efetiva nos processos de tratamento de seus dados. Para tanto, a LGPD dispõe sobre uma série de direitos do titular em relação aos seus dados pessoais, como, por exemplo, o direito de solicitar acesso aos seus dados pessoais, sua correção e, em determinados casos, até exclusão de suas informações que estejam nos bancos de dados de empresas privadas e públicas.
Para que seja possível atender as solicitações dos titulares relativas aos seus direitos, a empresa de posse dos dados pessoais (o “controlador”1) tem como tarefa desenvolver um processo para atendimento, de forma efetiva e eficaz, dessas solicitações. Para tanto, é necessário, primeiramente, identificar o requerente, isto é, garantir que ele é mesmo o titular dos dados em questão. Se a LGPD trata de proteção e privacidade de dados pessoais, é preciso garantir, antes de tudo, que os direitos fundamentais de liberdade, privacidade e intimidade dos titulares sejam preservados2. Uma solicitação de acesso a dados feita por pessoas não autorizadas resulta em uma violação desses direitos.
Por outro lado, a LGPD exige que essas solicitações sejam atendidas de maneira imediata e simplificada, para que os titulares tenham facilidade em exercer os direitos relativos ao acesso a seus dados. Desse modo, o controlador deve evitar um processo de identificação muito complexo ou, ainda, a coleta de dados pessoais adicionais apenas para realizar essa identificação.
Assim, se uma organização dificulta o exercício dos direitos dos titulares, criando requisitos desproporcionais para acesso aos seus dados pessoais, ela poderá, na prática, acabar por violar os direitos legais do titular e, portanto, estará sujeita a sanções previstas na própria LGPD.
Na prática, como devemos agir?
Tomemos como exemplo uma solicitação de um titular que deseje que seu endereço de e-mail seja removido de um banco de dados usado para marketing direto. Imaginemos que esse banco de dados é composto por apenas duas categorias de dados pessoais: nome completo e endereço de e-mail. Como o controlador desse banco de dados deve realizar a identificação do solicitante? Como garantir que o solicitante é o titular dos dados pessoais?
A solicitação de uma cópia de um documento de identidade, como carteira de motorista, RG ou ainda passaporte é usada por muitas organizações como método padrão para realizar essa identificação. Mas, no nosso exemplo, será que esse método é o ideal?
Ao receber a cópia da identidade do solicitante, o controlador estaria de posse de outros dados pessoais que antes não possuía, como: número do RG, número do CPF, filiação e até mesmo a foto do requerente. Assim, por conta de um pedido de exclusão de um endereço de e-mail do banco de dados, o controlador coletaria inúmeros novos dados pessoais do titular.
Esse tipo de coleta pode ser prejudicial tanto para quem enviou os dados quanto para quem os recebeu. É razoável imaginar que o titular nem sempre estará disposto a compartilhar outros dados pessoais com a empresa, quando sua solicitação é exatamente para exclusão de seus dados. Já a empresa que solicitou por novas informações acaba coletando mais dados pessoais e, como “guardiã” desses novos dados, acaba criando riscos adicionais aos titulares e a ela própria. A empresa provavelmente precisará tomar medidas de segurança mais elevadas que garantam agora a proteção de outras categorias de dados, que podem ser mais sensíveis do que os coletados inicialmente.
Portanto, o método de identificação do titular deve ser elaborado considerando vários aspectos, tais como o contexto da solicitação, a categoria dos dados e as expectativas dos titulares, entre outros. Uma regra simples é seguir o mesmo método utilizado no momento da coleta desses dados. Por exemplo, se um dado pessoal foi coletado por um e-mail enviado pelo titular, esse mesmo endereço de e-mail pode ser utilizado para a identificação do titular quando este faz uma solicitação.
Mas essa regra deve ser repensada caso a caso. Como dissemos, o processo utilizado para identificação dos titulares também deve considerar o tipo de dados pessoais envolvido. Se os dados são sensíveis, por exemplo, um método de identificação pura e simplesmente pode não ser o mais adequado. Nesse caso, a combinação da identificação com uma autenticação do usuário pode se fazer necessária. De qualquer modo, a recomendação é sempre a de não solicitar dados adicionais para identificar/autenticar o titular e sim se utilizar das informações que já estejam em posse do controlador.
No mais, entre não atender uma solicitação pela impossibilidade de se identificar o titular ou coletar informações excessivas para identificação, deve-se optar pela estratégia que produz menor impacto na proteção e privacidade de dados. Ainda, nesse sentido, todas as atividades que envolvam o tratamento de dados pessoais devem seguir o “Princípio da Necessidade” abordado na LGPD, isto é, deve-se limitar o tratamento ao mínimo necessário, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Diante do dilema apresentado, a proteção dos dados pessoais deve ser considerada prioridade. Como boa prática, as organizações devem criar processos de identificação de titulares que sejam realizados sem a coleta de novos dados. A cautela com os dados pessoais deve estar presente em qualquer atividade que englobe tratamento de dados dentro de uma organização, mesmo naquelas necessárias para o exercício dos direitos dos próprios titulares dos dados pessoais.
_______
1 Segundo artigo 5°, VI, da LGPD o controlador é “toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.