Os avanços do mundo digital são incontestáveis, a criação de inteligências artificiais, como o por exemplo a operacionalização do ChatGPT, que consegue em segundos descodificar informações e apresentá-las ordeiramente em forma de linguagem técnica. Algo impressionante, uma verdadeira revolução para os costumes humanos.
Desse modo, percebe-se que determinada norma jurídica é válida e eficaz no plano da existência, se houver fatos sociais axiológicos que legitimem sua positivação em determinado ordenamento jurídico, por intermédio de costumes humanos que se tornam rotineiros. Isso vem acontecendo com as leis de privacidade ao redor do mundo, a conscientização e a culturalização entre os indivíduos sobre a importância da tutela de seus direitos personalíssimos, como a privacidade, com o advento de medidas protetivas de segurança da informação, isso é, as empresas públicas e privadas não podem usar seus dados pessoais sem determinada base legal e finalidade definida. Assim, por boas práticas, os indivíduos, também denominados titulares de dados, detém o direito amplo de terem conhecimento sobre o processamento das suas informações, podendo até solicitarem a eliminação e/ou portabilidade dos seus dados, caso seja manifestado seu real interesse.
A definição de titular de dados pessoais conforme a LGPD e a GDPR
Os titulares de dados pessoais (“subjects rights”) são pessoas físicas a quem se referem os dados que estão sendo coletados, armazenados, processados ou utilizados por empresas ou organizações, sob responsabilidade e custódia do Controlador (“Controller”). Como titular, esse indivíduo tem o direito de acessar seus dados pessoais e decidir sobre seu uso por terceiros a qualquer momento no processamento dos dados coletados. Além disso, os Estados, como entes fictícios soberanos, devem assegurar e garantir a existência de leis e normativas com o intuito de evitar o tratamento dos dados indevidamente pelas empresas.
No mais, conforme expressa previsão no rol taxativo localizado no artigo 18 da lei 13.709/18, os indivíduos detêm direitos perante o Controlador dos dados, ex vis legis:
“Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e IX - revogação do consentimento, nos termos do § 5º do art. 8º desta lei.
No mais, as empresas no papel de Controladoras de dados devem cumprir as requisições lícitas dos titulares de dados pessoais em tempo hábil, mediante prévia provocação, em cumprimento ao princípio propedêutico da transparência no uso das informações pessoais em processamento em determinada prestação de serviço. Dessa forma, os direitos trazidos pela lei brasileira de proteção de dados em comparação com as diretrizes da GDPR (“General Data Protection Regulation”) criam obrigações às empresas, regulamentando os processos e procedimentos internos que envolvem transferências de dados pessoais, como por exemplo, criação de políticas referente ao uso dos dados dos titulares no tratamento, respeitando sempre a tutela da privacidade constitucional.
Os direitos dos titulares de dados pessoais são conquistas trazidas por uma constante luta para garantir a tutela plena, protegendo assim de discricionariedades administrativas e arbitrariedades autoritárias por parte das empresas públicas e particulares, grupos econômicos e lobbies.
O Regulamento Geral de Proteção de Dados (“GDPR”) é uma lei da União Europeia que entrou em vigor em maio de 2018 e tem como objetivo proteger os dados pessoais de indivíduos dentro do território europeu. A GDPR estabelece uma série de regras e orientações para empresas que coletam, processam e armazenam dados pessoais, incluindo a definição de quem é o titular dos dados.
É de suma importância destacar que a GDPR define “dados pessoais como qualquer informação relacionada a uma pessoa física identificada ou identificável”, como por exemplo, nome, endereço, número de telefone, endereço de e-mail, número de identificação, dados de localização, informações financeiras e muitos outros tipos de informações.
A GDPR estabelece uma série de direitos para os titulares de dados, incluindo o direito de acesso aos seus dados pessoais, o direito de solicitar a correção de dados imprecisos ou incompletos, o direito de solicitar a exclusão de seus dados pessoais e o direito à portabilidade de seus dados pessoais cedidos.
As empresas que coletam, processam e armazenam dados pessoais devem cumprir uma série de obrigações para garantir que os dados dos titulares sejam tratados de forma justa e transparente, respeitando a necessidade e a finalidade no uso dos dados, tornando-lhe o processamento devido e lícito. Assim, as empresas podem obter o consentimento explícito dos titulares de dados para coletar e processar seus dados pessoais, principalmente quando se refere de dados pessoais sensíveis, além de informá-los sobre como seus dados serão utilizados, quanto tempo serão armazenados e quem terá o acesso, assegurando que os tratamentos dos dados sejam realizados conforme as melhores práticas de governança digital e cibersegurança.
No mais, as empresas também devem tomar medidas para garantir que os dados dos titulares sejam mantidos seguros e protegidos contra perda, roubo ou acesso não autorizado, evitando malwares e ataques hackers. Isso inclui o uso de medidas técnicas e organizacionais para proteger os dados, como criptografia, firewalls, autenticação de usuários e outras medidas de segurança da informação.
Em caso de violações de dados, as empresas devem notificar os titulares de dados afetados e as autoridades competentes em até 72 horas após tomar conhecimento da violação. As empresas também devem cooperar com as autoridades competentes durante investigações relacionadas à violação de dados.
Resumidamente, o titular de dados é a pessoa física a quem os dados pessoais se referem e a GDPR estabelece uma série de direitos e obrigações para as empresas que coletam, processam e armazenam esses dados. As empresas devem cumprir uma série de requisitos para garantir que os dados dos titulares sejam tratados de forma justa e transparente.
A aplicabilidade dos direitos dos titulares de dados pessoais conforme a LGPD
A lei Geral de Proteção de Dados (“LGPD”) é uma legislação brasileira que entrou em vigor em setembro de 2020 e estabelece regras para o tratamento de dados pessoais no Brasil. A LGPD garante diversos direitos aos titulares dos dados, ou seja, às pessoas físicas que fornecem informações pessoais a empresas e organizações.
Os titulares de dados pessoais podem exercer os direitos elencados abaixo perante o Controlador, limitando assim a autonomia do mercado.
- Confirmação da existência dos dados pessoais do tratamento: O titular tem o direito de obter a confirmação de que seus dados pessoais estão sendo tratados por uma empresa ou organização. Esse direito permite que o titular saiba se seus dados estão sendo utilizados e com que finalidade.
- Acesso aos dados: O titular tem o direito de acessar seus dados pessoais que estão sendo tratados por uma empresa ou organização. Esse direito permite que o titular saiba quais informações a empresa tem sobre ele e como elas estão sendo utilizadas.
- Correção de dados incompletos, inexatos ou desatualizados: O titular tem o direito de solicitar a correção de seus dados pessoais que estejam incompletos, inexatos ou desatualizados. Esse direito garante que as informações sobre o titular estejam sempre corretas e atualizadas.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade: O titular tem o direito de solicitar a anonimização, bloqueio ou eliminação de seus dados pessoais que não sejam mais necessários para a finalidade que foi informada ao titular. Esse direito garante que os dados pessoais do titular não sejam armazenados desnecessariamente.
- Portabilidade dos dados: O titular tem o direito de receber seus dados pessoais em um formato estruturado, permitindo que os dados sejam transferidos para outro fornecedor de serviços ou produto, caso seja necessário. Esse direito garante a liberdade do titular de escolher a empresa ou organização que deseja fornecer seus serviços.
- Eliminação dos dados: O titular tem o direito de solicitar a eliminação de seus dados pessoais tratados com seu consentimento. Esse direito garante que o titular possa revogar o consentimento para o tratamento de seus dados a qualquer momento.
- Informação sobre o compartilhamento de dados: O titular tem o direito de receber informações claras e detalhadas sobre o compartilhamento de seus dados pessoais com terceiros. Esse direito garante a transparência no tratamento dos dados pessoais do titular.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: O titular tem o direito de receber informações claras e detalhadas sobre as consequências da negativa em fornecer o consentimento para o tratamento de seus dados pessoais. Esse direito garante que o titular possa tomar uma decisão informada sobre o fornecimento de seus dados pessoais.
Nota-se que no século digital, as companhias devem se ater no processamento dos dados de forma legítima, empregando sempre determinada base legal, tornando-se devido o fluxo das informações pessoais entre empresas, sempre respeitando as boas práticas de governança na ótica da LGPD e orientações internacionais. Assim, as transferências entre exportadores e importadores de dados serão consideradas seguras e protegidas, mitigando ataques hackers e possíveis sanções administrativas por parte da autoridade competente.
Em suma, a LGPD, no âmbito nacional, garante aos titulares dos dados diversos direitos para proteger suas informações pessoais. As empresas e organizações que tratam dados pessoais devem estar em conformidade com o ordenamento jurídico sobre privacidade para garantir o respeito à soberania aos direitos dos indivíduos.