Como sabemos, a Lei Geral de Proteção de Dados, tem por objetivo principal zelar pela privacidade do titular de dados, que é definida como a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. No art. 18, a Lei prevê que este tem o direito a obter do controlador — a quem competem as decisões referentes ao tratamento de dados pessoais — os dados do titular por ele tratados. E este é um ponto de atenção para as empresas, que devem manter suas equipes sempre aptas para atender tais pedidos por parte dos titulares. Mas por onde começar?
Para iniciarmos, existe uma série de solicitações que o titular pode realizar a qualquer momento, mediante requisição, entre elas:
a confirmação da existência de tratamento;
o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados;
a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto da Lei;
a portabilidade dos dados a outro fornecedor de serviço ou produto;
a eliminação dos dados pessoais tratados com o consentimento do titular;
informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
a revogação do consentimento.
A empresa precisa ter uma equipe treinada constantemente para avaliar essas requisições e resguardar contratualmente com cláusulas indicando que os direitos serão realizados apenas quando comprovado que se trata de pedido do titular, ou seja, a exigência de documentos que permita a identificação ou acesso ao cadastro por meio de login e senha, ou recurso similar, antes de permitir acesso ou modificação dos dados, indicar na cláusula que o titular também é responsável nesta identificação, garantindo acessos não autorizados ou fraudes.
Além de adotar medidas que possam auferir quem solicitou, se foi possível o atendimento, o tempo da resposta atendendo os princípios da Lei, com adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Essencial que a empresa tenha um canal de atendimento apropriado para o recebimento dessas solicitações e que esteja previsto em sua Política de Privacidade, além de possuir regras estruturadas para realização das respostas, pois poderá ocorrer hipóteses de impossibilidade de adoção imediata da empresa controladora, o qual poderá comunicar ao titular que não é agente de tratamento dos dados e indicar, sempre que possível, o agente ou indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
Por fim, a empresa deve agir com transparência e não negar os direitos dos titulares ou explicar o não atendimento, como por exemplo a não eliminação de dados, que por vezes necessita permanecer por cumprimento de obrigações legais.