Tem havido vários questionamentos acerca de abordagens publicitárias e/ou para venda de produtos ou serviços, por e-mail ou telefone, desconhecendo as pessoas como os seus dados de contato foram obtidos por aquelas empresas.
A Lei Geral de Proteção de Dados (LGPD) assegura ao titular dos dados o direito de obter, da empresa ou do profissional, a qualquer momento, não somente a informação sobre quais dados seus ele tem, como também o direito de saber como foram obtidos. Em outros termos, se os dados não foram coletados diretamente junto ao respectivo titular, tem o controlador o dever de informar quem lhe transmitiu ou com ele os compartilhou. Controlador é o responsável pelo tratamento de dados, seja pessoa jurídica ou pessoa natural.
O titular dos dados deve requerer formalmente as informações e o controlador tem o dever legal de responder em prazo razoável e sem custos para o requerente. A resposta deve ser imediata, se for em formato simplificado. Caso tenha requerido o titular dos dados uma declaração completa, com a indicação da origem dos dados, dos critérios, da finalidade específica e da base legal do tratamento de dados, tem o controlador o prazo de quinze dias para responder, a contar da data do requerimento, e o dever de o fazer de forma clara.
Compete ao titular dos dados definir o meio a ser utilizado pelo controlador para a resposta, se na forma impressa ou em meio eletrônico que, neste caso, deve ser seguro e idôneo ao fim a que se destina.
Ainda que o controlador tenha obtido os dados por ato do próprio titular, que os tenha tornado manifestamente públicos, não está ele dispensado de observar os princípios instituídos na LGPD para o tratamento de dados pessoais e de resguardar os direitos do titular, de modo que a pessoa titular dos dados tem a faculdade de solicitar as informações acima mencionadas, de requerer acesso aos dados, de retificá-los ou mesmo de se opor ao tratamento que esteja em desconformidade com a Lei.
Se a empresa entra em contato com um indivíduo, utilizando dados com ela compartilhados por outra empresa, para a qual aquela pessoa tenha fornecido o seu consentimento, o tratamento de dados é ilegal e ambas apresentam desconformidade com a LGPD, sendo corresponsáveis perante o titular daquelas informações. Determina a Lei que o controlador que recebe, do titular, o consentimento para realizar tratamento dos seus dados, em tendo necessidade de comunicar ou compartilhar os dados com outros controladores, deve obter previamente um consentimento específico para este fim. O titular dos dados, no exemplo acima, pode retirar o consentimento anteriormente outorgado, se assim lhe aprouver, sem prejuízo de apresentar reclamação contra os dois controladores junto à Autoridade Nacional de Proteção de Dados ou às entidades de defesa do consumidor.
Para possibilitar o adequado cumprimento da Lei, determina a LGPD que os dados pessoais devem ser armazenados em formato que favoreça o exercício do direito de acesso pelos respectivos titulares.
O controlador tem o dever de responder ao requerimento do titular de dados, sob pena de violar a LGPD e se sujeitar à aplicação das penalidades, que incluem multa, publicização da infração, bloqueio ou eliminação dos dados a que se refere a infração, suspensão do uso do banco de dados ou mesmo a proibição do exercício de atividades relacionadas a tratamento de dados. Estas sanções entrarão em vigor em 1/08/2021, mas podem ser aplicadas, desde setembro/2020, as penalidades previstas no Código de Defesa do Consumidor, para os casos de descumprimento das disposições da LGPD.