Toda atividade hoje em dia utiliza dados pessoais em algum momento. E a direção da empresa ou organização não é mais livre para definir o modo como estes dados são obtidos, guardados, usados ou compartilhados - obrigatória a observância dos parâmetros e princípios instituídos na Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
O objetivo da LGPD é permitir o uso dos dados pessoais e o seu fluxo, mas garantindo que tal se faça com segurança para os titulares destas informações. Assim, tanto dados sensíveis ou que dizem respeito à intimidade do titular, como informações que se situam fora da esfera íntima, ou até mesmo aquelas passíveis de serem encontradas em locais públicos – toda informação que diga respeito a uma pessoa natural - deve ser tratada com base nas disposições da LGPD.
Esta Lei decorre da percepção, ao nível internacional, de que o fato de uma pessoa não saber quais dados seus são utilizados, por quem, sob quais critérios e para quais finalidades é passível de comprometer a autonomia desta pessoa, que fica sujeita a usos indevidos e danos aos seus direitos e liberdades. Concluiu-se que é preciso assegurar juridicamente a autodeterminação informativa, ou seja, a possibilidade da pessoa exercer o controle sobre o uso de seus dados por terceiros.
A garantia desta possibilidade de controle sobre os próprios dados é feita pela LGPD através dos princípios da proteção de dados, da definição das hipóteses permitidas para tratamento de dados, dos parâmetros que a atividade de tratamento deve seguir e da instituição de uma série de direitos instrumentais, que proporcionam o efetivo exercício do controle pelo titular dos dados.
Dentre estes direitos há o direito do titular obter, de quem quer que detenha dados pessoais seus, informações acerca destes dados e do modo como eles são utilizados. Aquele que recebe o requerimento tem o dever de fornecer as informações, na forma da LGPD.
O descumprimento dos direitos dos titulares representa um tipo de incidente de segurança com os dados, porque os direitos instituídos na Lei têm também o propósito de garantir a segurança dos dados – afinal, estes direitos constituem instrumentos que permitem o exercício do controle sobre os dados, ou seja, permitem o exercício do direito à autodeterminação informativa.
A Autoridade Nacional de Proteção de Dados – ANPD tem a atribuição de garantir o cumprimento da LGPD e o respeito aos direitos dos titulares dos dados. Trata-se de uma instância administrativa para a tutela do direito à proteção de dados.
Todavia, não se afasta a competência do Poder Judiciário para proteção dos direitos e garantia da adequada observância das normas jurídicas. A violação dos direitos assegurados na LGPD é passível de ser judicialmente corrigida.
O Tribunal de Justiça de São Paulo determinou o cumprimento da LGPD a uma empresa que havia sofrido vazamento de dados. Ante o ocorrido, o cliente desejou obter informações acerca dos seus dados naquela empresa.
A Justiça então determinou que a empresa informe “as entidades públicas e privadas com as quais realizou o uso compartilhado dos dados do autor, conforme o art. 18, VII, da LGPD, devendo fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados, conforme o art. 19, II, da LGPD, no prazo de 30 dias, sob pena de multa diária de R$500,00, inicialmente limitada em R$5.000,00” (Apelação nº 1008308-35.2020.8.26.0704).
Muitas vezes a pessoa não faz ideia de como determinada empresa obteve seus dados. Pois ela pode requerer tal informação, e outras, com base na LGPD.
Mas não é preciso que haja um vazamento de dados para que o titular possa exercer os seus direitos.
A qualquer momento, toda pessoa tem o direito de requerer, de qualquer empresa, instituição ou organização estas mesmas informações especificadas pelo Tribunal de Justiça de São Paulo, sem precisar justificar o requerimento.
Os dados pertencem ao titular das informações e quem as detém deve cumprir uma série de deveres em relação ao titular, dentre eles o dever de prestar as informações solicitadas sem custo, de forma clara, facilitada e transparente, numa linguagem acessível, que propicie a efetiva compreensão.
