Entrevista

O titular e a gestão de seus direitos

Viviane Maldonado, expert em proteção de dados pessoais, dá dicas para a empresa que precisa se adequar à LGPD

Viviane Maldonado Expert DPO

8/6/2020

Como diz Viviane Maldonado, “o titular dos dados pessoais está no centro do palco da legislação”. É por isso que a gestão dos direitos desse titular é um dos novos processos que, inevitavelmente, integrará a rotina das empresas. Com a vigência da LGPD, o titular poderá solicitar o acesso, a correção, a portabilidade, a eliminação dos dados, e outras ações. E o que as empresas podem fazer, agora, para se prepararem para as futuras demandas?

Essa é uma das questões respondidas por Viviane Maldonado (foto), uma profissional que, após longa experiência como juíza, passou a se dedicar mais à proteção de dados pessoais, e hoje é conhecida como Data Protection Expert, DPO, como professora e como autora dos livros “LGPD Comentada” e “LGPD – Manual de Implementação”. Confira algumas questões tratadas por ela durante sua palestra* no Seminário Serpro de LGPD, ocorrido em maio.

O Brasil está num cenário incerto sobre a entrada em vigor da LGPD, e de suas sanções, aguardando um “desfecho” do governo em relação ao PL n° 1179/2020 e à MP nº 959/2020. Como ficam os direitos do titular em meio a este cenário?

A partir da vigência formal da lei, os titulares já terão a seu favor um amplo rol de direitos a serem exercidos perante os agentes de tratamento. Porém, uma grande maioria das empresas não despertou para o fato de que, independentemente da questão sancionatória, esses titulares poderão de imediato formular suas requisições. E vale frisar que uma coisa é a ANPD, após instituída, impor uma sanção ao controlador, e outra é o titular buscar uma reparação no poder judiciário, uma ação não impede a outra. Vale também citar que muitos pensam que as penalidades só valerão para incidentes como vazamento de dados, quando na realidade a falta de conformidade por si só já gera a possibilidade de sanções.

Que dica daria às empresas sobre como agir, agora, neste cenário de incerteza?

Em condições normais, uma empresa já teria que priorizar tarefas. No atual cenário [de pandemia], uma das questões a serem contornadas logo pelos controladores, para não serem pegos de surpresa, é já estarem preparados para receber as requisições que certamente virão por parte dos titulares no exercício de seus direitos. E o titular nunca precisará justificar a razão pela qual está fazendo uma solicitação. Lembre-se: o titular está no centro do palco da legislação.

Como o direito do titular se concretizará, no dia a dia?

A LGPD traz uma série de direitos, em artigos como o 17, o 18, o 20. No artigo 18 há, logo em primeiro plano, o direito de confirmar um tratamento. O titular pode perguntar ao controlador “Ei, você tem aí algum dado meu?”. Sendo positiva a resposta, o titular poderá solicitar o acesso, efetivamente. Às vezes é difícil as pessoas imaginarem uma transposição da legislação para o mundo real. Mas quando falamos em efetivar um acesso, falamos em questões que devem ser operacionalizadas materialmente para serem entregues ao titular, em um arquivo em pdf, por e-mail ou em um pendrive, por exemplo.

Uma proposta da LGPD é evitar o tal aprisionamento tecnológico. Pode explicar esse conceito?

Um dos direitos do titular é a portabilidade de dados, pela qual a pessoa tem a possibilidade de solicitar que um controlador entregue o histórico de dados dela para que ela o utilize junto a outro controlador, fornecedor de serviço. É um direito muito usado na Europa. A proposta é que o cidadão, cliente de uma empresa bancária, de saúde, de seguro, de telefonia, possa mudar de fornecedor, pegando seus dados e usando isso a seu favor. A portabilidade é justamente para evitar o chamado aprisionamento tecnológico, conferindo assim maior liberdade de escolha ao titular.

E como fazer a gestão dos consentimentos?

Sabemos que muitos têm uma grande dificuldade sobre como começar a fazer essa gestão. A gestão é sim algo complexo, mas a preparação inicia com o agente de tratamento elencando e organizando tudo aquilo que seja necessário para se conseguir responder ao titular. A gestão das requisições passará basicamente por três aspectos, que devem acontecer ao mesmo tempo.

Primeiro, por processos, com canal para receber as demandas e desenhados a partir da realidade de cada empresa. Segundo, por treinamentos, para toda a pirâmide da organização. E terceiro, mas não menos importante, é preciso facilitar para o titular. Vale lembrar que empresas muitas vezes têm a sensação de que pode ser melhor criar alguma “dificuldade” para o titular solicitar algo, mas na realidade isso não é permitido. Pelo contrário, facilitar é mandatório pelo próprio sistema legislativo, pelas questões ligadas à transparência, e para honrar a própria LGPD. O controlador deve saber que utiliza dados que são pertencentes ao titular e deve, então, dar satisfação e atenção especial ao titular a respeito desse uso.

Nesse processo de requisição, que ações você julga indispensáveis?

Uma ação é, ao receber uma requisição do titular, buscar ter a certeza de que o titular que está fazendo aquele pedido é de fato o dono dos dados, isso é obrigatório. E é importante que haja interação com o titular, mas as empresas não devem entrar em pânico dizendo “tenho que atender tudo!”. Haverá situações em que um pedido do titular não poderá ser atendido, por algum outro requisito legal. Mas, seja como for, a empresa terá que ter 100% das requisições processadas e registradas para mostrar que deu retorno ao titular, caso essa comprovação seja solicitada pela autoridade nacional.

Mais alguma orientação para quem está na jornada de adequação à LGPD?

Sabemos que não temos as regulações da ANPD, que temos pouco material em português, mas podemos nos inspirar em experiências estrangeiras, como em guias e demais conteúdos produzidos pela agência reguladora do Reino Unido. E algo que as pessoas me perguntam muito é sobre ferramentas. Há muitas no mercado e, a escolha, a meu ver, deve seguir basicamente dois critérios: o quantitativo, ou seja, a partir da quantidade de dados pessoais, a empresa deve se perguntar se consegue lidar com eles manualmente ou se precisa realmente de uma automação; e o qualitativo, porque quando se trabalha, por exemplo, com diversos dados, de diferentes categorias e com finalidades distintas de tratamento, aí normalmente não estamos falando da gestão só do consentimento, mas sim da gestão como um todo.

* A participação de Viviane Maldonado no evento foi editada para o formato de perguntas e respostas, com o objetivo de disseminar, ainda mais, um conteúdo didático e relevante.

 

Serpro LGPD
Serpro e LGPD:
segurança e inovação