Um dos principais pontos na proteção de dados está no maior protagonismo dos titulares, conscientizando-os do controle que lhes é direcionado. Uma dessas formas está no reconhecimento de direitos ligados a essa área, os chamados direitos do titular. Dentre eles vamos analisar um, o chamado direito de acesso.
Vindo de forte influência europeia, em especial do GDPR, o direito de acesso (right of access) se insere dentro do capítulo de “direitos do titular de dados” (rights of the data subject). As disposições gerais da lei determinam vários pontos aplicáveis também aos demais direitos como o apagamento, correção, oposição e portabilidade de dados. O “acesso” guarda forte relação com o princípio da transparência, posto em relevo pela própria lei no Considerando 58 e no art.12.1, sendo que o primeiro destaca a dificuldade, frente às complexas práticas tecnológicas, de saber se, por quem e para que fins nossos dados são tratados. Dessa forma, a comunicação dessas informações deve ser feita de maneira inteligível e de fácil acesso, sem demandar uma busca implacável pelo canal de informação adequado.
Essa linha interpretativa converge com um dos princípios do privacy by design,1 o respect for user privacy – keep it user-centric, definindo a utilização de meios pré-estabelecidos e amigáveis (user-friendly), lembrando aos desenvolvedores dessas ferramentas que não devem ser criados embaraços aos titulares na obtenção da informação, mas sim construindo pontes para ter acesso a elas.
Outro ponto interessante da lei está na gratuidade do exercício desses direitos. O art.12, ponto 5, coloca a possibilidade de cobrar uma taxa apenas se o pedido demandar maior trabalho do responsável pelo tratamento, tendo em vistas os custos administrativos do contexto, sendo, assim, uma medida de caráter excepcional.
O artigo propriamente dito sobre o direito de acesso é o art.15, ratificando que o titular pode requerer uma série de informações a seu respeito, passando pela finalidade do tratamento, da categoria dos dados, os destinatários, o prazo de conservação, dentre outros.
Uma dúvida, contudo, surge: se o titular se identificar corretamente, mas fizer um pedido genérico de acesso, quais informações entregar? Segundo o Comitê Europeu de Proteção de Dados, em Guia2 específica sobre o tema, a resposta é: todas as informações que tiver. Nesse sentido, o próprio Comitê remete3 a adoção de ferramentas para guiar o titular a respeito de qual dado ele(a) requer especificamente, uma vez que empresas que tratam grande quantidade de dados podem vir a fornecer uma série de informações que, naquele contexto, não serão úteis a quem fez o requerimento. Mas, salvo pedido específico, a orientação é fornecer a completude da informação.
Esse Guia entende que o right of access é formado por um tripé: i) existência ou não de tratamento por parte daquele responsável; ii) se positiva a resposta anterior, acesso propriamente dito aos dados; e iii) informações sobre o tratamento. Dessa forma, para entregar uma resposta satisfatória é necessário preencher cada um dos pontos.
Do ponto de vista brasileiro a LGPD dispõe sobre o direito de acesso em alguns pontos da lei. Aparece como princípio no art.6º, IV, influindo, conjuntamente com os demais do mesmo artigo, como critério interpretativo da própria legislação. Esse dispositivo também consagra o acesso gratuito, simplificado e à integralidade dos dados. No art.9º há um dos tripés anteriormente citados da lei europeia, qual seja, informações sobre o tratamento4 . Aqui se destaca a existência de posterior regulamentação sobre o tema, somadas as hipóteses dos incisos sobre as informações que podem ser requeridas pelo titular.
O direito de acesso propriamente dito está nos artigos 18, II e 19. Há, conforme disposto, a possibilidade de requerer o acesso de maneira gratuita (art.18, §5º), simplificada e imediata, ou sendo o caso, dentro de 15 dias,5 de maneira clara e completa, por meio físico ou digital (art.19, I, II e §2º). Pela leitura dos dispositivos a lei não parece ter definido se a contagem desses prazos se dá em dias úteis ou dias corridos.
É de suma importância a garantia desse direito para os titulares. Apesar da fácil constatação de sua relevância, seu exercício pode trazer alguns desafios, os quais serão destacadas nas próximas colunas.
Referências
________________________________________
1. Sobre o privacy by design confira-se: CAVOUKIAN, Ann. Publicação da Information and Privacy Comissioner of Ontario. Publicado em maio de 2010. Revisado em jan. 2011. Disponível em: https://bit.ly/3Fcw7EN. Acesso em: 25 nov. 2022.
2. European Data Protection Board, Guidelines 01/2022 on data subjects rights – Right of access. V. 1.0. 18 jan. 2022. Disponível em: https://bit.ly/3u2ySVr. Acesso em: 24 nov. 2022.
3. European Data Protection Board, Guidelines 01/2022 on data subjects rights – Right of access. V. 1.0. 18 jan. 2022. Disponível em: https://bit.ly/3VuI40I. Acesso em: 24 nov. 2022. p. 15-16.
4. O artigo não perde sua importância, mas fica a crítica em uma possível atecnia legislativa, uma vez que poderia ter sido realocado para o capítulo III – direitos do titular.
5. Diferente da LGPD, a GDPR coloca que informações, quando mais complexas, devem ser entregues em até um mês, podendo, a depender do caso, prorrogar por mais um mês, conforme art.12(3).