O direito de acesso na proteção de dados e seus possíveis limites de exercício

O direito de acesso na proteção de dados e seus possíveis limites de exercício

young-businessman-working-with-computer-remotely

No exercício de um direito pode ocorrer não só seu desrespeito por parte de terceiros, mas também sua indevida utilização por seu titular ou a impossibilidade de efetuá-lo frente a algum fato. Nessa seara inserimos um dos direitos do titular de dados abordado na coluna anterior: o acesso. Poderia ocorrer algum impedimento à sua realização frente às atitudes externadas pelo indivíduo, ou por algum outro direito? Como poderíamos interpretar esses limites?

Olhando inicialmente para nossa Lei Geral de Proteção de Dados podemos encontrar alguma dificuldade no trato da matéria, uma vez que o capítulo destinado aos direitos do titular (III) diz apenas no art.18, §3º e §4º sobre a possibilidade de o controlador motivar a não entrega dos dados de maneira imediata. O inciso II do §4º fala ainda sobre a indicação, pelo agente, das razões de fato e de direito da não apresentação imediata, mas ainda assim não nos fala da negativa do pedido. Sabendo que nosso ordenamento não elegeu, até o presente momento, qualquer direito como absoluto, podemos afirmar que o direito de acesso não é interminável, logo passível de balizas.

Para nossa análise é interessante observarmos o cenário europeu de onde nossa lei se inspirou. O Regulamento Geral de Proteção de Dados, antes mesmo de tratar propriamente sobre o acesso (art.15), estabelece diretrizes aplicáveis aos demais direitos do titular no art.12. Em especial há o nº5, alínea a) e b), indicando os caminhos que o responsável (agente de tratamento) pode tomar frente ao que a lei chama de pedidos infundados (unfounded) e pedidos excessivos (excessive).1 Identificados algum desses casos pode ocorrer: i) o pagamento de uma taxa razoável2 pelo titular; ou ii) a recusa ao seguimento do pedido. Mass como interpretar algo como infundado ou excessivo?

Apesar da não definição na GDPR, podemos encontrar no Comitê Europeu de Proteção de Dados algumas orientações. O Comitê entende como infundado o requerimento incapaz de preencher os requisitos do art.15 da GDPR, mas ao mesmo tempo reitera que o escopo de negativa ao acesso sempre é limitado, justamente por sua ligação com o princípio da transparência.3 A Guideline destaca que o controlador não deve presumir um requerimento como infundado ou excessivo caso o mesmo titular tenha incorrido nessa prática anteriormente, ou se há uso de linguagem não objetiva ou inapropriada4 .

Já o pedido excessivo guarda relação, mas não está adstrito, à quantidade de requerimentos feitos pelo titular de dados. Para averiguar se há um intervalo razoável entre os pedidos o Comitê orienta analisar: i) a frequência de alteração do dado, o que está atrelado à atividade do controlador; ii) a natureza do dado; iii) a finalidade do tratamento; e iv) se os pedidos se referem aos mesmos dados e atividades.5

O Comitê destaca que os termos utilizados na lei nos permitem incluir nessa categoria pedidos que visam causar danos ao controlador ou aos seus funcionários, ou quando alguém apresenta um requerimento de acesso e condiciona sua retirada ao recebimento de um benefício do responsável.

Há, dessa forma, um titular, o qual busca a informação para atender às suas expectativas, estas que não precisam ser reveladas ao responsável pelo tratamento, mas, a partir do momento que seu comportamento e o resultado desse comportamento contrariam o esperado para o exercício desse direito, abre-se a possibilidade de o controlador obstá-lo.

No Brasil ainda não há recomendação expressa da Autoridade Nacional de Proteção de Dados para esse assunto, tampouco texto expresso na LGPD sobre essa matéria. Como poderíamos, no momento, tentar contextualizá-lo?

Uma possível saída seria a utilização do abuso de direito nesse contexto. Essa figura se caracteriza como “exercício de posição jurídica de modo incompatível com a função que lhe é própria, isto é, com a finalidade que justifica axiologicamente a sua proteção pelo ordenamento”.6 Assim, uma pessoa pode respeitar a lógica jurídico formal de um direito, mas ofender o valor que lhe serve de fundamento.7

Algumas das posições elencadas na Guideline do Comitê Europeu, interpretadas a partir do disposto na GDPR poderiam se encaixar na figura do abuso, justamente por estarmos diante de práticas que respeitam a forma – requerimento junto ao controlador informações sobre dados pessoais -, mas possuem fins incompatíveis com suas atribuições.

A LGPD possui nos seus fundamentos a autodeterminação informativa (art.2º, II), referindo-se ao maior controle das pessoas sobre suas informações. Ao mesmo tempo possuímos o art.6º com os princípios da boa-fé, da transparência e do livre acesso. Temos também o art.9º que apresenta as informações a serem apresentadas ao titular sobre o tratamento de dados, disponibilizadas de forma clara, adequada e ostensiva; e por último o art.18 com os direitos dos titulares, proporcionando aos titulares construírem, com base no seu modelo de vida, como seus dados circulam.

Em sentido contrário ao proposto pela lei seriam os pedidos que se encaixam no que a GDPR entendeu como causas passíveis de taxa razoável ou negação do requerimento. Mesmo assim, cabe recordar que a análise não deve ser abstrata, mas sim caso a caso, de forma que a experiência acumulada ao longo dos anos, tanto pela atividade dos agentes, como pela atuação da ANPD, judiciário e doutrina será essencial para a construção de balizas para o exercício do direito de acesso.

 

Referências

____________________

1. Art. 12. nº5: As informações fornecidas nos termos dos artigos 13º e 14º e quaisquer comunicações e medidas tomadas nos termos dos artigos 15º a 22º e 34º são fornecidas a título gratuito. Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode: a) Exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas; ou b) Recusar-se a dar seguimento ao pedido.

Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.

2. O acesso à informação gratuita na GDPR é regra, sendo a taxa uma exceção. Na LGPD há apenas disposição sobre acesso gratuito, não existindo menção à possibilidade de uma taxa. Será necessário manifestação da ANPD nos casos de pedidos não fundamentados ou excessivos, frente à forte influência da linha europeia sobre a lei brasileira..

3. European Data Protection Board, Guidelines 01/2022 on data subjects rights – Right of access. V. 1.0. 18 jan. 2022. Disponível em: https://bit.ly/3u2ySVr. Acesso em: 24 dez. 2022. p. 53.

4. European Data Protection Board, Guidelines 01/2022 on data subjects rights – Right of access. V. 1.0. 18 jan. 2022. Disponível em: https://bit.ly/3u2ySVr. Acesso em: 24 dez. 2022. p. 53.

5. European Data Protection Board, Guidelines 01/2022 on data subjects rights – Right of access. V. 1.0. 18 jan. 2022. Disponível em: https://bit.ly/3u2ySVr. Acesso em: 24 dez. 2022. p. 54.

6. TEPEDINO, Gustavo; OLIVA, Milena Donato. Teoria Geral do Direito Civil, Fundamentos do Direito Civil, v.1. Rio de Janeiro, Forense, 2020, p.371.

7. LUSTOSA, Paulo Franco, O abuso do direito e seus reflexos na responsabilidade civil. In: MONTEIRO FILHO, Carlos Edison do Rêgo (Org.), Problemas de responsabilidade civil. 1. ed. Rio de Janeiro: Revan, 2016. p.256.

Compartilhe nas Redes Sociais
Anúncio