A Lei Geral de Proteção de Dados regulou de forma ampla toda a “vida” do dado pessoal. Dentro dessa linha, insere-se também o momento em que ele deixa de ser tratado. É o que está disposto na Seção IV da Lei que dispõe sobre o término do tratamento de dados pessoais.
Dispõe o art.15 que o término ocorrerá em quatro hipóteses: I) cumprimento da finalidade ou desnecessidade dos dados tratados para alcançar a finalidade desejada; II) fim do período do tratamento; III) revogação do consentimento e IV) por determinação da ANPD no caso de tratamento ilícito. É interessante notar a semelhança com o disposto no Regulamento Geral de Proteção de Dados europeu ou GDPR (General Data Protection Regolution) no art.17. Ele se insere, na lei estrangeira, dentro da Secção 3: Retificação e apagamento, o qual está inserido no Capítulo 3: direitos do titular de dados.
Vale destacar, antes de partir a análise dos incisos, um ponto não adotado pela LGPD, mas presente na GDPR:1 o termo “direito ao esquecimento” ou “right to be forgotten”, o que a lei estrangeira não só o faz como iguala a noção de apagamento ao esquecimento.2 Essa opção brasileira é uma escolha acertada, pois o direito ao esquecimento está ligado à pessoa se opor a fatos depreciativos que enfatizam, “perante terceiros, aspectos de sua personalidade que não refletem mais a sua pessoa”,3 perdendo caráter de importância na arena pública. Atos contrários à lei, como no caso do art.15, IV (tendo correlato na GDPR o art.17, nº1, alínea d) dizem respeito a práticas dos agentes de tratamento, não guardando relação com o titular.
Partimos agora a análise dos arts.15 da LGPD. O inciso I traz duas situações: o cumprimento da finalidade e a perda da necessidade do dado coletado. A primeira remete diretamente ao art.6º, I, onde se localiza o princípio da finalidade.4 Uma vez alcançado o fim a que se deseja o tratamento, não sendo os casos de serviços e produtos entregues com periodicidade, como a newsletter no e-mail, não há mais resguardo para o tratamento. O segundo caso é quando o dado tido como necessário perde essa característica, assim, em respeito ao princípio da necessidade (art.6º, II), segundo o qual o tratamento ficará adstrito “ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”, deverá o seu respectivo descarte. Note-se que ele foi inicialmente tido como relevante, mas perdeu sua característica no decorrer do tempo, diferente do dado coletado que de antemão se mostra incompatível com a finalidade apresentada ao titular.
O inciso II traz a questão do lapso temporal. Sobre estabelecer prazo para o tratamento, vale destacar as observações do Considerando 39 da GDPR, o qual estabelece que para a adequação e pertinência dos dados ao necessário, o responsável não só deverá assegurar um prazo de conservação limitado ao mínimo, mas também “deverá fixar os prazos para o apagamento ou a revisão periódica”.5 Impõem-se aqui um ponto de atenção aos agentes de tratamento: não especificar aos titulares o prazo pelo qual o dado será tratado, salvo motivo justificado, pode causar transtornos, pois afeta a compreensão das intenções do agente de tratamento, culminando ainda em possível fuga ao princípio da transparência, conforme art.6º, VI.
O inciso III expressa a revogação do consentimento, nos remetendo às bases legais dos art.7º, I e 11, I, caracterizado como um dos direitos dos titulares, expresso no art.18, IX. Cunhado como manifestação livre, informada e inequívoca, o consentimento fica intimamente ligado à vontade do titular, permitindo exercer a revogação de forma fácil e gratuita, conforme art.8º, §5º. É de suma importância que o caminho para a revogação não seja exaustivo, existindo ainda recomendação de não enviar mensagem apelativa ao titular, tentando persuadi-lo que seria melhor manter o tratamento do que requerer seu término.6 Como bem lembra a parte final do art.7º, 3 da GDPR: “O consentimento deve ser tão fácil de retirar quanto de dar”.
Como última hipótese, há a violação da LGPD pelo agente e posterior determinação do término pela ANPD. É certo que nem todos os casos receberão, como primeira reprimenda, a eliminação dos dados, suspensão parcial ou proibição total do tratamento. As sanções impostas pela autoridade nacional deverão, conforme art. 52, §1º, respeitar procedimento administrativo que garanta o contraditório e a ampla defesa, sendo aplicadas de forma gradativa, isolada ou cumulativa. Também serão analisados vários parâmetros e critérios do §1º. A título de exemplo: a gravidade e a natureza das infrações e dos direitos pessoais afetados (inciso I), a reincidência (V), a adoção de política de boas práticas e governança (IX) e a pronta adoção de medidas corretivas (X).
Não há, contudo, impedimento ao titular de exercer por conta própria esse direito quando a LGPD for violada. É possível, conforme art.18, IV, frente a dados desnecessários, excessivos ou tratados em desconformidade, requerer a anonimização, bloqueio ou eliminação. Pode ainda o titular, nos casos de dispensa do consentimento, opor-se ao tratamento quando identificar a contrariedade à lei, (§2º).
Como último ponto, há o art.16 da LGPD, dispondo sobre dois pontos centrais: 1) imposição aos agentes que, após o término do tratamento, os dados sejam eliminados, “no âmbito e nos limites técnicos das atividades” (art.16, caput); e 2) a conservação desses apenas nas hipóteses previstas: para cumprimento de obrigação legal ou regulatória pelo controlador (I), estudo por órgão de pesquisa (II), transferência a terceiro que respeite os requisitos da lei (III), e uso exclusivo do controlador, vedado seu acesso por terceiro (IV). Essas hipóteses sopesam demais regulações e obrigações a que os agentes de tratamento por vezes possam estar submetidos, as quais demandam a guarda dos dados para fins específicos.
Vale lembrar: a depender da quantidade de dados, da categoria (comuns ou sensíveis), da idade dos titulares e dos meios utilizados para tratá-los, como técnicas de perfilamento (profiling), criando um perfil e partir dele traçar “um quadro de tendências de futuras decisões, comportamentos e destino de uma pessoa ou grupo”,7 a atividade de tratamento pode se tornar de alto risco aos titulares. Assim, respeitar a finalidade almejada, garantir a minimização dos dados e eliminá-los não só é medida que respeita a lei, mas que também mitiga os riscos e possíveis danos individuais e coletivos.
____________________
Referências
________________________________________
1. Já é possível encontrar a GDPR traduzida em português. Para tanto confira-se: https://bit.ly/3nyZfi7. Acesso em: 27 out. 2021.
2. O art.17 da GDPR, seja na versão em inglês ou em português, inaugura o tema como “Direito ao apagamento dos dados («direito a ser esquecido»)” e “Right to erasure (‘right to be forgotten’)”
3. GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau. Término do Tratamento de Dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p. 227.
4. Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
5. Segundo trecho do Considerando 39: “Os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados. Para isso, é necessário assegurar que o prazo de conservação dos dados seja limitado ao mínimo. Os dados pessoais apenas deverão ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. A fim de assegurar que os dados pessoais sejam conservados apenas durante o período considerado necessário, o responsável pelo tratamento deverá fixar os prazos para o apagamento ou a revisão periódica.”
6. PALMEIRA, Mariana de Moraes. Facilite a saída – e sem gracinhas por favor. 21 maio 2021. Instagram: @marianampalmeira. Disponível em: https://bit.ly/3CpeujX. Acesso em: 27 out. 2021
7. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2. Ed. São Paulo: Thomson Reuters Brasil, 2019, p.151.