REALIZAÇÃO

Direito de acesso, portabilidade e eliminação de dados pessoais:

como dar efetividade aos direitos dos titulares

Pedro Nachbar Sanches

Sociedade da informação e o valor dos dados

Privacidade

https://teachprivacy.com/privacy-cartoon-know-your-data/

Casos

https://www.nytimes.com/interactive/2018/06/21/opinion/sunday/facebook-patents-privacy.html

Autodeterminação informativa

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

II - a autodeterminação informativa;

Finalidades(art. 9º, I)

Forma e duração(art. 9º, II)

Identidade e ContatoControlador(art. 9º, III e IV)

Uso Compartilhado de Dados(art. 9º, V e art. 18 VII)

Responsabilidades(art. 9º, VI)

Direitos dos Titulares(art. 9º, VII)

Informações mínimas

Consequências do não fornecimento do consentimento (art. 18 VIII).

Case

Limitação

Nenhum direito trazido pela LGPD é absoluto

Confirmação de existência

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:I - confirmação da existência de tratamento;

Acesso

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: II - acesso aos dados;

Qual o limite do acesso?

Artigo 18 § 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

Recital 63 – GDPR - Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates.

Confirmação + Acesso

Mediante Requisição(art. 19)

Simples: ImediatamenteCompleta: 15 dias(art. 19, I e II)

Formato que favoreça o acesso(art. 19, §1º)

A critério do titular:- Meio eletrônico- Impresso(art. 19, §2º)

Prazos sujeitos à regulamentação(art. 19, §4º)

Formato e Prazo

SIMPLES COMPLETA

• Conteúdo não definido

Prazo: imediato

• Origem dos dados

• Inexistência de registro

• Critérios utilizados

• Finalidade do tratamento

Prazo: 15 dias

Retificação

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: III - correção de dados incompletos, inexatos ou desatualizados;

Características essenciais

A importância dos dados dita o nível de esforço visando a qualidade – dados

Informar agentes com quem os dados foram compartilhados(art. 18, §6º) - (impossível ou esforço desproporcional)

Considerado o contexto (ex.: diagnóstico médico inicial equivocado) -

Incompletos, inexatos e desatualizados

Eliminação

Artigo 18 - IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

Artigo 18 - VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

Características

Tratados com consentimento(art. 18, VI)

Desnecessários, excessivos ou em desconformidade(art. 18, IV)

Obs.: anonimização ou bloqueio

Exceções:(art. 16)

• Obrigação legal• Estudo por órgão de pesquisa• Transferência a terceiro

(motivação)• Uso exclusivo do controlador –

conflito anonimização

Informar agentes com quem os dados foram compartilhados(art. 18, §6º) – (impossível ou esforço desproporcional)

Backups x Direito a eliminação

Backups:

- informação que, se deletada, implicará a deleção de outras pertencentes ao mesmo “lote”

Como Fazer?

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/

Soluções:

• Se não for possível a eliminação imediata, se certificar de tecnicamente colocar os dados dos backups sujeitos à eliminação “beyond use” (paralelo com papel picado)

• Condições:

- Não utilizar as informações para quaisquer propósitos;

- Não compartilhar/permitir acesso;- Garantir a segurança;- Eliminar, assim que possível.

blockchain

CNIL observes that it is technically impossible to grant the request for erasure made by a data subject when data is registered on a blockchain.

However, when the data recorded on the blockchain is a commitment, a hash generated by a keyed-hash function “state of the art”, the data controller can make the data practically inaccessible, and therefore move closer to the effects of data erasure.

https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data

Portabilidade

Artigo 18 - V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial.

Condições gerais

Tratamento embasado em consentimento ou execução de contrato(art. 19, §3º) Tratamento realizado em

meios eletrônicos

Dados fornecidos pelo titular

Incluem dados oriundos de atividades do titular (ao usar dispositivo ou serviço)

Ex.: histórico de navegação, dados locacionais, dados de consumo advindos de smart meters

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/

Condições gerais

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/

Não atinge dados adicionais (ex.: perfil)

obs.: direito de acesso

Considerar informações sobre terceiros (ex.: conta bancária conjunta)

“whether transmitting that data would adversely affect the rights and freedoms

of those third parties.”

“you may have to seek agreement from all the parties involved”

Limites

Segredo comercial e industrial(art. 18, V)

Dados anonimizados(art. 18, §7º)

Regulamentação sobre padrões de interoperabilidade(art. 40)

Responsabilidades

Medidas adequadas à assegurar a transmissão segura e a correta destinação dos dados

Alertar sobre a queda de segurança (ex.: ao prover dados ao titular)

Ao receber dados por meio de portabilidade, avaliar a necessidade e a existência de dados de terceiros

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/

Case

https://datatransferproject.dev/

Revogação do consentimento

Art. 8 - § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

Condições gerais

Mediante Requisição(art. 8º §5º)

A qualquer momento(art. 8º §5º)

Mudanças da finalidade, forma, (art. 8º, §6º)

Sem custos(art. 8º §5º)

Oposição

Artigo 18 - § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

Decisões Automatizadas

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Condições gerais

Decisões que afetem interesses(art. 20)

Limites:

Segredo comercial e industrial(art. 20, §1º)

Auditoria para aspectos discriminatórios(art. 20, §2º)

Definição de perfil pessoal, profissional, de consumo e de crédito etc.(art. 20)

Transparência:

Critérios e procedimentos utilizados(art. 20, §1º)

Exemplos

Decisões automatizadas de concessão de empréstimo

Teste de aptidão de recrutamento, que utiliza algoritmos e critérios pré-programados

Recomendações

Relatório de Impacto à Proteção de Dados:(art. 5º, XVII) - medidas para evitar erros, preconceito e discriminação

• Fornecer informações significativas sobre a lógica envolvida no processo de tomada de decisão, bem como as consequências;

• Utilizar procedimentos matemáticos ou estatísticos apropriados

• Garantir aos titulares:- Expressão de seus pontos de vista;- Explicação da decisão.

• Proteção aos dados proporcional ao risco

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/rights-related-to-automated-decision-making-including-profiling/

Case

https://www1.folha.uol.com.br/tec/2018/10/amazon-desiste-de-ferramenta-de-recrutamento-que-penalizava-mulheres.shtml

Case

The Black Box Society

O que é a “caixa preta dos algoritmos”?

Como entender, investigar ou regular mercados sobre os quais muito pouco – ou mesmo nada – é conhecido?

E se essa ignorância não for uma característica do mercado, mas sim uma estratégia deliberada para evitar qualquer tipo de regulação?

Condições Gerais

Requerimento expressoRepresentante legal(art. 18, §3º)

Direito de petição à ANPD e órgãos de defesa do consumidor(art. 18, §1º e §8º)

Impossibilidade imediata:

- Informar o agente- Razões de fato e de direito(art. 18, §4º)

Sem custos ao titular(art. 18, §5º)

Responsável deve informar imediatamente outros agentes - (impossível ou esforço desproporcional)(art. 18, §6º)

Judicialização (individual ou coletiva) - (art. 22)

Desafios

Validação da identidade

https://iapp.org/news/a/how-to-verify-identity-of-data-subjects-for-dsars-under-the-gdpr/

Validação da identidade – Como Fazer?

Prefira:

• Utilizar o mesmo método que inicialmente serviu à verificação de identidade (ex.: e-mail). Mesma regra aplicável à revogação do consentimento.

• Quanto maior a sensibilidade dos dados, maior deve ser o cuidado com a autenticação.

• Medir o conhecimento do titular sobre os dados relacionados à solicitação.

Se impossível confirmar a partir dos dados fornecidos:

• Informar imediatamente o titular.

• É preferível negar a solicitação, com base no princípio da necessidade, do que agir com excesso de zelo e coletar informações excessivas, visando a autenticação.

Desafios – gerando solicitações

Como fazer?

https://www.bbva.com/en/personal-data-protection-policy/

Encarregado

Como fazer?

https://www.commerzbank.de/portal/en/footer1/datenschutzhinweise/Datenschutzhinweise.html

Encarregado

https://www1.caixabank.es/apl/particulares/gdpr/index_pt.html

Como fazer?

Desafios – gerindo solicitações

MUITO OBRIGADO!