Des droits renforcés pour les individus face aux entreprises

Direitos reforçados dos indivíduos contra as empresas

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO RGPD – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

As normas das sociedades democráticas devem garantir um equilíbrio entre interesses que podem ser contraditórios. A maioria dos textos importantes, no entanto, contém uma orientação — falei acima de filosofia — que favorece uma parte em detrimento de outra, seja porque a autoridade que impõe esses textos deseja dar uma nova direção, seja porque a necessidade de um reequilíbrio foi sentida após alguns desvios em uma direção, que levaram a uma relação assimétrica entre as partes. O GDPR é, sem dúvida, uma ferramenta para restaurar os direitos dos indivíduos diante de empresas todo-poderosas que não se preocupavam mais em respeitar a privacidade.  

O Capítulo III do regulamento é inteiramente dedicado aos "Direitos do titular dos dados". É o "responsável pelo tratamento" o responsável por facilitar o exercício desses direitos. Ele deve responder "o mais breve possível e, em qualquer caso, no prazo de um mês a contar da receção do pedido. Se necessário, este prazo pode ser prorrogado por dois meses, tendo em conta a complexidade e o número de pedidos" (art. 12-3). Poder-se-ia, portanto, deduzir que se dispõe de três meses para responder a um pedido e que este prazo, por si só, pode dissuadir muitos requerentes. Na verdade, não; por um lado, porque esta prorrogação deve ser justificada por uma "necessidade" ou "complexidade", por outro, porque o requerente deve ser informado, no prazo de um mês, dos motivos dessa prorrogação (art. 12-3, novamente). E se o responsável pelo tratamento considerar que o pedido é infundado, cabe-lhe demonstrar essa natureza infundada (art. 12-5).

O Artigo 13 lista todas as informações que devem ser fornecidas ao coletar dados sobre um indivíduo. Trata-se de um desenvolvimento revolucionário: não podemos aceitá-lo sem antes fornecer garantias de integridade em relação às disposições do regulamento. Ninguém poderá confiar em seu tamanho, reputação ou antiguidade para persuadir usuários da internet a se revelarem.

Portanto, a empresa deve providenciar previamente:

– a identidade e os dados de contacto do responsável pelo tratamento;

– os dados de contacto do encarregado da proteção de dados (nas estruturas onde é obrigatório, abordaremos este assunto);

– as finalidades do tratamento a que os dados se destinam, bem como a base jurídica para esse tratamento;

– os destinatários dos dados, inclusive quando estiver prevista uma transferência para um país terceiro.

Após a recepção dos dados (o texto indica “no momento de…”), devem ainda ser notificados:

– o prazo de validade;

– o direito de retificação, apagamento, limitação do tratamento, oposição ao tratamento, portabilidade dos dados (voltaremos a abordar cada um destes direitos);

– o direito de apresentar uma queixa às autoridades de controlo;

– as consequências da não disponibilização de dados;

– as consequências do fornecimento de dados, em termos de tomada de decisão automatizada ou de definição de perfis em particular.

Quando os dados não foram coletados do titular dos dados, as obrigações são as mesmas, às quais se acrescenta "a fonte de onde os dados pessoais se originam". Essa informação não é necessária quando os dados são processados para fins de arquivamento, pesquisa ou estatística de interesse público.  

Uma vez transmitidos pelo titular dos dados, os dados não lhe escapam (que mudança em relação às práticas atuais, mais uma vez). De fato, o GDPR primeiro (re)cria um direito de acesso (art. 15). Esse direito de acesso já existe na França, mas é pouco conhecido e complexo de implementar. Aqui, ele abrange todas as informações mencionadas no artigo 13. O acesso se materializa pela transmissão mediante simples solicitação: "O controlador de dados fornece uma cópia dos dados pessoais objeto de tratamento" (art. 15-3). Essa cópia é gratuita (taxas razoáveis podem ser cobradas por uma cópia adicional). Quando a solicitação é enviada eletronicamente, a resposta é fornecida no mesmo formato, a menos que a solicitação seja diferente.

Segundo direito expressamente consagrado: o direito de retificação (art. 16). Este direito diz respeito a dados imprecisos e incompletos em relação à finalidade do tratamento.

A importância do terceiro direito tornou-se gradualmente evidente ao longo dos últimos dez anos, desde o surgimento da Web 2.0 e das redes sociais. Foi, de fato, a partir dessa data que nos conscientizamos da importância dos dados e que as coleções foram organizadas e multiplicadas. Como as informações sobre nós estão em posse de mãos desconhecidas, a reivindicação pelo direito ao apagamento (ou direito ao esquecimento) tornou-se formalizada. A França tentou fazê-lo em 2010 com a adoção das Cartas sobre o Direito ao Esquecimento, mas o Facebook e o Google recusaram-se a assiná-las. Foi o Tribunal de Justiça da União Europeia que deu origem a esse direito ao esquecimento em junho de 2014, após o que os principais players digitais, incluindo o Google, tiveram que estabelecer procedimentos, incluindo a publicação de um "formulário" online, permitindo que um usuário da internet reivindicasse esse direito. Graças ao formulário, centenas de milhares de pessoas puderam ter seus resultados removidos de seus bancos de dados.

O GDPR consagra esse direito em nível europeu e o define de forma simples (Artigo 17). A pedido do titular dos dados, o controlador de dados é obrigado a apagar, "o mais rápido possível", os dados pessoais:

– se os dados deixarem de ser necessários para as finalidades para as quais foram recolhidos;

– se o consentimento for retirado;

– se houver oposição ao processamento.

O titular dos dados não precisa justificar sua solicitação. As únicas restrições a esse direito de apagamento são:

– cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro;

– o exercício de direitos legais;

– razões de arquivamento público, investigação científica ou estatística, bem como de saúde pública;

– finalmente, “o exercício do direito à liberdade de expressão e informação” (art. 17-3a). Pergunta-se o que a liberdade de expressão e informação tem a ver com isso. Os lobbies que veiculam os interesses da mídia tiveram alguma influência? Ou foi simplesmente a onipotência da mídia – tão forte quanto a dos dados – que se impôs aos redatores do texto?

Também é previsto um "direito à restrição do tratamento", em particular enquanto a exatidão dos dados estiver sendo verificada, ou quando o tratamento for ilícito, mas o titular dos dados se opuser ao apagamento (art. 18). A restrição, assim como o tratamento, deve ser notificada ao titular dos dados (art. 19).        

Com o "direito à portabilidade", o GDPR permite que um indivíduo recupere os dados que forneceu a uma organização, "em um formato estruturado, comumente usado e legível por máquina" (art. 20-1). Ele pode fazer isso para seu uso pessoal ou para transferi-los para outra organização. Ele pode até mesmo solicitar que seus dados sejam transferidos diretamente de um controlador de dados para outro. A CNIL especifica que dados que são "derivados, calculados ou inferidos", ou seja, criados pela organização, não podem ser exigidos (isso é distinto do direito de acesso). No entanto, os dados recuperados podem conter, "secundariamente", informações relativas a terceiros.

O WP29, um grupo de trabalho europeu criado ao abrigo do Artigo 29 da Diretiva Europeia de 1995, que está a trabalhar para clarificar o RGPD antes de ser transformado no Comité Europeu para a Proteção de Dados, recomenda o mecanismo de upload para a transmissão de dados no âmbito do direito à portabilidade. Em todos os casos, a disposição deve ser facilmente acessível e segura. Nenhum formato específico é indicado por enquanto, mas "o WP29 incentiva os intervenientes do setor e as associações profissionais a trabalharem num conjunto de normas e formatos interoperáveis que respeitem estes pré-requisitos do direito à portabilidade".

O controlador de dados é incentivado a comunicar claramente sobre o direito à portabilidade, a implementar um procedimento de autenticação antes de transferir os dados solicitados e a fornecer este serviço gratuitamente, a menos que a solicitação seja manifestamente infundada ou excessiva, "em particular devido à sua natureza repetitiva". Vale ressaltar que os dados transferidos sob o direito à portabilidade não precisam ser excluídos do arquivo original.

Todos têm o direito de se opor a qualquer momento (art. 21). Essa objeção pode se referir a qualquer processamento, ou mais especificamente, à prospecção (art. 21-2) e até mesmo à pesquisa científica ou histórica, "a menos que o processamento seja necessário para a execução de uma tarefa de interesse público" (art. 21-6). É concebível que esse direito seja usado principalmente para se opor a fins comerciais.

Por fim, o GDPR regulamenta a definição de perfis. “O titular dos dados tem o direito de não ficar sujeito a uma decisão baseada exclusivamente no tratamento automatizado, incluindo a definição de perfis, que produza efeitos jurídicos que lhe digam respeito ou que o afete significativamente de forma similar” (Art. 22). A definição de perfis é permitida no âmbito de um contrato ou se for baseada num acordo expresso. Nestes casos, o responsável pelo tratamento garante “a salvaguarda dos direitos, liberdades e interesses legítimos do titular dos dados”.

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT