Na era digital, o que significa privacidade? Em um mundo em que praticamente qualquer informação está a apenas alguns cliques de distância, os dados — inclusive, e talvez principalmente, os pessoais — tornaram-se um recurso de valor imensurável para as empresas de todos os setores.
Na busca por proporcionar mais controle por parte dos indivíduos sobre as suas próprias informações, a Lei Geral de Proteção de Dados (LGPD) regulamentou um conceito que já havia sido previsto no Marco Civil da Internet: o direito à eliminação de dados.
Assim, as regulamentações preveem que o titular (indivíduo a quem os dados pertencem) pode, a qualquer momento, solicitar que o controlador (empresa ou organização que, para seus fins, armazena e utiliza esses dados) elimine essas informações de seus sistemas.
Mas o que isso quer dizer exatamente sobre o armazenamento e uso de dados dos clientes por parte das empresas? E por que o direito à eliminação é tão significativo? Entenda agora o contexto que levou ao estabelecimento da regra e a importância de deixar o indivíduo no controle de seus próprios dados.
O que você vai conferir:
O que a LGPD diz sobre o direito à eliminação de dados
O direito à eliminação de dados aparece no artigo 18 da Lei Geral de Proteção de Dados, que estabelece que o titular pode solicitar ao controlador, a qualquer momento e mediante requisição, entre outros:
- acesso aos dados tratados pelo controlador;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade com a LGPD;
- portabilidade dos dados a outro fornecedor de serviços ou produtos;
- revogação do consentimento;
- eliminação dos dados pessoais tratados com o consentimento do titular.
O item, entretanto, tem uma ressalva: o artigo 16 lista uma série de hipóteses em que a eliminação dos dados pessoais não precisa ser atendida. Os casos excepcionais são:
- cumprimento de obrigação legal ou regulatória pelo controlador;
- estudo por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais);
- uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Ou seja, desde que o controlador comprove que não vai vincular o nome do indivíduo aos dados armazenados, e que estes não serão utilizados ou passados para quaisquer outras organizações, é possível entrar em uma exceção quanto ao pedido de exclusão dos dados.
Como tratam-se de casos excepcionais, essas situações em que a exclusão não é exigida devem ser controladas pela Autoridade Nacional de Proteção de Dados (ANPD), prevista na LGPD e constituída em dezembro de 2018 por meio da Medida Provisória nº 869, que também adiou a entrada em vigor da Lei para agosto de 2020.
Além disso, também é permitida a permanência dos dados, mesmo em caso de solicitação de exclusão, quando eles forem necessários para o cumprimento de obrigações regulatórias ou legais do controlador. Dessa forma, a LGPD garante que as empresas não serão prejudicadas em processos de compliance, por exemplo, em que precisem manter registros completos dos dados de seus clientes.
O que o direito à eliminação de dados significa para seu negócio
Na União Europeia, a General Data Protection Regulation (GDPR) foi anunciada em abril de 2016 e entrou em vigor em maio de 2018. Ao longo desses dois anos, muitas organizações se prepararam, mas outras tantas chegaram ao fim do prazo sem terem estabelecido processos bem definidos para o cumprimento da lei.
Três meses depois da entrada das normas em vigor, uma pesquisa da Talend mostrou que 70% das empresas não estavam em compliance. Entre elas, há as que escolheram não cumprir determinados preceitos da GDPR, como o direito à eliminação de dados (ou right to erasure). Se os dados são alguns dos maiores ativos de um negócio, vale mais a pena apagá-los ou arcar com as multas decorrentes do não cumprimento da lei?
A resposta, é claro, é que a multa cobrada em cima da GDPR — ou da LGPD, no Brasil — não é a única perda de uma organização que escolhe não ser compliant com a exigência do direito à eliminação de dados.
Colocar o usuário no controle de seus dados pessoais, permitindo inclusive que o indivíduo requisite a exclusão deles do banco de dados de uma empresa, é uma das respostas a uma tendência mundial de valorização da privacidade. Diante do risco de vazamento dessas informações — inclusive por organizações como o Facebook, que lidam com quantidades imensas de dados pessoais —, as pessoas preocupam-se cada vez mais com esse tema.
Portanto, ignorar a cláusula de direito à eliminação de dados representa não apenas uma multa aplicada pela Autoridade Nacional, mas também um prejuízo significativo à imagem e à reputação da empresa diante da sociedade e do mercado.
Considere, por exemplo, as ações do Facebook. Elas acumularam uma queda de 38% entre 25 de julho de 2018, quando registraram o valor recorde de US$ 218,62, até o final daquele ano. Isso levou Mark Zuckerberg, pela primeira vez em mais de dois anos, a interromper a venda de ações no último trimestre de 2018.
Assim, estrategicamente falando, é mais interessante ter cuidado em seguir os devidos compliances e, enquanto isso, elaborar maneiras de lidar com possíveis contratempos. A tomada de algumas decisões pode não ser tão simples caso a empresa não tenha acesso ao perfil e ao histórico completo de todos os seus clientes, mas coletar dados sem solicitar ou sem explicar a finalidade do armazenamento, além de negar-se a excluir dados quando solicitado, resulta em prejuízos e danos ainda mais significativos.
A obrigatoriedade de ter o consentimento do usuário
Ainda em 2014, o Marco Civil da Internet estabeleceu que dados pessoais de indivíduos só podem ser coletados e utilizados de acordo com as finalidades acordadas no momento da coleta. Nesse sentido, a LGPD formaliza a cláusula, já que a regulamentação anterior havia reforçado a necessidade de uma lei específica para a gestão de dados pessoais.
O direito à eliminação de dados está alinhado à obrigatoriedade de ter o consentimento do usuário a todo momento, para quaisquer movimentações de suas informações pessoais. Por isso, outra cláusula da Lei Geral de Proteção de Dados exige a apresentação de informações claras e acessíveis sobre quais dados estão sendo colhidos e por que — a partir de agosto de 2020, apenas os tradicionais termos de uso não serão mais suficientes.
Dessa forma, passa a ser entendido que é de interesse da empresa ter a certeza de consentimento do usuário, não cabendo mais à pessoa ir atrás de informações relacionadas ao uso de seus dados pessoais por parte da organização. Isso segue também a tendência do Privacy by Design, que determina que qualquer produto ou serviço deve ter a privacidade presente desde a sua concepção e, também, como padrão de configuração.
O primeiro descumprimento da GDPR foi identificado em janeiro de 2019, quando o Google foi multado em 57 milhões de dólares pela Comissão Nacional de Informática e Liberdade (CNIL), um órgão independente da França que regulamenta questões de privacidade.
A CNIL argumentou que o Google deixou de esclarecer totalmente como a informação pessoal de seus usuários é coletada e o que a empresa faz com elas. Além disso, também não foi solicitado consentimento para a exibição de anúncios personalizados.
A importância de mapear as informações pessoais dos clientes
A partir da requisição de um indivíduo para que seus dados sejam excluídos dos sistemas de uma empresa, a organização tem 30 dias para obedecer — e comprovar. Mas como fazer isso se você tiver uma base de dados descentralizada e pouco organizada?
Uma empresa é composta por diferentes funcionários em inúmeros setores e, muitas vezes, cada um deles tem uma base de dados única, que podem até terem sido desenvolvidas por profissionais distintos. Uma equipe precisa saber o cargo do cliente, enquanto outra está mais interessada no histórico de compras dele. Como mapear e gerenciar tudo isso?
No que diz respeito aos dados em si, as formas com que eles são armazenados também podem dificultar a identidade exata do nome do indivíduo a que eles pertencem — uma medida tomada, muitas vezes, justamente para proteger a privacidade do usuário.
Portanto, o direito de solicitar a eliminação de informações pessoais exige que as empresas mantenham seus bancos de dados altamente organizados e, também, que permitam a determinação de a quem eles pertencem. Dessa forma, é possível obedecer à exigência e também às regras relativas à divulgação do ocorrido.
Isso também é imprescindível para que seja possível identificar situações em que os dados realmente não podem ser excluídos, como para fins de cumprimento de outros compliances e demais obrigações regulatórias.
A relação com o direito ao esquecimento
Indo para além do escopo do armazenamento e uso interno dos dados dos usuários, o direito à eliminação de informações pessoais conecta-se ainda ao direito ao esquecimento (ou right to be forgotten). Presente na GDPR, a cláusula não foi seguida pela LGPD, mas pode ser entendida como um desdobramento do direito à privacidade garantido a cada indivíduo.
O direito ao esquecimento atua sob o entendimento de que indivíduos não precisam permanecer vinculados a informações sobre eles que não são completas ou verdadeiras, ou que não são mais consideradas relevantes.
O Google também teve problemas nesse sentido. Em abril de 2018, a empresa perdeu uma ação e foi obrigada a remover informações sobre um empresário britânico que, há mais de uma década, ficou preso por seis meses após ser condenado por “conspirar para interceptação de comunicações”. O juiz determinou que os links com informações referentes a isso haviam se tornado desatualizados e irrelevantes, não mais sendo de interesse legítimo dos usuários para justificar a continuidade da indexação no buscador.
Outra batalha diz respeito ao fato de que, como a questão é regulamentada pela GPDR, a obrigação de cumprir o direito ao esquecimento dá-se apenas dentro da União Europeia. A CNIL tentou expandir a cláusula em escala mundial sob a justificativa de que é muito fácil burlar a localização de um usuário via VPN, o que prejudicaria o propósito da cláusula.
Porém, o Tribunal de Justiça da UE votou contra essa expansão, fazendo com que o direito ao esquecimento continue operando somente dentro do território do grupo. Para garantir que links cuja exclusão foi solicitada possam ser acessados ao redor do mundo, mas não dentro da União Europeia, o Google implementa mecanismos de geolocalização com uma eficácia de 99%.
Como mostramos, o direito à eliminação de dados está diretamente conectado à crescente valorização da privacidade e do controle sob seus dados por parte dos indivíduos. Isso faz parte de um contexto maior, que levou à implementação da LGPD e que reforça a necessidade de a sua empresa agir sempre em conformidade e com o consentimento do usuário.
As soluções da idwall ajudam sua empresa a garantir o compliance e a segurança de dados. Entre em contato com um de nossos especialistas pelo formulário abaixo e entenda melhor:
