Skip to content
Aiqon Blog
LGPD

Direitos dos titulares dos dados: Como lidar com as requisições

Publicado

Neste artigo, exploraremos os direitos dos titulares dos dados, incluindo o que é uma requisição de acesso aos dados do titular (DSAR) e como as organizações podem lidar com essas requisições de forma eficiente para a LGPD.

Conteúdo relacionado: Satisfaça as solicitações de acesso do titular dos dados com mais rapidez e eficiência

Nesse Artigo

O que é a requisição de acesso aos dados do titular (DSAR)?

Tanto na GDPR como na LGPD, os indivíduos têm certos direitos que as organizações (controladores dos dados) devem cumprir. O DSAR é uma forma do indivíduo requisitar um ou mais desses direitos, por exemplo um direito garantido através da GDPR e LGPD ao titular de um dado é o direito de acesso aos dados, isso permite que os indivíduos tenham noção de quais dados pessoais o controlador de dados coletou dele.

Em termos simples, a Lei diz que o titular dos dados deve ter acesso aos dados pessoais coletados referentes a ele ou ela, para se manter ciente e verificar a legalidade do tratamento.

Veja o vídeo abaixo: Entenda de vez como tratar as requisições DSAR

Que ações precisamos tomar quando recebemos uma DSAR?

Um indivíduo que faz um DSAR espera receber informações sobre se você está processando seus dados pessoais, fazendo uma cópia desses dados, sua nota de privacidade e informações suplementares. Você precisa ter certeza que seus procedimentos estão prontos para endereçar o DSAR apropriadamente.

Pela LGPD, você tem até 15 dias para retornar a DSAR.

Quais dados podem ser requisitados?

A LGDP e a GDPR se aplicam a dados pessoais, qualquer dado que se relaciona ou pode ser usado para identificar uma pessoa. Exemplo podem incluir e-mails enviados entre certas pessoas durante um certo período, todo os dados de trabalho e registros de RH relacionados ao indivíduo e o registro medico dessa pessoa.

Quais dados suplementares devem ser oferecidos?

Além de uma cópia dos dados pessoais do indivíduo, as organizações devem oferecer as seguintes informações:

  • O propósito do tratamento
  • As categorias dos dados pessoais coletados
  • O destinatário ou categoria de destinatário no qual os dados pessoais são divulgados ou compartilhados
  • Por quanto tempo os dados são mantidos
  • Conselho sobre outros direitos, como o direito de se opor ao tratamento, o direito de requisitar retificação, restringir o tratamento; e o direito de apresentar uma reclamação a autoridade supervisora.
  • Onde você conseguiu os dados caso você não tenha conseguido diretamente do titular dos dados
  • A existência de tomada de decisão automática
  • As medidas de segurança oferecida por você caso você transfira os dados pessoais para um pais terceiro ou organização internacional.
Leia também:  Regulamentos de privacidade - Mudando a segurança

Conteúdo relacionado: As requisições de acesso aos dados do titular dsar

Quais direitos os indivíduos podem exercer?

A GDPR oferece oito direitos aos indivíduos, já a LGPD oferece nove direitos aos indivíduos:

Quais informações você tem de mim e por quê?

O direito de ser informado (artigo 18, I). Você deve ser honesto e claro sobre o que você faz com os dados pessoais que você coleta. Você deve responder mesmo se você não coletou dados pessoais do indivíduo que fez a requisição.

O direito de acessar (Artigo 18, II). As pessoas querem saber como os seus dados estão sendo processados, incluindo a categoria dos dados processados, o motivo do tratamento, aonde esse dado é divulgado e por quanto tempo ele será armazenado e onde a informação foi obtida.

No inciso VII do artigo 18 o titular também tem direito a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados

Você tem uma informação incorreta sobre mim, eu a quero corrigida.

O direito de retificação (Artigo 18, III). A Lei requer que as companhias garantam que os dados pessoais estejam precisos e atualizados e corrigi-los caso não estejam. Os indivíduos tem o direito de requisitar que os dados imprecisos sejam corrigidos ou que os incompletos sejam completados. Você deve fortalecer a integração através dos seus sistemas de dados e processos para garantir que os dados sejam atualizados em um sistema e atualizem automaticamente nos outros.

Eu não quero que você tenha os meus dados, por favor delete-os!

O direito de apagar (direito de ser esquecido) (Artigo 18, VI). Uma pessoa pode pedir a uma organização a remover sua informação pessoal dos registros e imediatamente cessar a disseminação dos dados.

Além disso, o inciso IV do artigo 18 garante ao titular a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei.

Eu quero transferir a informação que você tem para outro provedor de serviços.

O direito da portabilidade dos dados (Artigo 18, V). Uma pessoa tem o direito de requisitar que uma companhia mova seus dados pessoais para outro provedor e serviços. Esse direito promove a interoperabilidade facilitando a transferência dos dados do usuário entre controladores de dados. Ele também encoraja a competição entre serviços digitais, pois os usuários podem trocar de provedores sem perder seus dados pessoais.

Pare de me chamar!

O direito de se opor as atividades de tratamento de dados. (Artigo 18, IX). Os indivíduos podem pedir que as companhias parem de usar seus dados para outros propósitos a não ser que a companhia ofereça necessidade legitima para esse tratamento. Razões validas para recusar esse DSAR podem incluir uma requisição que foi excessiva ou que os dados requisitados são usados para propósitos públicos, históricos ou estatísticos ou para o exercício de reivindicações legais.

Como podemos garantir que lidaremos com o DSAR sobre a LGPD?

A melhor forma é garantir a conformidade com os direitos do titular dos dados detalhados acima é seguir as melhores práticas:

Leia também:  A LGPD chegou, e agora?

Conheça os seus dados. É essencial que você saiba precisamente que informação regulável você tem, onde elas estão, de onde vieram e com quem você compartilha e qual o propósito de processá-las. Dados pessoais podem ser armazenados em uma grande quantidade de repositórios, incluindo e-mail, computadores pessoais, armazenamentos de arquivo, bancos de dados e plataformas com base na nuvem. Se você tiver que realizar uma busca manual para cada DSAR, a um grande risco de você perder informação relevante ou falhar em cumprir com o prazo de 15 dias da LGPD.

Logo, uma solução de classificação e descobrimento de dados automatizada é um bom investimento. Essas soluções podem scanear seus repositórios de dados para dados regulados e outros conteúdos sensíveis, ordená-los em categorias e marcar cada arquivo com uma assinatura digital anotando sua classificação. Você pode usar outras marcações para personalizar sua proteção de dados de acordo com a sensibilidade dos diferentes armazenamentos de dados, e para encontrar rapidamente os dados que você precisa para cumprir com a DSAR.

DSAR LGPD

Determine a base para o consentimento de todos os dados. Uma vez que você saiba quais dados você tem, descubra por que você armazena esses dados. Ter uma documentação clara do consentimento de cada titular é crucial para armazenar e tratar seus dados. Caso você não tenha um motivo claro para armazenar um pedaço dos dados, delete-o.

Crie regras para lidar com cada tipo de dados sensíveis. Estabeleça centro de segurança de dados que te ajudarão a evitar vazamentos e violações de conformidade. Estes fluxos de trabalho devem ter como base considerações cuidadosas como: Onde cada tipo de dado deveria estar armazenado e por quanto tempo? Quem deveria ter acesso a quais dados? Como tipos específicos de dados podem ser usados?

Avalie os riscos da sua TI regularmente. Estabeleça e repita uma avaliação de risco confiável e um processo de mitigação para identificar e priorizar os riscos que ameaçam a segurança dos dados. Idealmente, você irá querer cobrir todos os riscos, mas na prática, há prioridades para proteger os dados mais importantes ou sensíveis primeiro. Atualize os direitos de acesso para ter certeza que a informação protegida está disponível apenas ao pessoal autorizado.

Atualize as suas políticas de segurança regularmente. Essas políticas são a sua evidencia de que a sua companhia está fazendo tudo para armazenar e tratar propriamente os dados pessoais dos seus clientes. Sempre que você modificar essas políticas, documente cada alteração.

Contrate um oficial de proteção de dados (DPO) caso necessário. Caso você não esteja certo sobre o gerenciamento de dados pessoais, você deve consultar ou contratar um DPO, um orientador interno ou externo que é responsável pela conformidade da LGPD.

Ofereça uma forma fácil dos usuários requisitarem uma DSAR. Diversas companhias oferecem formulários online de DSAR para garantir que as requisições vão para a pessoa correta ou departamento que contenha a informação necessária. Sem um formulário, os clientes provavelmente irão requisitar usando o primeiro endereço de e-mail que eles encontrarem, iniciando o prazo de 15 dias mesmo que o solicitante do DSAR não seja responsável por nada relacionada a conformidade da LGPD.

Use métodos seguros de autenticação. Você é obrigado a ter certeza que cada requisição é feita a partir de uma pessoa legitima, mas não faça isso requisitando dados protegidos pela LGPD que você ainda não tenha, como número de cartão de identidade, passaportes ou outros documentos oficiais. Ao invés disso, uma boa opção é verificar a requisição perguntando a pessoa para oferecer informação pessoal que você já tenha.

Conteúdo relacionado: Assista aos nossos webinars sobre LGPD!

DSAR LGPD

Artigos recomendados

Publicado

Auditoria para LGPD

LGPD A Lei Geral de Proteção de Dados, LGPD, surge como uma resposta à necessidade do Brasil de ter uma legislação para […]

Publicado

Atendendo artigos da LGPD – Artigo 48

O artigo 48 da LGPD trata da comunicação de incidentes de segurança por parte do controlador. Art. 48.  O controlador deverá comunicar […]

Comente o que achou do artigo