LGPD: Como a minha empresa pode organizar o atendimento a solicitações de titulares de dados pessoais?
Aqueles que trabalham com atendimento às disposições da Lei Geral de Proteção de Dados Pessoais (LGPD) certamente já se depararam ou vão se deparar com a questão de atendimento a direito do titular.
A medida que os titulares se tornam mais conscientes sobre seus direitos, o número de solicitações realizadas face às empresas passa a aumentar.
É verdade que a primeira solicitação recebida por um DPO pode causar insegurança. Porém, somente a prática pode nos preparar para as próximas situações e nos demonstra melhorias que podem ser implementadas no processo.
Neste artigo vamos compartilhar algumas recomendações práticas que certamente auxiliarão sua empresa a atender a solicitações de titulares de maneira organizada.
Principais direito que o titular de dados pode exercer face ao controlador:
A LGPD prevê diversos direitos ao titular de dados pessoais. Por razões metodológicas, listaremos abaixo apenas aqueles previstos no art. 18 da LGPD.
- Direito de confirmar se seus dados são tratados e como são tratados pelo Controlador;
- Direito de ter acesso aos seus dados pessoais;
- Direito de solicitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
- Direito de solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Direito de solicitar a portabilidade dos dados pessoais para outro fornecedor de serviços ou produtos;
- Direito de solicitar a eliminação dos dados pessoais tratados com o seu consentimento, exceto nas hipóteses previstas em lei;
- Direito de obter informações sobre as entidades públicas e privadas com as quais o Controlador realiza uso compartilhado de seus dados pessoais;
- Direito de ser informado sobre a possibilidade de não fornecer o consentimento, sempre que este for solicitado, e sobre as consequências da negativa;
- Direito de ser informado sobre a possibilidade de revogar o consentimento dado anteriormente.
Prazo e forma de atendimento ao direito do titular:
Especificamente, a confirmação de existência ou o acesso a dados pessoais deverão ser atendidos: (i) em formato simplificado e imediatamente; ou (b) por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
Em que pese o atendimento por declaração clara e completa ser muito utilizado no mercado, a depender do volume de solicitações recebidas pela empresa, vale a pena considerar a possibilidade de apresentar esta confirmação ou providenciar o acesso em formato simplificado e imediato.
Este tipo de atendimento provavelmente dependerá da automação da resposta através do canal de solicitação utilizado pelo titular. Muitas empresas já utilizam esta forma de atendimento por meio de seus portais de privacidade ou websites.
Crie um canal para atender o titular
Este canal pode ser desde um e-mail para o qual o titular pode enviar sua solicitação, um formulário para preenchimento online ou até mesmo uma opção via SAC/URA.
Preparar um canal para recebimento destas solicitações facilitará a organização do processo interno.
Verifique a identidade do titular dos dados pessoais
Não podemos correr o risco de disponibilizar os dados pessoais de uma pessoa a um malfeitor que se passa por ela, não é mesmo?! Por esta razão, é importante incluir uma etapa de verificação da identidade do titular antes de disponibilizar qualquer informação.
Considere que eventualmente o titular pode ser representado legal, como por exemplo, a representação pelos pais no caso de crianças ou por um advogado. Neste caso, será necessário verificar se esta pessoa realmente tem poderes para representar o titular.
Crie um procedimento para confirmar se estes dados são tratados pela sua empresa e para coletar as informações que deverão ser transmitidas ao titular
Considere a possibilidade de montar um fluxograma indicando as equipes a serem envolvidas e sistemas a serem verificados de acordo com cada categoria de titular.
Por exemplo, em caso de exercício de direito por empregado, é possível que o RH tenha que ser envolvido. Já no caso de um exercício de direito por um visitante que foi ao escritório, será necessário verificar o sistema de cadastro de visitantes da portaria.
Este procedimento evitará que alguma equipe relevante deixe de ser envolvida ou um determinado banco de dados deixe de ser verificado antes de responder ao titular. Lembre-se que a declaração deve ser clara e completa se fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
Documente sua ação
Assim como qualquer processo que pode ser auditado, recomendamos que o processo para coleta dos dados e a decisão sobre a possibilidade de atender ou não a solicitação do titular seja documentado.
Existem softwares específicos que possibilitam armazenar todo o histórico do atendimento da solicitação. Porém, caso sua empresa não possua uma ferramenta desta natureza, pense na possibilidade de adaptar uma ferramenta já existente no ambiente da empresa ou apenas na rede, via física etc.
O Chenut Oliveira Santiago combina o conhecimento técnico em direito da proteção de dados pessoais com o conhecimento prático resultado de anos de atuação na área. Nossos especialistas estão à disposição para ajudar a sua empresa a se manter em conformidade.