• (48) 99928-0500
Agendar

Política de atendimento dos direitos dos titulares

A presente política visa apresentar os direitos trazidos pela Lei Geral de Proteção de Dados ”LGPD” (Lei Federal n. 13.709;2018) aos titulares de dados e auxiliar a sua empresa com o fornecimento de um guia prático para atendimento de cada desses direitos.

Antes de analisar individualmente os direitos trazidos pela LGPD, necessário observar as ponderações abaixo:

  • Entenda o papel da empresa dentro de uma determinada atividade de tratamento. Quando no papel de Controlador, a empesa tem a obrigação de dar atendimento às requisições dos titulares, tendo, portanto, uma maior carga de responsabilidade do que quando na posição de Operador, em que apenas deverá auxiliar o Controlador no atendimento destas requisições.
 
  • Verifique a identidade do titular. Deve ser estabelecido um processo interno para verificar a identidade do solicitante, haja vista que as requisições de exercício dos direitos dos titulares somente poderão ser exigidas por este próprio ou por seu representante legal.
    Como regra geral, não se deve impor dificuldades excessivas que signifiquem um entrave ao exercício dos direitos, tampouco exigir dados excessivos ou mais sensíveis do que aqueles originalmente coletados. Ainda, deve-se evitar pedir e armazenar cópias de documentos físicos.
    Assim, preferível a utilização do mesmo método que inicialmente serviu à verificação de identidade (ex.: mesmo e-mail utilizado em cadastro) e a medição do conhecimento do titular sobre os dados relacionados à solicitação. Por fim, quanto maior a sensibilidade dos dados, maior deve ser o cuidado com a autenticação.
 
  • Torne o procedimento gratuito. Não poderá haver custos atrelados ao atendimento das requisições realizadas.

  • Tempo de Resposta. A LGPD não estabelece tempo determinado de resposta geral para todos os requerimentos, mas somente para as solicitações de Confirmação de Existência e de Acesso, cuja resposta deve ser imediata, se em formato simplificado, ou em 15 (quinze) dias, quando por meio de declaração clara e completa.

  • Impossibilidade de Atender a Requisição. Considerando que os direitos trazidos pela LGPD não são absolutos, em caso de impossibilidade de atendimento da solicitação realizada, poderá haver a recusa de atendimento, mediante resposta fundamentada dos motivos. A recusa deve ser pautada pela razoabilidade e proporcionalidade do pedido em relação ao esforço para seu atendimento, além de eventual obrigação legal relacionada ao tratamento de dados pessoais do requerente. O infográfico abaixo ilustra melhor este ponto.
 
  • Informe outros Agentes. Se durante o tratamento os dados são compartilhados com outros agentes de tratamento, ao receber e dar atendimento a uma solicitação, trate de informar os demais agentes de tratamento, para que possam replicar, em seus próprios sistemas, as medidas tomadas em resposta à requisição.
 
  • Evidências. Além disso, para fins de proteção legal, é extremamente recomendável que a empresa armazene todo o histórico da solicitação, incluindo:
    Cópias das correspondências trocadas entre a empresa e o requerente e entre outras partes envolvidas; Registros de quaisquer conversas telefônicas relacionadas; Registros das decisões tomadas e respectivos racionais; e Cópias das informações efetivamente enviadas para o Titular dos dados.

Fluxo de cumprimento / Recusa à solicitação:

  • Informe outros Agentes. Se durante o tratamento os dados são compartilhados com outros agentes de tratamento, ao receber e dar atendimento a uma solicitação, trate de informar os demais agentes de tratamento, para que possam replicar, em seus próprios sistemas, as medidas tomadas em resposta à requisição.
 
  • Evidências. Além disso, para fins de proteção legal, é extremamente recomendável que a empresa armazene todo o histórico da solicitação, incluindo:
    Cópias das correspondências trocadas entre a empresa e o requerente e entre outras partes envolvidas; Registros de quaisquer conversas telefônicas relacionadas; Registros das decisões tomadas e respectivos racionais; e Cópias das informações efetivamente enviadas para o Titular dos dados.

Confirmação de existência do tratamento:

Tal solicitação tem como principal finalidade confirmar se a empresa realiza o tratamento dos dados pessoais de determinado titular. Como comentado acima, a resposta a esta solicitação deverá se dar de forma imediata em formato simplificado ou em 15 (quinze) dias em formato completo.

Na prática, pode ser que as informações fornecidas pelo titular sejam insuficientes para que se cumpra com o requerimento, sendo necessário requisitar informações mais detalhadas, implicando em alteração no tempo de resposta e no tempo de atendimento, o que deverá ser informado ao requerente.

Além disso, a LGPD prevê que a confirmação poderá ser fornecida por meio eletrônico, seguro e idôneo ou em forma impressa, cabendo ao requerente decidir o formato desejado.

Em se tratando do fornecimento de uma declaração completa, esta deverá conter, no mínimo: a indicação da origem dos dados, a inexistência de registro, critérios utilizados e finalidade do tratamento.

 

O requerimento de acesso visa a obtenção, pelo requerente, da relação de dados pessoais tratados pela empresa.
 
Para esse tipo de requisição é necessário que se verifique, primeiramente, se o solicitante forneceu todas as informações necessárias para a localização dos dados pessoais solicitados e identifique o indivíduo em seu banco de dados.
 
Caso sejam insuficientes, será necessário pedir por maiores informações acerca dos dados e tratamento que o requerente deseja acessar.
 
Logo, considerando o exíguo prazo fornecido pela LGPD para atendimento desta requisição, recomenda-se que os dados pessoais sejam armazenados em um formato que favoreça o exercício do direito ao acesso, como uma ferramenta própria para identificação de dados de titulares em todos os bancos de dados da empresa.
 
Ademais, é necessário que a instituição tome algumas precauções antes de revelar as informações solicitadas:
  1. Verificar se os dados recolhidos são, de fato, referentes ao titular e não pertencentes a outra pessoa;
  2. Remover ou anonimizar dados pertencentes a terceiros; se não for possível a remoção/anonimização ou a informação for indispensável para que o requerimento seja atendido, obter o consentimento do terceiro para expor tais dados;
  3. Não revelar dados protegidos por segredo da atividade;
  4. Não revelar informações que possam prejudicar a prevenção ou detecção de ilícitos, como por exemplo relacionados a processos de Know Your Customer (KYC);
  5. Não revelar informações relativas a assuntos jurídicos internos da instituição;
  6. Garantir que informações que possam ser consideradas desfavoráveis à instituição ou que possam ser consideradas ofensivas ao titular passem por processo de dupla revisão (idealmente com envolvimento do departamento jurídico e de Compliance e do Encarregado) antes de decidir pela apresentação ou por sua negativa.

Correção de dados incompletos, inexatos ou desatualizados.

O requerimento de correção de dados incompletos, inexatos ou desatualizados concede aos titulares o direito de corrigir dados pessoais imprecisos ou complementar dados incompletos, a depender dos propósitos do processamento.

Inicialmente, a empresa deverá levar em consideração os argumentos e evidências providas pelo titular no momento do requerimento, que comprovem a necessidade de correção, decidindo pela procedência ou não da solicitação. Durante o período de investigação da exatidão dos dados pessoais envolvidos no procedimento de retificação, é extremamente recomendável que o tratamento dos dados pessoais sob análise seja suspenso caso sua continuidade possa trazer danos ao titular.

 

Além disso, ressaltamos que a importância dos dados dita o nível de esforço visando a qualidade; ou seja, dados que são utilizados para tomada de decisões que afetam sensivelmente os titulares (ex.: análises de crédito, negação de serviços) demandam um grau de rigor maior quanto à atualização e completude.
 
Ainda, o direito à correção não se aplica a opinião técnica (conclusões e interdições que a empresa possa ter extraído dos dados), mas apenas aos dados em si.
 
Recomenda-se, ademais, uma abordagem preventiva, de forma que a instituição zele pela atualização e correção dos dados mesmo antes de qualquer solicitação por parte do titular.
Em casos de retificação de dados pessoais que tenham sido compartilhados com terceiros, sejam eles da esfera pública ou privada, será necessário que a empresa notifique referidos terceiros acerca da correção, para que esses repliquem a alteração promovida nos respectivos bancos de dados. Para tanto, recomendável que os contratos com terceiros sejam aditados para incluir esta obrigação de atualização/retificação dos dados compartilhados.

 

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.

O requerimento de correção de dados incompletos, inexatos ou desatualizados concede aos titulares o direito de corrigir dados pessoais imprecisos ou complementar dados incompletos, a depender dos propósitos do processamento.

Como mencionado, tal requerimento depende de certas circunstâncias:

  • Os dados pessoais se mostram desnecessários ou excessivos ao cumprimento das finalidades estipuladas para o tratamento;
  • Quando há o tratamento de dados pessoais de forma indevida (isto é, sem o amparo de uma base legal).
 

Caso o requerimento seja válido, dentro das circunstâncias apresentadas, a instituição deverá adotar os procedimentos técnicos cabíveis para garantir que os dados pessoais sejam eliminados, anonimizados ou bloqueados em todos os sistemas ativos, inclusive os referentes a backup.

 

A resposta ao requerimento deve ser absolutamente clara no que tange ao destino dos dados pessoais objeto da requisição de eliminação, anonimização ou bloqueio. Por exemplo, pode ser que o requerimento possibilite atendimento imediato em relação aos sistemas ativos, mas não em relação ao ambiente de backup, por determinado período de tempo até serem sobrepostos. Assim, tal circunstância técnica deve ser explicada ao titular no momento da resposta, com informações relativas e precisas sobre o tempo de armazenamento no backup e garantia de que os dados que estão no sistema não mais serão utilizados.
 
Em outras palavras, se não for possível a eliminação imediata, a instituição deve se certificar de, tecnicamente, colocar os dados sujeitos à eliminação “beyond use”, ou seja, a salvo de utilização, como se eliminados estivessem.
 
Além disso, enquanto em custódia da instituição, os dados objeto de pedido de exclusão não devem ser compartilhados ou acessados por quaisquer terceiros ou colaboradores e, preferencialmente, a segurança deve ser reforçada, até que se fê de fato a eliminação, que deverá ocorrer assim que possível.
 
Em caso de requerimentos relativos a dados pessoais que tenham sido compartilhados com terceiro, sejam eles de esfera pública ou privada, será necessário notificar referidos terceiros acerca do tratamento dado à solicitação, para que esses repliquem seus efeitos em seus respectivos bancos de dados.
 
Em casos de requerimentos relativos a dados pessoais que tenham sido compartilhados com terceiros, sejam eles da esfera pública ou privada, será necessário notificar referidos terceiros acerca do tratamento dados à solicitação, para que repliquem seus efeitos em seus respectivos bancos de dados.
 
É possível que, na prática, as informações fornecidas pelo titular sejam insuficientes para que se cumpra com o requerimento realizado. Neste caso, a instituição deverá pedir por maiores informações acerca dos dados e da operação de tratamento de que o titula discorda, além de informar o titular sobre possível alteração no tempo de atendimento da solicitação.
 
Por fim, é possível que uma solicitação de exclusão dos dados seja impossível de se executar por motivos técnicos, restando a via da anonimização ou pseudonimização. Nestas situações, a razão que levou a empresa a adotar a anonimização ou pseudonimização no lugar da exclusão deve ser razoável e satisfatoriamente explicada ao titular.

 

APLICÁVEL DIANTE DA DESNECESSIDADE OU EXCESSO DOS DADOS PESSOAIS TRATADOS OU AINDA, EM CASO DE TRATAMENTO IRREGULAR (DESPROVIDO DE BASE LEGAL).

A RESPOSTA DEVE SER ABSOLUTAMENTE CLARA QUANTO AO QUE ACONTECERÁ COM OS DADOS APÓS A ELIMINAÇÃO, ANONIMIZAÇÃO OU BLOQUEIO, INCLUSIVE EM RELAÇÃO AOS SISTEMAS DE BACKUP

ADICIONALMENTE, É NECESSÁRIO COMUNICAR TERCEIROS COM QUEM SÃO COMPARTILHADOS DADOS, PARA ELIMINAÇÃO, ANONIMIZAÇÃO OU BLOQUEIO, TAMBÉM EM SEUS BANCOS DE DADOS

Eliminação de dados pessoais tratados com base no consentimento.

O requerimento tratado nesta seção tem o mesmo conceito e princípios aplicáveis à eliminação tratada no item acima, com a ressalva de que este se aplica aos dados tratados com base no consentimento, não dependendo da constatação de que tais dados seriam desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Vale dizer que a eliminação de dados pessoais não é absoluta, podendo a empresa, dentro dos limites técnicos de suas atividades, conservar os dados pessoais quando:
1.Necessários para cumprimento de obrigação legal ou regulatória pela empresa;
2.Uso exclusivo pela instituição, desde que não sejam transferidos para terceiros e os dados sejam anonimizados ou pseudononimizados.

Em casos de requerimentos relativos a dados pessoais que tenham sido compartilhados com terceiros, sejam eles da esfera pública ou privada, será necessário que a empresa notifique referidos terceiros acerca do tratamento dado à solicitação, para que esses repliquem seus efeitos nos respectivos bancos de dados. Importante observar que é possível que, na prática, as informações fornecidas pelo Titular sejam insuficientes para que se cumpra com o requerimento, então, a empresa deverá solicitar por maiores informações acerca dos dados e do tratamento; nessas hipóteses, será necessário informar o titular sobre possível alteração no tempo de resposta.

É O DIREITO DE TER OS SEUS DADOS PESSOAIS ELIMINADOS, QUANDO TAIS DADOS SÃO TRATADOS COM BASE NO CONSENTIMENTO.

A ELIMINAÇÃO DE DADOS PESSOAIS NÃO É ABSOLUTA. É POSSÍVEL A CONSERVAÇÃO POSTERIOR, EM CASOS ESPECIFÍCOS.

É NECESSÁRIO COMUNICAR TERCEIROS COM QUEM SÃO COMPARTILHADOS DADOS, PARA QUE TAMBÉM POSSAM PROMOVER A ELIMINAÇÃO.

Portabilidade de dados a outro fornecedor de serviço ou produto.
Tal requerimento confere ao titular o direito de os dados pessoais fornecidos à instituição serem compartilhados com terceiro, em formato estruturado, de modo que este possa se aproveitar destas informações para prestação de seus serviços e/ou fornecimento de seus produtos.
 
A portabilidade de dados só pode ser requerida para operações de tratamento que tenham como base legal o consentimento ou execução de contrato.
 
Nesse sentido, há limitações em relação aos dados que serão transferidos. Por exemplo, dados relacionados a histórico de navegação, atividades de pesquisa ou dados de tráfego e localização, cujo tratamento foi consentido pelo usuário e/ ou são oriundos da atividade deste ao usar dispositivo ou usufruir de serviço, estariam sujeitos à portabilidade, enquanto que dados inferidos pelo agente de tratamento, com base em seu legítimo interesse, não estariam sujeitos à portabilidade.
 
No que tange à responsabilidade da empresa quanto ao atendimento da portabilidade, existem duas hipóteses a se considerar: a primeira como o Controlador que envia e a segunda como o Controlador que recebe os dados pessoais.
Na primeira hipótese, a responsabilidade está em transmitir dados em boa qualidade e de maneira segura, informando o titular acerca dos riscos inerentes à transferência destes dados à terceiros (como, por exemplo, o risco de queda de nível de segurança).
Na segunda hipótese, a responsabilidade está em não utilizar os dados recebidos para outras finalidades senão as originalmente informadas ao titular, cumprir com as disposições legais de privacidade e segurança e, ainda, eliminar os dados que sejam excessivos ou desnecessários para o atingimento das finalidades que motivaram a portabilidade.
 
Apesar de nenhuma legislação definir a forma de envio dos dados, o mercado tem usado comumente alguns critérios para que haja qualidade na portabilidade dos dados como:
 
1.Os dados devem ser enviados de forma estruturada;
2.Em linguagem comum e amplamente utilizada;
3.Que possam ser lidos por meio de um computador ou qualquer outra máquina padrão do mercado.
 
Revisão de decisões automatizadas

Já quanto ao formato a ser utilizado, é recomendável que a empresa faça uso de linguagens de uso comum no setor, entretanto, em caso de não haver nenhuma linguagem específica, recomenda-se a utilização de formatos abertos comuns na utilização de banco de dados, como XML, CSV e JSON.

A solicitação de que trata este tópico consiste na oportunidade do titular dos dados de contestar eventual decisões, que afetem seus interesses, tomadas pelo agente de tratamento unicamente com base em tratamento automatizado de dados pessoais.

Constituem decisões automatizadas não somente aquelas que impedem ou modulam o acesso e utilização de serviços por parte do titular dos dados, mas também aquelas voltadas à definição de perfil pessoal, profissional, de consumo, de crédito etc.
 
Quanto a tais decisões, o titular dos dados terá, também, a possibilidade de solicitar informações claras e adequadas a respeito dos critérios e procedimentos utilizados para a decisão, respeitados os segredos da atividade.
vc2-vascular-care

Florianópolis

Av. Trompowsky 291 Sl. 703

Centro - Florianópolis - SC

Cep: 88.015-300

Institucional