Direito ao apagamento de dados: o que diz a LGPD?

últimos artigos

Direito ao Apagamento de Dados: o que é e como funciona?

Quando uma pessoa se torna cliente de uma determinada empresa, normalmente esta possui informações sobre ele. Mas com o advento das leis de proteção aos dados o direito ao apagamento de dados ganhou força.

Afinal, o direito ao apagamento de dados pessoais é um ponto crucial que dá autonomia ao titular caso ele não queira mais que alguma organização possa tratar os seus dados pessoais.

O que é o direito ao apagamento de dados?

O direito ao apagamento de dados habilita os titulares à requerer a exclusão dos seus dados ao responsável pelo tratamento destes em determinada empresa, caso deseje.

Este termo possui uma forte ligação com o direito de ser esquecido, que é mais forte na Europa. E uma vez que ele possuía expressividade em solo Europeu, ele foi implementado primeiramente no GDPR.

Contudo, antes que a legislação fosse implementada, este tema estava ligado aos pedidos da população para que fosse feita a exclusão em diversos provedores de busca.

Isso foi tomando tal proporção que se tornou, então, um dos pontos defendidos pela lei.

Agora, mesmo sendo um ponto defendido pela legislação, vale pontuar que ela não é absoluta, possuindo então circunstâncias para que o apagamento dos dados pessoais seja feito.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Como esse direito deve ser aplicado?

Como citado anteriormente, apesar do titular das informações possuir a liberdade de solicitar a eliminação dos dados pessoais, isso não pode ocorrer a qualquer momento.

De tal forma, existem algumas situações que possibilitam que essa ação seja solicitada, sendo elas:

  1. quando os dados deixarem de ser necessários para o objetivo que fez ser necessário o tratamento destes;
  2. se o cliente retira o consentimento;
  3. caso a pessoa se oponha ao tratamento de suas informações;
  4. na condição de os dados serem tratados ilicitamente, ou seja, fora dos aspectos impostos pela lei;
  5. se os dados precisam ser eliminados para cumprir alguma obrigação jurídica.

Além disso, existe uma outra condição que diz que, caso os dados tenham sido processados a fim de oferecer serviços a uma criança, pode ser feito o pedido de que sejam apagados.

Por outro lado, uma vez que este não é considerado como um direito absoluto, a ação de deletar os dados não pode ocorrer quando:

  • os dados são cruciais para exercer um direito de liberdade de expressão e informação;
  • as informações servirem para cumprir uma obrigação perante a lei;
  • se forem necessários para colocar em prática a Autoridade Pública ou possua serventia de Interesse Público;
  • para investigações científicas, históricas ou conclusões de estatísticas.

E a última condição que impede que haja a eliminação dos dados pessoais é quando eles são necessários para exercer a defesa de um direito em processo judicial.

Agora, o pedido de eliminação pode ser feito por escrito ou então verbalmente.

E essa ação, por sua vez, pode ser feita em qualquer área da instituição que responde pelo tratamento dos dados, seja na sede ou na loja virtual, por exemplo.

De qual forma o direito ao apagamento de dados é definido pela LGPD?

A primeiro momento, este direito foi introduzido na legislação europeia de proteção aos dados que está em vigência desde 2018.

O direito ao apagamento de dados no GDPR, Regulamento Geral Sobre a Proteção de Dados na Europa, está previsto no artigo 17º da lei vigente na Europa.

Agora, tendo em vista que a Lei Geral de Proteção de Dados possui o GDPR como base, nela também se encontra o conceito de direito ao esquecimento.

Sendo assim, o inciso IV do artigo 18 da LGPD fala sobre a possibilidade de anonimização, bloqueio ou eliminação de dados.

Esta, por sua vez, cabe para informações desnecessárias, excessivas ou tratadas em desconformidade com o que está disposto na lei.

Contudo, de acordo com a legislação brasileira para a proteção de dados, apesar de não ser absoluta, ou seja, não servir a qualquer momento, essa medida é definitiva.

Em outras palavras, podemos entender que não existe volta uma vez que esta seja feita, já que não será mantido algum backup ou cópia.

De toda forma, quando as finalidades para determinadas informações colocadas pela empresa, de acordo com a lei, acabam, os dados podem ser excluídos permanentemente.

Entretanto, é válido pontuar que esse direito possui dimensões maiores do que as colocadas no inciso IV do artigo 18 da lei.

E é justamente por isso que existem as condições as quais podem ser feita essa exclusão de informações.

A finalidade é justamente a de oferecer proteção aos respectivos titulares, garantindo que suas informações não serão mantidas em mãos da empresa sem que haja necessidade real.

Acontece algo a empresa caso não respeite esse direito?

Para entender as consequências de não respeitar o pedido de exclusão de dados é necessário ter em mente o foco da legislação.

Este, por sua vez, é justamente o de garantir a segurança e proteção aos titulares, ou seja, a pessoa os quais os dados se referem.

Sendo assim, não seguir o que está escrito na lei pode ter resultados como punições de acordo com a gravidade da infração.

Uma das consequências diretas são as sanções que podem chegar até um valor de 2% do rendimento da empresa.

Contudo, esse valor não pode ser maior do que R$50 milhões, sendo esta então a quantia máxima que uma empresa pode sofrer em uma sanção.

O conceito de exclusão das informações é encaixado como um dos principais direitos do titular dos dados, sendo garantido pela lei que deve ser seguido pelas empresas.

Por isso, a principal recomendação é estar de acordo com o que a lei diz como um todo a fim de evitar as possíveis penalidades, e consequentemente prejuízos, que são:

  • multa de 2% do faturamento, até o valor máximo de R$50 milhões;
  • má reputação da empresa uma vez que a imagem fica suja;
  • perda de parceiros e até mesmo de todos os dados coletados pela empresa até então.

Sendo assim, é possível entender que respeitar o direito ao apagamento de dados é respeitar a lei, além de ser mais uma das maneiras que as empresas possuem para oferecer proteção dos dados pessoais.

Denis Zeferino
Denis Zeferino
Denis Zeferino é Data Protection Officer (DPO) certificado pela EXIN. Bacharel em Ciência da Computação e pós-graduado em Gestão de Infraestrutura de TI, Segurança da Informação e Cybersecurity. Tem mais de 15 anos de experiência, conciliando sua vida profissional entre o universo da Tecnologia e Segurança da Informação e da Educação. É membro da Associação Nacional dos Profissionais de Privacidade de Dados e dedicado a levar o entendimento da LGPD e Proteção de Dados aos alunos do Certifiquei.