13 de novembro de 2020 – A Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018) veio normatizar a proteção dos dados pessoais dos indivíduos por terceiros, sejam esses outros indivíduos, empresas ou governo, desde que com finalidade comercial e exercendo uma atividade econômica.

A LGPD brasileira é muito semelhante à lei de proteção de dados na Europa, denominada GDPR, embora existam diferenças em alguns aspectos específicos, que não são o foco desse artigo.

Dentre as diversas normas contidas na LGPD, existem diversos direitos atribuídos ao titular dos dados pessoais, sendo que um direito relevante é o direito de acesso aos seus dados, conforme preconiza o texto do Art. 9 abaixo:

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

A intenção do legislador é a melhor possível, no sentido de garantir ao titular dos dados tratados por um terceiro, o direito de saber que informações pessoais a seu respeito estão em posse daquele terceiro e com que finalidade; afinal, quem não gostaria de saber se existem dados pessoais seus em posse de alguém?!

O problema é que o mundo vive um momento singular no aumento das fraudes virtuais, ou seja, na medida em que a tecnologia se desenvolve, as técnicas utilizadas por malfeitores também se modernizam, diversificam e colocam em sério risco as empresas para cumprir o dispositivo acima, visto que podem acabar cedendo dados pessoais do suposto requerente a outra pessoa que esteja querendo se passar pelo mesmo.

Enquanto a Agência Nacional de Proteção de Dados – ANPD não começa a exercer o seu papel, especialmente de regular e regulamentar questões que necessitam de maiores detalhes, como, por exemplo, o que seria considerado aceitável por uma empresa para confirmar a identidade do requerente, a fim de certificar-se que de fato é o titular dos dados para os quais requer informação, os órgãos de controle da GDPR na Europa, vão se posicionando diante dessa questão.

Apenas nesse ano de 2020, alguns casos são certamente interessantes acerca desse direito de acesso do titular de dados em obter informações acerca de que dados pessoais seus estão sendo tratados por terceiros.

Na Holanda, o Bureau Krediet Registration – BKR limitava o acesso gratuito do titular de dados aos seus dados pessoais a uma vez por ano apenas, passando a cobrar por novos pedidos de informações do próprio titular de dados. Devido a inúmeras reclamações, a autoridade nacional de proteção de dados da Holanda – AP autuou o BKR em € 830.000.00.

Porém, um caso muito recente chamou a atenção de todos. Em 11 de novembro de 2020, na Alemanha, o órgão controlador de dados BfDI autuou a empresa de telefonia 1 & 1 Telecom GmbH, aplicando a penalidade de € 900.000,00, em virtude de quem ligasse para o departamento de atendimento ao cliente da empresa, poderia obter informações extensas sobre outros dados pessoais do cliente simplesmente informando o nome do cliente e a data de nascimento. O BfDI considerou este procedimento de autenticação como uma violação do artigo 32 da GDPR, segundo o qual a empresa seria obrigada a tomar as medidas técnicas e organizacionais adequadas para proteger sistematicamente o processamento de dados pessoais.

Após essa penalidade, a 1 & 1 Telecom tornou o processo de autenticação mais seguro, solicitando informações adicionais.

Com efeito, enquanto no Brasil, a Autoridade Nacional de Proteção de Dados não tornar mais claro que medidas de autenticação seriam consideradas seguras para viabilizar o acesso às informações solicitadas pelo requerente, um bom exemplo seria considerar as medidas de autenticação já solicitadas pelas instituições bancárias há alguns anos.

É imperioso que os colaboradores sejam treinados para direcionar os pedidos de acesso ao encarregado, a fim de que esse tome todas as medidas de autenticação necessárias para evitar a divulgação de dados pessoais a requerentes que não sejam os reais titulares, dando causa a potenciais fraudes e que haja um procedimento a ser seguido para lidar com esse tipo de pedido.

Post Disclaimer

A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.