LGPD: o que é revogação do consentimento e como proceder na sua empresa quando ele for solicitado
De acordo com a Lei Geral de Proteção de Dados, a LGPD (Lei n. 13.709/2018), em vigor desde setembro de 2020, as empresas podem realizar o tratamento de dados de pessoas naturais (nome, RG, CPF, e-mail, endereço, telefone e outros dados) de acordo com algumas bases legais, como, por exemplo, para:
- quando houver o consentimento do titular, que deve ser concedido de forma livre, informada, inequívoca, para uma finalidade determinada e que possa ser comprovada;
- cumprir obrigação legal ou regulatória;
- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais e os dados não sejam sensíveis (sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural);
- para a proteção do crédito.
Por tratamento, entende-se qualquer atividade realizada com dados de pessoas naturais (não pessoas jurídicas), tais como:
- armazenamento;
- arquivamento;
- classificação;
- coleta;
- comunicação;
- controle;
- distribuição;
- eliminação;
- extração;
- modificação;
- processamento;
- produção;
- reprodução;
- transferência;
- transmissão;
- utilização;
- e outras.
Se o tratamento dos dados pessoais estiver baseado no consentimento, o titular tem o direito de revogá-lo a qualquer momento em que terminar o seu interesse ou disposição em ter seus dados no banco de dados de uma empresa. Ou, se sentir que os dados não estão sendo usados da maneira previamente informada (no que se refere à finalidade, forma e duração do tratamento de dados).
O consentimento também pode ser revogado se houver mudanças da finalidade, forma, compartilhamento com outras empresas ou duração do tratamento de dados pessoais, e se tais mudanças não forem compatíveis com o consentimento original. Nesses casos, o titular deve ser previamente informado sobre as mudanças.
Portanto, a revogação do consentimento, nos termos da LGPD, é um direito do titular de dados, que pode ser solicitado a qualquer tempo, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, sendo válidos os tratamentos realizados anteriormente à revogação.
Como seria esse procedimento?
O titular dos dados pode entrar em contato com a empresa por telefone ou e-mail, requerendo a revogação do consentimento e a eliminação dos seus dados, por exemplo. Ou, ainda, a empresa pode disponibilizar uma seção própria no seu site (com um formulário ou botão de contato), uma linha telefônica de atendimento, ou direcionar o titular a um departamento ou pessoa especializado (podendo ser o Encarregado pelo Tratamento de Dados Pessoais, nos termos da LGPD) quando a empresa for procurada presencialmente. A LGPD não especifica os meios de disponibilização da possibilidade de revogação do consentimento; apenas determina que o procedimento deve ser facilitado e sem custos.
E como a empresa deve responder?
A empresa é obrigada a atender à solicitação do titular dos dados, sempre que não tiver outra base legal para o tratamento.
O departamento especializado da empresa deve estar preparado para atender essa solicitação e excluir os dados da sua base de dados.
Este procedimento é relativamente fácil para as empresas que utilizam softwares de CRM (gestão de relacionamento com o cliente) ou para LGPD (que faz a gestão dos consentimentos e cookies), pois a exclusão e desativação de envio de comunicações ao titular pode ser feito pelo sofware.
Já as empresas que usam sistemas digitais próprios, inclusive sistemas manuais (planilhas de Excel etc), precisam deletar os dados diretamente, inclusive, certificando-se de que todos os funcionários e departamentos da empresa (comercial, jurídico, financeiro, marketing) não tenham mais acesso a esses dados.
Por fim, no que se refere aos dados tratados por meio de documentos físicos, esses documentos precisam ser descartados.
Admite-se que a empresa solicite a confirmação de alguns dados ou informações para proceder à eliminação dos dados, mas é importante que estas providências não imponham demora no procedimento.
Os métodos acima mencionados são meramente exemplificativos e não equivalem a orientação jurídica personalizada. Este é um artigo de teor informativo.
Busque assessoria jurídica especializada para preparar a sua empresa para a LGPD.