• Eduardo Natale

O que é o direito de eliminação na LGPD?

O direito de eliminação de dados pessoais é garantido pela Lei Geral de Proteção de Dados (LGPD). Às vezes, é chamado de direito ao esquecimento (right to be forgotten).


Consiste no direito do titular de ter seus dados destruídos quando (a) desnecessários, excessivos ou tratados em desconformidade com o que determina a LGPD; ou (b) são tratados com base no seu consentimento, com exceção de algumas hipóteses.


É fundamental ter em mente que esse direito não é absoluto. Na verdade, muitas vezes não pode ser exercido, porque outros direitos acabam prevalecendo.


Quanto à primeira parte (a), por exemplo, o titular tem o direito de pedir que seus dados sejam apagados quando a finalidade para a qual foram coletados não se faz mais necessária. A bem da verdade, o controlador deveria eliminar os dados quando a finalidade fosse atingida, a não ser que se enquadre em uma das exceções legais (trataremos delas a seguir).


Igualmente poderá o titular fazer esse pedido se o controlador não estiver seguindo a LGPD e estiver, por exemplo, tratando mais dados do que os necessários para o alcance da finalidade prevista. Digamos que um médico colete dados sobre a vida sexual do paciente, quando isso em nada diz respeito ao seu quadro clínico.


Quanto à segunda parte (b), sabe-se que o consentimento é uma das bases legais para o tratamento de dados. Nessa hipótese, como o titular permitiu que seus dados fossem tratados, também está no seu campo de poder decidir se o dado permanecerá ou não com o controlador ou operador.


Contudo, há várias situações em que o agente de tratamento não precisará apagá-los, mesmo se o titular pedir. Dessa forma, os dados apenas poderão ser mantidos, se for para o(a):

  1. cumprimento de obrigação legal ou regulatória pelo controlador;

  2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

  3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou

  4. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.


Muitos titulares ficaram “tranquilos” que com a entrada em vigor da LGPD, passará a ser necessário o consentimento do titular para que seus dados sejam tratados (em que pese haver outras nove possibilidades para o tratamento), bem como poderão revogá-lo.


Com a revogação, haveria em princípio a eliminação, contudo, conforme visto, a LGPD é bastante permissiva sobre essa obrigação. O agente poderá, inclusive, transferir a terceiro (3) e mantê-los para si (4).


Por isso, dentre outros motivos, é importante que a empresa esteja em compliance com a LGPD e forneça uma política de privacidade clara e inteligível, para que o titular possa tomar uma decisão informada sobre consentir ou não.


Quanto à forma, a LGPD não exige nenhuma específica para esse pedido, logo, poderá ser feito escrito ou verbalmente. E isso implica na necessidade de mecanismos na empresa para identificar e registrar tais requerimentos, mesmo que orais.


Quanto ao prazo, a LGPD não definiu um, ao contrário do que fez para o direito de confirmação de existência e de acesso aos dados. Portanto, é necessário aguardar sua definição pela ANPD. Contudo, fazendo um paralelo com a GDPR, deve ser de até 30 dias.


Você pode estar se perguntando se pode cobrar para atender esses pedidos. Afinal, essa nova obrigação imposta pela LGPD pode impactar significativamente as rotinas de trabalho, particularmente dos negócios da área da saúde, que processam uma grande quantidade de dados pessoais.


A resposta é de que não, em princípio a empresa não pode cobrar. A LGPD determina que os direitos do titular serão exercidos sem custos, de modo que esse ônus caberá ao agente de tratamento.


Contudo, acredito que essa regra será um pouco suavizada pela ANPD. É bastante razoável cobrar do titular quando, por exemplo, seus pedidos são manifestamente excessivos ou infundados, do mesmo modo que acontece na Europa, cuja lei de proteção de dados serviu de inspiração para a nossa.


Ao processar o pedido, tenha cuidado para não apagar dados pessoais de terceiros ou dados que não sejam pessoais.


Para deixar claro, o direito de eliminação abrange apenas os próprios dados pessoais. Ou seja, se o dado for de terceiro, o titular não poderá eliminá-lo (a não ser que ele tenha poderes para tanto, por exemplo, se for seu advogado/procurador).


Além disso, se o dado não por pessoal, tampouco poderá eliminá-lo. Saiba como diferenciar dados pessoais e dados não pessoais.


Por fim, uma dica: se você realizou a eliminação, deverá informar imediatamente todos os agentes de tratamento com quem você tenha compartilhado os dados, para que eles também apaguem. Somente não será obrigado se essa comunicação for impossível ou implique esforço desproporcional.



Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook