Direito de ser esquecido: explicado

O “Direito de ser Esquecido” (RTBF, na sigla em inglês) é um elemento-chave do novo Regulamento Geral de Proteção de Dados da União Europeia (GDPR), mas o conceito é anterior à legislação mais recente em pelo menos cinco anos. Ela abrange os direitos dos consumidores de solicitar que todos os dados pessoais mantidos pela empresa – ou o “controlador” em linguagem GDPR – sejam removidos mediante solicitação. Mas vai além: as regras GPDR dizem que os mecanismos de busca (como o Google) precisam excluir referências a dados pessoais que surgem publicamente nos resultados de pesquisa.

Em outras palavras, os consumidores têm o direito de manter sua privacidade na Internet. No Brasil, uma das principais diferenças entre a Lei Geral de Proteção de dados (LGPD) e a GDPR é a ausência de artigos específicos que tratem do “direito ao esquecimento” na lei brasileira. Entretanto, isso não significa que as empresas não precisem se preocupar com o assunto. Mesmo que não conte com uma regra específica, o LGPD deixa claro que as empresas só podem usar os dados do usuário enquanto eles forem necessários e, caso não o sejam, não podem mantê-los. Ou seja, as empresas vão precisar de controles que possibilitem a configuração de regras que permitam esse tipo de tratamento de dados.

Direito a ser esquecido
O RTBF, como conceito, surgiu da longa crença de que após um determinado período de tempo, o passado de uma pessoa não deve ser considerado quando ela procura emprego. Com o advento da internet e dos mecanismos de busca indexados, como o Google, esses registros se tornaram mais acessíveis.

Parada para uma rápida lição de história: Em 2014, o judiciário espanhol decidiu a favor do esquecimento no caso  Mario Costeja Gonzáles. O caso girou em torno de um anúncio em um jornal divulgando uma venda forçada,  necessária para liquidar uma dívida previdenciária em 1998. Em 2009, Costeja contatou os jornais solicitando a exclusão do conteúdo. O jornal negou o pedido, uma vez que era uma publicação ordenada pelo governo e Costeja entrou em contato com o Google Espanha para remover o resultado da pesquisa.

Por fim, os tribunais da EU decidiram que o Google precisava remover os resultados da pesquisa, mas – e isso é importante – o jornal não precisou remover o artigo original. A decisão estabeleceu efetivamente a precedência e validou o RTBF como lei, com várias ressalvas.

Posso pedir para uma empresa excluir meus dados?

Em geral, se você estiver em uma jurisdição onde o RTBF ou leis semelhantes existam você pode enviar uma Solicitação de Acesso a Assunto de Dados (DSAR) para remover ou solicitar quais dados pessoais a empresa armazenou. Isso não significa que o controlador vai ou deve atender a cada solicitação. Existem diferenças legais entre dados públicos, privados e errados a serem considerados.

Especificamente falando sobre a lei brasileira, é fundamental, para as empresas,  mantrem um processo específico para a necessidade de excluir dados que não estão mais em uso. Da mesma forma, como a lei exige que os dados só sejam utilizados sob consentimento do usuário, as empresas devem oferecer mecanismos para que esse consentimento seja revogado e, com isso, os dados sejam excluídos. Além disso, o usuário pode, a qualquer momento, solicitar a exclusão de seus dados ou conjunto de dados armazenados.

Quando o direito de ser esquecido é aplicável?
Primeiro, você precisa fazer a solicitação diretamente com o coletor de dados que contém os dados que deseja excluir. O Google tem um formulário de solicitação específico para isso, o Facebook outro, e assim por diante.

Algumas razões válidas para solicitação do RTBF incluem:

  • Existem dados na Internet antigos e desatualizados ou que, de outra forma, não são relevantes no momento
  • O titular dos dados decide que o controlador não tem mais o direito de acessar seus dados, e os dados não estão em domínio público
  • Alguém roubou os dados ou os alterou
  • Um juiz ou outro órgão judicial considerou que esses dados devem ser excluídos

Existem exceções ao direito de ser esqueido?

São várias as exceções ao RTBF:

  • Os dados devem estar disponíveis devido à liberdade de informação ou expressão
  • Os dados são parte de um procedimento legal ativo ou recente
  • Os dados são importantes para a saúde pública
  • Os dados devem ser arquivados para o interesse público porque são significativos para pesquisas cientificas e históricas

Na maior parte, as exceções ao RTBF giram em torno do interesse público, liberdade de expressão e liberdade de informação.

Controvérsias sobre o direito de ser esquecido
Não surpreendentemente, o RTBF é controverso com argumentos convincentes em ambos os lados da questão. Por um lado, você tem o direito individual à privacidade e, por outro, tem liberdade de expressão e liberdade de informação.

No caso Costeja, mencionado anteriormente, essa linha era o resultado da pesquisa. A informação factual que Costeja vendeu a propriedade para liquidar a dívida é uma questão de registro público e não deve ser excluída da internet. No entanto, os tribunais ordenaram que o Google excluísse e suprimisse o resultado da pesquisa vinculado à informação pública que Costeja vendeu a propriedade. A decisão diz que desde que Costeja reembolsou a dívida há muito tempo, os resultados da pesquisa são “inadequados, irrelevantes ou excessivos”. O tribunal concedeu o RTBf a Costeja com base nesses motivos, mas parou de dizer que qualquer pedido de exclusão de dados deve ser concedido.

Recentemente, a França apresentou um caso ao Tribunal de Justiça das Comunidades Europeias, solicitando que o RTBF do GDPR se estendesse universalmente a pessoas de fora da UE. Críticos, incluindo o Google, argumentam que a decisão de estender o RTBF pode resultar em censura global e violação dos direitos de liberdade de informação.

Por outro lado, a França diz que, se o RTBF não for universal, o resultado da pesquisa do Google ainda será exibido em outros países, tornando a proteção do RTBF efetivamente inútil. Se o Google excluir o resultado do Google França, qualquer pessoa poderá usar a versão do Google dos EUA para ver o mesmo resultado.

O direito de ser esquecido vai se revelar uma regra complicada para as organizações navegarem à medida que mais diretrizes forem desenvolvidas e evoluídas. Cada organização precisa de uma estratégia para gerenciar uma solicitação RTBF com base nos dados que você salve a nas leis aplicáveis.

As empresas precisam:

  • Identificar e classificar informações de identificação pessoal em sua rede
  • Números de identificação do governo
  • Primeiro e último nome
  • Nome de solteira da mãe
  • Aniversário
  • Dados biométricos
  • Ter processos para cumprir uma solicitação de DSAR ou exclusão
  • Recuperar rapidamente uma listagem de todas as solicitações de DSAR
  • Colocar em quarentena e/ou excluir solicitações DSAR recuperadas automaticamente
  • Validar resultads
  • Arquivar DSAR concluídos para auditoria

O Varonis DatAnswer cria um índice dos seus dados e ajuda a identificar arquivos que contêm identificadores de dados.  Converse com um dos nossos especialistas sobre como a Varonis pode ajudar sua empresa.