Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

Direito de ser esquecido: explicado

Direito de ser esquecido: explicado
Emilia Bertolli
4 minuto de leitura
Ultima atualização 28 de Outubro de 2021

Conteúdo

    O “Direito de ser Esquecido” (RTBF, na sigla em inglês) é um elemento-chave do novo Regulamento Geral de Proteção de Dados da União Europeia (GDPR), mas o conceito é anterior à legislação mais recente em pelo menos cinco anos. Ela abrange os direitos dos consumidores de solicitar que todos os dados pessoais mantidos pela empresa – ou o “controlador” em linguagem GDPR – sejam removidos mediante solicitação. Mas vai além: as regras GPDR dizem que os mecanismos de busca (como o Google) precisam excluir referências a dados pessoais que surgem publicamente nos resultados de pesquisa.

    Em outras palavras, os consumidores têm o direito de manter sua privacidade na Internet. No Brasil, uma das principais diferenças entre a Lei Geral de Proteção de dados (LGPD) e a GDPR é a ausência de artigos específicos que tratem do “direito ao esquecimento” na lei brasileira. Entretanto, isso não significa que as empresas não precisem se preocupar com o assunto. Mesmo que não conte com uma regra específica, o LGPD deixa claro que as empresas só podem usar os dados do usuário enquanto eles forem necessários e, caso não o sejam, não podem mantê-los. Ou seja, as empresas vão precisar de controles que possibilitem a configuração de regras que permitam esse tipo de tratamento de dados.

    Direito a ser esquecido
    O RTBF, como conceito, surgiu da longa crença de que após um determinado período de tempo, o passado de uma pessoa não deve ser considerado quando ela procura emprego. Com o advento da internet e dos mecanismos de busca indexados, como o Google, esses registros se tornaram mais acessíveis.

    Parada para uma rápida lição de história: Em 2014, o judiciário espanhol decidiu a favor do esquecimento no caso  Mario Costeja Gonzáles. O caso girou em torno de um anúncio em um jornal divulgando uma venda forçada,  necessária para liquidar uma dívida previdenciária em 1998. Em 2009, Costeja contatou os jornais solicitando a exclusão do conteúdo. O jornal negou o pedido, uma vez que era uma publicação ordenada pelo governo e Costeja entrou em contato com o Google Espanha para remover o resultado da pesquisa.

    Por fim, os tribunais da EU decidiram que o Google precisava remover os resultados da pesquisa, mas – e isso é importante – o jornal não precisou remover o artigo original. A decisão estabeleceu efetivamente a precedência e validou o RTBF como lei, com várias ressalvas.

    Posso pedir para uma empresa excluir meus dados?

    Em geral, se você estiver em uma jurisdição onde o RTBF ou leis semelhantes existam você pode enviar uma Solicitação de Acesso a Assunto de Dados (DSAR) para remover ou solicitar quais dados pessoais a empresa armazenou. Isso não significa que o controlador vai ou deve atender a cada solicitação. Existem diferenças legais entre dados públicos, privados e errados a serem considerados.

    Especificamente falando sobre a lei brasileira, é fundamental, para as empresas,  mantrem um processo específico para a necessidade de excluir dados que não estão mais em uso. Da mesma forma, como a lei exige que os dados só sejam utilizados sob consentimento do usuário, as empresas devem oferecer mecanismos para que esse consentimento seja revogado e, com isso, os dados sejam excluídos. Além disso, o usuário pode, a qualquer momento, solicitar a exclusão de seus dados ou conjunto de dados armazenados.

    Quando o direito de ser esquecido é aplicável?
    Primeiro, você precisa fazer a solicitação diretamente com o coletor de dados que contém os dados que deseja excluir. O Google tem um formulário de solicitação específico para isso, o Facebook outro, e assim por diante.

    Algumas razões válidas para solicitação do RTBF incluem:

    • Existem dados na Internet antigos e desatualizados ou que, de outra forma, não são relevantes no momento
    • O titular dos dados decide que o controlador não tem mais o direito de acessar seus dados, e os dados não estão em domínio público
    • Alguém roubou os dados ou os alterou
    • Um juiz ou outro órgão judicial considerou que esses dados devem ser excluídos

    Existem exceções ao direito de ser esqueido?

    São várias as exceções ao RTBF:

    • Os dados devem estar disponíveis devido à liberdade de informação ou expressão
    • Os dados são parte de um procedimento legal ativo ou recente
    • Os dados são importantes para a saúde pública
    • Os dados devem ser arquivados para o interesse público porque são significativos para pesquisas cientificas e históricas

    Na maior parte, as exceções ao RTBF giram em torno do interesse público, liberdade de expressão e liberdade de informação.

    Controvérsias sobre o direito de ser esquecido
    Não surpreendentemente, o RTBF é controverso com argumentos convincentes em ambos os lados da questão. Por um lado, você tem o direito individual à privacidade e, por outro, tem liberdade de expressão e liberdade de informação.

    No caso Costeja, mencionado anteriormente, essa linha era o resultado da pesquisa. A informação factual que Costeja vendeu a propriedade para liquidar a dívida é uma questão de registro público e não deve ser excluída da internet. No entanto, os tribunais ordenaram que o Google excluísse e suprimisse o resultado da pesquisa vinculado à informação pública que Costeja vendeu a propriedade. A decisão diz que desde que Costeja reembolsou a dívida há muito tempo, os resultados da pesquisa são “inadequados, irrelevantes ou excessivos”. O tribunal concedeu o RTBf a Costeja com base nesses motivos, mas parou de dizer que qualquer pedido de exclusão de dados deve ser concedido.

    Recentemente, a França apresentou um caso ao Tribunal de Justiça das Comunidades Europeias, solicitando que o RTBF do GDPR se estendesse universalmente a pessoas de fora da UE. Críticos, incluindo o Google, argumentam que a decisão de estender o RTBF pode resultar em censura global e violação dos direitos de liberdade de informação.

    Por outro lado, a França diz que, se o RTBF não for universal, o resultado da pesquisa do Google ainda será exibido em outros países, tornando a proteção do RTBF efetivamente inútil. Se o Google excluir o resultado do Google França, qualquer pessoa poderá usar a versão do Google dos EUA para ver o mesmo resultado.

    O direito de ser esquecido vai se revelar uma regra complicada para as organizações navegarem à medida que mais diretrizes forem desenvolvidas e evoluídas. Cada organização precisa de uma estratégia para gerenciar uma solicitação RTBF com base nos dados que você salve a nas leis aplicáveis.

    As empresas precisam:

    • Identificar e classificar informações de identificação pessoal em sua rede
    • Números de identificação do governo
    • Primeiro e último nome
    • Nome de solteira da mãe
    • Aniversário
    • Dados biométricos
    • Ter processos para cumprir uma solicitação de DSAR ou exclusão
    • Recuperar rapidamente uma listagem de todas as solicitações de DSAR
    • Colocar em quarentena e/ou excluir solicitações DSAR recuperadas automaticamente
    • Validar resultads
    • Arquivar DSAR concluídos para auditoria

    O Varonis DatAnswer cria um índice dos seus dados e ajuda a identificar arquivos que contêm identificadores de dados.  Converse com um dos nossos especialistas sobre como a Varonis pode ajudar sua empresa.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento