Apesar de a Lei Geral de Proteção de Dados Pessoais ter um caráter objetivo, de proteção dos dados pessoais, também assegura diversos direitos aos titulares, que são destinatários e legitimados para a tutela de seus próprios dados.
Para esse fim, há um capítulo específico na LGPD destinado aos direitos do titular (Capítulo III, com os arts. 17/22), que contém um rol de direitos assegurados no art. 18 e outros previstos em diversos dispositivos da lei.
A LGPD não foi elaborada com o intuito de impedir ou de tornar ilícito o desempenho de atividades econômicas com os dados pessoais, mas sim o de regular a licitude e os limites das operações de tratamento (e, a partir disso, verificar eventuais ilicitudes).
Os direitos do titular previstos no art. 18 da LGPD derivam diretamente do fundamento da autodeterminação informativa. O titular tem os direitos de:
- obter do controlador a confirmação da existência de tratamento (conhecimento);
- o acesso aos próprios dados pessoais (conhecimento);
- a correção de dados incompletos, inexatos ou desatualizados (boa-fé e retificação);
- a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o previsto na LGPD (interrupção e exclusão);
- a portabilidade dos dados a outro fornecedor de serviço ou produto (interrupção);
- a eliminação dos dados pessoais tratados com o consentimento do titular (exclusão);
- a informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados (conhecimento);
- a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (conhecimento, consentimento e boa-fé);
- e a revogação do consentimento (consentimento e exclusão) (art. 18, I a IX, da LGPD).
O primeiro dos direitos citados, de confirmação da existência de tratamento, garante ao titular o direito de saber se determinada pessoa coletou, armazena ou realiza qualquer atividade de tratamento com seus dados pessoais (art. 18, I, da LGPD).
Existe atualmente um descontrole informacional, porque os titulares não sabem com quem estão os seus dados pessoais e que atividades são realizadas com eles.
Por isso, a LGPD prevê que o titular tem o direito de obter do controlador informações sobre a existência – ou não – de alguma atividade de tratamento dos seus dados pessoais. Recorda-se que o mero armazenamento dos dados já caracteriza uma operação de tratamento (art. 5º, X, da LGPD).
Antes da LGPD entrar em vigor, já existiam leis no Brasil que impunham ao controlador a comunicação inequívoca do titular sobre o início do tratamento de seus dados pessoais (em especial, o art. 43, caput e § 2º, do Código de Defesa do Consumidor, e o art. 4º, § 4º, I a III, da Lei do Cadastro Positivo), ou seja, quando o consentimento não for utilizado como a base legal do tratamento, deve ser cumprido o direito de conhecimento do titular sobre o início do tratamento. De acordo com as regras do CDC, da LCP e da LGPD, a abertura de qualquer espécie de banco de dados ou a coleta (ou outra operação de início, como a recuperação) dos dados pessoais deve ser informada de forma clara ao titular.
Porém, quando isso não tiver sido cumprido ou quando o titular pretender a confirmação da existência de dados pessoais a ele relacionados com determinado controlador, pode pleitear a confirmação sobre a existência de tratamento.
Por exemplo, ao receber e-mail ou ligação de uma empresa, o titular pode pedir a confirmação do tratamento. A LGPD exige que a coleta ou outra atividade inicial de tratamento com uma base legal diferente do consentimento é condicionada ao conhecimento, ou seja, à informação ao titular da realização do tratamento.
Esse direito pode ser exercido pelo titular de forma autônoma (apenas com o objetivo de ter o conhecimento sobre a realização – ou não – de alguma atividade de tratamento com os seus dados) ou como um meio para o exercício de outros direitos (de acesso, correção, portabilidade, bloqueio, eliminação etc.).
Por isso, independentemente de receber qualquer tipo de contato de uma empresa (e-mail ou ligação telefônica, por exemplo) ou de justificar o motivo de seu interesse e a finalidade do exercício desse conhecimento, o titular pode pedir a confirmação sobre a existência – ou não – de operação de tratamento dos seus dados pessoais.
A partir do conhecimento de onde estão os seus dados pessoais, quem os coletou e que outras operações de tratamento realiza sobre eles (classificação, utilização, acesso, reprodução, transmissão, distribuição, armazenamento, modificação, difusão etc.), o titular pode eventualmente exercer outros direitos relativos a eles.
Por outro lado, isso impõe aos controladores o dever de registro das operações de tratamento realizadas (para provar o que foi feito com os dados pessoais) e também a existência de regras ou política de governança para o tratamento dos dados pessoais.