O artigo 17 do GDPR, “o direito ao apagamento”, também conhecido como “direito ao esquecimento”, permite que os indivíduos solicitem que os controladores de dados removam os seus dados pessoais.
Mas o direito ao esquecimento envolve muito mais do que um indivíduo simplesmente pedir a uma empresa que exclua os seus dados pessoais.
Está com o tempo curto? Vá direto para:
- O que é o direito ao esquecimento? →
- Quando se aplica o direito ao esquecimento? →
- Consent Database e o direito ao esquecimento →
- Como lidar com os pedidos de “direito ao esquecimento”?
- Como faço para apagar os dados pessoais de um determinado usuário?
- Como alertar o usuário de que a solicitação foi atendida?
O que é o direito ao esquecimento?
O direito ao esquecimento aparece no artigo 17 do GDPR, afirmando que, se uma das várias condições se aplicar,
“O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada.”
*“sem demora injustificada” é considerado dentro de um mês após o recebimento da solicitação.
Além disso, o controlador de dados deve tomar as medidas adequadas para confirmar a identidade do titular dos dados por trás da solicitação.
Quando se aplica o direito ao esquecimento?
As condições específicas em que o direito ao esquecimento é aplicável são descritas no artigo 17º. Um indivíduo tem o direito de ter os seus dados pessoais excluídos se:
- Os dados pessoais não são mais necessários para os fins para os quais foram coletados ou processados.
- O titular dos dados retira o consentimento, não existindo outros fundamentos legais para o tratamento.
- O titular dos dados se opõe ao processamento (que se baseou no interesse legítimo), e não há motivos legítimos para o processamento. Isso se aplica mesmo ao usar dados pessoais para marketing direto.
- O tratamento dos dados pessoais foi feito de forma ilegal.
- Os dados pessoais devem ser excluídos para que o controlador cumpra um requisito legal sob a legislação da UE ou do Estado-Membro.
- A coleta de dados pessoais está relacionada com a prestação de serviços para a sociedade da informação.
O controlador de dados pode anular o direito ao esquecimento do usuário?
Sim, nas seguintes situações, o responsável pelo tratamento pode anular o direito ao esquecimento do utilizador:
- O processamento é necessário para exercer o direito de liberdade de expressão e informação.
- O processamento é necessário para realizar uma tarefa de interesse público, para cumprir uma exigência legal ou para que o controlador exerça responsabilidade oficial.
- O tratamento é necessário por motivos de interesse público no domínio da saúde pública.
- O processamento é necessário para arquivamento de interesse público, pesquisa histórica ou científica, ou para finalidades estatísticas.
- O processamento é necessário para estabelecer, exercer ou defender reivindicações legais.
Além disso, se uma organização puder demonstrar que uma solicitação de exclusão de dados pessoais não foi razoável ou incorreta, a empresa pode exigir uma “taxa razoável” ou rejeitar a solicitação.
Ao exercer o direito do usuário de ser esquecido, muitos fatores estão em jogo e cada solicitação precisa ser avaliada individualmente.
Consent Database e o direito de ser esquecido
Por motivos de conformidade, a prova de consentimento dos usuários e quaisquer retiradas devem ser armazenadas no painel da Consent Database. No entanto, o responsável pelo tratamento de dados que receba um pedido para exercer o direito ao esquecimento deve considerar cada pedido individualmente.
Para que todas as operações de processamento de dados sejam realizadas com base legal no consentimento, o controlador de dados deve acompanhar a prova do consentimento obtido.
Por outro lado, os usuários têm o direito de revogar qualquer consentimento prévio que possam ter dado para o processamento dos seus dados pessoais.
Com a ajuda da Consent Database, é possível gerenciar o consentimento do usuário e manter os registros de consentimento necessários ao GDPR.
Em primeiro lugar, cabe ao controlador de dados determinar se um pedido de remoção de dados pessoais deve ser realizado. O responsável pelo tratamento deve responder ao pedido no prazo de um mês e comunicar a respetiva decisão:
- se a avaliação efetuada apontar para o fato do pedido ter de ser processado (aplica-se uma das situações especificadas listadas no artigo 17º do GDPR); ou
- se a conclusão for de que o pedido não pode ser realizado por um determinado motivo. Nesse caso, o controlador de dados também precisa comunicar por que a solicitação não pôde ser atendida.
Suponha que o resultado da avaliação do controlador de dados indique que é necessário remover os dados pessoais mantidos na Consent Database. Nesse caso, a iubenda estará disponível para ajudar com os detalhes técnicos.
No entanto, o controlador de dados precisará fazer uma chamada de API para registrar a exclusão se quiser avançar com uma solicitação para exercer o direito ao esquecimento. Lembre-se de que o controlador de dados precisará modificar a chamada da API para incluir os dados pessoais relevantes.
Veja este exemplo abaixo:
curl --location --request POST 'http://consent.iubenda.com/consent' --header 'Content-Type:application/json' --header 'ApiKey:YOUR_PRIVATE_API_KEY' --data-raw '{
"subject":{
"id":"subject_id"
},
"preferences":{
"preferencel":"false",
"preference2":"false",
"rightToBeForgotten":"true"
},
"proofs":[
{
"content":"The user requested to be forgotten,and this is the proof of it"
}
]
}
'O controlador de dados pode usar o mesmo método de comunicação que o usuário usou para expressar a solicitação. Por exemplo, se o usuário comunicou a solicitação com um endereço de e-mail, o controlador de dados pode usar esse mesmo endereço de e-mail para entrar em contato com o usuário.
Se você precisar de ajuda para exercer o direito ao esquecimento do seu usuário, não hesite em entrar em contato com a nossa equipe de suporte.