Entre os direitos previstos na LGPD, o titular tem o direito de saber especificamente quais são os seus dados objeto de tratamento pelo controlador (art. 18, II, da LGPD).
Isso leva ao dever do controlador de manter os dados estruturados e disponíveis para, quando for requerido, prestar essa informação de forma clara e gratuita ao titular.
O direito de acesso aos dados deixa claro que os dados pessoais pertencem a uma pessoa e são reflexos da sua personalidade, logo, podem ser verificados pelo titular a qualquer momento e independentemente da imposição de condições pelo controlador.
Uma questão que deve gerar controvérsias (e ações judiciais) diz respeito à abrangência dos dados que devem ser fornecidos pelo controlador: apenas os dados coletados do titular ou também os dados extraídos deles? Além disso, o titular tem direito de saber quais as informações que o controlador extraiu desses dados?
Recentemente, o Tribunal Regional Superior de Viena (Oberlandesgericht Wien), na Áustria, condenou o Facebook ao pagamento de uma compensação por danos morais de 500 euros e ao cumprimento de obrigação de fazer, para dar acesso completo a um usuário de todos os dados mantidos sobre ele. Ou seja, não apenas os dados dele, mas também dados do titular extraído de outras fontes (outros titulares, dados, terceiros etc.) e, além disso, de informações extraídas dos dados e para quem o Facebook as repassou. Por exemplo, a categoria “atividades fora do Facebook” contém diversos aplicativos e sites que fornecem dados para a rede social, mesmo que o titular não seja um usuário dela.
Assim, o tribunal concluiu que as ferramentas disponibilizadas pelo Facebook aos usuários não apresentam efetivamente todos os dados objeto de tratamento pela rede social.
O GDPR da União Europeia regula os direitos do titular em seu Capítulo III (arts. 12/23) e o art. 13 prevê especificamente o dever de fornecimento de dados pessoais e de informações (mas não menciona expressamente o direito de acesso às informações extraídas dos dados pessoais).
Por sua vez, a LGPD faz referência no art. 18 apenas aos dados do titular tratados pelo controlador. De outro lado, o art. 19, § 2º, da LGPD, prevê que o controlador deve fornecer “as informações e os dados” ao titular.
Assim, a LGPD não trata de forma clara o objeto do direito do titular: em princípio, tem o direito de acesso apenas aos seus dados pessoais, mas podem existir situações em que esse direito também permitirá o acesso às informações (por exemplo, para exercer o direito de revisão às decisões automatizadas, com base no art. 20 da LGPD).
De outro lado, como limite ao exercício de esse direito, as informações extraídas dos dados pessoais pelos controladores podem se enquadrar no segredo industrial ou comercial, também protegido pela LGPD (arts. 6º, VI; 9º, II; 10, § 3º; 18, V; 19, II e § 3º; 20, §§ 1º e 2º; 38; 48, § 1º, III; 55-J, II, X e § 5º).
Logo, é um assunto não regulado de forma clara pela LGPD, que poderá ser objeto de regulamentação pela ANPD e, eventualmente, será discutido em processos judiciais.
Artigo também publicado no Jusbrasil (clique aqui) e no Jus Navigandi (clique aqui).