Recentemente assistimos o aumento do fenômeno das fake news que têm suscitado grandes discussões em diversos meios sociais, principalmente no que se refere às suas consequências. As fake news são notícias falsas onde são utilizados artifícios que lhe conferem aparência de verdade. São geradas pelos meios de comunicação em massa, publicadas com o intuito de enganar, obter ganhos financeiros ou políticos. Tais notícias consistem em chamadas atraentes ou inteiramente fabricadas para aumentar o número de leitores.
Não é um fenômeno novo tendo em vista que há muito é possível observar a divulgação de notícias falsas em jornais, televisão, rádio, que posteriormente são objeto de retratação por parte dos responsáveis pelo conteúdo gerado. Apesar do alcance desses meios de comunicação em massa, esta situação ainda possibilita a averiguação de quem ou qual empresa disseminou tal informação. No entanto, a coisa toma outras proporções quando se trata da rede mundial de computadores, a Internet.
Atualidade
A evolução da tecnologia da informação, com o surgimento e o crescente uso das chamadas redes sociais, em especial, operou-se uma transformação de proporções imensuráveis nas relações interpessoais e sociais, onde qualquer informação atinge um sem número de usuários tendo em vista a liberdade que é inerente a esse ambiente virtual, o que pode gerar abusos em seus usos, dando ensejo a diversas situações que englobam desrespeito não só aos direitos individuais como coletivos.
Nesse contexto das mídias sociais, a propagação de notícias falsas ganha amplitude, gerando consequências tendo em vista não só a facilidade do seu acesso por parte de qualquer usuário, como o seu compartilhamento e o surgimento de uma quantidade enorme de sites de notícias falsas produzidas de forma anônima crescente, impossibilitando o reconhecimento dos seus autores e sua responsabilização civil, pois muitas dessas notícias propagam fatos caluniosos e difamatórios.
Pós-verdade
A relevância de notícias falsas fez com que houvesse um aumento de uma realidade política de “pós-verdade”, onde foram criados sites que se dedicam exclusivamente à averiguação da veracidade das informações publicadas no ambiente virtual, denunciando e auxiliando a detecção de falsas notícias. O fato é que a taxação de uma notícia como boato não é tão eficaz quanto o próprio boato propagado, bem como a maioria dos usuários que compartilham tais notícias falsas não verificam a veracidade das informações, gerando um movimento que se retroalimenta e de difícil controle.
Assim, a celeridade e imediaticidade propiciadas pela Internet, além de sua acessibilidade e liberdade, que fazem parte de sua essencialidade precípua, geram novas questões acerca dos riscos que seu uso pode gerar e problemas de toda a ordem no que tange à circulação de informações e seu conteúdo e que reverberam não somente na vida cotidiana como também na esfera jurídica dos chamados usuários. Este ambiente tem se mostrado um terreno muitas vezes inóspito e sem lei, onde de forma individual ou coletiva são deflagrados embates que transcendem o aspecto da liberdade de manifestação e transgridem aquilo que entendemos como direitos da dignidade da pessoa humana.
Direito à liberdade e à comunicação
Entendendo que o direito à liberdade e à comunicação devem ser respeitados, há de ser objeto de tutela também a dignidade da pessoa humana, inerente a todos os indivíduos estabelecendo limites ao exercício dessa liberdade, que tem como pressuposto de seu exercício o respeito à liberdade de outrem. Ocorre que, no ambiente virtual, medidas de caráter a coibir determinados atos pode ser tido por censura ao exercício da liberdade de expressão e acesso à informação, que constituem também direitos fundamentais e o controle estatal é tido como violação nesse ambiente, além de ser dificultada pelo próprio sistema operacional.
No âmbito legal e jurídico, observa-se uma crescente demanda referente aos problemas oriundos deste livre acesso e geração dessas informações nas quais os atores sociais ora se apresentam com emissores, ora receptores, ou vice-versa, e cujo conteúdo não se tem controle tendo em vista que pode ser alterado inúmeras vezes pelos usuários devido à velocidade de sua propagação, ensejando não apenas insegurança sobre sua a veracidade, bem como uma o seu uso indevido com cometimento de abusos que podem violar e atingir os direitos da personalidade gerando responsabilidade para aquele que comete o ilícito.
Fundamentos da teoria dos direitos da personalidade
Cumpre mencionar que os fundamentos da teoria dos direitos da personalidade se originaram e foram esquematizados com a Declaração dos Direitos dos Homens, com o advento dos direitos humanos, privilegiaram-se os direitos da personalidade que podem ser classificados como a tutela aos direitos relativos à integridade física, à integridade intelectual e à integridade moral, sendo passível de se exigir que cesse a ameaça ou a lesão ao direito da personalidade e reclamar perdas e danos, sem prejuízo de outras retirando o material do ar imediatamente, sob pena de responder solidariamente com o autor direto do dano, em virtude da omissão praticada.
No julgado ainda ficou enfatizado que ao oferecer um serviço por meio do qual se possibilita que os usuários externem livremente sua opinião, deve o provedor de conteúdo ter o cuidado de propiciar meios para que se possa identificar cada um desses usuários, coibindo o anonimato e atribuindo a cada manifestação uma autoria certa e determinada. Sob a ótica da diligência média que se espera do provedor, deve este adotar as providências que, conforme as circunstâncias específicas de cada caso, estiverem ao seu alcance para a individualização dos usuários do site, sob pena de responsabilização subjetiva por culpa in omittendo.
Rastreamento
Ainda que não exija os dados pessoais dos seus usuários, o provedor de conteúdo, que registra o número de protocolo na internet (IP) dos computadores utilizados para o cadastramento de cada conta, mantém um meio razoavelmente eficiente de rastreamento dos seus usuários, medida de segurança que corresponde à diligência média esperada dessa modalidade de provedor de serviço de internet.
Desta maneira, a natureza da responsabilidade civil por violação à honra, no caso, praticada por terceiro dependeria da atividade-fim executada pelo provedor de conteúdo e do controle de edição prévia. A partir de então, os casos análogos passaram assim a ser tratados, diante da ausência de uma lei que versasse sobre a matéria. Todavia, isso se alterou a partir do ano de 2014, através da Lei n. 12.965, que instituiu o chamado Marco Civil da Internet, que estabeleceu princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Artigos
Além da importância da normativa citada, interessa-nos aqui mencionar os seus arts. 18 a 20 que traz uma seção específica acerca da responsabilidade por danos decorrentes de conteúdo gerado por terceiro:
Art. 18. O provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros.
Art. 19. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário.
§ 1o
A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do conteúdo apontado como infringente, que permita a localização inequívoca do material.
§ 2o – A aplicação do disposto neste artigo para infrações a direitos de autor ou a direitos conexos depende de previsão legal específica, que deverá respeitar a liberdade de expressão e demais garantias previstas no art. 5o da Constituição Federal.
§ 3o – As causas que versem sobre ressarcimento por danos decorrentes de conteúdos disponibilizados na internet relacionados à honra, à reputação ou a direitos de personalidade, bem como sobre a indisponibilização desses conteúdos por provedores de aplicações de internet, poderão ser apresentadas perante os juizados especiais.
§ 4o – O juiz, inclusive no procedimento previsto no § 3o, poderá antecipar, total ou parcialmente, os efeitos da tutela pretendida no pedido inicial, existindo prova inequívoca do fato e considerado o interesse da coletividade na disponibilização do conteúdo na internet, desde que presentes os requisitos de verossimilhança da alegação do autor e de fundado receio de dano irreparável ou de difícil reparação.
Art. 20. Sempre que tiver informações de contato do usuário diretamente responsável pelo conteúdo a que se refere o art. 19, caberá ao provedor de aplicações de internet comunicar-lhe os motivos e informações relativos à indisponibilização de conteúdo, com informações que permitam o contraditório e a ampla defesa em juízo, salvo expressa previsão legal ou expressa determinação judicial fundamentada em contrário.
Parágrafo único. Quando solicitado pelo usuário que disponibilizou o conteúdo tornado indisponível, o provedor de aplicações de internet que exerce essa atividade de forma organizada, profissionalmente e com fins econômicos substituirá o conteúdo tornado indisponível pela motivação ou pela ordem judicial que deu fundamento à indisponibilização.
Edição da Lei
Há vozes na doutrina que reclamam que em alguns casos, a edição da lei representa um retrocesso, principalmente no que se refere ao art. 19, supra citado, posto que prevê que para o conteúdo considerado ilícito ser retirado da rede, há necessidade de emissão de uma ordem judicial para tanto, quando a jurisprudência pacificada tomava o prazo de 24 horas para que o conteúdo denunciado como ilícito por qualquer usuário fosse retirado provisoriamente até que se pudesse investigar e constatar a ilicitude do conteúdo pelo provedor.
Tratava-se de medida extrajudicial, que facilitaria a detecção do abuso, evitando assim sua propagação e seu perdimento nas redes. Há aqueles que por sua vez, posicionam-se pela manutenção do conteúdo gerado, posto que seria ato atentatório à liberdade de expressão e acesso à informação, tratando-se de uma espécie de censura prévia, de acordo com os ar. 5º, incs. IX e XIV, da CF/88.
Sigilo
Outro problema apontado diz respeito ao direito ao sigilo com a disposição dos dados pessoais dos usuários e do art. 20, caput, dispondo que se dará ao agente, se identificado, que teve seu conteúdo postado indisponibilizado, para que se pronuncie, em nome da ampla defesa e do contraditório, sendo considerado tal dispositivo inócuo, tendo em vista que aqueles que praticam ilícito publicando tais conteúdos não são fáceis de serem rastreados/identificados e se utilizam de diversos subterfúgios para apagar o seu rastro ou evitar diminuir o monitoramento de suas atividades na rede.
Tratando do tema objeto deste artigo, citamos a decisão proferida no Processo nº: 0070926-71.2018.8.19.0001 da 15ª Vara Cível do Tribunal de Justiça do Estado do Rio de Janeiro (TJRJ), determinando, em liminar, que o Facebook retire de seu portal, no prazo de 24 horas, publicações com informações falsas de conteúdo criminoso sobre a vereadora do Rio de Janeiro, Marielle Franco (PSOL), assassinada recentemente no dia 14 de março. A ação foi movida por sua irmã e sua viúva. Ainda determinou-se que a rede social utilize todas as ferramentas disponíveis para impedir a publicação de novas postagens ofensivas à vereadora e que informe se os perfis de Luciano Ayan, Luciano Henrique Ayan e Movimento Brasil Livre, apontados como divulgadores de tais informações, patrocinaram as postagens.
Decisão
Na decisão, o juiz Jorge Novelle destacou que o Facebook tem recursos para excluir as postagens que ofendem a honra de Marielle Franco e que é inaceitável que a memória da parlamentar continue sendo desrespeitada: “Não se há de tolerar que a morte de Marielle, Mártir da História Contemporânea do
Brasil, se repita, dia-a-dia, como vem ocorrendo, com a conivência, por omissão, especificamente do Réu, que se traveste numa rede social e vem permitindo a propagação de crimes como calúnia contra os mortos, ódio, preconceito de raça e gênero e abusos contra alguém que já não tem como se defender, contra seus parentes, sua irmã e sua companheira, contra familiares e contra a sociedade”.
Recentemente foi editada a Lei n. 13.709, de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais, e altera o Marco Civil da Internet, que entra em vigor após decorridos 18 (dezoito) meses de sua publicação oficial, representando um passo adiante na questão de proteção dos direitos do cidadão na esfera digital.
A norma estabelece parâmetros para o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Dados pessoais
Fundamentando a proteção dos dados pessoais no respeito à privacidade; na autodeterminação informativa; na liberdade de expressão, de informação, de comunicação e de opinião; na inviolabilidade da intimidade, da honra e da imagem; no desenvolvimento econômico e tecnológico e a inovação; na livre iniciativa, a livre concorrência e a defesa do consumidor; e nos direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A lei será aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e que os dados pessoais objeto do tratamento tenham sido coletados no território nacional, considerando como tais, os dados pessoais cujo titular nele se encontre no momento da coleta.
Onde a norma não se aplica?
A norma não se aplica às seguintes hipóteses de tratamento de dados pessoais:
a) quando realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
b) quando realizado para fins exclusivamente jornalístico e artísticos; ou acadêmicos,
aplicando-se os arts. 7º e 11 da Lei;
c) quando realizado para fins exclusivos de: segurança pública, defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais, hipóteses em que será regido por legislação específica; e
d) quando provenientes de fora do território nacional e que não sejam objeto de comunicação, uso
compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de
proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Considerações
A norma, em seu art. 5º, traz considerações acerca dos seguintes conceitos:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
IX – agentes de tratamento: o controlador e o operador;
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX – autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.
Tratamento de dados
No caso de tratamento de dados considerados sensíveis, somente poderá ocorrer nas seguintes hipóteses: quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: cumprimento de obrigação legal ou regulatória pelo controlador; tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis.
Além disso, ainda: exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
Comunicação
Estando vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular.
Outro tema abordado na lei que merece destaque é o tratamento de dados pessoais de crianças e de adolescentes que deverá ser realizado em seu melhor interesse e mediante o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos.
A Lei
A lei excetua da necessidade de consentimento quando a coleta for necessária para contatar os
pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento.
Os controladores não deverão condicionar a participação dos titulares em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade e deverá realizar todos os esforços razoáveis para verificar que o consentimento a que foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
As informações sobre o tratamento de tais dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Tratamento de dados
Dispõe o art. 6º da lei que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da não discriminação e da responsabilização e prestação de contas.
O tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória pelo controlador; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
Além disso: quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/96 (Lei de Arbitragem); para a proteção da vida ou da incolumidade física do titular ou de terceiro; para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Cumprimento de obrigação
Nos casos de aplicação para o cumprimento de obrigação legal ou regulatória pelo controlador ou pela administração pública, o titular será informado das hipóteses em que será admitido o tratamento de seus dados. No tratamento de dados pessoais cujo acesso é público deve ser considerada a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
Importante requisito diz respeito ao consentimento, que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. No caso de ser dado por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. Caberá ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto em lei, sendo vedado o tratamento de dados pessoais mediante vício de consentimento.
Consentimento
O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. E poderá ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 da lei.
No entanto, tal exigência será dispensada para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos da lei. O controlador que obteve o consentimento que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
Titularidade de dados
A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na lei, especialmente da observância dos princípios gerais e da garantia
dos direitos do titular. No que concerne aos direito dos titular, toda pessoa natural tem assegurada a
titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, possui inclusive,direito a obter do controlador, em relação aos dados por ele tratados, a qualquer momento e mediante requisição a confirmação da existência de tratamento; o acesso aos dados.
Além disso: a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; a eliminação dos dados pessoais tratados com o consentimento do titular; a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados e sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; bem como a revogação do consentimento.
Direitos
Ao titular dos dados pessoais é assegurado o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional e também poderá ser exercido perante os organismos de defesa do consumidor, podendo, ainda, opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
Tais direitos serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento e será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento. Em caso de impossibilidade de adoção imediata da providência, o controlador enviará ao titular resposta em que poderá: comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
O responsável deverá informar de maneira imediata aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento. A portabilidade não inclui dados que já tenham sido anonimizados pelo controlador.
Confirmação e acesso de dados
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular em formato simplificado, imediatamente; ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
O seu armazenamento deverá ser realizado em formato que favoreça o exercício do direito de acesso e as informações e os dados poderão ser fornecidos, a critério do titular através de meio eletrônico, seguro e idôneo para esse fim; ou sob forma impressa. Na hipótese em que o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
Solicitação de revisão
Fica assegurado, ainda, ao titular dos dados solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial e em caso de não oferecimento de informações baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo e a defesa dos seus interesses e dos seus direitos poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
Responsabilidade e ressarcimento
Sobre a responsabilidade e do ressarcimento de danos, dispõe a norma que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Assim, a fim de assegurar a efetiva indenização ao titular dos dados:
a) o operador responderá solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador; e, os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.
Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. Estarão excluídos, em ambas as hipóteses acima citadas, os agentes de tratamento, que só não serão responsabilizados quando provarem:
a) que não realizaram o tratamento de dados pessoais que lhes é atribuído;
b) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
c) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente. E as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 da norma, der causa ao dano.