O que é o direito de ser esquecido?

Tabela de Conteúdos

O “direito de ser esquecido” é uma parte central da Regulamentação Geral de Proteção de Dados da Europa (GDPR). A principal ideia por trás disso é proteger as pessoas cujos dados são processados on-line ou off-line. O direito de ser esquecido exige que alguns dados pessoais digitais sejam excluídos sob determinadas condições.

O que significa o “direito de ser esquecido”?

O direito de ser esquecido de acordo com o GDPR é um dos recursos mais importantes para que os consumidores protejam sua privacidade e seus dados pessoais. Ele permite que as pessoas tenham seus dados digitais pessoais excluídos permanentemente pelas empresas ou pelos responsáveis por um site (conhecidos como “controladores de dados”), independentemente de a empresa coletar e armazenar os dados ou apenas disponibilizá-los publicamente.

Como o direito de ser esquecido se aplica nos EUA?

O GDPR é uma regulamentação da União Europeia, mas pode afetar as empresas dos EUA. As empresas dos EUA com uma filial ou mesmo apenas um funcionário no EEE estão sujeitas ao GDPR da mesma forma que as empresas europeias. Além disso, qualquer empresa que tenha como alvo pessoas na UE com seus produtos ou serviços deve estar em conformidade com o GDPR. Portanto, se você estiver vendendo seus produtos para indivíduos na Europa, precisará garantir que seu site esteja em conformidade. Isso também significa que as pessoas na UE podem enviar reclamações a você com base no direito de ser esquecido.

A Lei de Privacidade do Consumidor da Califórnia (CCPA) também contém o direito de ser esquecido e se aplica a todos os dados pertencentes aos residentes da Califórnia. No momento, não há nenhum direito equivalente ao direito europeu de ser esquecido segundo a lei federal dos EUA.

O GDPR tem suas origens na decisão do Google que o Tribunal de Justiça Europeu (ECJ) proferiu em 13 de maio de 2014. O tribunal decidiu que os titulares de dados podem, sob certas condições, solicitar a exclusão de links que contenham informações desatualizadas ou irrelevantes sobre eles. Na decisão do TJE, a obrigação de excluir mediante solicitação refere-se a mecanismos de pesquisa que tornam os dados pessoais acessíveis ao público. A decisão se refere principalmente a pessoas físicas e observa que, no caso de figuras públicas ou arquivos de imprensa, o direito de ser esquecido precisa ser ponderado em relação ao direito à informação.

Onde está definido legalmente o direito de ser esquecido?

Na decisão do Google, o TJE aplicou as diretrizes de privacidade de dados existentes na UE, que tomaram forma concreta em 2016 como o Regulamento Geral de Proteção de Dados Europeu (GDPR). O direito de ser esquecido pode ser encontrado no artigo 17 do GDPR sob o título “direito de apagar”. O termo “direito de ser esquecido” aparece no título entre parênteses.

Direito de ser esquecido vs. direito de apagar

O direito de ser esquecido pode ser entendido como uma extensão do direito de apagar no GDPR. O artigo 17 do GDPR serve principalmente para regular a obrigação de exclusão para controladores de dados que processam diretamente dados pessoais ou os tornam publicamente acessíveis. Isso inclui veículos de mídia e empresas que processam e armazenam diretamente os dados das pessoas. Se os requisitos para exclusão forem atendidos, o controlador de dados deverá excluir imediata e comprovadamente os links ou dados relevantes.

O direito de ser esquecido aparece no artigo 17(2) do GDPR e diz respeito a terceiros que não coletam dados pessoais, mas os disponibilizam publicamente (como fazem os mecanismos de pesquisa, como o Google, por exemplo).

Quais são as condições do direito de ser esquecido?

Existem alguns requisitos específicos para que os dados sejam excluídos pelos controladores de dados e por terceiros relevantes, incluindo:

Não há mais necessidade de armazenamento e acessibilidade dos dados em termos da finalidade original de coleta e processamento dos dados
Os titulares dos dados retiraram seu consentimento para o processamento e o armazenamento dos dados
Não há nenhum motivo legal predominante para o armazenamento dos dados
A coleta e o processamento dos dados ocorreram de forma ilegal e/ou sem consentimento
Os controladores de dados são legalmente obrigados pelo GDPR a respeitar o direito de apagar e o direito de ser esquecido
Os dados pessoais pertencem a menores de idade e foram coletados para serviços on-line

Se os titulares dos dados puderem provar sua reivindicação, a empresa em questão é obrigada a apagar os dados “sem demora injustificada”. Normalmente, isso significa que o controlador precisa informar o titular dos dados, no prazo de um mês após a solicitação, sobre as medidas tomadas ou os motivos pelos quais a solicitação foi rejeitada.

Exemplos do direito de ser esquecido

O direito de ser esquecido é um instrumento importante para proteger a reputação, a aparência e a privacidade de um indivíduo ou de uma empresa. Na prática, isso se aplicaria se, por exemplo, um mecanismo de pesquisa ainda mostrasse resultados relacionados à falência, processo judicial ou comportamento “embaraçoso” de uma pessoa 10 ou 20 anos após o fato. Também é importante para a ressocialização de pessoas anteriormente condenadas por crimes, especialmente quando se trata de delitos menores. O direito à exclusão de dados permite que indivíduos e empresas protejam seus direitos e salvaguardem suas oportunidades de carreira e imagem profissional.

Como funciona a exclusão de dados pessoais?

O GDPR não define claramente um método para realizar as exclusões necessárias. No entanto, ele especifica que é obrigatório que a exclusão ocorra de forma comprovada e imediata. Aqui estão alguns métodos possíveis:

Destruição e descarte de mídia física por especialistas
Sobregravação profissional dos locais de armazenamento relevantes, desde que seja possível provar que isso resultou na remoção ou inutilização dos dados
Exclusão de links associados, atalhos, entradas de pesquisa, termos de pesquisa e codificação
Listando e excluindo algoritmos de mecanismos de pesquisa

Quais são as exceções ao direito de ser esquecido?

Em alguns casos, a exclusão de dados pessoais mediante solicitação pode entrar em conflito com a liberdade de informação e a obrigação de reter dados. Embora o GDPR dê às pessoas físicas o direito a mais privacidade, determinadas condições e exceções garantem que os dados essenciais não possam ser excluídos se estiverem sujeitos a uma obrigação de armazenamento ou se forem de interesse público, médico, fiscal ou de segurança. No entanto, especialmente quando se trata de períodos de armazenamento mais longos, é importante observar que os dados pessoais que não estão mais sendo processados, mas que ainda precisam ser mantidos, estão sujeitos a uma proteção de acesso mais forte.

Visão geral das exceções ao direito da UE de ser esquecido

Abaixo estão alguns casos em que uma exceção ao direito de ser esquecido pode ser aplicada:

Os dados ainda são necessários para o processamento.
As pessoas em questão consentiram com o processamento de dados que ainda é necessário.
Os dados ainda são necessários para cumprir as obrigações públicas ou legais de uma pessoa ou empresa.
O processamento dos dados é uma questão de interesse público.
Os dados estão sendo processados no contexto de arquivamento, pesquisa ou coleta de dados para estatísticas que são de interesse público
Os dados desempenham uma função demonstrável em procedimentos legais.

Observe que a liberdade de expressão e a liberdade de informação têm precedência sobre o direito de apagar e o direito de ser esquecido.

Nota

Dependendo do caso, as exceções ao direito de ser esquecido podem expirar se uma reivindicação de exclusão puder ser executada após o prazo de prescrição relevante. Em um processo judicial ocorrido na Alemanha, o OLG Dresden decidiu que, no caso de dados que precisam ser armazenados, as partes irrelevantes desses dados não estão sujeitas à obrigação de armazenamento. No interesse de minimizar os dados, os dados individuais, como informações pessoais sobre nomes, parceiros comerciais e endereços, podem ser excluídos se não houver motivos específicos para armazená-los.

Como você pode fazer valer o seu direito de ser esquecido?

Para solicitar que seus dados sejam excluídos e removidos, primeiro você precisa saber que os dados existem. É aí que entra o direito de acesso do artigo 15 do GDPR . Isso permite que você obtenha informações sobre os dados relativos a você que estão sendo armazenados ou processados por uma empresa. Com base no direito de acesso, você pode então aplicar seu direito de apagar e ser esquecido por meio de um e-mail ou carta ao controlador de dados.

Não há nenhuma forma predeterminada que sua solicitação deva assumir. Entretanto, para poder provar que fez a solicitação, você deve sempre fazê-la por escrito. Você pode encontrar modelos gratuitos no site do GDPR da UE. Para evitar uma solicitação demorada ou uma rejeição, não se esqueça de incluir um comprovante de identidade da pessoa que está fazendo a solicitação e/ou da pessoa a quem os dados em questão pertencem.

Dica

Está procurando um site profissional e de alta qualidade que esteja em conformidade com o GDPR? O website builder da IONOS fornece um domínio seguro, SSL e proteção de dados em conformidade com o GDPR.

Como você pode aplicar seu direito de ser esquecido com o Google?

Empresas como o Google e o Facebook fornecem formulários on-line gratuitos que você pode usar para fazer uma solicitação. A página de suporte do Google tem informações sobre o processo de fazer uma solicitação e o que o formulário pedirá. Para que uma entrada do Google seja excluída, você precisará fornecer as seguintes informações:

URLs em questão com os resultados de pesquisa que você deseja excluir
Prova de que os dados são relevantes para você e os motivos para excluí-los
A consulta de pesquisa que leva aos resultados (Por exemplo, seu próprio nome)
Endereços de e-mail que levam aos resultados da pesquisa em questão
Informações de histórico e provas que demonstrem que a exclusão e a remoção são justificadas

Existe um direito geral à privacidade e à remoção de dados?

À primeira vista, pode parecer que o direito de ser esquecido significa que seus dados pessoais não podem ser disponibilizados publicamente sem sua permissão. Mas quando você dá seu consentimento para que seus dados sejam processados no decorrer de suas atividades on-line diárias, você não tem necessariamente um direito geral à exclusão. E, de fato, a exclusão injustificada de dados pode até ser considerada uma violação de dados. Esse é especialmente o caso se houver obrigações de armazenamento de dados ou se houver dados críticos envolvidos. Pense, por exemplo, na exclusão ilícita de dados para encobrir uma atividade criminosa.

É suficiente tornar os dados anônimos?

Uma alternativa à exclusão é a anonimização completa dos dados. Os dados processados e armazenados podem ser tão profundamente anonimizados que não podem mais ser entendidos como dados pessoais. O GDPR não é diretamente aplicável se, por exemplo, os dados usados para análise estatística ou pesquisa forem suficientemente anônimos.

Esse é o caso se, por exemplo, nenhuma parte for capaz de estabelecer uma conexão entre pessoas e conjuntos de dados relevantes ou irrelevantes. Os métodos de anonimização incluem randomização, generalização ou prevenção de conexões. A anonimização como alternativa à exclusão é abordada no artigo 4 do GDPR.

Dica

Crie sua loja on-line individualizada com a IONOS e beneficie-se de uma solução de comércio eletrônico personalizada e em conformidade com o GDPR.

Como o direito de apagamento se aplica às empresas?

Os regulamentos europeus de proteção de dados, como o GDPR e o Regulamento de Privacidade Eletrônica, têm um grande impacto sobre as empresas quando se trata de proteção de dados e do direito de ser esquecido. O GDPR, por exemplo, estipula que as empresas não podem coletar dados arbitrariamente e que só podem processar dados com o consentimento por escrito do usuário. E o Regulamento de Privacidade Eletrônica exige que as pessoas permitam explicitamente o uso de cookies e rastreadores em sites.

Como o processamento de dados é essencial no marketing on-line e no comércio eletrônico, você deve tomar providências para a proteção de dados e soberania de dados desde o início do seu empreendimento. As providências incluem:

Uma política de privacidade acessível e visível em conformidade com o GDPR em seu site
Ferramentas e estratégias para avaliar e implementar solicitações de exclusão
Notificações em conformidade com a legislação sobre cookies e rastreamento
Salvaguardas legais com relação ao processamento e à transferência de dados, por exemplo, diretores de proteção de dados e departamentos jurídicos de TI (especialmente após a expiração do escudo de privacidade UE-EUA).

Clique aqui para obter importantes isenções de responsabilidade legais.

Tracking pixels: como funciona o rastreamento moderno

Os pixels de rastreamento são coletores de dados altamente eficientes, que documentam o comportamento do usuário com meios simples, apoiando assim o marketing on-line. As pequenas imagens gráficas podem ser facilmente implementadas e operam discretamente e de maneira econômica em…

Enciclopédia

Lei Geral de Proteção de Dados e o comércio eletrônico

Proteção de dados pessoais no comércio eletrônico é um assunto delicado. Internautas deixam vestígios por todos os lugares que navegam, e também quando fazem compras on-line. Os dados dos consumidores são de grande valia para as empresas, que os utilizam para fazer anúncios…

E-Commerce