O que é o direito ao esquecimento?

O direito ao esquecimento é um direito legal definido pelo GDPR que permite que as pessoas na UE solicitem que seus dados pessoais sejam excluídos.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir direito ao esquecimento (ou, direito de apagamento)
  • Descrever quando o direito ao esquecimento se aplica e não se aplica
  • Explicar como alguém pode exercer este direito

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é o direito ao esquecimento?

O "direito ao esquecimento" é o conceito de que os dados pessoais de um indivíduo armazenados por uma organização ou provedor de serviços devem ser apagados por solicitação do indivíduo. É um direito legal concedido ao abrigo do Regulamento Geral de Proteção de Dados (GDPR), que protege os dados pessoais de indivíduos na União Europeia (UE). No entanto, o direito ao esquecimento não é um direito absoluto: nem sempre se aplica a jurisdições fora da UE e há certas circunstâncias adicionais em que um indivíduo pode não conseguir excluir seus dados.

Suponha que a Alice se inscreva em um boletim informativo mensal por e-mail sobre vinhos franceses, mas depois decida que prefere cerveja belga a vinho francês e, portanto, o boletim informativo não é mais relevante para ela. Como resultado, ela cancela a assinatura do boletim informativo sobre vinhos. O direito ao esquecimento garante que, além de cancelar a assinatura (conforme exigido pela Diretiva de Privacidade Eletrônica), ela pode solicitar que o editor do boletim informativo exclua seu nome, endereço de e-mail e todas as outras informações pessoais de seus registros.

Esse direito também é usado para remover certos tipos de informações pessoais dos resultados dos mecanismos de pesquisa. Por exemplo, os indivíduos têm o direito de remover informações pessoais dos resultados das páginas de pesquisa (dentro de certos limites), exigindo que os mecanismos de pesquisa, como o Google, não exibam links para as páginas onde essas informações aparecem.

Direito ao esquecimento X direito de apagamento

Este direito é, na verdade, chamado de "direito de apagamento" no GDPR. No entanto, é comumente referido como o direito ao esquecimento.

O conceito de direito ao esquecimento é anterior ao GDPR e foi invocado em casos jurídicos anteriores. No entanto, o "direito de apagamento" definido pelo GDPR é mais preciso; inclui as condições de quando o direito se aplica e não se aplica e dá às organizações um prazo de um mês para responder a solicitações de apagamento.

O que é RGPD?

O GDPR (Regulamento Geral de Proteção de Dados) é uma estrutura legal de privacidade de dados que se aplica à coleta e processamento de dados na UE. O GDPR contém vários requisitos para processamento, coleta e manuseio de dados, além de definir vários direitos para os "titulares de dados", ou seja, indivíduos na UE. Um desses direitos é o direito de apagamento, descrito no artigo 17 do GDPR.

O direito ao esquecimento do GDPR se aplica fora da UE?

Decisões judiciais recentes indicaram que, embora os provedores de informações on-line (como mecanismos de pesquisa) possam ser obrigados a eliminar informações dentro de uma determinada jurisdição, eles não precisam removê-las globalmente. Um indivíduo pode ter seus dados apagados dos resultados de pesquisa na UE, mas os usuários de países fora da UE ainda podem ver esses dados nos resultados de pesquisa.

Como alguém pode exercer seu direito ao esquecimento?

O GDPR não define um processo específico para um indivíduo exercer seu direito ao esquecimento. Desde que a solicitação chegue ao controlador ou processador de dados e atenda a determinadas condições, deve ser considerada uma solicitação válida e os dados pessoais do indivíduo devem ser apagados.

Os indivíduos podem fazer tal pedido verbalmente ou por escrito. Depois que o controlador de dados ou processador recebe a solicitação, eles têm um mês para responder — apagando os dados solicitados ou fornecendo um motivo pelo qual os dados não podem ser apagados.

Normalmente, o indivíduo deve fornecer informações específicas junto com sua solicitação, como confirmação de sua identidade, quais dados deseja que sejam apagados e um motivo para o apagamento.

As razões para exercer este direito podem incluir:

  • a finalidade para a qual os dados foram coletados não se aplica mais
  • o indivíduo revoga seu consentimento para a coleta de dados
  • a organização está usando os dados para marketing e o indivíduo se opõe a esse uso
  • a organização coletou ou processou os dados ilegalmente
  • existe uma obrigação legal para a organização excluir os dados
  • o indivíduo se opõe ao processamento de seus dados, e o processador não tem interesse legítimo em processar os dados

Mais informações podem ser encontradas no artigo 17 do GDPR.

Quando o direito ao esquecimento não se aplica?

Os indivíduos podem não conseguir apagar seus dados em várias circunstâncias diferentes. Por exemplo, o direito de apagamento não se aplica quando conflita com o direito à liberdade de expressão — por exemplo, um político não poderia usar o direito ao esquecimento para remover um artigo crítico de jornal de um site. Outros casos em que o direito não se aplica incluem:

  • os dados estão sendo usados para cumprir uma obrigação legal
  • os dados estão sendo usados para realizar uma tarefa de interesse público
  • os dados são usados para arquivamento de interesse público para fins científicos, pesquisa histórica ou estatística e o apagamento provavelmente prejudicará seriamente a pesquisa
  • os dados fazem parte de uma defesa legal

Existem vários outros casos também. A lista completa de quando o direito não se aplica pode ser encontrada no artigo 17 do GDPR.

Como o direito ao esquecimento se relaciona com as Práticas de Informação Justa?

As Práticas de Informação Justa são diretrizes para coleta e uso de dados que foram desenvolvidas nos EUA na década de 1970. Embora as Práticas de Informação Justas não façam parte de nenhuma estrutura legal, muitas regulamentações de privacidade de dados em vigor hoje estão bastante alinhadas com elas.

Uma dessas práticas é chamada de princípio de participação individual, que sustenta que os indivíduos têm uma série de direitos, incluindo o direito de ter seus dados pessoais corrigidos ou apagados.

Que outros direitos os indivíduos têm de acordo com o GDPR?

O GDPR concede aos indivíduos vários direitos em relação ao uso de dados pessoais, incluindo:

  • Direito de ser informado: os indivíduos devem receber informações fáceis de entender sobre como seus dados pessoais são coletados e processados
  • Direito à portabilidade dos dados: os indivíduos podem transferir seus dados de um controlador de dados para outro
  • Direito de acesso: os indivíduos têm o direito de obter uma cópia dos dados pessoais coletados
  • Direito de retificação: os indivíduos podem corrigir dados imprecisos sobre si mesmos
  • Direito de restringir o processamento: sob certas circunstâncias, os indivíduos podem limitar a forma como os seus dados pessoais são tratados
  • Direito de oposição: Os indivíduos podem se opor à coleta e processamento de dados e o controlador ou processador de dados deve fornecer motivos legítimos para usar os dados (motivos que não estão relacionados ao marketing direto)
  • Direito de oposição a automatizar o processamento: os indivíduos podem se opor a uma decisão que os afete legalmente com base no processamento automatizado de dados

Saiba mais em O que é o GDPR?