Parte 2
Direitos do titular dos dados pessoais
O titular dos dados (pessoa física) tem o direito de exigir do controlador:
a) a confirmação da existência de tratamento/utilização;
b) o acesso aos seus dados levantados e utilizados;
c) a correção de dados incompletos, inexatos ou desatualizados;
d) o anonimato ou o bloqueio de dados desnecessários, excessivos ou utilizados em desconformidade com a lei;
e) a eliminação de dados pessoais (salvo para cumprimento de obrigação legal ou regulatória, estudos mediante anonimato, acesso a terceiros nos termos da lei e uso exclusivo do controlador, assegurado o anonimato);
f) a portabilidade de dados a outro fornecedor de serviço ou produto, mediante autorização expressa;
g) a obtenção de informação sobre a possibilidade de não fornecer consentimento ou sobre as consequências negativas; e
h) a revogação do consentimento.
Atuação do titular perante a Autoridade Nacional de Proteção de Dados
É direito do titular peticionar contra o controlador dos dados perante a Autoridade Nacional de Proteção de Dados; podendo exigir a revisão de decisões tomadas com base em tratamentos automáticos, que afetem seus interesses com relação à definição do seu perfil pessoal, profissional, de consumo e de crédito, ou aspectos relacionados à sua personalidade.
Também constitui direito do cidadão exigir informações claras e adequadas sobre o procedimento de decisão automatizada do seu perfil.
Os dados pessoais não poderão ser utilizados em prejuízo do titular que se encontre no exercício regular de seu direito.
Agentes de tratamento de dados pessoais
São agentes de tratamento de dados pessoais:
a) o controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões sobre o tratamento de dados pessoais;
b) o operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
c) o encarregado – a pessoa indicada pelo controlador ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados.
O controlador, conforme determinação da autoridade nacional, deverá elaborar relatório de impacto relativo à proteção de dados pessoais, o qual deverá conter a descrição dos tipos de dados coletados, a metodologia empregada na coleta, a garantia da segurança das informações e a análise quanto às medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
O operador realizará o tratamento dos dados segundo as instruções passadas pelo controlador, que acompanhará o trabalho executado conforme suas orientações e as normas vigentes sobre o tema.
O encarregado deverá ter sua identidade e informações de contato publicizadas pelo controlador, de forma clara e objetiva, no seu sítio eletrônico, uma vez que o primeiro tem o papel de intermediário entre os titulares dos dados, o controlador, o operador e a Agência Nacional de Proteção de Dados.
Atribuições do encarregado
Ao encarregado
caberá aceitar reclamações, prestar esclarecimentos aos titulares e
recomendar providências a serem
tomadas; receber comunicações da Autoridade Nacional de Proteção de Dados para
serem repassadas ao controlador e ao operador de dados pessoais, relativas às
práticas a serem aplicadas na proteção dos dados pessoais, bem como executar as
atribuições determinadas pelo controlador
e nas normas a serem estabelecidas.