O artigo 17 do GDPR, “o direito ao apagamento”, também conhecido como “direito ao esquecimento”, permite que os indivíduos solicitem que os controladores de dados removam os seus dados pessoais.
Mas o direito ao esquecimento envolve muito mais do que um indivíduo simplesmente pedir a uma empresa que exclua os seus dados pessoais.
O direito ao esquecimento aparece no artigo 17 do GDPR, afirmando que, se uma das várias condições se aplicar,
“O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada.”
*“sem demora injustificada” é considerado dentro de um mês após o recebimento da solicitação.
Além disso, o controlador de dados deve tomar as medidas adequadas para confirmar a identidade do titular dos dados por trás da solicitação.
As condições específicas em que o direito ao esquecimento é aplicável são descritas no artigo 17º. Um indivíduo tem o direito de ter os seus dados pessoais excluídos se:
Sim, nas seguintes situações, o responsável pelo tratamento pode anular o direito ao esquecimento do utilizador:
Além disso, se uma organização puder demonstrar que uma solicitação de exclusão de dados pessoais não foi razoável ou incorreta, a empresa pode exigir uma “taxa razoável” ou rejeitar a solicitação.
Ao exercer o direito do usuário de ser esquecido, muitos fatores estão em jogo e cada solicitação precisa ser avaliada individualmente.
Por motivos de conformidade, a prova de consentimento dos usuários e quaisquer retiradas devem ser armazenadas no painel da Consent Database. No entanto, o responsável pelo tratamento de dados que receba um pedido para exercer o direito ao esquecimento deve considerar cada pedido individualmente.
Para que todas as operações de processamento de dados sejam realizadas com base legal no consentimento, o controlador de dados deve acompanhar a prova do consentimento obtido.
Por outro lado, os usuários têm o direito de revogar qualquer consentimento prévio que possam ter dado para o processamento dos seus dados pessoais.
Com a ajuda da Consent Database, é possível gerenciar o consentimento do usuário e manter os registros de consentimento necessários ao GDPR.
Em primeiro lugar, cabe ao controlador de dados determinar se um pedido de remoção de dados pessoais deve ser realizado. O responsável pelo tratamento deve responder ao pedido no prazo de um mês e comunicar a respetiva decisão:
Suponha que o resultado da avaliação do controlador de dados indique que é necessário remover os dados pessoais mantidos na Consent Database. Nesse caso, a iubenda estará disponível para ajudar com os detalhes técnicos.
No entanto, o controlador de dados precisará fazer uma chamada de API para registrar a exclusão se quiser avançar com uma solicitação para exercer o direito ao esquecimento. Lembre-se de que o controlador de dados precisará modificar a chamada da API para incluir os dados pessoais relevantes.
Veja este exemplo abaixo:
curl --location --request POST 'http://consent.iubenda.com/consent' --header 'Content-Type:application/json' --header 'ApiKey:YOUR_PRIVATE_API_KEY' --data-raw '{
"subject":{
"id":"subject_id"
},
"preferences":{
"preferencel":"false",
"preference2":"false",
"rightToBeForgotten":"true"
},
"proofs":[
{
"content":"The user requested to be forgotten,and this is the proof of it"
}
]
}
'
O controlador de dados pode usar o mesmo método de comunicação que o usuário usou para expressar a solicitação. Por exemplo, se o usuário comunicou a solicitação com um endereço de e-mail, o controlador de dados pode usar esse mesmo endereço de e-mail para entrar em contato com o usuário.
Se você precisar de ajuda para exercer o direito ao esquecimento do seu usuário, não hesite em entrar em contato com a nossa equipe de suporte.