Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

O direito ao esquecimento e a Consent Database da iubenda

O artigo 17 do GDPR, “o direito ao apagamento”, também conhecido como “direito ao esquecimento”, permite que os indivíduos solicitem que os controladores de dados removam os seus dados pessoais.

Mas o direito ao esquecimento envolve muito mais do que um indivíduo simplesmente pedir a uma empresa que exclua os seus dados pessoais.

Está com o tempo curto? Vá direto para:

O que é o direito ao esquecimento?

O direito ao esquecimento aparece no artigo 17 do GDPR, afirmando que, se uma das várias condições se aplicar,

“O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada.”

*“sem demora injustificada” é considerado dentro de um mês após o recebimento da solicitação.

Além disso, o controlador de dados deve tomar as medidas adequadas para confirmar a identidade do titular dos dados por trás da solicitação.

Quando se aplica o direito ao esquecimento?

As condições específicas em que o direito ao esquecimento é aplicável são descritas no artigo 17º. Um indivíduo tem o direito de ter os seus dados pessoais excluídos se:

  1. Os dados pessoais não são mais necessários para os fins para os quais foram coletados ou processados.
  2. O titular dos dados retira o consentimento, não existindo outros fundamentos legais para o tratamento.
  3. O titular dos dados se opõe ao processamento (que se baseou no interesse legítimo), e não há motivos legítimos para o processamento. Isso se aplica mesmo ao usar dados pessoais para marketing direto.
  4. O tratamento dos dados pessoais foi feito de forma ilegal.
  5. Os dados pessoais devem ser excluídos para que o controlador cumpra um requisito legal sob a legislação da UE ou do Estado-Membro.
  6. A coleta de dados pessoais está relacionada com a prestação de serviços para a sociedade da informação.

O controlador de dados pode anular o direito ao esquecimento do usuário?

Sim, nas seguintes situações, o responsável pelo tratamento pode anular o direito ao esquecimento do utilizador:

  • O processamento é necessário para exercer o direito de liberdade de expressão e informação.
  • O processamento é necessário para realizar uma tarefa de interesse público, para cumprir uma exigência legal ou para que o controlador exerça responsabilidade oficial.
  • O tratamento é necessário por motivos de interesse público no domínio da saúde pública.
  • O processamento é necessário para arquivamento de interesse público, pesquisa histórica ou científica, ou para finalidades estatísticas.
  • O processamento é necessário para estabelecer, exercer ou defender reivindicações legais.

Além disso, se uma organização puder demonstrar que uma solicitação de exclusão de dados pessoais não foi razoável ou incorreta, a empresa pode exigir uma “taxa razoável” ou rejeitar a solicitação.

Ao exercer o direito do usuário de ser esquecido, muitos fatores estão em jogo e cada solicitação precisa ser avaliada individualmente.

Por motivos de conformidade, a prova de consentimento dos usuários e quaisquer retiradas devem ser armazenadas no painel da Consent Database. No entanto, o responsável pelo tratamento de dados que receba um pedido para exercer o direito ao esquecimento deve considerar cada pedido individualmente.

Para que todas as operações de processamento de dados sejam realizadas com base legal no consentimento, o controlador de dados deve acompanhar a prova do consentimento obtido.

Por outro lado, os usuários têm o direito de revogar qualquer consentimento prévio que possam ter dado para o processamento dos seus dados pessoais.

Com a ajuda da Consent Database, é possível gerenciar o consentimento do usuário e manter os registros de consentimento necessários ao GDPR.

Em primeiro lugar, cabe ao controlador de dados determinar se um pedido de remoção de dados pessoais deve ser realizado. O responsável pelo tratamento deve responder ao pedido no prazo de um mês e comunicar a respetiva decisão:

  1. se a avaliação efetuada apontar para o fato do pedido ter de ser processado (aplica-se uma das situações especificadas listadas no artigo 17º do GDPR); ou
  2. se a conclusão for de que o pedido não pode ser realizado por um determinado motivo. Nesse caso, o controlador de dados também precisa comunicar por que a solicitação não pôde ser atendida.

Suponha que o resultado da avaliação do controlador de dados indique que é necessário remover os dados pessoais mantidos na Consent Database. Nesse caso, a iubenda estará disponível para ajudar com os detalhes técnicos.

No entanto, o controlador de dados precisará fazer uma chamada de API para registrar a exclusão se quiser avançar com uma solicitação para exercer o direito ao esquecimento. Lembre-se de que o controlador de dados precisará modificar a chamada da API para incluir os dados pessoais relevantes.

Veja este exemplo abaixo:

curl --location --request POST 'http://consent.iubenda.com/consent' --header 'Content-Type:application/json' --header 'ApiKey:YOUR_PRIVATE_API_KEY' --data-raw '{
  "subject":{
    "id":"subject_id"
  },
  "preferences":{
    "preferencel":"false",
    "preference2":"false",
    "rightToBeForgotten":"true"
  },
  "proofs":[
    {
      "content":"The user requested to be forgotten,and this is the proof of it"
    }
  ]
}
'

O controlador de dados pode usar o mesmo método de comunicação que o usuário usou para expressar a solicitação. Por exemplo, se o usuário comunicou a solicitação com um endereço de e-mail, o controlador de dados pode usar esse mesmo endereço de e-mail para entrar em contato com o usuário.

Se você precisar de ajuda para exercer o direito ao esquecimento do seu usuário, não hesite em entrar em contato com a nossa equipe de suporte.

Veja também: