Pedidos de Exercício de Direitos dos Titulares — O Guia Completo do EPD

Um pedido de exercício de direitos é um pedido formal de um indivíduo a um responsável pelo tratamento, exercendo o seu direito ao abrigo do Artigo 15 do RGPD de obter confirmação sobre se os seus dados pessoais estão a ser tratados e, em caso afirmativo, acesso a esses dados juntamente com informação complementar específica. Qualquer pessoa singular cujos dados sejam tratados pode submeter um pedido. Não existem requisitos formais — o pedido pode ser feito verbalmente, por e-mail, através de um formulário web ou mesmo através de redes sociais. A identidade do requerente deve ser verificada, mas a organização não pode impor barreiras excessivas à apresentação de um pedido. Os pedidos não se limitam a clientes. Colaboradores, ex-colaboradores, candidatos a emprego, visitantes de websites e até contactos comerciais podem submetê-los. Para organizações com operações de RH significativas, os pedidos de colaboradores são frequentemente os mais complexos — envolvendo dados dispersos por sistemas de processamento de salários, arquivos de e-mail, avaliações de desempenho e mais.

O prazo padrão para responder a um pedido de exercício de direitos é de um mês a partir da receção do pedido — não um mês a partir da verificação de identidade ou confirmação, mas a partir da receção. Este prazo é calculado por mês civil: um pedido recebido a 15 de março vence a 15 de abril. São possíveis extensões ao abrigo do Artigo 12(3) do RGPD: se o pedido for particularmente complexo ou se a organização receber um número elevado de pedidos, o prazo pode ser prolongado por mais dois meses. No entanto, o responsável pelo tratamento deve informar o titular da extensão dentro do prazo original de um mês, incluindo os motivos do atraso. Na prática, a maioria das autoridades de controlo vê com desagrado as extensões usadas como prática corrente. Destinam-se a casos genuinamente complexos — não como um buffer padrão. Se se encontra a necessitar rotineiramente de extensões, é sinal de que o seu processo de gestão de pedidos precisa de melhorias. Para EPDs externos que gerem 15 clientes com uma média de 3 pedidos por cliente por ano, são 45 prazos individuais para acompanhar. O acompanhamento manual com entradas no calendário é propenso a erros e não escala. Um único prazo perdido pode resultar numa reclamação à autoridade de controlo e danos reputacionais tanto para o cliente como para o EPD.

O Artigo 15 exige que os responsáveis pelo tratamento forneçam a seguinte informação em resposta a um pedido: as finalidades do tratamento, as categorias de dados pessoais em causa, os destinatários ou categorias de destinatários, o prazo de conservação previsto ou os critérios para a sua determinação, a existência do direito de retificação, apagamento ou limitação, o direito de apresentar reclamação a uma autoridade de controlo, a fonte dos dados (se não recolhidos diretamente junto do titular) e a existência de decisão automatizada incluindo definição de perfis. Para além desta informação, o responsável pelo tratamento deve fornecer uma cópia dos dados pessoais a ser tratados. A primeira cópia deve ser fornecida gratuitamente; para cópias adicionais, pode ser cobrada uma taxa administrativa razoável. A resposta deve ser fornecida num formato eletrónico de uso comum se o pedido foi feito eletronicamente. Deve ser concisa, transparente e em linguagem clara e simples — particularmente se o titular dos dados for uma criança.

Nem todo pedido deve ser cumprido na sua totalidade. O Artigo 12(5) permite aos responsáveis pelo tratamento recusar pedidos que sejam "manifestamente infundados ou excessivos" — por exemplo, pedidos repetidos da mesma pessoa sem que tenha ocorrido novo tratamento. O ónus da prova de que um pedido é manifestamente infundado recai sobre o responsável pelo tratamento. O sigilo profissional e os segredos comerciais podem também limitar o que deve ser divulgado. Se fornecer uma cópia completa de todos os dados revelar algoritmos proprietários, estratégias comerciais ou informação sobre outros indivíduos, o responsável pelo tratamento pode redigir ou reter essa informação específica — mas deve ainda assim responder ao pedido globalmente. Os pedidos de colaboradores são particularmente complexos. Frequentemente envolvem dados detidos por múltiplos departamentos (RH, TI, finanças, administração) e podem incluir comunicações internas sobre o colaborador. As autoridades de controlo geralmente esperam que as organizações pesquisem todos os sistemas relevantes, incluindo e-mail, mas discussões confidenciais da administração sobre reestruturações ou processos disciplinares podem ser isentas sob determinadas condições. Em caso de dúvida, documente o seu raciocínio para quaisquer limitações ou exceções aplicadas. As autoridades de controlo são muito mais compreensivas quando um responsável pelo tratamento pode demonstrar um processo de decisão ponderado e documentado do que quando encontram recusas genéricas.