A LGPD trouxe um catálogo específico de direitos ao titular dos dados, no seu Capítulo III. Como o próprio nome jurídico "direito" indica, o exercício dessa posição jurídica deve ser sempre em benefício do titular e não do controlador. Da mesma forma, o exercício de um direito não poder ser o gatilho para um tratamento indevido de dados pessoais.
Recentemente, veio à tona o caso de um cidadão europeu que teve seus dados tratados por um banco de dados corporativo, apenas por requisitar informações sobre o armazenamento de seus dados[1], ou seja, por simplesmente exercer seu direito de acesso, previsto no artigo 15 do Regulamento Geral de Proteção de Dados Europeu (RGPD).Trata-se da conduta supostamente praticada pelo birô de crédito austríaco Kreditschutzverband von 1870 (KSV), que é objeto de uma reclamação feita pela Nyob, organização sem fins lucrativos, que lida com o ajuizamento de processos judiciais e peticionamentos estratégicos em matéria de proteção de dados pessoais no contexto pan-europeu.
A preocupação estampada pela Nyob é o risco do "Efeito Bumerangue" no exercício do direito de acesso, como ocorreu no caso em tela: um titular que sequer tinha qualquer dado tratado com a KSB, após ter exercido o seu direito de acesso, passa a ter seus dados tratados pela instituição, com a inclusão desses no banco de dados. Caso o titular já tivesse dados tratados, a KSB utilizaria os dados coletados no exercício do direito para atualizar seu banco de dados.
Interessante citar que, na sua própria política de privacidade, a KSV[2], empresa reclamada, relata a coleta de dados pessoais do titular por meio de chamadas telefônicas ou em correspondência de e-mail, se esses dados forem necessários para a construção do histórico de crédito. Segundo a política, tais dados são armazenados pela empresa durante o tempo necessário para cumprir os propósitos de processamento com base nos períodos de armazenamento recomendados pelo RGPD.
Evidente que há uma racionalidade que serve de subsídio para essa conduta da KSV, que é a criação de umscore de crédito do titular mais preciso e acurado a ser compartilhado com os parceiros comerciais da KSV. Isso - em tese - permitiria uma precificação mais eficiente do risco e aparentemente produtos mais em conta para o próprio titular dos dados, com a redução dos problemas de seleção adversa e do risco moral.
Porém, para tais fins, é preciso base legal e observância dos princípios de proteção de dados pessoais. Caso contrário, tal racionalidade, embora provida de eficiência, não será legítima e lícita.
Segundo a Nyob, a justificativa apresentada pela KSV de que estaria tratando os dados com base na German Trade Regulation Act, não se enquadra aparentemente em nenhuma das hipóteses de bases legais do artigo 6 (1) do RGPD. Ressalva-se, apenas, que no Brasil poderia ser aventada a base legal do art. 7º, inciso X, da LGPD.
Ademais, alega a Nyob que haveria evidente incompatibilidade da finalidade de tratamento dos dados para fins comerciais com a finalidade originária, que é a resposta e o atendimento a uma requisição feita pelo titular com base no direito de acesso. Com efeito, esse meio de captação de dados iria de encontro com o art. 5º, 1, b, do RGPD, que estabelece o princípio da finalidade específica, explícita e legítima para o tratamento de dados.
Apesar de o caso ainda não ter sido apreciado pela autoridade de proteção de dados austríaca e versar sobre a norma europeia, ele serve de alerta e de reflexão para o sistema brasileiro[3]. Para evitar que a "curiosidade mate o gato"[4], precisamos que todos os agentes que se submetem à LGPD cumpram com suas obrigações de compliance e atendimento aos direitos ali previstos, sem desvios de finalidade.
Restando claro que o exercício de um direito não pode ser encarado como uma "vantagem" para as organizações acessarem ou coletarem mais dados, os direitos do titular deverão ser usados apenas para o estado de coisas desejado pelas leis de proteção de dados pessoais que é garantir o controle, transparência e autodeterminação do titular.
*Daniela Copetti Cravo, procuradora do Município de Porto Alegre. Doutora em Direito pela UFRGS
*Gabriel Araújo Souto, pesquisador do LAPIN e membro do Barral Parente e Pinheiro Advogados. Acadêmico em Direito pelo IDP
[1] NOYB. Right of access as a data protection boomerang?. NOYB Blog, 2021. Disponível em:
[2] KSV1870. Data Protection Notice of KSV1870 Forderungsmanagement GmbH pursuant to the GDPR. KSV Blog, 2020. Disponível em:
[3] A reflexão é ampla, considerando o contexto geral de proteção de dados pessoais, sem entrar nas especificidades de bancos de dados com informações de adimplemento, regidos pela Lei n.º 12.414/2011, cujo tratamento podem ter regras diferentes daquelas do contexto europeu, tendo em vista o art. 7º, inciso X, da LGPD e as demais normas da Lei n.º 12.414/2011.
[4] NOYB. Right of access as a data protection boomerang?. NOYB Blog, 2021. Disponível em:
