Como atender os 9 direitos dos titulares previstos na LGPD
O titular de dados pessoais não é apenas um destinatário passivo das suas políticas de privacidade. A LGPD concede a ele um conjunto robusto de direitos — e exige que sua organização os atenda de forma efetiva, dentro de prazos definidos, gratuitamente.
Conhecer e operacionalizar esses direitos é uma das competências centrais de qualquer DPO. Também é uma das áreas mais fiscalizadas pela ANPD: em 2024, a autoridade recebeu mais de 2.100 requerimentos de fiscalização, muitos deles relacionados ao não atendimento de pedidos de titulares.
Este guia detalha cada um dos 9 direitos previstos no Art. 18 da LGPD, como funcionam na prática, quais os prazos e quando a organização pode — legitimamente — limitar ou negar o atendimento.
Os 9 direitos do Art. 18 da LGPD
O Art. 18 da Lei 13.709/2018 estabelece que o titular pode, a qualquer momento e mediante requisição, obter do controlador:
Direito 1 — Confirmação da existência de tratamento
O que é: O titular pergunta "você tem dados meus?" A organização deve confirmar se realiza ou não o tratamento de dados pessoais daquele titular.
Como funciona na prática: A resposta pode ser simplificada (imediata) ou completa (em até 15 dias). Para a confirmação simples, a resposta imediata é o padrão. O pedido não exige fornecer os dados em si — apenas confirmar a existência do tratamento.
Atenção: Mesmo que a organização acredite não ter dados de determinada pessoa, deve verificar antes de responder negativamente. Uma busca inadequada que resulte em "não temos seus dados" quando os dados existem é uma violação que pode ser punida.
Direito 2 — Acesso aos dados
O que é: O titular pode solicitar acesso completo aos dados pessoais que a organização possui sobre ele.
Como funciona na prática: A organização deve fornecer:
- Cópia ou visualização dos dados tratados
- Informação sobre a origem dos dados
- A finalidade do tratamento
- Com quem os dados são compartilhados
O Art. 19, §3° prevê que, quando o tratamento é baseado em consentimento ou contrato, o titular pode solicitar cópia eletrônica integral dos dados em formato que permita uso subsequente.
Prazo: Resposta simplificada: imediata. Resposta completa: até 15 dias corridos (Art. 19, II).
Limitações legítimas: O direito de acesso não se estende a informações que comprometam segredo comercial ou industrial — mas, nesses casos, a ANPD pode realizar auditoria para verificar se não há aspectos discriminatórios.
Direito 3 — Correção de dados
O que é: O titular pode solicitar a retificação de dados incompletos, inexatos ou desatualizados.
Como funciona na prática:
- Incompletos: falta de informação necessária (ex.: endereço sem CEP)
- Inexatos: dado errado (ex.: data de nascimento incorreta, nome com grafia errada)
- Desatualizados: dado que era correto mas não é mais (ex.: telefone antigo, endereço anterior)
Exemplos comuns: mudança de sobrenome após casamento, novo endereço, número de telefone desatualizado.
Obrigação crítica: Ao corrigir um dado, o controlador deve comunicar imediatamente a todos os terceiros com quem compartilhou aquele dado para que façam a mesma correção (Art. 18, §6°). Isso exige que o ROPA (inventário de dados) esteja atualizado e inclua todos os destinatários.
Direito 4 — Anonimização, bloqueio ou eliminação de dados desnecessários ou ilegais
O que é: O titular pode pedir anonimização, bloqueio ou eliminação de dados que sejam:
- Desnecessários: não mais necessários para a finalidade que justificou a coleta
- Excessivos: coletados além do necessário para a finalidade (viola o princípio da necessidade, Art. 6, III)
- Tratados em desconformidade com a LGPD: tratamento sem base legal válida, finalidade ilícita ou violação de outros princípios
Diferença com o Direito 6: Este direito (inciso IV) baseia-se na ilegalidade ou desnecessidade do tratamento. O Direito 6 (inciso VI) baseia-se na revogação do consentimento. São situações distintas com fundamentos diferentes.
O que o titular pode escolher: Anonimização, bloqueio ou eliminação — a escolha é do titular, não da organização. A organização deve cumprir o que foi pedido, salvo nas exceções do Art. 16.
Direito 5 — Portabilidade dos dados
O que é: O titular pode solicitar a transferência de seus dados a outro fornecedor de serviço ou produto, em formato interoperável.
Como funciona na prática: Este é o direito mais limitado na prática atual. O Art. 18, V e o Art. 40 da LGPD preveem que a ANPD deverá dispor sobre padrões de interoperabilidade para a portabilidade — mas, até fevereiro de 2026, essa regulamentação específica ainda não foi publicada. Isso limita a eficácia prática do direito em muitos setores.
Exemplos de portabilidade:
- Histórico financeiro ao trocar de banco
- Histórico de saúde ao mudar de plano ou profissional
- Dados de perfil ao migrar de uma plataforma digital para outra
Exclusões: Dados já anonimizados e dados que envolvam segredo comercial ou industrial estão fora do escopo da portabilidade. A portabilidade também não obriga a "portabilidade de inferências" — análises e dados derivados que a empresa criou a partir dos dados do titular.
Direito 6 — Eliminação dos dados tratados com consentimento
O que é: Quando a base legal é o consentimento, o titular pode revogar o consentimento a qualquer momento (Art. 8, §5°) e solicitar a eliminação dos dados tratados com aquela base.
Como funciona na prática: A revogação do consentimento é eficaz a partir do momento em que é exercida. O tratamento realizado anteriormente, durante o período em que o consentimento era válido, não é retroativamente ilícito.
A organização deve facilitar a revogação tanto quanto facilitou a coleta do consentimento. Se o consentimento foi obtido com um clique, a revogação deve ser igualmente simples — um processo de revogação burocrático que desestimule o exercício do direito viola o espírito da LGPD.
Exceções — quando a eliminação pode ser negada mesmo após revogação (Art. 16):
| Situação | Exemplo prático |
|---|---|
| Cumprimento de obrigação legal | Dados fiscais (5 anos), trabalhistas (5 anos), médicos (20 anos de prontuário) |
| Pesquisa por órgão competente | Dado anonimizado para estatísticas |
| Transferência a terceiro nos termos da LGPD | Cessão de dados com base legal própria |
| Uso exclusivo do controlador com dados anonimizados | Análise estatística interna sem identificação |
Direito 7 — Informação sobre compartilhamento
O que é: O titular pode solicitar informação sobre quais entidades públicas e privadas receberam seus dados.
Como funciona na prática: A organização deve identificar concretamente os destinatários — não basta dizer "parceiros comerciais" ou "empresas do grupo". O titular tem direito de saber com quem especificamente seus dados foram compartilhados.
Este direito reforça a importância de manter o ROPA atualizado com todos os destinatários de dados, incluindo:
- Fornecedores de tecnologia (SaaS, cloud, plataformas de marketing)
- Escritórios contábeis ou jurídicos terceirizados
- Parceiros de negócio que recebem dados de clientes
- Órgãos públicos (quando obrigatório por lei)
Direito 8 — Informação sobre as consequências de não fornecer consentimento
O que é: O titular pode perguntar: "o que acontece se eu não consentir?"
Como funciona na prática: A organização deve informar claramente:
- Quais serviços não estarão disponíveis
- Quais funcionalidades serão afetadas
- Quais consequências práticas traz a recusa
Este direito garante que o consentimento seja genuinamente livre — o titular deve poder tomar a decisão com plena consciência das consequências. Uma organização que nega qualquer serviço ao titular que não consente com finalidades não essenciais pode estar violando o princípio da liberdade.
Direito 9 — Revogação do consentimento
O que é: O titular pode revogar o consentimento a qualquer momento, sem necessidade de justificativa (Art. 8, §5°).
Como funciona na prática: A revogação tem efeito imediato para tratamentos futuros. Os tratamentos já realizados com base no consentimento válido permanecem lícitos.
Importante: Se a organização perceber que, sem o consentimento, possui outra base legal para continuar o tratamento (ex.: obrigação contratual ou legal), pode fazê-lo — mas deve informar o titular sobre a nova base legal. Não pode continuar o tratamento baseado no consentimento revogado sem essa migração de base.
E o Art. 20? O direito esquecido
Além dos 9 direitos do Art. 18, o Art. 20 prevê um direito que é frequentemente omitido nas análises:
Revisão de decisões automatizadas: O titular tem direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses — como decisões de crédito, definição de perfis, análise de emprego, recomendações algorítmicas.
O controlador deve fornecer informações claras sobre os critérios e procedimentos utilizados para a decisão, observados os segredos comercial e industrial. Se negar as informações, a ANPD pode realizar auditoria.
Prazos: o que a LGPD determina
| Situação | Prazo | Fundamento |
|---|---|---|
| Resposta simplificada (confirmação básica, acesso simplificado) | Imediata | Art. 19, I |
| Resposta completa (com origem, critérios, finalidade) | Até 15 dias corridos | Art. 19, II |
| Correção e comunicação a terceiros | Imediata após correcao | Art. 18, §6° |
| Revogação do consentimento | Efeito imediato | Art. 8, §5° |
| Atendimento a titulares (gratuito) | Dentro dos prazos acima | Art. 18, §5° |
Atenção: A ANPD abriu Tomada de Subsídios em 2024 para regulamentar forma, prazos e operacionalização dos direitos dos titulares. A norma final poderá trazer prazos e procedimentos mais detalhados por setor.
Quando é possível negar ou limitar o exercício de direitos
Os direitos do Art. 18 não são absolutos. A organização pode legitimamente limitar o atendimento nas seguintes situações:
Para negar eliminação (Direitos 4 e 6):
- Cumprimento de obrigação legal ou regulatória (documentos fiscais, trabalhistas, médicos)
- Exercício regular de direitos em processo judicial ou administrativo
- Pesquisa por órgão competente (com anonimização quando possível)
- Dados necessários para uso exclusivo do controlador, anonimizados
Para limitar acesso ou portabilidade:
- Proteção de segredo comercial ou industrial (mas a ANPD pode auditar)
- Dados já anonimizados (fora do escopo da LGPD)
- Dados que envolvem privacidade de terceiros
Obrigações ao negar:
- A negativa deve ser fundamentada e por escrito com base legal específica
- O titular deve ser informado do motivo da negativa
- O titular pode levar a negativa à ANPD via petição de titular
O que acontece se a organização não atender
Petição à ANPD: O titular que não obter resposta satisfatória pode peticionar à ANPD (Art. 18, §1°). Para isso, deve ter comprovante do pedido original (protocolo, email enviado). A ANPD usa o volume de petições para priorizar fiscalizações temáticas.
Sanções administrativas (Art. 52): O descumprimento pode resultar em:
- Advertência com prazo para medidas corretivas
- Multa de até 2% do faturamento anual, limitada a R$ 50 milhões por infração
- Multa diária enquanto persistir a infração
- Publicização da infração (impacto reputacional)
- Bloqueio ou eliminação dos dados relacionados à infração
Responsabilidade civil (Art. 42): Independentemente das sanções administrativas, a organização que causar dano ao titular por violar a LGPD está sujeita à reparação civil — responsabilidade objetiva.
Como operacionalizar o atendimento
Para garantir o atendimento efetivo a todos os direitos, sua organização precisa de:
- Canal público e identificado para recebimento de pedidos (ver artigo sobre como estruturar o canal do titular)
- Processo de verificação de identidade do solicitante antes de responder
- Sistema de protocolo com número único por pedido e controle de prazo
- ROPA atualizado para localizar rapidamente todos os dados de um titular e todos os destinatários
- Fluxo interno documentado para cada tipo de pedido (quem recebe, quem analisa, quem responde)
- Registro de todos os pedidos (log de DSARs) para demonstrar conformidade à ANPD
Conclusão
Os 9 direitos do Art. 18 não são formalidades — são o núcleo do relacionamento entre a organização e os titulares de dados. Uma empresa que atende bem a esses pedidos demonstra maturidade em proteção de dados, constrói confiança e reduz significativamente o risco de sanções.
Comece pelo básico: defina um canal de atendimento, documente o processo e treine a equipe. O volume inicial de pedidos costuma ser baixo — mas a ausência de estrutura quando o primeiro pedido chega é o que mais penaliza.
O Confidata oferece um módulo de gestão de pedidos de titulares (DSARs) com protocolo automático, controle de prazo de 15 dias, verificação de identidade e integração com o inventário de dados da sua organização.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.