Canal de Direitos do Titular — Erros Comuns e Como Corrigir

O canal de direitos do titular é um dos primeiros itens que a ANPD verifica em uma fiscalização — e um dos mais mal implementados na prática. Em dezembro de 2024, a Autoridade abriu processo de fiscalização contra 20 empresas de grande porte especificamente por ausência de canal de comunicação adequado ou canais que não cumpriam sua função de mediar o exercício de direitos pelos titulares.

O problema raramente é a inexistência total do canal. É pior: canais que existem mas não funcionam. Formulários que caem em caixas de e-mail genéricas, respostas automáticas que não resolvem nada, prazos descumpridos, verificações de identidade que pedem mais dados do que o necessário. Este guia mapeia os erros mais frequentes e mostra como corrigi-los.

Os 9 direitos do titular que o canal deve atender

O Art. 18 da LGPD garante ao titular o direito de obter do controlador, a qualquer momento e mediante requisição:

1. Confirmação de existência de tratamento (Art. 18, I)

O titular pergunta: "Vocês tratam dados pessoais meus?" A resposta deve ser sim ou não — simples.

Exemplo de solicitação real: "Gostaria de saber se a empresa possui dados pessoais associados ao meu CPF."

2. Acesso aos dados (Art. 18, II)

O titular quer saber quais dados a organização possui sobre ele. A resposta deve ser completa: todos os dados pessoais, categorias, fontes de coleta.

Exemplo: "Solicito cópia de todos os dados pessoais que vocês possuem sobre mim."

3. Correção de dados incompletos, inexatos ou desatualizados (Art. 18, III)

O titular identificou um dado errado e quer corrigi-lo.

Exemplo: "Meu endereço está desatualizado no cadastro. O correto é [novo endereço]."

4. Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos (Art. 18, IV)

O titular considera que há dados tratados além do necessário para a finalidade informada.

Exemplo: "Vocês coletaram minha data de nascimento para uma compra online. Não vejo necessidade desse dado. Solicito a eliminação."

5. Portabilidade dos dados (Art. 18, V)

O titular quer transferir seus dados para outro fornecedor de serviço ou produto.

Exemplo: "Estou migrando para outro plano de saúde. Solicito a portabilidade dos meus dados cadastrais e histórico."

6. Eliminação dos dados tratados com consentimento (Art. 18, VI)

Quando o tratamento se baseia em consentimento, o titular pode solicitar a eliminação dos dados — exceto quando a lei autorizar a retenção.

Exemplo: "Revogo meu consentimento para marketing e solicito a eliminação dos dados coletados para essa finalidade."

7. Informação sobre compartilhamento (Art. 18, VII)

O titular quer saber com quem seus dados foram compartilhados — entidades públicas e privadas.

Exemplo: "Com quais empresas ou órgãos vocês compartilharam meus dados pessoais?"

8. Informação sobre possibilidade de não consentir (Art. 18, VIII)

O titular tem direito a ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

Exemplo: "O que acontece se eu não consentir com o uso dos meus dados para personalização de ofertas?"

9. Revogação do consentimento (Art. 18, §5º c/c Art. 8º, §5º)

O titular pode revogar o consentimento a qualquer momento, de forma gratuita e facilitada.

Exemplo: "Revogo o consentimento para tratamento dos meus dados para fins de marketing."

Além desses nove direitos, o Art. 20 da LGPD prevê o direito à revisão de decisões automatizadas — o titular pode solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado (scoring de crédito, decisões algorítmicas, perfilamento).

Prazos legais: o que a LGPD exige

O Art. 18, §§ 3º, 4º e 5º da LGPD estabelece duas formas de resposta:

Tipo de resposta	Prazo	Conteúdo
Declaração simplificada	Imediato	Confirma ou nega a existência de tratamento
Declaração completa	Até 15 dias	Origem dos dados, critérios, finalidade do tratamento

O prazo de 15 dias é contado a partir do recebimento da solicitação pelo controlador. É prazo máximo, não prazo recomendado — quanto mais rápido, melhor a experiência do titular e menor o risco regulatório.

Formato da resposta: Os dados devem ser fornecidos em formato claro e completo, de acordo com as disposições legais. Na prática, isso significa PDF, planilha ou outro formato eletrônico acessível — não um código de sistema que o titular não consegue interpretar.

Os 5 erros mais frequentes — e como corrigir cada um

Erro #1: Canal que ninguém monitora

O problema: A organização criou um formulário de "direitos do titular" no site, publicou um e-mail (lgpd@empresa.com.br) e considerou o assunto resolvido. Mas ninguém monitora a caixa de e-mail, ninguém verifica o formulário, e as solicitações ficam sem resposta por semanas ou meses.

Por que é grave: A ANPD verificou, na fiscalização de dezembro de 2024, que diversas empresas de grande porte tinham canais inoperantes. Quando o titular não recebe resposta, ele pode peticionar à ANPD — e aí o problema deixa de ser uma solicitação individual e vira processo administrativo.

Como corrigir:

Designar responsável com nome e prazo para monitorar o canal diariamente
Configurar alerta automático (e-mail, Slack, sistema de tickets) para cada nova solicitação
Definir SLA interno mais curto que o prazo legal (ex: 5 dias úteis para resposta inicial, 15 dias para resposta completa)
Ter backup — se o responsável estiver ausente, quem assume?

Erro #2: Resposta genérica que não resolve a solicitação

O problema: O titular pede acesso aos seus dados e recebe: "Prezado(a), informamos que tratamos seus dados de acordo com a LGPD e nossa política de privacidade. Atenciosamente." Isso não é resposta — é evasão.

Por que é grave: O Art. 18, II exige o fornecimento dos dados pessoais do titular, não uma declaração genérica de conformidade. A ANPD pode interpretar essa resposta como não atendimento à solicitação.

Como corrigir:

Para cada tipo de solicitação, ter modelo de resposta específico que efetivamente atende ao pedido
Confirmação de existência: listar as categorias de dados tratados
Acesso: fornecer cópia dos dados em formato legível
Correção: confirmar a alteração realizada
Eliminação: confirmar quais dados foram eliminados e quais foram retidos (e por qual motivo legal)
Portabilidade: fornecer dados em formato estruturado e legível por máquina

Erro #3: Pedir mais dados do que necessário para verificar identidade

O problema: O titular quer acessar seus dados. O controlador responde: "Para processar sua solicitação, envie cópia do RG, CPF, comprovante de residência, selfie segurando o documento e assinatura digitalizada." O titular desiste — e com razão.

Por que é grave: A verificação de identidade é legítima (o controlador deve confirmar que está entregando dados à pessoa certa), mas deve ser proporcional. Pedir documentos excessivos viola o princípio da necessidade (Art. 6º, III) e cria barreira ao exercício de direitos.

Como corrigir:

Verificar identidade com o mínimo necessário — se o titular já tem conta no sistema, autenticação por login é suficiente
Para titulares sem conta: nome completo + dado que permita localização no sistema (e-mail cadastrado, número de pedido, CPF)
Nunca exigir comprovante de residência, selfie ou cópia autenticada de documento
Documentar o critério de verificação na política interna

Erro #4: Não ter processo interno de triagem e encaminhamento

O problema: A solicitação chega ao e-mail genérico. Quem recebe não sabe o que fazer — encaminha para TI, que encaminha para jurídico, que encaminha para compliance. Duas semanas depois, ninguém respondeu.

Por que é grave: Sem processo definido, o prazo de 15 dias é facilmente estourado. E cada encaminhamento interno sem dono aumenta o risco de a solicitação se perder.

Como corrigir:

Definir fluxo claro com responsáveis:

Recebimento — equipe de atendimento registra a solicitação no sistema, classifica o tipo (acesso, correção, eliminação, etc.)
Verificação de identidade — equipe de atendimento confirma identidade do solicitante (conforme critério mínimo)
Triagem — encarregado (DPO) avalia a solicitação: é procedente? qual área detém os dados?
Execução — área responsável pelos dados executa a ação (extrai dados, corrige, elimina)
Resposta — DPO ou atendimento envia resposta formal ao titular
Registro — solicitação, resposta e evidências documentadas no sistema

Prazos internos sugeridos:

Registro e classificação: mesmo dia
Verificação de identidade: 1 dia útil
Triagem pelo DPO: 2 dias úteis
Execução pela área: 5 dias úteis
Resposta ao titular: 2 dias úteis
Total interno: 10 dias úteis (margem de 5 dias antes do prazo legal)

Erro #5: Não documentar solicitações e respostas

O problema: As solicitações são respondidas por e-mail ad hoc, sem registro centralizado. Ninguém sabe quantas solicitações foram recebidas, quanto tempo levou para responder, ou se todas foram atendidas.

Por que é grave: Em uma fiscalização, a ANPD pode solicitar evidências de que o canal funciona. Sem registro, não há como demonstrar conformidade. Além disso, sem dados históricos, é impossível identificar padrões (aumento de solicitações de eliminação pode indicar problema de comunicação; muitas solicitações de acesso do mesmo setor pode indicar incidente).

Como corrigir:

Usar sistema centralizado para registrar todas as solicitações (pode ser planilha no início, sistema dedicado depois)
Registrar para cada solicitação: data de recebimento, tipo, dados do solicitante, status, data de resposta, conteúdo da resposta
Gerar relatório mensal com: total de solicitações, tempo médio de resposta, tipos mais frequentes, solicitações pendentes
Manter registros por pelo menos 5 anos (prazo prescricional de ações de reparação civil)

Automação: quando usar formulário, chatbot ou sistema dedicado

Formulário web (mínimo aceitável)

Adequado para organizações menores. O formulário deve:

Estar acessível na política de privacidade e no rodapé do site
Ter campos para: nome, e-mail, tipo de solicitação (dropdown com os 9 direitos), descrição
Gerar confirmação automática de recebimento com número de protocolo
Direcionar notificação ao responsável designado

Sistema de tickets

Para organizações com volume médio de solicitações. Sistemas como Zendesk, Freshdesk ou ServiceNow podem ser configurados com:

Formulário público integrado ao site
Classificação automática por tipo de solicitação
SLA com alertas de prazo
Workflow de encaminhamento por área
Relatórios automáticos

Plataforma dedicada de gestão de direitos

Para organizações com alto volume ou requisitos regulatórios rigorosos. Oferece:

Portal do titular com acompanhamento em tempo real
Verificação de identidade integrada
Integração com bases de dados para extração automatizada
Dashboards de conformidade
Trilha de auditoria completa

KPIs do canal do titular

Indicador	Meta recomendada	Por que importa
Tempo médio de resposta	≤ 10 dias úteis	Margem de segurança sobre os 15 dias legais
% de solicitações respondidas no prazo	≥ 98%	Evidência de conformidade
% de solicitações resolvidas na primeira resposta	≥ 80%	Eficiência do processo
Volume de petições à ANPD	0	Indica que o canal está funcionando
Tempo de verificação de identidade	≤ 1 dia útil	Não criar barreira ao exercício de direitos
NPS do canal (se aplicável)	≥ 70	Experiência do titular

Modelos de resposta para cada tipo de solicitação

Confirmação de existência (Art. 18, I)

Prezado(a) [Nome],

Em resposta à sua solicitação nº [Protocolo], confirmamos que [Nome da Empresa] trata dados pessoais associados ao seu cadastro. As categorias de dados tratados incluem: dados cadastrais (nome, CPF, e-mail), dados de transação (histórico de compras) e dados de navegação (cookies, conforme nossa política).

Caso deseje exercer qualquer outro direito previsto na LGPD, estamos à disposição neste mesmo canal.

Acesso aos dados (Art. 18, II)

Prezado(a) [Nome],

Em resposta à sua solicitação nº [Protocolo], seguem em anexo os dados pessoais que [Nome da Empresa] possui associados ao seu cadastro, em formato [PDF/CSV].

Os dados incluem: [listar categorias]. A finalidade do tratamento é [finalidade]. A base legal é [base legal]. Os dados são compartilhados com [listar entidades, se aplicável].

Caso identifique qualquer dado incorreto ou deseje solicitar correção, eliminação ou portabilidade, estamos à disposição.

Eliminação de dados (Art. 18, VI)

Prezado(a) [Nome],

Em resposta à sua solicitação nº [Protocolo], informamos que os seguintes dados foram eliminados: [listar dados eliminados].

Os seguintes dados foram mantidos em razão de obrigação legal: [listar dados mantidos e base legal — ex: dados fiscais mantidos por 5 anos conforme Art. 173 do CTN; dados trabalhistas conforme legislação trabalhista].

A eliminação foi concluída em [data]. Caso tenha dúvidas, estamos à disposição.

Negativa fundamentada

Prezado(a) [Nome],

Em resposta à sua solicitação nº [Protocolo], informamos que não foi possível atender ao pedido de [tipo] pelos seguintes motivos: [fundamentação legal — ex: dados necessários para cumprimento de obrigação legal, Art. 16, I da LGPD].

Caso discorde desta decisão, informamos que é possível apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.

O canal como evidência de conformidade

O canal do titular não é apenas uma obrigação legal — é uma das evidências mais importantes de conformidade em caso de fiscalização ou auditoria. A ANPD, ao investigar uma organização, verifica:

O canal existe e é acessível? — publicado no site, na política de privacidade, de fácil localização
O canal funciona? — solicitações são recebidas e respondidas
Os prazos são cumpridos? — 15 dias para declaração completa
As respostas são adequadas? — atendem efetivamente ao direito solicitado
Há registro das solicitações? — trilha de auditoria

Organizações que mantêm documentação de evidências organizada — incluindo logs do canal do titular — têm vantagem significativa em processos de fiscalização.

Checklist de conformidade do canal do titular

Estrutura básica

Canal publicado no site (formulário, e-mail dedicado ou portal)
Canal referenciado na política de privacidade
Confirmação automática de recebimento com número de protocolo
Responsável designado para monitoramento diário

Processo interno

Fluxo documentado: recebimento → verificação → triagem → execução → resposta
SLA interno definido (recomendado: 10 dias úteis)
Critério de verificação de identidade proporcional (sem exigências excessivas)
Modelos de resposta para cada tipo de solicitação
Processo para negativas fundamentadas

Documentação e monitoramento

Registro centralizado de todas as solicitações e respostas
Relatório periódico de KPIs (volume, tempo, taxa de resolução)
Retenção dos registros por no mínimo 5 anos
Evidências organizadas para eventual fiscalização

Atendimento aos 9 direitos

Canal atende solicitações de confirmação de existência
Canal atende solicitações de acesso
Canal atende solicitações de correção
Canal atende solicitações de anonimização/bloqueio/eliminação
Canal atende solicitações de portabilidade
Canal atende solicitações de eliminação por revogação de consentimento
Canal atende solicitações de informação sobre compartilhamento
Canal atende solicitações sobre possibilidade de não consentir
Canal atende solicitações de revogação de consentimento

Conclusão

O canal de direitos do titular é simultaneamente uma das obrigações mais simples de implementar e uma das mais negligenciadas. Não requer tecnologia sofisticada — um formulário bem configurado, um processo interno documentado e uma pessoa responsável são suficientes para organizações de pequeno e médio porte. O que requer é disciplina: monitorar diariamente, responder no prazo, documentar tudo.

A fiscalização de 20 empresas pela ANPD em dezembro de 2024 deixou claro que canais inoperantes ou inadequados estão na mira da Autoridade. A boa notícia é que todas as 20 empresas regularizaram a situação após a notificação — demonstrando que o problema, na maioria dos casos, é falta de atenção, não de capacidade.

A Confidata oferece canal do titular integrado com gestão automatizada de solicitações: formulário personalizável, protocolo automático, SLA com alertas, workflow de triagem e encaminhamento, modelos de resposta e painel de evidências para auditoria — garantindo conformidade com o Art. 18 da LGPD sem complexidade operacional.

Canal de Direitos do Titular — Erros Comuns e Como Corrigir

Os 9 direitos do titular que o canal deve atender

1. Confirmação de existência de tratamento (Art. 18, I)

2. Acesso aos dados (Art. 18, II)

3. Correção de dados incompletos, inexatos ou desatualizados (Art. 18, III)

4. Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos (Art. 18, IV)

5. Portabilidade dos dados (Art. 18, V)

6. Eliminação dos dados tratados com consentimento (Art. 18, VI)

7. Informação sobre compartilhamento (Art. 18, VII)

8. Informação sobre possibilidade de não consentir (Art. 18, VIII)

9. Revogação do consentimento (Art. 18, §5º c/c Art. 8º, §5º)

Prazos legais: o que a LGPD exige

Os 5 erros mais frequentes — e como corrigir cada um

Erro #1: Canal que ninguém monitora

Erro #2: Resposta genérica que não resolve a solicitação

Erro #3: Pedir mais dados do que necessário para verificar identidade

Erro #4: Não ter processo interno de triagem e encaminhamento

Erro #5: Não documentar solicitações e respostas

Automação: quando usar formulário, chatbot ou sistema dedicado

Formulário web (mínimo aceitável)

Sistema de tickets

Plataforma dedicada de gestão de direitos

KPIs do canal do titular

Modelos de resposta para cada tipo de solicitação

Confirmação de existência (Art. 18, I)

Acesso aos dados (Art. 18, II)

Eliminação de dados (Art. 18, VI)

Negativa fundamentada

O canal como evidência de conformidade

Checklist de conformidade do canal do titular

Estrutura básica

Processo interno

Documentação e monitoramento

Atendimento aos 9 direitos

Conclusão

Artigos relacionados

Quer ir além? Conheça o Confidata