LGPD Comentada15 min de leitura

LGPD Comentada #12: O Catálogo Completo de Direitos do Titular de Dados

Equipe Confidata·
Compartilhar

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

A LGPD não protege dados pessoais no abstrato — protege pessoas. E a expressão mais concreta dessa proteção são os direitos que a lei confere ao titular de dados. Os Arts. 17 e 18 formam o catálogo desses direitos: o Art. 17 estabelece a titularidade como direito fundamental e o Art. 18 lista nove direitos específicos que qualquer pessoa pode exercer perante qualquer organização que trate seus dados.

Para o DPO e o profissional de compliance, esses artigos definem obrigações operacionais concretas: canais de atendimento, prazos de resposta, formatos de entrega e procedimentos internos. Este post analisa cada dispositivo, com foco na operacionalização prática e nos desafios que a implementação enfrenta.

Art. 17 — Titularidade como direito fundamental

O texto legal

Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Análise

O Art. 17 é breve, mas carrega peso jurídico considerável. Ele estabelece três premissas:

1. Toda pessoa natural é titular de seus dados pessoais. A titularidade é inerente à pessoa — não depende de contrato, cadastro ou relação jurídica com o controlador. Um consumidor cujos dados foram coletados sem seu conhecimento continua sendo titular e pode exercer os direitos do Art. 18.

2. A titularidade é um direito assegurado. Não é uma faculdade que o controlador concede — é um direito que o titular exerce. A linguagem é imperativa: "tem assegurada", não "poderá ter" ou "mediante condições".

3. A proteção de dados se vincula a direitos fundamentais. A menção explícita a liberdade, intimidade e privacidade conecta a LGPD ao Art. 5º da Constituição Federal. Desde a Emenda Constitucional 115/2022, a proteção de dados pessoais é expressamente um direito fundamental autônomo (Art. 5º, LXXIX da CF), reforçando o status constitucional que o Art. 17 já anunciava.

Na prática, o Art. 17 funciona como uma cláusula geral que orienta a interpretação de todo o catálogo de direitos do Art. 18. Quando houver dúvida sobre o alcance de um direito específico, o intérprete deve considerar que a LGPD visa proteger a liberdade, a intimidade e a privacidade do titular — e não a conveniência operacional do controlador.

Art. 18 — Os nove direitos do titular

O texto legal

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer tempo e mediante requisição:

I — confirmação da existência de tratamento;

II — acesso aos dados;

III — correção de dados incompletos, inexatos ou desatualizados;

IV — anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V — portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI — eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII — informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII — informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX — revogação do consentimento, nos termos do §5º do art. 8º desta Lei.

Os parágrafos do Art. 18

§1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

§2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

§3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

§4º Em caso de impossibilidade de adoção imediata da providência de que trata o §3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I — comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II — indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

§5º O requerimento referido no §3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

§6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

§7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

§8º O direito a que se refere o §1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.

Análise direito por direito

I — Confirmação da existência de tratamento

O titular pode perguntar a qualquer organização: "vocês tratam dados pessoais meus?" A resposta deve ser sim ou não — simples, objetiva, sem custos. É o direito mais básico e o ponto de entrada para o exercício dos demais.

Na prática, muitas organizações recebem esse pedido e não sabem como respondê-lo. Isso revela uma deficiência no inventário de dados: se a organização não sabe quais dados trata e de quem, não pode confirmar nem negar. O direito de confirmação é, indiretamente, um teste de maturidade do programa de privacidade.

II — Acesso aos dados

Uma vez confirmada a existência do tratamento, o titular pode solicitar acesso aos dados que o controlador mantém sobre ele. O Art. 19 (analisado no próximo post da série) detalha os prazos e formatos de resposta.

O acesso deve incluir todos os dados pessoais tratados — não apenas os que o titular forneceu diretamente. Dados inferidos (score de crédito, perfil comportamental), dados coletados de terceiros e dados derivados de análise também estão no escopo.

III — Correção de dados incompletos, inexatos ou desatualizados

O titular pode exigir a correção de dados errados. Um endereço desatualizado, um nome grafado incorretamente, um estado civil que mudou — tudo isso deve ser corrigido pelo controlador quando o titular solicitar.

A obrigação vai além da correção pontual: o §6º do Art. 18 exige que o controlador informe a correção a todos os agentes com quem compartilhou os dados, para que repliquem o procedimento. Se o controlador compartilhou dados incorretos com parceiros comerciais, deve notificá-los sobre a correção — exceto quando isso for comprovadamente impossível ou implicar esforço desproporcional.

IV — Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos

Este é um direito com três facetas. O titular pode solicitar:

  • Anonimização: transformação do dado em formato que não permita identificação (irreversível)
  • Bloqueio: suspensão temporária do tratamento, mantendo o dado armazenado
  • Eliminação: exclusão definitiva do dado

O gatilho é triplo: dados desnecessários (não há mais finalidade), excessivos (foram coletados além do necessário) ou tratados em desconformidade com a LGPD. O titular não precisa provar a irregularidade com rigor processual — basta indicar o fundamento, e o controlador deve avaliar o pedido.

V — Portabilidade dos dados

O titular pode solicitar a transferência de seus dados a outro fornecedor de serviço ou produto. Este direito visa combater o aprisionamento tecnológico (vendor lock-in) e garantir que o titular possa migrar entre serviços sem perder seus dados.

Limitações importantes:

  • A portabilidade depende de regulamentação pela ANPD quanto a formato, padrões técnicos e interoperabilidade. Essa regulamentação está prevista na Agenda Regulatória 2025-2026 da ANPD, mas ainda não foi finalizada — o que limita a operacionalização do direito na prática.
  • O §7º exclui dados que já foram anonimizados — logicamente, pois dados anônimos não são dados pessoais.
  • A portabilidade deve respeitar segredos comercial e industrial — o controlador não é obrigado a transferir algoritmos proprietários, modelos analíticos ou propriedade intelectual.

VI — Eliminação dos dados tratados com consentimento

Quando o tratamento se baseia em consentimento, o titular pode solicitar a eliminação dos dados a qualquer momento. A exceção são as hipóteses do Art. 16 — obrigação legal, pesquisa, transferência a terceiro ou uso exclusivo com anonimização.

A diferença entre o inciso IV e o inciso VI é a base legal. O IV se aplica a dados desnecessários ou tratados de forma irregular, independentemente da base legal. O VI se aplica especificamente a dados cuja base é o consentimento — e cujo consentimento foi revogado.

VII — Informação sobre compartilhamento

O titular pode perguntar: "com quem vocês compartilharam meus dados?" O controlador deve informar as entidades públicas e privadas que receberam os dados via uso compartilhado.

Este direito exige que o controlador mantenha registro atualizado dos compartilhamentos — não apenas os contratos com operadores e parceiros, mas o rastreamento efetivo de quais dados foram compartilhados com quais entidades. Para organizações com dezenas de integrações e parceiros, isso demanda infraestrutura de governança de dados.

VIII — Informação sobre a possibilidade de não consentir

O titular tem direito de ser informado sobre as consequências de não fornecer consentimento. Essa informação deve ser prestada antes da coleta do consentimento, não depois. Se um aplicativo coleta geolocalização com base em consentimento, deve informar ao titular o que acontece se ele recusar: funcionalidades limitadas? Serviço indisponível? Nenhum impacto?

A transparência sobre as consequências da recusa é um requisito de validade do consentimento — um consentimento sem essa informação pode ser considerado viciado.

IX — Revogação do consentimento

O titular pode revogar o consentimento a qualquer momento, de forma facilitada e gratuita (Art. 8º, §5º). A revogação deve ser tão simples quanto a concessão — se o consentimento foi dado com um clique, a revogação não pode exigir carta registrada.

A revogação não é retroativa: tratamentos realizados com base no consentimento antes da revogação continuam lícitos. Mas a partir da revogação, o controlador deve cessar o tratamento para aquela finalidade — salvo se possuir outra base legal válida.

Como operacionalizar os direitos

Canal de atendimento

A LGPD exige que o controlador disponibilize um canal para o exercício dos direitos do titular. A Resolução CD/ANPD nº 18/2024, que regulamenta o papel do encarregado, reforça a obrigação de indicar o encarregado e disponibilizar informações de contato de forma pública e acessível.

Em 2024, a ANPD iniciou processo de fiscalização contra 20 empresas de grande porte que não haviam indicado o contato do encarregado nem disponibilizado canal de comunicação adequado para titulares — demonstrando que a exigência é efetivamente fiscalizada.

O canal deve ser:

  • Acessível: fácil de encontrar no site ou aplicativo (não enterrado em submenus)
  • Gratuito: sem custos para o titular (Art. 18, §5º)
  • Eficaz: com capacidade de receber, processar e responder requisições dentro dos prazos legais
  • Rastreável: com protocolo de atendimento para que o titular acompanhe o status

Prazos

O Art. 19 (analisado no próximo post) define os prazos: confirmação simplificada em formato imediato e declaração completa no prazo de até 15 dias. O controlador que não cumprir os prazos sujeita-se a reclamação perante a ANPD (Art. 18, §1º) e aos organismos de defesa do consumidor (Art. 18, §8º).

Formatos de resposta

O Art. 19, §2º prevê que a resposta ao titular deve ser fornecida por meio eletrônico, seguro e idôneo, ou sob forma impressa. Na prática, o formato eletrônico é preferível: dados estruturados (CSV, JSON, PDF) que o titular pode armazenar, revisar e, se aplicável, portar para outro fornecedor.

O §6º — Propagação de correções e eliminações

Um aspecto frequentemente negligenciado: quando o controlador corrige, elimina, anonimiza ou bloqueia dados, deve comunicar isso imediatamente a todos os agentes com quem compartilhou os dados, para que repliquem o procedimento. A exceção é a impossibilidade comprovada ou o esforço desproporcional.

Na prática, isso exige:

  • Registro de todos os compartilhamentos (para saber quem notificar)
  • Mecanismo de notificação (API, e-mail formal, notificação em sistema)
  • Confirmação de que o agente receptor realizou a correção/eliminação

Para organizações com ecossistemas complexos de parceiros e fornecedores, esse requisito é um dos mais desafiadores da LGPD.

§1º e §8º — Petição à ANPD e aos órgãos de defesa do consumidor

Petição à ANPD

O §1º garante ao titular o direito de peticionar diretamente à ANPD quando seus direitos não forem atendidos pelo controlador. A ANPD disponibiliza formulários específicos para denúncias e petições em seu portal, e as demandas de titulares representam aproximadamente 15% do total de manifestações recebidas pela ouvidoria da autoridade.

O fluxo recomendado é:

  1. O titular exerce o direito diretamente perante o controlador
  2. Se não obtiver resposta ou resposta inadequada no prazo legal, peticiona à ANPD
  3. A ANPD pode instaurar processo administrativo, determinar providências e, se cabível, aplicar sanções

Organismos de defesa do consumidor

O §8º amplia o espectro de proteção: o titular pode exercer seus direitos também perante Procons, Defensoria Pública, Ministério Público e outros organismos de defesa do consumidor. Isso é particularmente relevante nas relações de consumo, onde a LGPD e o Código de Defesa do Consumidor atuam em conjunto (Art. 45 da LGPD).

§2º — Direito de oposição

O §2º confere ao titular o direito de se opor ao tratamento realizado com base em uma das hipóteses de dispensa de consentimento (legítimo interesse, obrigação legal, etc.), quando houver descumprimento da LGPD.

Este direito não é um veto unilateral ao tratamento — é um direito de contestação condicionado à identificação de uma violação. O titular pode se opor ao tratamento por legítimo interesse se demonstrar que o controlador não realizou o teste de balanceamento, que os dados são excessivos ou que a finalidade é inadequada. O controlador deve avaliar a oposição e, se procedente, cessar o tratamento.

Erros comuns na operacionalização dos direitos

ErroConsequênciaCorreção
Não ter canal de atendimento visível e acessívelFiscalização da ANPD, reclamações em ProconsDisponibilizar canal em local de destaque no site, com dados do encarregado
Exigir documentos excessivos para verificar identidade do titularBarreira ao exercício de direitos, experiência negativaVerificar identidade de forma proporcional ao risco, sem burocracia excessiva
Responder pedidos de acesso apenas com dados cadastraisDescumprimento do direito de acesso integralIncluir todos os dados tratados: coletados, inferidos, recebidos de terceiros
Não propagar correções/eliminações a parceiros (§6º)Dados incorretos permanecem em circulaçãoManter registro de compartilhamentos e mecanismo de notificação
Tornar a revogação do consentimento mais difícil que a concessãoViolação do Art. 8º, §5ºRevogação no mesmo canal e com o mesmo nível de facilidade
Cobrar pelo atendimento de requisições do titularViolação do Art. 18, §5º — atendimento gratuitoAbsorver custos operacionais como custo de conformidade
Ignorar pedidos de portabilidade alegando ausência de regulamentaçãoRisco de reclamação à ANPDAtender com melhor esforço, em formato estruturado e legível por máquina

Conclusão

Os Arts. 17 e 18 transferem poder ao titular. Não é o controlador que decide se o titular pode acessar, corrigir ou eliminar seus dados — é a lei que garante esses direitos como extensão das liberdades fundamentais. O papel do controlador é operacionalizar: construir canais, definir processos, treinar equipes e responder dentro dos prazos.

O catálogo do Art. 18 é extenso — nove direitos, oito parágrafos, dezenas de obrigações implícitas — mas a lógica é coerente: o titular tem direito de saber o que é feito com seus dados, de corrigir o que estiver errado, de levar seus dados consigo, de apagar o que não for mais necessário e de se opor ao que for irregular. Para organizações, a conformidade com esses direitos não é opcional — é a base do relacionamento de confiança com seus clientes, colaboradores e parceiros.

A Confidata oferece um módulo dedicado à gestão de direitos dos titulares, com canal de requisição integrado, rastreabilidade de cada pedido, prazos automáticos e propagação de correções a agentes de tratamento vinculados. Conheça nossa plataforma.

Compartilhar
#lgpd-comentada#LGPD#Art. 17#Art. 18#direitos do titular#acesso#correção#portabilidade#eliminação

Artigos relacionados

LGPD Comentada #28: Vigência, transição e o futuro da proteção de dados no BrasilLGPD Comentada · 13 minLGPD Comentada #27: O Conselho Nacional de Proteção de Dados e da PrivacidadeLGPD Comentada · 12 minANPD: Competências, Estrutura e Poderes de FiscalizaçãoLGPD Comentada · 16 minLGPD Comentada #25: Sanções administrativas — da advertência à multa de R$ 50 milhõesLGPD Comentada · 16 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista