Portabilidade de Dados: Direito do Titular e Implementação

A portabilidade de dados pessoais é um dos direitos mais estratégicos da LGPD, permitindo que titulares transfiram suas informações entre fornecedores de serviços e fortalecendo o controle sobre o próprio patrimônio informacional.

O Direito à Portabilidade na Lei Geral de Proteção de Dados

Quando se analisa o arcabouço normativo da Lei nº 13.709/2018 (LGPD), identificamos que o direito à portabilidade de dados está previsto no artigo 18, inciso V, como uma das prerrogativas fundamentais do titular. Esse dispositivo assegura que qualquer pessoa natural pode solicitar a transferência de seus dados pessoais a outro fornecedor de serviço ou produto, observados os segredos comerciais e industriais do controlador originário. Trata-se de um mecanismo que amplia a autodeterminação informativa e estimula a concorrência saudável entre agentes de tratamento.

Na prática, a portabilidade funciona como uma ponte entre o direito individual do titular e a dinâmica de mercado. Organizações que tratam dados pessoais precisam estar preparadas para receber e atender requisições de portabilidade de forma estruturada, com prazos definidos e formatos interoperáveis. A Autoridade Nacional de Proteção de Dados (ANPD) tem competência para regulamentar os padrões técnicos aplicáveis, conforme previsto no artigo 40 da LGPD, embora a regulamentação detalhada ainda esteja em construção.

É importante destacarmos que o direito à portabilidade não se confunde com o direito de acesso aos dados (artigo 18, inciso II) nem com o direito à eliminação (artigo 18, inciso VI). Enquanto o acesso permite que o titular conheça quais informações estão sendo tratadas, a portabilidade vai além, exigindo que esses dados sejam transferidos em formato que permita a utilização por outro controlador. Essa distinção tem implicações práticas relevantes para a implementação de processos internos nas organizações.

Escopo e Limitações da Portabilidade

Ao conduzirmos processos de due diligence em proteção de dados, verifica-se que um dos pontos mais sensíveis é delimitar o escopo da portabilidade. Nem todos os dados pessoais tratados por uma organização são portáveis. A própria LGPD estabelece que a portabilidade deve respeitar os segredos comerciais e industriais, o que significa que dados derivados de processos analíticos proprietários, como scores de crédito ou perfis comportamentais gerados por algoritmos, podem não estar sujeitos à transferência.

Os dados passíveis de portabilidade são, em regra, aqueles fornecidos diretamente pelo titular (dados declarados) e aqueles observados durante a relação de consumo ou prestação de serviço (dados observados), como histórico de transações e registros de uso. Já os dados inferidos ou derivados, que resultam de processamento e análise realizada pelo controlador, tendem a ficar fora do escopo da portabilidade, pois envolvem propriedade intelectual e segredo de negócio.

Outro ponto que merece atenção é a questão dos dados de terceiros. Se um cadastro contém informações de outras pessoas físicas (como dependentes em um plano de saúde ou contatos em uma agenda), a portabilidade desses dados exige cautela redobrada. Transferir informações de terceiros sem base legal adequada pode configurar tratamento irregular e gerar responsabilização. Por isso, recomenda-se que as organizações estabeleçam critérios claros para segregar os dados do solicitante daqueles pertencentes a terceiros.

A limitação temporal também precisa ser considerada. A LGPD não especifica por quanto tempo retroativo o titular pode solicitar a portabilidade, mas as boas práticas indicam que o período deve corresponder ao tempo de retenção legítimo dos dados pela organização. Se os dados já foram eliminados em conformidade com a política de retenção, não há obrigação de portá-los.

Implementação Técnica e Operacional

Do ponto de vista operacional, implementar a portabilidade de dados exige planejamento em múltiplas camadas. Iniciamos pela governança, com a definição de políticas internas que estabeleçam responsabilidades, fluxos de aprovação e prazos de resposta. O artigo 18, parágrafo 5º, da LGPD determina que os requerimentos do titular devem ser atendidos imediatamente e de forma simplificada, ou, em caso de impossibilidade, em até 15 dias por meio de declaração clara e completa.

No plano técnico, a interoperabilidade é o maior desafio. Para que a portabilidade seja efetiva, os dados precisam ser exportados em formatos abertos e estruturados que possam ser interpretados por outros sistemas. Formatos como JSON, XML e CSV são amplamente utilizados, mas a padronização setorial ainda é incipiente no Brasil. Enquanto a ANPD não estabelece padrões obrigatórios, recomenda-se que as organizações adotem formatos amplamente reconhecidos e documentem a estrutura dos dados exportados por meio de dicionários de dados ou schemas descritivos.

A segurança da transferência constitui outro aspecto crítico. Quando realizamos a portabilidade, os dados transitam entre ambientes tecnológicos distintos, o que amplia a superfície de exposição a riscos como interceptação, vazamento ou corrupção de dados. Medidas como criptografia ponta a ponta, autenticação robusta do solicitante e canais seguros de transmissão (como APIs protegidas por certificados TLS) são indispensáveis. Verifica-se que organizações maduras em proteção de dados costumam implementar APIs dedicadas para portabilidade, com controles de autenticação OAuth 2.0 e registros detalhados de auditoria.

A portabilidade de dados não é apenas um direito do titular, mas um indicador de maturidade organizacional em proteção de dados e governança digital.

A verificação de identidade do solicitante merece menção especial. Antes de executar qualquer portabilidade, o controlador deve confirmar que o requerente é, de fato, o titular dos dados ou seu representante legal devidamente constituído. Falhas nessa verificação podem resultar em compartilhamento indevido de dados pessoais com terceiros não autorizados, gerando incidentes de segurança e responsabilização nos termos dos artigos 42 a 45 da LGPD.

Portabilidade no Contexto de Due Diligence

Em processos de due diligence voltados à proteção de dados, a capacidade de uma organização de atender requisições de portabilidade revela muito sobre seu nível de conformidade com a LGPD. Avaliamos, nesses processos, se a organização possui canal estruturado para receber solicitações dos titulares, se os prazos legais são cumpridos, se há documentação dos procedimentos adotados e se os controles técnicos são adequados.

Quando uma empresa passa por fusão, aquisição ou reestruturação societária, a portabilidade de dados assume dimensão ainda mais relevante. Nessas operações, é fundamental mapear os ativos de dados que serão transferidos entre as entidades envolvidas, verificando se as bases legais de tratamento permanecem válidas após a transação. O artigo 9º da LGPD exige transparência quanto à finalidade do tratamento, e qualquer alteração substancial na forma como os dados são utilizados pode demandar novo consentimento ou outra base legal adequada.

Outro aspecto relevante na due diligence é a análise de contratos com operadores (processadores de dados). Verifica-se se os contratos preveem cláusulas que obriguem o operador a colaborar com a portabilidade, fornecendo os dados em formato adequado e dentro dos prazos estabelecidos. A ausência dessas cláusulas pode gerar gargalos operacionais quando o controlador precisa atender uma requisição do titular, mas depende de um terceiro para extrair e formatar os dados.

No setor financeiro, a portabilidade de dados ganhou contornos específicos com o Open Finance, regulado pelo Banco Central. Nesse ecossistema, a portabilidade de dados cadastrais e transacionais entre instituições financeiras já opera com padrões técnicos definidos, APIs padronizadas e governança centralizada. Esse modelo serve como referência para outros setores que buscam implementar a portabilidade de forma eficiente e segura. No setor de saúde, telecomunicações e educação, iniciativas similares estão em diferentes estágios de desenvolvimento.

Boas Práticas e Recomendações para Conformidade

Com base na experiência da área em projetos de adequação à LGPD, consolidamos um conjunto de recomendações práticas para organizações que buscam implementar a portabilidade de dados de forma robusta. O primeiro passo é realizar um inventário completo dos dados pessoais tratados, classificando-os conforme a origem (declarados, observados ou inferidos) e identificando quais são portáveis.

Em seguida, recomenda-se a criação de um procedimento operacional padrão (POP) específico para a portabilidade, que contemple as etapas de recebimento da solicitação, verificação de identidade, extração dos dados, formatação, validação, transmissão segura e registro da operação. Cada etapa deve ter responsáveis definidos e prazos internos que garantam o cumprimento do prazo legal de 15 dias.

A capacitação das equipes envolvidas é igualmente importante. Colaboradores que atuam no atendimento ao titular, na área de tecnologia da informação e no jurídico precisam compreender o fluxo da portabilidade e suas implicações. Simulações periódicas (exercícios de portabilidade) ajudam a identificar gargalos e aprimorar o processo antes que uma requisição real exponha fragilidades.

Do ponto de vista documental, mantemos a recomendação de que todas as requisições de portabilidade sejam registradas em um livro de registro de operações, incluindo a data da solicitação, a identificação do titular, os dados portados, o destinatário da transferência, o formato utilizado e a confirmação de conclusão. Esse registro serve tanto como evidência de conformidade perante a ANPD quanto como insumo para a melhoria contínua do processo.

Por fim, cabe destacar a importância de monitorar os desdobramentos regulatórios. A ANPD tem agenda regulatória que inclui a normatização de padrões técnicos para portabilidade, e eventuais regulamentos específicos poderão exigir ajustes nos processos já implementados. Manter-se atualizado sobre as publicações da Autoridade e participar de consultas públicas são formas de antecipar mudanças e manter a organização em conformidade.

Esse assunto tem relação direta com direito ao esquecimento digital, tema que abordamos em artigo específico.

Esse assunto tem relação direta com direito de oposição ao tratamento de dados, tema que abordamos em artigo específico.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.