Direitos do titular de dados: como pedir acesso, correção e exclusão das suas informações

A Lei Geral de Proteção de Dados garante a qualquer cidadão o poder de saber o que empresas e órgãos públicos fazem com suas informações pessoais, corrigir registros errados e até exigir a exclusão de dados. Esses direitos são gratuitos, têm prazos definidos para resposta e podem ser acionados diretamente contra o responsável pelo tratamento, sem necessidade de advogado para o primeiro contato.

O que a LGPD assegura ao cidadão

A Lei 13.709/2018 parte de um princípio simples: o dado pessoal pertence à pessoa a quem ele se refere, não a quem o coleta. Quem trata informações de terceiros, chamado de controlador, atua como guardião e deve prestar contas. A partir dessa lógica, a legislação reúne em seu artigo 18 um conjunto de direitos que o titular pode exercer a qualquer momento.

O primeiro deles é a confirmação de que existe tratamento dos seus dados. Em seguida, vem o direito de acesso, que permite conhecer exatamente quais informações estão armazenadas. Há também o direito de correção de dados incompletos, inexatos ou desatualizados, fundamental para quem encontra erros em cadastros que geram cobranças indevidas ou negativas de crédito.

A lei vai além do simples acesso. O titular pode pedir a anonimização, o bloqueio ou a eliminação de dados tratados em desconformidade com a norma. Quando o tratamento se baseou no consentimento, é possível solicitar a exclusão completa das informações, salvo quando a guarda for obrigatória por outra previsão legal, como ocorre com documentos fiscais e registros bancários.

Completam o rol o direito à portabilidade dos dados para outro fornecedor, a informação sobre com quem as informações foram compartilhadas e o esclarecimento sobre a possibilidade de não fornecer o consentimento, com as respectivas consequências da recusa. Por fim, o consentimento, quando é a base do tratamento, pode ser revogado a qualquer tempo, de forma tão fácil quanto foi concedido.

Prazos de resposta e a gratuidade do pedido

Um dos pontos mais relevantes para quem deseja exercer seus direitos é a questão do tempo. A lei não permite que o controlador adie indefinidamente a resposta. Diante de um pedido de confirmação de tratamento ou de acesso, a resposta deve ocorrer em formato simplificado de imediato. Caso o titular queira uma declaração clara e completa, que indique a origem dos dados, os critérios utilizados e a finalidade do tratamento, o prazo máximo é de quinze dias contados da solicitação.

Para os demais pedidos, como correção, eliminação e portabilidade, a Autoridade Nacional de Proteção de Dados estabelece os parâmetros aplicáveis, mas a orientação geral é de resposta em prazo razoável e proporcional à complexidade do caso. O atraso injustificado configura descumprimento e abre caminho para reclamação administrativa.

A gratuidade é outro pilar essencial. O requerimento dos direitos previstos na LGPD não pode ser cobrado do titular. Empresas que condicionam o atendimento ao pagamento de taxas, à contratação de serviços ou ao preenchimento de formulários abusivos violam a lei. O exercício do direito é livre e desvinculado de qualquer contraprestação financeira.

Vale registrar que a gratuidade alcança também a periodicidade razoável de pedidos. O cidadão não precisa justificar por que deseja acessar ou corrigir seus dados, embora pedidos manifestamente repetitivos ou de má-fé possam ser tratados de forma distinta pelo controlador, sempre com fundamentação.

Como apresentar o requerimento ao controlador

O caminho mais direto começa com o próprio responsável pelo tratamento. Toda empresa ou órgão que lida com dados em escala relevante deve indicar um canal de contato e, muitas vezes, um encarregado de proteção de dados, figura conhecida pela sigla em inglês DPO, responsável por receber as solicitações e intermediar a relação com o titular.

A recomendação prática é formalizar o pedido por escrito, de preferência por e-mail ou por canal oficial que gere protocolo. No texto, o titular deve identificar-se, descrever com clareza qual direito pretende exercer e, quando possível, indicar a base de dados ou o serviço a que se refere. Guardar o comprovante de envio é fundamental, pois ele marca o início da contagem do prazo de resposta.

Quando o pedido envolve correção ou exclusão, convém anexar documentos que demonstrem o erro ou a ausência de base legal para o tratamento. Quanto mais objetivo for o requerimento, menor a margem para que o controlador alegue dúvida sobre o que está sendo solicitado. A clareza, nesse momento, é a melhor aliada do cidadão.

Há ainda a possibilidade de pedir explicitamente uma resposta na forma de declaração completa, e não apenas simplificada. Essa opção é útil quando o objetivo é entender a fundo a finalidade do tratamento, os critérios automatizados eventualmente aplicados e a lista de terceiros que receberam os dados. A escolha entre os formatos pertence ao titular.

O que fazer diante da recusa ou do silêncio do controlador

Nem sempre o pedido é atendido. Diante de uma recusa expressa, de uma resposta evasiva ou do simples silêncio após o prazo, o cidadão não fica desamparado. O primeiro instrumento é a reclamação à Autoridade Nacional de Proteção de Dados, órgão federal encarregado de fiscalizar o cumprimento da legislação e aplicar sanções aos infratores.

A reclamação administrativa pode ser apresentada por meio dos canais oficiais da autoridade, com a narrativa dos fatos, a comprovação do pedido feito ao controlador e a descrição da omissão ou da negativa. A partir daí, o órgão pode instaurar procedimento, requisitar esclarecimentos e, conforme a gravidade, aplicar advertências, multas e outras medidas corretivas.

O caminho administrativo, contudo, não exclui o judicial. O titular que sofreu dano em razão do tratamento irregular pode buscar reparação na Justiça, inclusive nos Juizados Especiais quando o valor envolvido se enquadra nesse rito. A responsabilidade do controlador por danos patrimoniais e morais é prevista na própria lei, e a jurisprudência vem reconhecendo indenizações em casos de vazamento, uso indevido e recusa injustificada de exclusão.

É prudente reunir, desde o início, todo o histórico do contato: o requerimento enviado, eventuais respostas recebidas, protocolos e prints de telas. Esse conjunto probatório fortalece tanto a reclamação na autoridade quanto a eventual ação judicial. A documentação cuidadosa costuma ser o elemento que diferencia um pedido bem-sucedido de uma demanda frustrada por falta de provas.

Por fim, é importante saber que o exercício desses direitos não se restringe a grandes empresas de tecnologia. Lojas, bancos, planos de saúde, escolas e órgãos públicos estão igualmente sujeitos à lei. Sempre que houver coleta e uso de informações pessoais, os direitos do titular acompanham o cidadão, e a recusa em respeitá-los pode ser questionada pelos canais adequados.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.