Direitos dos Titulares de Dados na LGPD
A Lei Geral de Proteção de Dados garante ao cidadão brasileiro um conjunto robusto de direitos sobre suas informações pessoais, e conhecê-los é o primeiro passo para exercê-los com eficácia.
O que é a LGPD e por que ela importa para os titulares de dados
A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), representou uma mudança de paradigma na forma como empresas, órgãos públicos e organizações em geral tratam as informações pessoais no Brasil. Antes de sua vigência, o ordenamento jurídico brasileiro possuía dispositivos esparsos sobre privacidade e proteção de dados (como o Marco Civil da Internet e o Código de Defesa do Consumidor), mas não havia uma legislação unificada e abrangente dedicada exclusivamente a esse tema. Com a LGPD, passamos a contar com um marco regulatório que coloca o titular, ou seja, a pessoa natural a quem os dados se referem, no centro da relação de tratamento de dados.
O exercício efetivo dos direitos dos titulares de dados não depende apenas da previsão legal, mas da existência de processos internos robustos e de uma cultura organizacional comprometida com a proteção de dados pessoais.
Quando se analisa o contexto de due diligence de dados, essa centralidade do titular ganha relevância ainda maior. Empresas que realizam operações de fusão e aquisição, investidores que avaliam startups e organizações que contratam fornecedores de tecnologia precisam verificar se os direitos dos titulares estão sendo respeitados. Uma violação sistemática desses direitos pode representar passivos jurídicos significativos, multas administrativas que chegam a 2% do faturamento (limitadas a R$ 50 milhões por infração) e danos reputacionais de difícil mensuração.
Nesse cenário, compreendemos que o domínio dos direitos previstos nos artigos 17 a 22 da LGPD não é apenas uma questão de conformidade regulatória, mas sim um elemento estratégico tanto para quem busca proteger suas informações pessoais quanto para empresas que desejam operar de forma ética e sustentável no ambiente digital.
Os direitos dos titulares previstos na LGPD
O artigo 18 da LGPD estabelece um rol de direitos que podem ser exercidos pelo titular a qualquer momento e mediante requisição ao controlador dos dados. Analisa-se cada um deles com a profundidade necessária para que se compreenda tanto o alcance quanto as limitações práticas de cada prerrogativa.
Confirmação da existência de tratamento
O titular tem o direito de obter do controlador a confirmação de que seus dados pessoais são, de fato, objeto de tratamento. Essa confirmação deve ser fornecida de forma simplificada e imediata, ou por meio de declaração clara e completa no prazo de até 15 dias, conforme previsto no artigo 19 da LGPD. Esse direito funciona como uma porta de entrada para o exercício dos demais direitos, pois sem saber que seus dados estão sendo tratados, o titular não teria como exercer qualquer controle sobre eles.
Acesso aos dados
Uma vez confirmada a existência do tratamento, o titular pode requerer acesso aos dados que estão sendo tratados. O controlador deve fornecer essas informações de forma clara, adequada e ostensiva, respeitando os segredos comercial e industrial. Na prática de due diligence, verifica-se se a empresa avaliada possui mecanismos eficientes para atender a essas requisições dentro dos prazos legais, pois a incapacidade de responder adequadamente pode indicar deficiências graves na governança de dados.
Correção de dados incompletos, inexatos ou desatualizados
Consideramos este um dos direitos mais exercidos na prática. O titular pode solicitar a correção de qualquer informação que esteja incorreta, desatualizada ou incompleta nos bancos de dados do controlador. Esse direito está diretamente ligado ao princípio da qualidade dos dados, previsto no artigo 6º, inciso V, da LGPD, que exige exatidão, clareza, relevância e atualização dos dados conforme a necessidade e para o cumprimento da finalidade de seu tratamento.
Anonimização, bloqueio ou eliminação de dados
O titular pode requerer a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. Na anonimização, os dados perdem a possibilidade de associação (direta ou indireta) a um indivíduo, utilizando meios técnicos razoáveis e disponíveis na ocasião do tratamento. O bloqueio suspende temporariamente as operações de tratamento, enquanto a eliminação promove a exclusão definitiva dos dados. Cada uma dessas medidas tem implicações técnicas e jurídicas distintas, e a escolha entre elas depende do caso concreto.
Portabilidade dos dados
Mediante requisição expressa, o titular pode solicitar a portabilidade de seus dados a outro fornecedor de serviço ou produto. Esse direito, regulamentado pela Autoridade Nacional de Proteção de Dados (ANPD), visa garantir que o titular não fique refém de um único controlador. Para empresas submetidas a due diligence, a existência de processos estruturados de portabilidade indica maturidade na gestão de dados e respeito à autodeterminação informativa do titular.
Eliminação dos dados tratados com consentimento
Quando o tratamento é baseado no consentimento do titular, este pode solicitar a eliminação dos dados a qualquer momento. É importante destacar que essa eliminação se refere especificamente aos dados cujo tratamento se funda no consentimento, não alcançando dados que possuem outras bases legais para seu tratamento (como obrigação legal ou regulatória, execução de contrato, entre outras previstas no artigo 7º da LGPD).
Informação sobre compartilhamento
O titular tem direito a saber com quais entidades (públicas e privadas) o controlador compartilhou seus dados. Esse direito é particularmente relevante em processos de due diligence, pois permite mapear o fluxo de dados e identificar eventuais compartilhamentos indevidos ou não autorizados que possam gerar responsabilização solidária.
Revogação do consentimento
O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado. A revogação não afeta a legalidade do tratamento realizado antes dela, conforme dispõe o artigo 8º, § 5º, da LGPD. Verifica-se, na prática consultiva, que muitas empresas ainda não possuem mecanismos simples e acessíveis para que o titular exerça esse direito, o que configura uma vulnerabilidade relevante em auditorias de conformidade.
A due diligence de dados e a verificação dos direitos dos titulares
Em processos de due diligence voltados à proteção de dados, avaliamos a conformidade de uma organização com a LGPD sob múltiplas perspectivas. No que diz respeito aos direitos dos titulares, essa avaliação envolve verificar se a empresa possui um canal de atendimento ao titular eficiente e acessível, se há registro das requisições recebidas e das respostas fornecidas, se os prazos legais estão sendo cumpridos e se existe um encarregado de proteção de dados (DPO) devidamente nomeado e atuante.
Observamos que a maturidade de uma organização em relação aos direitos dos titulares pode ser medida por indicadores objetivos: tempo médio de resposta às requisições, percentual de requisições atendidas dentro do prazo legal, existência de procedimentos documentados para cada tipo de direito e treinamento periódico das equipes envolvidas. Empresas que apresentam deficiências nesses indicadores durante a due diligence podem ter o valor de suas operações significativamente impactado, seja pela necessidade de investimentos corretivos, seja pelo risco de sanções administrativas e judiciais.
Outro ponto crítico que se analisa é a relação entre controladores e operadores de dados. Quando uma empresa terceiriza operações de tratamento, ela permanece responsável por garantir que os direitos dos titulares sejam respeitados por toda a cadeia de tratamento. A existência de contratos com cláusulas específicas sobre proteção de dados, incluindo obrigações relativas ao atendimento dos direitos dos titulares, é um elemento essencial que se verifica em qualquer processo de due diligence.
Exceções e limitações ao exercício dos direitos
Embora os direitos dos titulares sejam amplos, eles não são absolutos. A própria LGPD estabelece situações em que o tratamento pode continuar mesmo diante de uma requisição do titular. Por exemplo, dados necessários para o cumprimento de obrigação legal ou regulatória pelo controlador não precisam ser eliminados a pedido do titular. Da mesma forma, dados necessários para o exercício regular de direitos em processo judicial, administrativo ou arbitral podem ser mantidos independentemente da vontade do titular.
O artigo 20 da LGPD merece atenção especial no contexto de due diligence de dados: ele garante ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses (como decisões de crédito, perfis de consumo ou aspectos de sua personalidade). Esse dispositivo ganha relevância crescente à medida que as organizações adotam algoritmos e sistemas de inteligência artificial para tomar decisões que impactam diretamente a vida dos cidadãos.
Analisa-se também que o artigo 22 da LGPD prevê que a defesa dos interesses e dos direitos dos titulares pode ser exercida em juízo, individual ou coletivamente. Isso significa que, além das sanções administrativas aplicáveis pela ANPD, as empresas que desrespeitam os direitos dos titulares estão sujeitas a ações judiciais individuais e coletivas, com potencial para gerar condenações expressivas em danos morais e materiais.
Como exercer os direitos na prática
Para o titular que deseja exercer seus direitos, o caminho começa pela identificação do controlador dos dados e do canal de comunicação disponibilizado para esse fim. A LGPD exige que o controlador indique um encarregado (DPO) cuja identidade e informações de contato devem ser divulgadas publicamente, preferencialmente no site institucional da organização. O titular deve formalizar sua requisição de forma clara, indicando qual direito deseja exercer e fornecendo informações suficientes para sua identificação.
Caso o controlador não atenda à requisição no prazo legal ou forneça uma resposta insatisfatória, o titular pode recorrer à ANPD para apresentar uma petição. A Autoridade avaliará a situação e poderá determinar medidas corretivas ao controlador. Cabe destacar que a ANPD tem ampliado progressivamente sua atuação fiscalizatória e sancionatória, o que reforça a importância de as organizações manterem processos adequados de atendimento aos direitos dos titulares.
Recomenda-se que os titulares documentem todas as suas interações com os controladores, guardando protocolos de atendimento, cópias de e-mails e capturas de tela. Essa documentação pode ser fundamental caso seja necessário comprovar eventual descumprimento da legislação em procedimento administrativo ou judicial.
Perguntas Frequentes
Qual é o prazo para uma empresa responder à requisição de um titular de dados?
A LGPD prevê dois prazos distintos conforme o artigo 19. Em formato simplificado, a confirmação da existência de tratamento deve ser fornecida imediatamente. Quando o titular opta por uma declaração completa e detalhada, o controlador tem até 15 dias contados da data do requerimento para fornecer a resposta, observados os segredos comercial e industrial.
O titular pode exercer seus direitos mesmo sem ter dado consentimento para o tratamento dos dados?
Sim. Os direitos dos titulares previstos no artigo 18 da LGPD independem da base legal utilizada para o tratamento dos dados. Mesmo quando os dados são tratados com fundamento em legítimo interesse, cumprimento de obrigação legal ou qualquer outra hipótese prevista no artigo 7º, o titular mantém o direito de acesso, confirmação, correção e informação sobre compartilhamento, entre outros. Apenas o direito de eliminação possui ressalvas específicas conforme a base legal aplicável.
O que acontece se uma empresa identificada em due diligence não respeita os direitos dos titulares?
A não conformidade com os direitos dos titulares representa um risco jurídico e financeiro significativo. A empresa pode ser alvo de sanções administrativas pela ANPD (incluindo multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração), além de responder por ações judiciais individuais e coletivas. Em contexto de due diligence, essas deficiências podem resultar em redução do valor da transação, exigência de garantias adicionais ou até mesmo na desistência do negócio.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
