Direitos do Titular

Os 9 direitos do titular pela LGPD: como atender solicitações no prazo

O Art. 18 da LGPD garante 9 direitos ao titular e a empresa tem 15 dias para responder. Veja cada direito em detalhe, modelos de resposta e como organizar o atendimento.

M
MHSLGPD
24 de março de 2026 · 4 min de leitura

O Art. 18 da LGPD é o coração da lei do ponto de vista do cidadão. Ele lista 9 direitos que o titular dos dados pode exercer perante qualquer empresa que trate seus dados — e estabelece que a resposta deve ocorrer "em prazo razoável", interpretado pela ANPD como até 15 dias. Se sua empresa não tem um fluxo claro de atendimento, está em risco.

Os 9 direitos, um a um

1. Confirmação da existência de tratamento

O titular pode perguntar "vocês tratam dados meus?". Se sim, a empresa confirma. Se não, comunica que não há registro. Este é o pedido mais simples e mais frequente — geralmente o ponto de partida antes de outros direitos.

2. Acesso aos dados

Solicitação para receber cópia de todos os dados que a empresa trata sobre ele. Inclui informações de cadastro, histórico transacional, logs de acesso (quando aplicável). Não é necessário fornecer dados de terceiros (ex.: o nome de quem fez uma denúncia anônima sobre o titular).

3. Correção de dados

O titular pode pedir correção de informações incompletas, inexatas ou desatualizadas. Após verificar a procedência, a empresa deve atualizar e comunicar aos terceiros com quem compartilhou (quando viável).

4. Anonimização, bloqueio ou eliminação

Aplica-se a dados desnecessários, excessivos ou tratados em desconformidade. A empresa precisa avaliar caso a caso: por exemplo, dados retidos por obrigação fiscal não podem ser eliminados antes do fim do prazo legal — mas podem ser bloqueados (acesso restrito).

5. Portabilidade

O titular pode pedir que seus dados sejam transferidos para outro fornecedor de serviço. Aplica-se a dados estruturados (não a livre interpretação) e ainda depende de regulamentação específica da ANPD para vários setores.

6. Eliminação de dados tratados com consentimento

Quando o tratamento se baseia em consentimento e o titular revoga, a empresa deve eliminar os dados — exceto se houver outra base legal aplicável (ex.: obrigação legal, exercício de direito).

7. Informação sobre compartilhamento

O titular pode perguntar com quem a empresa compartilha seus dados — sejam operadores (ex.: gateway de pagamento, ferramenta de e-mail marketing) ou outros controladores. Indicar categorias de terceiros é suficiente — não é necessário listar nominalmente cada fornecedor.

8. Informação sobre não consentir

Antes de coletar consentimento, a empresa deve informar quais são as consequências de não consentir. Ex.: "se você não aceitar cookies de marketing, ainda poderá navegar no site mas não receberá ofertas personalizadas".

9. Revogação do consentimento

O titular pode revogar o consentimento a qualquer tempo, com a mesma facilidade com que o concedeu. Botão "descadastrar" no e-mail, opção no perfil da conta, formulário público — tudo conta.

O prazo de 15 dias e como contá-lo

A LGPD usa "prazo razoável" no Art. 18, mas o regulamento da ANPD esclarece: 15 dias corridos a partir do recebimento da solicitação. Em casos complexos, pode prorrogar por igual período, desde que comunique e justifique ao titular. Se a solicitação for manifestamente infundada ou excessiva, a empresa pode cobrar custo razoável ou recusar — mas precisa fundamentar.

Estrutura mínima de atendimento

Um fluxo eficiente tem 5 etapas:

  1. Canal único e publicado: formulário no site, e-mail dpo@empresa.com.br ou ambos. Centralize — não deixe pedidos chegarem só pelo SAC genérico;
  2. Autenticação do titular: antes de dar acesso a dados, confirme a identidade (token por e-mail, validação por documento). Cuidado para não criar nova fonte de risco;
  3. Triagem e protocolo: registre cada solicitação com número de protocolo, tipo de pedido, data e prazo;
  4. Atendimento: respeite o prazo de 15 dias. Sempre responda — mesmo para dizer "não temos dados seus" ou "negamos por X motivo";
  5. Auditoria: mantenha log de cada solicitação. Em caso de fiscalização, esse histórico é prova de governança.

Modelos de resposta

Disponibilizamos modelos prontos como parte do mhslgpd — desde confirmação de recebimento até resposta detalhada para cada tipo de direito. Para a maioria das PMEs, ter 9 templates base já cobre 95% dos pedidos.

Erros que viram multa

  • Não responder dentro do prazo;
  • Exigir documentação excessiva pra autenticar (CPF + RG + comprovante + selfie é exagero pra confirmar existência de tratamento);
  • Negar acesso sem fundamentação;
  • Ignorar revogação de consentimento e continuar enviando marketing;
  • Eliminar dados sem verificar se existe outra base legal aplicável.

Quando a empresa pode recusar?

A LGPD permite negar pedidos que sejam manifestamente infundados, excessivos ou que contrariem outras bases legais (ex.: pedido de eliminação de dados que devem ser retidos por 5 anos por obrigação fiscal). Em qualquer recusa, fundamente por escrito — o titular pode escalar à ANPD.

Conclusão

O atendimento aos direitos do titular é a vitrine da sua conformidade com a LGPD. Empresas que respondem com clareza e dentro do prazo constroem confiança e reduzem risco de denúncia à ANPD. Estruture o fluxo, treine o time e use ferramentas que centralizem o atendimento — não trate cada pedido como exceção.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.