Conversar WhatsApp
LGPD · LGPD · 6 min de leitura

Seu cliente pediu os dados dele de volta: você tem 15 dias

Todo empresário que coleta dado pessoal pode receber um pedido de titular amanhã de manhã. A LGPD deu 9 direitos que qualquer pessoa pode exercer contra a sua empresa, e você tem 15 dias para responder. Sem prorrogação automática, sem "estamos verificando internamente".

Seu cliente pediu os dados dele de volta: você tem 15 dias
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

Uma ex-funcionária manda e-mail pedindo que a empresa apague todos os dados pessoais dela. Um cliente quer saber com quem você compartilhou o CPF dele. Um lead da campanha de 2022 quer ver tudo que você tem sobre ele. Esses três cenários estão acontecendo agora, em empresas de todo tamanho, e a maioria ainda não sabe o que fazer quando o pedido chega.

A resposta está no art. 18 e no art. 19 da Lei 13.709/2018. O titular tem 9 direitos que podem ser exercidos a qualquer momento, contra qualquer controlador. Você tem 15 dias para responder, contados da data do pedido. Não da data em que o departamento jurídico tomou conhecimento. Da data do pedido.

Os 9 direitos que qualquer pessoa pode exercer contra a sua empresa

O art. 18 da LGPD lista os direitos do titular de forma direta. A maioria das empresas conhece "exclusão" e "acesso" mas não faz ideia do que fazer com portabilidade, oposição ou revisão de decisão automatizada. Então vamos à lista:

  • Confirmação e acesso: o titular confirma que você trata dados dele e recebe cópia completa do que está armazenado. Não o que você quer compartilhar. Tudo.
  • Correção: dados desatualizados, incompletos ou errados precisam ser corrigidos. Endereço antigo, e-mail trocado, nome com grafia errada.
  • Anonimização ou bloqueio: se o dado é tratado de forma desnecessária ou excessiva, o titular pode pedir que seja anonimizado ou bloqueado temporariamente.
  • Eliminação dos dados tratados com consentimento: se a base legal era consentimento, o titular pode pedir exclusão. Se a base for outra (contrato, obrigação legal), você pode negar desde que fundamente.
  • Portabilidade: os dados em formato estruturado que permita migração para outro fornecedor. A ANPD ainda regulamenta detalhes técnicos, mas o direito já existe.
  • Informação sobre compartilhamento: com quais empresas ou órgãos você compartilhou os dados dele? Essa lista precisa existir e ser respondida.
  • Info sobre consequências de não consentir: o que acontece se a pessoa não der consentimento? Não pode ser "preencha ou não contratamos".
  • Revogação do consentimento: qualquer pessoa pode retirar o consentimento a qualquer momento. O processo para revogar precisa ser tão fácil quanto o processo para consentir.
  • Oposição ao tratamento: quando o tratamento é feito com base em legítimo interesse, o titular pode se opor se entender que há descumprimento da lei (art. 18, §2º).

Fora da lista do art. 18, existe um direito que vai crescer muito em litígio: a revisão de decisão automatizada (art. 20). Se sua empresa usa algoritmo para aprovar crédito, selecionar candidato ou fazer triagem de qualquer tipo, o titular pode pedir que um humano revise essa decisão. Não é opcional.

O prazo de 15 dias não tem pausa

O art. 19 é direto: o controlador responde ao titular em até 15 dias contados da data do requerimento. A interpretação dominante, com a qual a ANPD se alinha, é que são dias corridos, não úteis. Não há previsão de suspensão para "análise interna".

Na prática, o que a gente vê é empresa recebendo pedido por e-mail informal, esse e-mail indo para a caixa errada, ninguém saber a quem encaminhar, e os 15 dias passando em branco. Esse cenário já configura infração administrativa, independentemente de qualquer dano comprovado ao titular. Você não precisa causar prejuízo para ser autuado. Basta não responder no prazo.

Nossa leitura: se você não tem canal formal de atendimento a titulares, o prazo já está correndo contra você toda vez que alguém manda qualquer pedido relacionado a dados. E-mail genérico como contato@empresa.com não serve porque ninguém prova, depois, que o pedido foi recebido e tratado dentro do prazo.

O que documentar vale mais do que o que responder

Uma empresa pode ser autuada pela ANPD não por ter descumprido um direito, mas por não conseguir provar que cumpriu. A documentação é a defesa. Sem ela, não há como demonstrar conformidade em fiscalização ou reclamação do titular.

O mínimo que precisa estar registrado a cada pedido:

  • Data e hora exata do recebimento, não só a data
  • Canal pelo qual o pedido chegou: e-mail, formulário, WhatsApp, balcão
  • Como a identidade do titular foi verificada
  • Qual direito foi exercido: acesso, exclusão, correção, portabilidade, etc.
  • Resposta enviada e data do envio
  • Ação tomada no sistema ou justificativa para negativa
  • Nome do responsável interno que tratou o pedido

Se sua empresa usa CRM ou ERP, esse registro pode ficar lá. O que não pode é ficar só na cabeça de alguém ou disperso em e-mails que ninguém encontra depois.

Quando você pode negar o pedido, e como fazer isso certo

Sim, é possível negar. A própria LGPD prevê que o controlador pode fundamentar a negativa quando o pedido colide com obrigação legal ou regulatória, com exercício regular de direito em processo judicial ou administrativo, ou com legítimo interesse do controlador que prevaleça sobre o interesse do titular.

O exemplo mais comum de negativa legítima: pedido de exclusão de dados de ex-funcionário que a empresa precisa manter pelo prazo trabalhista e fiscal. A legislação trabalhista e as normas fiscais exigem guarda de registros por 5 anos ou mais. Essa obrigação afasta o direito de exclusão imediato. O dado não precisa ser apagado, mas precisa ficar bloqueado para uso que não seja esse cumprimento de obrigação.

Falando sério: negar sem fundamentar é pior do que não responder. A resposta de negativa precisa citar a base legal e ser enviada nos mesmos 15 dias. "Não posso excluir esses dados por conta do prazo de guarda exigido pela legislação trabalhista e fiscal vigente" é válido. "Não podemos atender seu pedido" sem explicação é infração.

O que fazer nas próximas duas semanas

Defina um canal único e documentado para receber pedidos de titulares. Um e-mail específico como privacidade@empresa.com ou um formulário no site. O recebimento precisa ficar registrado com data e hora automaticamente, sem depender de ninguém lembrar de anotar.

Defina quem internamente vai tratar esses pedidos. Precisa ser alguém com acesso real aos sistemas onde os dados estão e com autoridade para executar exclusão, correção ou bloqueio sem precisar de aprovação de três gerentes.

Crie um log simples. Planilha ou sistema, tanto faz, mas cada pedido precisa de linha própria com data de entrada, direito exercido, data da resposta e ação tomada. Esse log é o que você apresenta para a ANPD se vier fiscalização.

Por último: revise os pedidos informais dos últimos 12 meses. Se chegaram e-mails pedindo exclusão ou acesso e ninguém tratou formalmente, regularize agora com resposta retroativa documentada. É melhor corrigir voluntariamente do que explicar o histórico em processo administrativo, onde a boa-fé conta, mas não apaga o descumprimento.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →