Consentimento e direitos dos titulares

Os direitos dos titulares explicados para a rotina do back-office

Os titulares têm direitos sobre seus dados que podem ser exercidos a qualquer momento. O gestor administrativo precisa entender cada direito para saber como responder — e identificar quando a resposta é simples e quando precisa escalar para o assessor jurídico ou DPO.

• Confirmação de tratamento: o titular pode perguntar se a empresa trata seus dados. A resposta deve ser sim ou não — com clareza.
• Acesso: o titular pode solicitar uma cópia dos dados que a empresa tem sobre ele. A empresa precisa ser capaz de localizar e fornecer essa informação.
• Correção: dados incorretos, desatualizados ou incompletos devem ser corrigidos quando o titular solicita. Na prática, o gestor atualiza o cadastro e confirma a correção.
• Anonimização ou bloqueio: em determinadas circunstâncias, o titular pode pedir que dados desnecessários ou tratados em desconformidade sejam anonimizados ou bloqueados. A avaliação de quando isso se aplica é feita com apoio do DPO ou assessor.
• Portabilidade: o titular pode pedir para receber seus dados em formato que permita migração para outro serviço. A extensão desse direito depende de regulamentação da ANPD — verificar orientações atuais.
• Eliminação: o titular pode solicitar a exclusão de dados tratados com base em consentimento. Dados tratados por obrigação legal, execução de contrato vigente ou interesse legítimo não podem ser excluídos enquanto a base legal vigora.
• Informação sobre compartilhamento: o titular pode saber com quais entidades públicas ou privadas seus dados foram compartilhados.
• Revogação do consentimento: quando o consentimento é a base legal, o titular pode revogá-lo a qualquer momento. A revogação não invalida o tratamento feito até então, mas a empresa deve parar de usar os dados para a finalidade consentida.
• Oposição: o titular pode se opor a tratamentos que não dependam de consentimento, quando entender que há violação à LGPD. A avaliação é feita com o DPO ou assessor.

Consentimento válido: o que precisa ter para ser defensável

Consentimento válido na LGPD é aquele que é específico, informado, inequívoco e livre — qualquer desses elementos ausentes compromete a validade e torna o tratamento irregular.

• Específico: o titular autoriza um uso concreto, não um conjunto vago de finalidades. "Autorizo o uso dos meus dados para envio de newsletter mensal com novidades da empresa" é específico. "Autorizo o uso dos meus dados para fins comerciais" não é.
• Informado: o titular recebe informação clara sobre quais dados serão usados, para qual finalidade e por quanto tempo. O link para a política de privacidade completa é parte desse requisito.
• Inequívoco: o consentimento precisa ser uma ação ativa do titular — um clique em checkbox desmarcado, uma assinatura, uma confirmação por e-mail. Checkbox pré-marcado ou "ao continuar usando o site você concorda" não são consentimentos válidos.
• Livre: o consentimento não pode ser condicionado ao uso do serviço quando o dado não é necessário para aquele serviço. Se o cliente só consegue concluir a compra aceitando receber marketing, o consentimento não é livre.

Além dessas características, o consentimento precisa ser registrado: quem autorizou, quando, para qual finalidade e com base em qual versão da política vigente. Sem esse registro, a empresa não consegue comprovar que coletou o consentimento corretamente se questionada.

Como coletar e registrar o consentimento corretamente

A coleta e o registro do consentimento seguem um processo que o gestor administrativo pode implementar e monitorar, mesmo em empresas pequenas.

1. Ponto de coleta: incluir checkbox desmarcado nos formulários onde o consentimento é a base legal (newsletter, marketing, dados que vão além do necessário para o serviço). O checkbox deve ter texto claro descrevendo a finalidade.
2. Link para a política: o formulário deve ter link visível para a política de privacidade vigente, para que o titular possa verificar os detalhes antes de consentir.
3. Registro da ação: o sistema deve registrar automaticamente que aquele titular marcou o checkbox em determinada data, com qual versão da política estava vigente. Sem registro automático, o gestor precisa criar um processo manual — uma planilha com data, nome, canal e versão da política.
4. Confirmação quando aplicável: para consentimentos importantes, um e-mail de confirmação dupla (double opt-in) reforça a validade e reduz o risco de contestação.
5. Canal de revogação: o titular precisa ter um meio fácil de revogar o consentimento — link de descadastro no e-mail de newsletter, canal de contato para solicitações de dados.

Fluxo de atendimento a solicitações de titulares

Ter um fluxo definido antes de receber a primeira solicitação é o que diferencia uma resposta adequada de uma crise administrativa. O processo não precisa ser complexo — precisa ser consistente.

1. Receber a solicitação: definir um canal único para receber pedidos de titulares (e-mail, formulário no site ou canal no DPO). Comunicar esse canal na política de privacidade e na assinatura de e-mail do responsável.
2. Identificar o titular: confirmar que a solicitação vem de quem diz ser — pedir a informação mínima necessária para confirmar a identidade sem criar nova coleta desnecessária de dados.
3. Localizar os dados: com o inventário de dados atualizado, o gestor consegue saber onde estão os dados daquele titular e quem é responsável por cada sistema.
4. Verificar se há impedimento para atender: dado em obrigação legal não pode ser excluído enquanto a obrigação vigora. Dado necessário para execução de contrato vigente não pode ser excluído antes do encerramento. Esses casos precisam de explicação ao titular.
5. Responder dentro do prazo: a ANPD orienta prazos de resposta — verificar as orientações vigentes e comunicar ao titular quando o prazo será atendido. Se a solicitação for complexa, informar o titular sobre o andamento.
6. Registrar o atendimento: manter registro de cada solicitação recebida — data, tipo de pedido, identidade do titular, decisão tomada e data da resposta. Esse registro é evidência de conformidade.

Casos que exigem análise antes de responder ao titular

Nem toda solicitação de titular tem resposta imediata. Alguns casos precisam de análise antes de qualquer decisão — e é nesses casos que escalar para o assessor jurídico ou DPO é a conduta correta.

Solicitação de exclusão de dado em obrigação legal: o cliente pede para excluir o CPF, mas a empresa precisa manter a nota fiscal pelo prazo fiscal. O dado não pode ser excluído, mas o gestor precisa explicar o motivo com clareza ao titular e registrar a decisão.

Dado necessário para execução de contrato vigente: o fornecedor pede para excluir seus dados bancários enquanto ainda há transações abertas. O gestor não pode atender sem comprometer a execução do contrato — mas precisa ter isso documentado.

Dado em processo judicial: qualquer dado que seja objeto de processo judicial precisa ser preservado. A decisão de como responder ao titular nesse contexto é do assessor jurídico.

Solicitação de portabilidade: dependendo do dado e do formato solicitado, pode haver questões técnicas e de escopo. O DPO ou assessor orienta o que pode ser fornecido e em qual formato.