Como este tema funciona na sua empresa
Titular raramente solicita direitos (dados, correção, exclusão). Desafio: sem processo formal, empresa não sabe como responder. Solução: criar email genérico ou WhatsApp dedicado. Resposta manual por gerente ou RH. Custo: zero, tempo alocado. Risco: demora pode violar LGPD (30 dias).
Solicitudes aumentam com escala. Desafio: consolidar dados de múltiplos sistemas. Solução: criar formulário web simples, designar responsável (Data Protection Officer ou RH), responder em 15 dias. Integração com sistemas para recuperar dados. Custo: 5-15k USD (ferramenta + processos).
Dezenas de solicitações mensais. Desafio: múltiplos sistemas legados, prazos apertados. Solução: plataforma de DSAR (Data Subject Access Request) integrada com HR, CRM, ERP. Fluxo automático, auditoria rigorosa. Desafio: recursos humanos alocados, expertise em LGPD.
Canal de atendimento ao titular (DSAR - Data Subject Access Request) é mecanismo formal que permite a qualquer pessoa (titular de dados) solicitar à empresa o acesso, retificação, exclusão ou portabilidade de seus dados pessoais. Obrigatório por LGPD; empresa tem 15 dias úteis para responder[1].
Por que canal formal de atendimento ao titular importa
LGPD estabelece direitos do titular: acessar dados, solicitar correção, pedir exclusão (direito ao esquecimento), obter cópia portável. Sem canal formal, titular não sabe como fazer solicitação; empresa fica vulnerável a reclamações e multas (LGPD permite multa de até 2% da receita). Canal formal reduz disputas, documenta resposta, facilita auditoria. Além disso, mostra respeito pela privacidade — fator de confiança com clientes e colaboradores.
Canal simples: email [email protected] ou formulário Google Forms. Responsável: gerente RH ou proprietário. Processo: receber solicitação, confirmar identidade (solicitar ID), coletar dados de sistemas (planilhas, email, CRM simples), compilar resposta, enviar em até 15 dias. Custo: zero a 2k USD anuais. Auditoria: manter cópia de cada solicitação e resposta em pasta separada.
Canal web: formulário estruturado em site ou portal privado. Responsável: DPO ou compliance officer. Processo: formulário dispara ticket, responsável busca dados em HR, CRM, ERP, sistemas específicos, consolida resposta, envia. Integração: API simples com HR para recuperar dados de colaborador. Auditoria: log de todas as solicitações em sistema central. Resposta: 10-15 dias.
Plataforma DSAR: portal web com autenticação, integração com múltiplos sistemas (HR, CRM, ERP, BI, data lake), fluxo automático de coleta de dados. Responsável: DPO + equipe de especialistas. Automação: sistemas disparam queries automáticas, consolida, DPO valida, envia. Auditoria: SIEM registra cada solicitação, cada acesso a dados, cada resposta. Conformidade: atender LGPD + regulações setoriais (GDPR se cliente na Europa, HIPAA se saúde).
Tipos de solicitações que titular pode fazer
Acesso (confirmação de processamento): "Quais dados você tem sobre mim?" Resposta: enviar cópia de dados pessoais armazenados. Correção (retificação): "Meus dados estão errados; corrija." Resposta: corrigir, notificar terceiros que receberam dados antigos. Exclusão (direito ao esquecimento): "Delete meus dados." Resposta: avaliar se legal obrigação existe (fiscal: 5 anos); se não, deletar. Portabilidade: "Envie meus dados em formato acessível (CSV)." Resposta: exportar em formato interoperável. Limitação: "Não processe meus dados por agora." Resposta: bloquear processamento, manter em segurança.
Desafios na implementação de canal de atendimento
Identificação: como confirmar que quem solicita é de fato o titular? Pequenas empresas pedem ID; grandes usam autenticação digital. Coleta: dados estão espalhados em múltiplos sistemas — consolidar é lento e propenso a erros. Prazo: 15 dias úteis é curto se dados estão fragmentados. Custo: recurso humano e possível implementação de ferramenta. Retenção: empresa pode reter dados se tiver legal obligation (fiscal, trabalhista); executar exclusão parcial é complexo.
Conformidade regulatória: LGPD e GDPR
LGPD (Brasil) exige: (1) canal disponível ao público; (2) resposta em 15 dias úteis; (3) sem taxa para titular; (4) resposta transparente. GDPR (Europa) é mais exigente: direitos mais amplos, multas maiores, supervisão por autoridade regulatória. Se empresa é multinacional, deve atender ambas.
Sinais de que sua empresa precisa de canal de atendimento formal
Se você se reconhece em três ou mais cenários abaixo, implemente um canal formal agora.
- Não há política documentada de como responder solicitações de dados do titular
- Dados estão espalhados em múltiplos sistemas (HR, CRM, email) sem integração
- Não há responsável designado para atender solicitações de LGPD
- Recebeu solicitação de titular e demorou mais de 15 dias para responder
- Não consegue rastrear quais dados a empresa possui sobre cada pessoa
- Auditoria apontou falta de processo formalizado de DSAR
Caminhos para implementar canal de atendimento ao titular
A escolha depende de tamanho da empresa e fragmentação de dados.
Viável para empresas pequenas/médias com dados centralizados.
- Perfil necessário: DPO ou compliance officer, especialista em LGPD, responsável por TI
- Tempo estimado: 2-4 meses (design, integração de sistemas, testes)
- Faz sentido quando: dados estão em 3-5 sistemas principais, volume de solicitações é baixo
- Risco principal: demora na consolidação de dados; prazos apertados de LGPD podem ser violados
Recomendado para empresas com infraestrutura complexa ou alta frequência de solicitações.
- Tipo de fornecedor: consultoria de privacidade/LGPD, fornecedor de plataforma DSAR, DPO externo
- Vantagem: experiência acumulada, automação de coleta, conformidade garantida
- Faz sentido quando: dados fragmentados, volume alto de solicitações, regulação estrita (Europa, saúde)
- Resultado típico: design em 4-6 semanas, implementação em 8-12 semanas
Precisa implementar um canal de atendimento formal ao titular?
Se conformidade com LGPD é prioridade e você busca uma solução estruturada para atender solicitações de dados, o oHub conecta você gratuitamente a especialistas em privacidade e DSAR. Em menos de 3 minutos, descreva sua situação e receba propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é o prazo para responder uma solicitação de acesso de dados?
LGPD estabelece 15 dias úteis contados a partir da solicitação. Se precisar de mais tempo, empresa pode estender por mais 15 dias, mas deve justificar ao titular. Falha no prazo gera multa.
Empresa pode cobrar taxa para responder solicitação de DSAR?
Não. LGPD proíbe cobrar taxa do titular por atender sua solicitação. Se empresa cobra terceiros (fornecedor), custo não pode ser repassado ao titular.
O que fazer se titular solicita exclusão, mas lei exige guardar dados?
Se lei exige retenção (fiscal: 5 anos; trabalhista: 5 anos), empresa não pode deletar completamente. Solução: explicar legal obligation ao titular, oferecer bloqueio (dados não processados, mantidos seguros) como alternativa à exclusão total.
Como confirmar identidade do titular que solicita dados?
Pequenas: solicitar ID (RG, CPF). Médias: ID + foto de identidade. Grandes: autenticação digital (código via email/SMS). Objetivo: garantir que solicitante é de fato o titular, não fraude.
Se empresa tem parceiros/fornecedores que processam dados, como atender DSAR?
Contratante é responsável perante LGPD. Deve solicitar dados ao fornecedor (via contrato de processamento), consolidar e responder ao titular. Fornecedor deve fornecer dados em tempo hábil.
Como criar canal seguro para solicitações sensíveis?
Portal web autenticado (login), email encriptado, ou WhatsApp Business. Importante: não usar canal público (rede social, telefone geral) para evitar exposição. Armazenar solicitações em local seguro, acessível apenas por responsável.