Como este tema funciona na sua empresa
Processo manual de atender direitos de titulares. Quando recebe solicitação (email), equipe procura dados, compila, envia. Risco: atrasos, resposta incompleta. SLA recomendado: 30 dias para responder.
Processo semi-estruturado com email dedicado para solicitações, sistema para rastrear status. Protocolo de resposta documentado. Tempo de resposta: 15-20 dias. Documentação de solicitações mantida para auditoria.
Plataforma centralizada para gerenciar direitos de titulares. APIs integradas com sistemas para recuperar dados automaticamente. SLA: <10 dias. Auditoria contínua de cumprimento. Métricas de resolução para C-level.
Direitos do titular na LGPD são direitos que qualquer pessoa (titular de dados) tem sobre seus próprios dados pessoais armazenados por você: acesso, correção, exclusão, portabilidade, oposição, revogação de consentimento.
Os sete direitos fundamentais do titular
LGPD Artigos 17-18 definem direitos do titular que você PRECISA atender[1]:
Direitos do titular por tipo
Artigo 18.I: Titular pode solicitar acesso aos seus dados. Você PRECISA fornecer: quais dados tem, como estão sendo usados, com quem compartilhados. Formato: pode ser por email, portal, ou documento físico. SLA: 30 dias para responder.
Artigo 18.II: Dados incorretos ou incompletos? Titular pode solicitar correção. Exemplo: nome grafado errado, email desatualizado. Você PRECISA corrigir em até 30 dias. Sem custo ao titular.
Artigo 18.III: Titular pode solicitar exclusão de seus dados ("direito ao esquecimento"). Você PRECISA deletar, exceto se há obrigação legal (retenção fiscal, etc). SLA: 30 dias. Deletar backup também.
Artigo 18.IV: Solicitar que dados sejam anonimizados (impossível identificar). Semelhante a exclusão mas dados mantidos para análise (não identificável). SLA: 30 dias.
Artigo 18.V: Receber seus dados em formato estruturado (CSV, JSON) para transferir para outro controlador. Você fornece dados, titular leva embora. SLA: 30 dias.
Artigo 18.VI: Oposição ao processamento (ex: marketing baseado em perfil). Você PRECISA cessar processamento. Pode haver exceções (obrigação legal). SLA: 30 dias após avaliação de legitimidade.
Artigo 8.V: Se consentimento é base legal, titular pode revogar. Você PRECISA cessar processamento (exceto base legal anterior). SLA: 30 dias.
Processando solicitação de direito de titular: guia prático
1. Receber solicitação: Email, portal, carta, pessoalmente. Documentar data de recebimento.
2. Identificar solicitante: Verificar identidade (CPF, email, etc) para garantir é realmente o titular.
3. Identificar direito: Qual direito está sendo solicitado (acesso, exclusão, etc)? Pode ser múltiplos direitos.
4. Processar: Localizar dados, preparar resposta. Para acesso: compilar dados em formato claro. Para exclusão: deletar, confirmar deleção.
5. Responder: Dentro de 30 dias. Por email, portal, ou meio que titular solicitou. Documentar resposta.
6. Registrar: Manter registro de solicitação, resposta, ações tomadas para auditoria.
Exceções: quando NÃO PRECISA atender
Há casos quando você pode negar:
- Dados com obrigação legal: Retenção fiscal (dados de vendas por 5 anos), conformidade bancária (KYC). Você notifica titular que tem obrigação legal.
- Dados para finalidade diferente: Se processou dados para contrato ou interesse legítimo, pode continuar (não precisa deletar). Mas se era consentimento, precisa respeitar revogação.
- Identidade não verificada: Se não consegue confirmar identidade do solicitante, não precisa responder até confirmação.
- Solicitação abusiva/repetida: Se mesma pessoa solicita acesso toda semana, pode denegar (razoabilidade). Mas precisa documentar motivo.
SLA de 30 dias: contagem e prorrogação
SLA começa no dia de recebimento de solicitação. 30 dias corridos (inclui fins de semana). Se complexo, pode prorrogar por mais 30 dias, mas PRECISA notificar titular. Total máximo: 60 dias. Responder antes de 30 dias é bônus (boa prática).
Documentação: auditoria requer prova
Manter registro permanente: data de recebimento, meio (email, portal, carta), identificação do solicitante, qual direito, data de resposta, como respondeu (email, arquivo, portal), confirmação de recebimento. Essencial para auditoria ANPD.
Sinais de que sua gestão de direitos de titulares é fraca
- Não tem processo formal para receber/processar solicitações
- Solicitações são respondidas manualmente, sem rastreamento
- Não mantém registro de solicitações para auditoria
- Tempo de resposta é >30 dias ou indefinido
- Não tem forma fácil para titulares solicitarem direitos
- Equipe não sabe qual é o SLA ou direitos válidos
- Não consegue localizar dados de um titular rapidamente
Caminhos para estruturar gestão de direitos
Email dedicado, processo em planilha/sistema, treinamento de equipe. Viável para médias empresas.
Plataforma de gestão de direitos automatiza recebimento, rastreamento, resposta, auditoria. Recomendado para grandes empresas.
Precisa de apoio para gerir direitos de titulares?
Se processar direitos de titulares é desafio, o oHub conecta você gratuitamente a especialistas em LGPD e fornecedores de plataformas de gestão.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso.
Perguntas frequentes
Qual é o SLA para responder direitos de titulares?
30 dias corridos a partir do recebimento da solicitação. Se complexo, pode prorrogar por mais 30 dias (total 60), mas PRECISA notificar titular. Responder antes é bônus.
Posso negar uma solicitação de direito de titular?
Sim, em casos específicos: dados com obrigação legal (fiscal, banco), identidade não verificada, solicitação abusiva/repetida. Mas PRECISA documentar motivo da recusa.
Como atender direito de exclusão se há dados armazenados?
Deletar dados em sistemas operacionais + backups. Anonimizar ou criptografar se dados não podem ser deletados. Confirmar conclusão da deleção. Documentar que foi feito.
Qual é o formato de dados para direito de portabilidade?
Estruturado: CSV, JSON, planilha. Legível por máquina. Inclui todos dados do titular armazenados por você. Sem interpretação ou análise, dados brutos.
Se título revoga consentimento, preciso deletar dados?
Se consentimento é base legal para processamento, sim. Se há outra base legal (contrato, obrigação legal), pode continuar. Mas PRECISA documentar qual é base legal.
Como documentar direitos de titulares para auditoria?
Registrar: data recebimento, meio (email), identificação solicitante, qual direito, data resposta, como respondeu, confirmação recebimento. Arquivo permanente para referência.