Sua empresa está preparada para atender os direitos dos titulares de dados previstos no Art. 18 da LGPD?
Por Angélica Teixeira
A proteção dos dados pessoais não é um tema acessório dentro das organizações: é obrigação legal e pilar de governança. A Lei Geral de Proteção de Dados Pessoais, ao estabelecer no art. 18 os direitos dos titulares, impõe às empresas um dever claro de estrutura, transparência e responsabilidade.
Como DPO, afirmo com convicção: empresas que não estão preparadas para atender os direitos de titulares não estão em conformidade — e mais do que isso, estão expostas a riscos jurídicos, reputacionais e financeiros concretos.
O direito à confirmação da existência de tratamento e ao acesso aos dados pessoais não é mera formalidade. Ele exige que a organização saiba exatamente quais dados coleta, por que coleta, onde armazena, com quem compartilha e por quanto tempo mantém essas informações.
E isso só se consegue através de um inventário atualizado, o chamado ROPA – Registro das Operações de Tratamento, previsto no Art. 37 da LGPD, além de uma política clara de governança e integração entre áreas da empresa. Sem rastreabilidade e organização documental, qualquer solicitação de titular vira uma dor de cabeça e se transforma em evidência da falta de conformidade com a LGPD.
O direito a correção dos dados pessoais, a anonimização, o bloqueio ou eliminação de dados tratados pelas empresas reforça os princípios da necessidade e da qualidade dos dados (art. 6º, III e V). Como DPO, é impossível defender conformidade sem critérios objetivos de retenção e descarte, revisão periódica de bases legais e mecanismos técnicos que permitam intervenções seguras. A manutenção indiscriminada de dados, além de contrariar a LGPD, amplia riscos de incidentes de segurança e potenciais sanções administrativas pela Agência Nacional de Proteção de Dados – ANPD.
A portabilidade dos dados e o direito à informação sobre o compartilhamento dos dados impõem maturidade tecnológica e contratual. Não basta ter cláusulas genéricas em contratos com operadores; é preciso controle efetivo sobre o fluxo de dados, due diligence de terceiros e a documentação estar fundamentada em uma finalidade específica e amparada em uma das dez bases legais previstas no Art. 7º da LGPD. A ausência dessa estrutura compromete não apenas o atendimento ao Art. 18, mas a própria credibilidade do programa de privacidade. Governança não se declara — se demonstra!
Neste cenário, o papel do Encarregado pelo Tratamento de Dados Pessoais, previsto no Art. 41 da LGPD, é absolutamente estratégico. O DPO atua como ponto de contato entre a organização, os titulares e a Agência Nacional, orientando colaboradores, monitorando a conformidade e assegurando que as requisições sejam tratadas com fundamentação jurídica e dentro do prazo legal previsto no Art. 19, inciso II da lei. Não se trata de uma função meramente formal; trata-se de liderança técnica, capacidade de articulação interna e atuação preventiva na mitigação de riscos regulatórios. Sem autonomia, apoio institucional e acesso às áreas estratégicas, o DPO não consegue cumprir sua missão legal.
Igualmente essencial é a existência de um canal exclusivo e acessível para o exercício dos direitos previstos no Art. 18 da lei. As empresas devem disponibilizar um canal dedicado, transparente e funcional para recebimento das demandas — seja por meio de uma aba específica em seu site, intitulada “LGPD”, contendo formulário estruturado para requisições, seja por meio de um endereço de e-mail exclusivo destinado ao tratamento dessas solicitações.
A inexistência de um canal dedicado ou a adoção de meios confusos e burocráticos para recebimento das requisições dos titulares pode caracterizar violação aos princípios da transparência e do livre acesso insculpidos no Art. 6º, incisos IV e VI da LGPD, além de demonstrar o despreparo organizacional. Canal estruturado não é formalidade: é instrumento de governança e prova concreta do compromisso da empresa com a proteção de dados.
Outro ponto crucial é o direito de revogação do consentimento – Art. 8º, §5º da lei e o direito de oposição ao tratamento – Art. 18, §2º realizado com base em hipóteses legais diversas do consentimento. Esses direitos exigem processos claros, respostas fundamentadas e documentação adequada das decisões tomadas. Ignorar ou dificultar o exercício desses direitos pode resultar em questionamentos perante a Agência Nacional de Proteção de Dados e na aplicação das sanções previstas no Art. 52 da LGPD. Do ponto de vista da gestão de riscos, atender tempestivamente o titular é sempre menos oneroso do que enfrentar um processo administrativo sancionador ou até um processo judicial com condenação a indenizações.
Assim, diante de todo o exposto resta claro que o art. 18 da LGPD materializa o princípio da autodeterminação informativa e coloca o titular no centro da relação jurídica. Para as empresas, isso significa sair do discurso e investir em estrutura, cultura organizacional e responsabilidade ativa. Estar preparado para atender os direitos dos titulares não é apenas cumprir a lei — é demonstrar maturidade em governança, fortalecer a confiança institucional e assumir, de forma inequívoca, o compromisso com a proteção dos dados pessoais tratados.
