Quais são os direitos do titular de dados na LGPD?

O Art. 18 da Lei 13.709/2018 lista nove direitos: I — confirmação do tratamento; II — acesso; III — correção; IV — anonimização, bloqueio ou eliminação de dados desnecessários; V — portabilidade; VI — eliminação de dados tratados com consentimento; VII — informação sobre compartilhamento; VIII — informação sobre possibilidade de não consentir; IX — revogação do consentimento.

Qual o prazo para responder uma requisição do titular?

O Art. 19 da Lei 13.709/2018 estabelece dois prazos: confirmação simplificada da existência de tratamento deve ser imediata, em formato simplificado; declaração completa e detalhada deve ser fornecida em até 15 dias contados da data do requerimento do titular.

Como verificar a identidade do titular que faz uma requisição?

A LGPD não define procedimento específico de verificação, mas o controlador deve adotar medidas proporcionais para confirmar a identidade do solicitante, evitando tanto o acesso indevido por terceiros quanto barreiras excessivas ao titular. A ANPD recomenda mecanismos compatíveis com o contexto do tratamento.

O que fazer se o controlador não responder minha requisição?

O Art. 18, §1º da Lei 13.709/2018 permite que o titular apresente reclamação à ANPD caso o controlador não atenda a requisição no prazo legal. O titular também pode acionar o Procon, o Ministério Público ou o Poder Judiciário para tutela de seus direitos.

Direitos do Titular de Dados na LGPD: Guia Completo do Art. 18

Atualizado em 17 de julho de 2025

O Art. 18 da Lei 13.709/2018 garante ao titular nove direitos sobre seus dados pessoais: confirmação do tratamento, acesso aos dados, correção, anonimização, bloqueio ou eliminação de dados desnecessários, portabilidade, informação sobre compartilhamento com terceiros e revogação do consentimento, todos exercíveis mediante requisição dirigida ao controlador.

Os nove direitos do titular no Art. 18

O Art. 18 da Lei 13.709/2018 consagra nove direitos fundamentais do titular de dados pessoais. Esses direitos podem ser exercidos a qualquer momento mediante requisição ao controlador, que deve disponibilizar canal acessível e gratuito para esse fim. O exercício dos direitos independe da base legal utilizada para o tratamento.

Confirmação e acesso aos dados

O direito de confirmação (Art. 18, I) permite ao titular saber se o controlador realiza tratamento de seus dados pessoais. O direito de acesso (Art. 18, II) garante ao titular obter cópia dos dados pessoais tratados. A confirmação deve ser fornecida imediatamente em formato simplificado, enquanto a declaração completa deve ser entregue em até 15 dias (Art. 19).

Correção de dados incompletos ou inexatos

O Art. 18, III garante ao titular o direito de solicitar a correção de dados incompletos, inexatos ou desatualizados. O controlador deve atualizar os dados em seus sistemas e, quando aplicável, comunicar a correção a terceiros com quem os dados foram compartilhados. Não há necessidade de justificativa por parte do titular — basta demonstrar a inexatidão.

Anonimização, bloqueio e eliminação

O Art. 18, IV prevê o direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. A anonimização torna impossível a identificação do titular. O bloqueio suspende temporariamente o tratamento. A eliminação remove definitivamente os dados dos sistemas do controlador.

Portabilidade dos dados

O direito à portabilidade (Art. 18, V) permite ao titular solicitar a transferência de seus dados pessoais a outro fornecedor de serviço ou produto. A regulamentação específica da portabilidade é competência da ANPD, que deve definir formatos e padrões técnicos para viabilizar a interoperabilidade entre controladores.

Revogação do consentimento

O Art. 18, IX garante ao titular o direito de revogar o consentimento a qualquer momento, mediante manifestação expressa e gratuita. A revogação não afeta a licitude do tratamento realizado anteriormente com base no consentimento. Após a revogação, o controlador deve cessar o tratamento fundamentado naquela base legal, podendo manter dados com outra base legal aplicável.

Como implementar canal de atendimento ao titular

O controlador deve disponibilizar meios facilitados para o exercício dos direitos do titular, conforme Art. 18, §2º da LGPD. O canal deve ser gratuito, acessível e capaz de receber e processar requisições de forma eficiente, com rastreabilidade e prazos definidos.

Requisitos mínimos do canal

O canal de atendimento ao titular deve ser: gratuito (sem custo para o titular), acessível (fácil de encontrar no site, preferencialmente em local visível), identificado (com informações do encarregado/DPO), responsivo (com confirmação de recebimento) e rastreável (com protocolo ou número de acompanhamento). Pode ser implementado como formulário web, email dedicado ou portal de privacidade.

Verificação de identidade do solicitante

Antes de atender uma requisição, o controlador deve verificar a identidade do solicitante para evitar acesso indevido por terceiros. O procedimento deve ser proporcional ao risco: para dados de baixo risco, confirmação por email pode ser suficiente; para dados sensíveis, pode-se exigir documento de identidade. O processo não deve criar barreiras excessivas ao exercício dos direitos.

Registro e rastreabilidade das requisições

Toda requisição do titular deve ser registrada com: data de recebimento, identificação do titular, tipo de direito exercido, providências adotadas, data de resposta e resultado. Esse registro serve como prova de conformidade perante a ANPD e permite identificar padrões que indiquem necessidade de ajustes nos processos de tratamento.

Prazos legais para resposta

A LGPD estabelece prazos específicos para resposta às requisições do titular. O descumprimento desses prazos pode ensejar reclamação à ANPD e aplicação de sanções administrativas ao controlador.

Prazo de confirmação simplificada

O Art. 19, I da LGPD determina que a confirmação de existência de tratamento deve ser fornecida imediatamente, em formato simplificado. Isso significa que o controlador deve ser capaz de informar ao titular, sem demora, se realiza ou não tratamento de seus dados pessoais, sem necessidade de detalhamento completo nesse primeiro momento.

Prazo de declaração completa

O Art. 19, II estabelece prazo de 15 dias, contados da data do requerimento, para fornecimento de declaração clara e completa sobre a origem dos dados, critérios utilizados, finalidade do tratamento e demais informações solicitadas. A declaração deve ser fornecida em formato que permita utilização pelo titular, preferencialmente por meio eletrônico.

Consequências do descumprimento de prazos

O descumprimento dos prazos legais permite ao titular apresentar reclamação à ANPD (Art. 18, §1º). A autoridade pode determinar ao controlador que adote providências e aplicar sanções que vão de advertência a multa de até 2% do faturamento (Art. 52). A reincidência é fator agravante na dosimetria da sanção.

Limitações e exceções aos direitos do titular

Os direitos do titular não são absolutos. A LGPD prevê situações em que o controlador pode legitimamente recusar ou limitar o atendimento a uma requisição, desde que fundamentado em hipótese legal específica.

Quando o controlador pode recusar uma requisição

O controlador pode recusar uma requisição quando: os dados são necessários para cumprimento de obrigação legal (Art. 16, I), para estudo por órgão de pesquisa com anonimização (Art. 16, II), para transferência a terceiro com base legal própria (Art. 16, III) ou para uso exclusivo do controlador com anonimização (Art. 16, IV). A recusa deve ser fundamentada e comunicada ao titular.

Dados necessários para cumprimento de obrigação legal

Dados necessários para cumprimento de obrigação legal ou regulatória (Art. 7º, II e Art. 16, I) podem ser mantidos mesmo após solicitação de eliminação pelo titular. Exemplos incluem dados fiscais (obrigação de guarda por 5 anos), registros trabalhistas, dados exigidos por reguladores setoriais e registros de acesso à internet (Marco Civil). O controlador deve informar ao titular o motivo da manutenção.

Petição à ANPD: recurso do titular

Quando o controlador não atende a requisição do titular no prazo legal, ou quando a resposta é insatisfatória, o titular pode apresentar petição à ANPD (Art. 18, §1º). A petição deve descrever a requisição original, a resposta recebida (ou ausência dela) e o direito que se pretende exercer. A ANPD pode determinar ao controlador que adote providências e aplicar sanções em caso de descumprimento.

Direitos do titular e obrigações correspondentes do controlador
Direito (Art. 18)	Inciso	Obrigação do Controlador	Prazo
Confirmação do tratamento	I	Informar se realiza tratamento dos dados do titular	Imediato (formato simplificado)
Acesso aos dados	II	Fornecer cópia dos dados pessoais tratados	15 dias (declaração completa)
Correção	III	Atualizar dados incompletos, inexatos ou desatualizados	15 dias
Anonimização/bloqueio/eliminação	IV	Aplicar técnica sobre dados desnecessários ou excessivos	15 dias
Portabilidade	V	Transferir dados a outro fornecedor de serviço	Conforme regulamentação ANPD
Eliminação (consentimento)	VI	Excluir dados tratados com base no consentimento	15 dias
Informação sobre compartilhamento	VII	Informar entidades com quem dados foram compartilhados	15 dias
Informação sobre não consentir	VIII	Esclarecer consequências de não fornecer consentimento	Imediato
Revogação do consentimento	IX	Cessar tratamento baseado em consentimento revogado	Imediato (cessação do tratamento)

Indo além da auditoria pontual

Monitoramento vem depois.

A skill resolve o diagnóstico. O dashboard vai resolver o monitoramento contínuo, alertas e relatórios de conformidade. Cadastre-se para acesso antecipado.

Perguntas Frequentes

Quais são os direitos do titular de dados na LGPD?: O Art. 18 da Lei 13.709/2018 lista nove direitos: I — confirmação do tratamento; II — acesso; III — correção; IV — anonimização, bloqueio ou eliminação de dados desnecessários; V — portabilidade; VI — eliminação de dados tratados com consentimento; VII — informação sobre compartilhamento; VIII — informação sobre possibilidade de não consentir; IX — revogação do consentimento.
Qual o prazo para responder uma requisição do titular?: O Art. 19 da Lei 13.709/2018 estabelece dois prazos: confirmação simplificada da existência de tratamento deve ser imediata, em formato simplificado; declaração completa e detalhada deve ser fornecida em até 15 dias contados da data do requerimento do titular.
O titular pode pedir a exclusão de todos os seus dados?: O titular pode solicitar eliminação dos dados tratados com base no consentimento (Art. 18, VI). Porém, o Art. 16 prevê exceções: dados necessários para cumprimento de obrigação legal, estudo por órgão de pesquisa (anonimizados), transferência a terceiro ou uso exclusivo do controlador (anonimizados).
Como verificar a identidade do titular que faz uma requisição?: A LGPD não define procedimento específico de verificação, mas o controlador deve adotar medidas proporcionais para confirmar a identidade do solicitante, evitando tanto o acesso indevido por terceiros quanto barreiras excessivas ao titular. A ANPD recomenda mecanismos compatíveis com o contexto do tratamento.
O que fazer se o controlador não responder minha requisição?: O Art. 18, §1º da Lei 13.709/2018 permite que o titular apresente reclamação à ANPD caso o controlador não atenda a requisição no prazo legal. O titular também pode acionar o Procon, o Ministério Público ou o Poder Judiciário para tutela de seus direitos.

Indo além da auditoria pontual

Monitoramento vem depois.

A skill resolve o diagnóstico. O dashboard vai resolver o monitoramento contínuo, alertas e relatórios de conformidade. Cadastre-se para acesso antecipado.