Imagine que um cliente envia um e-mail pedindo acesso a todos os dados que sua empresa possui sobre ele. Ou que um colaborador solicita a exclusão das informações após encerrar o vínculo trabalhista. Ou que um parceiro questiona como os dados dele estão sendo tratados…

Esses pedidos têm nome dentro da LGPD: requisição de titular. E eles não são apenas possíveis, são um direito garantido por lei. Toda empresa que trata dados pessoais precisa estar preparada para recebê-los, processá-los e respondê-los dentro do prazo.

Neste artigo, explicamos quais são os direitos dos titulares previstos na Lei Geral de Proteção de Dados, quais os prazos envolvidos e, principalmente, o que sua empresa precisa ter para responder com segurança jurídica.

O que a LGPD diz sobre os direitos dos titulares

O artigo 18 IV da LGPD é o coração dos direitos dos titulares. Ele estabelece que toda pessoa física cujos dados estão sendo tratados pode exigir das empresas:

• Confirmação da existência de tratamento dos dados
• Acesso aos dados pessoais que a empresa possui sobre ela
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• Portabilidade dos dados para outro fornecedor ou prestador de serviço
• Eliminação dos dados tratados com base em consentimento
• Informação sobre as entidades com as quais os dados foram compartilhados
• Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa
• Revogação do consentimento a qualquer momento

São nove direitos distintos. E cada um exige uma resposta diferente da empresa, com processo, com prazo e com evidência.

Quais são os prazos obrigatórios

A LGPD estabelece prazos claros para o atendimento das requisições de titulares:

• Confirmação de recebimento da requisição: imediatamente, em formato simplificado
• Resposta completa ao titular: em até 15 dias, contados da data do requerimento (art. 19, II da LGPD)
• Caso não seja possível atender imediatamente: o controlador deve comunicar ao titular as razões de fato ou de direito que impedem a resposta naquele momento

Esses prazos parecem simples. Mas quando não há um processo estruturado, o pedido se perde, o prazo vence sem resposta e a empresa fica exposta. Não há como provar boa-fé sem registro.

Por que a maioria das empresas falha nesse ponto

O problema não costuma ser falta de intenção, mas a falta de estrutura.

Na prática, as falhas mais comuns são:

• Não ter um canal formal e identificado para recebimento das requisições
• Não saber quem é o responsável por tratar cada tipo de pedido
• Não ter registro do recebimento nem histórico de resposta
• Não conseguir localizar os dados do titular nos sistemas internos
• Não documentar a decisão sobre o atendimento ou indeferimento do pedido

Esse conjunto de falhas não é apenas um risco operacional, é um problema jurídico. Em caso de questionamento pela ANPD, pelo Ministério Público ou pelo próprio titular, a empresa precisa demonstrar que agiu com diligência. Sem evidências, não há como fazer isso.

O que a empresa precisa ter para estar preparada

Para atender os direitos dos titulares com segurança, a empresa precisa de quatro elementos fundamentais:

1. Canal formal de recebimento

Um formulário publicado no site da empresa, com identificação clara do DPO ou responsável pelo tratamento das requisições. Sem canal formal, não há como garantir que os pedidos serão recebidos e registrados.

2. Processo interno definido

Quem recebe, quem analisa, quem decide, quem responde. Cada etapa precisa ter um responsável e um prazo interno. Sem fluxo, o pedido fica parado em uma fila de e-mails sem dono.

3. Capacidade de localizar os dados

Para responder a um pedido de acesso ou exclusão, a empresa precisa saber onde os dados do titular estão. Isso depende diretamente do mapeamento de dados, sem ele, a empresa não tem visibilidade do próprio ambiente.

4. Registro e evidência

Cada requisição recebida, cada resposta enviada, cada decisão tomada precisa estar documentada. Isso é o que diferencia uma empresa com governança de uma empresa que apenas diz que está em conformidade.

Como a plataforma DataMappingLGPD apoia esse processo

A DataMappingLGPD oferece um módulo completo de Requisições de Titulares, integrado ao site da empresa. Com ele:

• O titular envia o pedido diretamente pelo portal publicado no site
• O pedido é registrado automaticamente com data, tipo e dados do solicitante
• O DPO é acionado no workflow de resposta com controle de prazo
• Todas as etapas são documentadas e geram histórico auditável
• A empresa tem evidências prontas para auditorias e fiscalizações

Mais do que um canal de atendimento, o módulo transforma o processo de requisição em governança, com rastreabilidade, responsabilidade e conformidade contínua.

Conformidade não é só atender, é provar que atendeu

Esse é o ponto que muitas empresas ainda subestimam. A LGPD não exige apenas boa intenção. Ela exige comprovação.

Uma empresa que atende todos os pedidos de titular, mas não tem registro de nada, está tão exposta quanto uma empresa que nunca atendeu. Na LGPD, o que não está documentado, não existe juridicamente.

Estar preparado para os direitos dos titulares é, portanto, um exercício de governança, não de atendimento ao cliente.

Próximos passos

Se a sua empresa ainda não tem um canal formal de requisições, não sabe quem é o responsável pelo processo ou não tem registro das solicitações recebidas, o momento de estruturar isso é antes do próximo pedido chegar!

A DataMappingLGPD oferece 7 dias de teste gratuito com acesso a todos os módulos, incluindo Requisições de Titulares, Mapeamento de Dados e Gestão de Incidentes.

👉 Acesse datamappinglgpd.com.br e comece hoje.

Ou fale com um especialista pelo WhatsApp: (51) 98125-6960