O artigo 18 da LGPD consagra um conjunto robusto de direitos aos titulares de dados pessoais, que podem ser exercidos a qualquer momento e mediante requisição ao controlador. O adequado atendimento a esses direitos não é apenas uma obrigação legal, mas um elemento central da relação de confiança entre organizações e seus clientes, colaboradores e parceiros.
Catálogo de Direitos
A LGPD assegura ao titular os seguintes direitos: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; portabilidade dos dados; eliminação dos dados tratados com consentimento; informação sobre compartilhamento; informação sobre a possibilidade de não fornecer consentimento e suas consequências; e revogação do consentimento.
Adicionalmente, o artigo 20 garante o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito ou aspectos da personalidade.
Canais de Atendimento
As organizações devem disponibilizar mecanismos claros e acessíveis para que os titulares exerçam seus direitos. A designação de um encarregado de proteção de dados (DPO) e a divulgação de seus dados de contato são obrigatórias. Recomenda-se a criação de formulários específicos, portais de privacidade e endereços de e-mail dedicados para facilitar as requisições.
O prazo para resposta ao titular é de quinze dias, contados da data do requerimento, em formato simplificado, ou por meio de declaração clara e completa no mesmo prazo. A contagem desse prazo segue as regras gerais de direito administrativo, excluindo-se dias não úteis quando aplicável.
Desafios Práticos
Um dos maiores desafios é a verificação de identidade do solicitante. A organização precisa confirmar que a requisição provém efetivamente do titular ou de seu representante legal, sem que esse processo de verificação se torne um obstáculo ao exercício do direito. Métodos proporcionais de verificação devem ser adotados.
O direito à portabilidade apresenta complexidades técnicas significativas, especialmente na ausência de padrões técnicos definidos pela ANPD. As organizações devem estar preparadas para fornecer dados em formato estruturado e interoperável.
Revisão de Decisões Automatizadas
O direito à revisão de decisões automatizadas (art. 20) é particularmente relevante no contexto de inteligência artificial. Quando uma decisão baseada exclusivamente em tratamento automatizado afeta os interesses do titular, este pode solicitar revisão, e o controlador deve fornecer informações claras e adequadas sobre os critérios e procedimentos utilizados. Esse direito impõe obrigações de transparência e explicabilidade que têm impacto direto no design de sistemas de IA.
As organizações que investem na estruturação adequada de processos de atendimento aos titulares não apenas cumprem a lei, mas também fortalecem sua reputação e a confiança de seus stakeholders.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".