Regulamentação dos Direitos dos Titulares pela ANPD

Em 2025, a Autoridade Nacional de Proteção de Dados (ANPD) anunciou que pretende concluir até o final do ano um regulamento específico para os direitos dos titulares de dados pessoais. Isso inclui direitos previstos na LGPD como portabilidade, correção, eliminação, bloqueio, acesso, revogação de consentimento etc. A proposta é trazer clareza sobre como esses direitos devem ser exercidos, quais prazos, formas, limites e obrigações práticas para controladores de dados.

1. Contexto: o que a LGPD já estabelece

Para compreender a relevância do novo regulamento da ANPD, é essencial partir do que já está previsto na Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018. A LGPD estabelece princípios, deveres e direitos que visam assegurar transparência, controle e segurança no tratamento de dados.

Nos artigos 17 a 20, a LGPD garante uma série de direitos aos titulares de dados pessoais, isto é, às pessoas físicas cujos dados são coletados e utilizados por empresas, órgãos públicos e demais organizações. Dentre esses direitos, destacam-se:

• Confirmação da existência de tratamento: o titular pode solicitar ao controlador (quem realiza o tratamento dos dados) a confirmação de que seus dados estão sendo processados. Isso garante transparência e dá ao cidadão o poder de saber se está sendo monitorado ou analisado.
• Acesso aos dados pessoais: além da confirmação, o titular tem direito a acessar os próprios dados que estão sob posse do controlador, inclusive com informações sobre a origem dos dados, os critérios utilizados no tratamento e a finalidade do uso.
• Correção de dados incompletos, inexatos ou desatualizados: esse direito assegura que as informações tratadas sobre o titular sejam verdadeiras e atuais, reduzindo riscos de decisões erradas ou discriminatórias baseadas em dados incorretos.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD: essa prerrogativa reforça o princípio da minimização de dados, ou seja, que apenas os dados estritamente necessários para uma determinada finalidade devem ser coletados e tratados.
• Portabilidade dos dados a outro fornecedor de serviço ou produto: o titular pode solicitar que seus dados sejam transferidos para outro controlador, promovendo maior liberdade e concorrência no mercado (por exemplo, migrar dados de uma operadora de celular para outra).
• Eliminação dos dados tratados com consentimento do titular: quando o tratamento se baseia em consentimento, o titular pode, em regra, exigir a exclusão dos seus dados, com exceções previstas na própria LGPD (como cumprimento de obrigação legal).
• Revogação do consentimento: o titular pode, a qualquer momento, retirar o consentimento dado anteriormente, sem que isso afete tratamentos realizados com base no consentimento anteriormente válido.
• Revisão de decisões automatizadas: um dos pontos mais sensíveis na era digital, esse direito assegura que o titular possa solicitar a revisão de decisões tomadas com base apenas em algoritmos ou inteligência artificial – como negativa de crédito ou seleção de currículo – garantindo mais equidade e transparência nesses processos.

Limitações e lacunas da LGPD

Embora a LGPD estabeleça esses direitos de forma clara, ela não detalha plenamente como esses direitos devem ser operacionalizados na prática. Em outras palavras, há uma base legal sólida, mas lacunas relevantes sobre:

• Prazos: em quanto tempo o controlador deve responder às solicitações dos titulares?
• Formatos e canais de atendimento: como deve ser feito o pedido? Há um padrão mínimo? Pode ser por e-mail? Precisa de autenticação?
• Exceções e limitações: em quais situações o controlador pode negar o pedido do titular? Quais critérios justificam isso?
• Questões técnicas: como garantir a segurança no processo de portabilidade? Qual a forma adequada de anonimização?

Essas lacunas abrem espaço para insegurança jurídica, interpretações divergentes e dificuldades práticas, tanto para os titulares quanto para os agentes de tratamento. É nesse ponto que entra a atuação da ANPD, com o objetivo de regulamentar e padronizar a aplicação desses direitos, garantindo maior clareza, segurança e efetividade.

2. O que se espera da Regulamentação dos Direitos dos Titulares pela ANPD?

Com base nas notícias e nas consultas públicas já em andamento, estes são os pontos-chave que o regulamento pretende contemplar:

Tema	O que está sendo considerado / discutido	Por que é importante
Formas de exercício dos direitos	Clarificar se todos os direitos podem ser requeridos por formulários eletrônicos ou e-mail, via APIs, pelo encarregado, etc.	Facilitar o acesso do titular, evitar burocracias desnecessárias.
Canais de comunicação com os titulares (Canal LGPD)	Reforçar a necessidade de canais claros, funcionais e acessíveis para que os titulares possam exercer seus direitos com segurança, incluindo meios digitais,com protocolos definidos e acompanhamento de pedidos.	Um canal LGPD eficiente é essencial para garantir que os direitos previstos na lei possam ser exercidos de forma prática, segura e transparente. Empresas que não disponibilizam canais adequados acabam criando barreiras ao exercício dos direitos, o que pode ser caracterizado como infração. Além disso, canais mal estruturados podem gerar retrabalho, insegurança jurídica e prejuízos reputacionais.
Prazo de resposta	Estabelecer prazos máximos para que o controlador responda a cada tipo de direito. A LGPD fala em “prazo razoável” e em 15 dias para declarações de acesso mais completas no artigo 19.	Evitar atrasos ou indefinições; garantir direitos concretos.
Modelos mínimos ou boas práticas de resposta	Padronização de linguagem, de formatos de entrega dos dados (digital, arquivo interoperável etc.), identificação de requerente, comunicação clara dos critérios usados etc.	Reduzir variação de qualidade entre controladores, assegurar clareza e compreensibilidade para titulares.
Limites, exceções e conflitos de normas	Definir quando um controlador não pode eliminar dados mesmo que solicitado pelo titular (por obrigação legal ou regulatória, interesse público, investigação, etc.). Também como lidar com dados técnicos, backups, anonimização ou pseudoanonimização etc.	Evitar insegurança jurídica entre empresas, possibilitar equilíbrio com outras obrigações legais.
Setores específicos e escalas diferentes	Possível flexibilização ou diferenciação de prazos/formas para controladores pequenos ou micro empresas, ou para setores com particularidades técnicas ou regulatórias.	Evitar que exigências máximas sejam onerosas demais para quem tem menos recursos, mas mantendo direitos.
Fiscalização / sanções / mecanismos de reclamação	Incluir previsões sobre como a ANPD vai avaliar o cumprimento do regulamento, como vai tratar descumprimento de direitos pelos controladores, quais serão os meios de reclamação (petição de titular, denúncia) e recursos cabíveis. (Serviços e Informações do Brasil)	Fundamental para que o regulamento não fique só no papel.

3. Benefícios esperados

Se bem elaborado e aplicado, esse regulamento pode trazer vários ganhos:

• Maior clareza jurídica para empresas e para titulares: saber o que se espera, quais prazos, formas, responsabilidades.
• Segurança para os controladores ao atenderem pedidos de titulares sem medo de descumprimento por causa de interpretações dúbias.
• Empoderamento dos titulares dos dados, que terão meios mais concretos de exigir seus direitos, com menos barreiras práticas.
• Harmonia com obrigações internacionais, especialmente para quem lida com dados que cruzam fronteiras ou com parceiros estrangeiros que esperam níveis de proteção de dados mais elevados.
• Maior confiabilidade geral do ambiente de proteção de dados no Brasil, o que pode favorecer inovação responsável, digitalização, uso de IA e demais tecnologias com privacidade.

4. Riscos ou desafios que ainda precisam ser resolvidos

Não basta apenas anunciar o regulamento. Há uma série de obstáculos e decisões delicadas que ainda precisam ser acertadas para que ele funcione bem:

• Tempo suficiente para debate público: é essencial que haja consultas públicas, participação de empresas, sociedade civil, especialistas em privacidade, entidades de defesa do consumidor etc., para identificar impactos práticos e possíveis problemas. Já há indicações disso.
• Equilíbrio entre rigidez e flexibilidade: controlar abusos, mas sem tornar impossível (ou muito caro) para empresas menores cumprir os requisitos.
• Integração com outras normas: legislação setorial, regulação estadual ou municipal, normas técnicas de segurança, proteção de dados internacionais etc.
• Estrutura de fiscalização: a ANPD precisa ter capacidade técnica, pessoal e orçamentária para monitorar, receber reclamações, multar, e impor sanções quando necessário.
• Conciliar direitos com exigências legais de conservação de dados (obrigações fiscais, regulatórias ou judiciais), que podem entrar em conflito com pedidos de eliminação.
• Aspectos técnicos: garantir interoperabilidade nos formatos de exportação dos dados, segurança no processo de correção e exclusão, verificação de identidade do titular etc.

5. O que sabemos que ainda está indefinido / monitorar

Com base nas informações mais recentes, estas são algumas coisas que ainda não estão claras, que devemos acompanhar:

• O texto final do regulamento — versão que será submetida à consulta pública, e quais mudanças serão sugeridas durante esse processo.
• Os prazos específicos que serão fixados para cada tipo de pedido (acesso, correção, exclusão etc.).
• Os formatos aceitáveis de entrega de dados ao titular (digital, formatos interoperáveis, ou exigências específicas de segurança etc.).
• Eventuais obrigações diferenciadas para diferentes tipos de controladores (porte, setor, volume de dados, risco etc.).
• Como a ANPD vai fiscalizar o cumprimento deste regulamento, como serão aplicadas sanções ou medidas corretivas.
• Inclusão de custos ou ônus para os titulares — em teoria, pedidos devem ser gratuitos para o titular, mas há situações práticas que precisam de definição clara.

6. Conclusão

O regulamento que a ANPD pretende publicar ainda em 2025 representa um passo importante para tornar concretos muitos dos direitos dos titulares previstos na LGPD. Ele pode transformar boas intenções em práticas efetivas, definindo passos claros para empresas, órgãos públicos e cidadãos.

Para quem trabalha com privacidade, direito digital, compliance ou para qualquer empresa que trate dados pessoais, é hora de acompanhar de perto esse desenvolvimento — participando de consultas públicas e preparando fluxos internos (por exemplo, como responder pedidos de titulares, treinar equipes, definir políticas de eliminação de dados etc.).

Além disso, é fundamental que as organizações se antecipem e implementem um Canal LGPD eficiente, estruturado para receber, registrar, processar e responder adequadamente às solicitações dos titulares. Esse canal deve ser seguro, acessível e com fluxos bem definidos, permitindo o exercício dos direitos de forma transparente e ágil.

Sem um mecanismo funcional de atendimento, mesmo as melhores intenções de conformidade acabam sendo inviabilizadas na prática, o que pode resultar em sanções regulatórias, perda de confiança dos clientes e impactos negativos à reputação. Portanto, investir em um Canal LGPD robusto é não apenas uma obrigação legal, mas também uma estratégia essencial de governança e relacionamento com os titulares de dados.

Nossa solução SaaS foi desenvolvida para atender rigorosamente às exigências da Lei Geral de Proteção de Dados, oferecendo segurança jurídica, rastreabilidade e gestão centralizada das requisições dos titulares.

Fale com um de nossos especialistas e saiba como a BCompliance&Law pode ajudar a sua empresa a implementar um Canal LGPD eficiente, seguro e em total conformidade legal.