Tag: Solicitação de Dados

Ilustração de nuvem com cadeado digital representando segurança da informação e proteção de dados no Canal LGPD.

Canal LGPD: Direitos dos Titulares de Dados na Prática

Publicado em | por BCompliance&Law

LGPD e Direitos dos Titulares: A Importância de um Canal de Comunicação Eficiente

A proteção de dados pessoais deixou de ser um tema restrito ao setor jurídico ou de tecnologia. Com a vigência da Lei Geral de Proteção de Dados (LGPD) no Brasil, compreender quem são os titulares de dados, quais são seus direitos e a importância de se ter um Canal de Comunicação LGPD eficiente tornou-se indispensável para empresas e profissionais que tratam dados pessoais.

Se você deseja entender de forma clara, aprofundada e prática como isso funciona, este guia foi feito para você.

O que são dados pessoais?

Para compreender quem é o titular, é preciso começar pelo conceito de dado pessoal.

Dado pessoal é qualquer informação que identifique ou possa identificar uma pessoa natural, direta ou indiretamente.

Exemplos incluem:

  • Nome e sobrenome
  • CPF e RG
  • Endereço, telefone e e-mail
  • Placas de veículos
  • Dados financeiros
  • Localização geográfica
  • Características físicas
  • Dados digitais (cookies, IP, identificadores online)

Quando os dados dizem respeito à saúde, origem racial, convicção religiosa, vida sexual ou dados biométricos, eles são classificados como dados pessoais sensíveis, exigindo ainda mais cautela no tratamento.

Quem são os titulares de dados?

Os titulares de dados são todas as pessoas naturais (indivíduos) a quem os dados pessoais se referem.

Em outras palavras, qualquer cidadão que fornece — de forma consciente ou não — informações sobre si ao contratar serviços, adquirir produtos ou simplesmente navegar na internet.

Exemplos de titulares de dados

  • Clientes de uma loja física ou online
  • Pacientes de clínicas e hospitais
  • Funcionários, terceirizados e prestadores de serviço
  • Usuários de aplicativos, redes sociais e sites
  • Assinantes de newsletters
  • Candidatos a vagas de emprego

O que significa ser titular de dados?

Ser titular significa ter controle ou, ao menos, muito mais controle do que antes da LGPD, sobre como suas informações são coletadas, utilizadas, armazenadas e compartilhadas.

A LGPD estabelece que a titularidade dos dados pessoais pertence ao indivíduo, e não às organizações que os tratam. Essa mudança rompe com a lógica tradicional, na qual organizações acumulavam informações quase sem limites.

A lei assegura aos titulares um conjunto de direitos que garantem transparência, controle e segurança sobre o tratamento de suas informações. Esses direitos reforçam a ideia de que o dado pertence ao indivíduo, enquanto as organizações apenas o utilizam dentro de regras claras, limites e responsabilidades.

Ícones conectados representando e-commerce e comunicação digital em ambiente monitorado pelo Canal LGPD.

A seguir, cada direito é detalhado de forma prática, com exemplos do cotidiano.

1. Direito de confirmação de tratamento

Permite ao titular perguntar a qualquer empresa ou instituição se ela realiza o tratamento (coleta, armazenamento, uso ou compartilhamento) de seus dados pessoais.

É o primeiro passo para o exercício dos demais direitos.

Exemplos práticos:

  • Um cliente pode perguntar a uma loja online: “Vocês armazenam meu CPF?”
  • Uma pessoa que se cadastrou em uma newsletter há anos pode querer saber se seus dados ainda constam no sistema.

A empresa deve fornecer resposta clara, gratuita e acessível, por meio de um canal adequado de atendimento.

2. Direito de acesso

Permite que o titular saiba exatamente quais dados a organização possui e para quais finalidades eles são utilizados.

Por que é importante?

Evita:

  • Coleta excessiva
  • Uso não informado
  • Acúmulo desnecessário de informações

Exemplo:

Ao solicitar acesso, o titular pode receber:

  • Nome, e-mail e telefone cadastrados
  • Histórico de compras
  • Preferências coletadas por cookies
  • Registros de atendimento

Além disso, deve ser informado como os dados são utilizados (marketing, emissão de nota fiscal, análise de perfil etc.).

3. Direito de correção

Permite a atualização de dados desatualizados, incompletos ou incorretos.

Importância prática:

  • Endereço errado pode causar perda de entregas.
  • Erro no CPF pode impedir aprovação de crédito.
  • E-mail incorreto pode bloquear comunicações importantes.

A empresa deve realizar a correção em prazo razoável após a solicitação.

4. Direito de anonimização, bloqueio ou eliminação

Um dos direitos mais relevantes, pois permite intervenção direta no tratamento dos dados.

Anonimização

Transforma o dado de forma que ele não possa mais identificar o titular.

Exemplo:
Remoção de informações identificáveis de uma base estatística.

Bloqueio

Suspensão temporária do uso dos dados.

Aplicável quando:

  • Há contestação sobre a veracidade das informações.
  • Existem dúvidas quanto à legalidade do tratamento.

Durante o bloqueio, os dados não podem ser utilizados.

Eliminação

Exclusão definitiva de dados desnecessários, excessivos ou tratados de forma irregular.

5. Direito à portabilidade

Permite a transferência de dados para outro fornecedor de serviço.

Exemplos:

  • Migração entre instituições financeiras
  • Transferência de histórico entre plataformas digitais
  • Mudança de operadora de serviços

Esse direito estimula a concorrência e evita o aprisionamento do usuário por meio de seus dados.

6. Direito à eliminação dos dados tratados com consentimento

Quando o tratamento tem como base o consentimento, o titular pode solicitar a exclusão a qualquer momento.

Exemplos:

  • Cancelamento de envio de promoções
  • Retirada de participação em pesquisa

Há exceções, como obrigações legais de guarda de dados (por exemplo: fiscais e trabalhistas).

7. Direito à informação sobre compartilhamento

O titular pode saber com quem seus dados foram compartilhados e para qual finalidade.

Isso inclui:

  • Parceiros comerciais
  • Operadores terceirizados
  • Plataformas tecnológicas
  • Empresas de logística e pagamento

A transparência é essencial para que o titular compreenda o fluxo de seus dados.

8. Direito de revogação do consentimento

O consentimento pode ser retirado a qualquer momento, e a revogação deve ser simples.

Exemplos:

  • Cancelar newsletter
  • Desativar geolocalização
  • Retirar autorização para marketing

Após a revogação, o tratamento baseado no consentimento deve cessar.

9. Direito de oposição

O titular pode se opor ao tratamento realizado com base em:

  • Interesse legítimo
  • Execução de contrato
  • Proteção ao crédito
  • Exercício regular de direito

Desde que apresente justificativa, a empresa deverá avaliar o pedido e fundamentar sua decisão.

10. Direito de não ser submetido exclusivamente a decisões automatizadas

Protege o titular quando decisões relevantes são tomadas por sistemas automatizados.

Situações comuns:

  • Negação de crédito
  • Reprovação em processo seletivo
  • Precificação automatizada

O titular pode solicitar:

  • Revisão humana
  • Explicação dos critérios utilizados

Esse direito promove transparência e reduz riscos de discriminação algorítmica.

Pessoa digitando em notebook realizando registro de informações no sistema do Canal LGPD.

A importância do Canal LGPD para o exercício desses direitos

Para que todos esses direitos sejam efetivos na prática, é fundamental que as organizações disponibilizem um Canal LGPD estruturado, acessível e eficiente.

O Canal LGPD é o meio formal pelo qual o titular pode:

  • Solicitar confirmação de tratamento
  • Pedir acesso, correção ou eliminação de dados
  • Revogar consentimento
  • Exercer o direito de oposição
  • Solicitar revisão de decisões automatizadas
  • Esclarecer dúvidas sobre tratamento e compartilhamento

Sem um canal claro e funcional, os direitos previstos na lei se tornam apenas teóricos.

Um Canal LGPD eficiente deve:

  • Ser de fácil localização (site, política de privacidade, contratos)
  • Permitir identificação segura do titular
  • Registrar e acompanhar solicitações
  • Garantir prazos razoáveis de resposta
  • Oferecer linguagem clara e acessível

Além de cumprir obrigação legal, o canal demonstra compromisso com transparência, governança e respeito ao titular.

Papel do Encarregado (DPO)

Muitas organizações estruturam esse canal por meio do Encarregado pelo Tratamento de Dados Pessoais (também conhecido como DPO), figura prevista na LGPD como elo entre controlador, titulares e a Autoridade Nacional de Proteção de Dados (ANPD).

Seu papel inclui receber solicitações, prestar esclarecimentos, analisar pedidos de acesso, correção, eliminação e outras demandas, além de viabilizar comunicação organizada e em prazos adequados — especialmente relevante para empresas de maior porte ou com tratamento intensivo de dados.

Para agentes de tratamento de pequeno porte, a nomeação do DPO pode ser dispensada, desde que mantenham Canal LGPD eficiente para o atendimento aos titulares.

Responsabilidades das empresas

Cumprir a LGPD é uma obrigação legal. Isso inclui:

  • Informar claramente sobre práticas de tratamento (política de privacidade)
  • Justificar cada operação com dados pessoais
  • Garantir segurança da informação
  • Atender solicitações dos titulares dentro dos prazos legais
  • Evitar coleta excessiva

O descumprimento pode resultar em:

  • Multas
  • Advertências
  • Publicização da infração
  • Bloqueio ou eliminação de dados
  • Danos reputacionais

Conclusão: o titular no centro da proteção de dados

A LGPD transformou a forma como as informações pessoais são tratadas no Brasil. Ao reconhecer o titular como verdadeiro detentor de seus dados, a lei fortalece a cidadania, reduz abusos e amplia a responsabilidade das organizações.

Entender quem são os titulares de dados e quais são seus direitos é essencial tanto para empresas que precisam cumprir a legislação quanto para cidadãos que desejam exercer sua autonomia e proteger sua privacidade em um mundo cada vez mais digital.

Saiba como a BCompliance&Law pode ajudar a sua empresa a implementar um Canal LGPD eficiente, seguro e em total conformidade legal.

Fale com um de nossos especialistas

LGPD Dispensa do Encarregado para Micro e Pequenas Empresas

LGPD para Pequenas Empresas: Quando a Nomeação de Encarregado (DPO) é Dispensada pela Resolução ANPD nº 2/2022

Publicado em | por BCompliance&Law

Se você tem uma microempresa, EPP, startup ou organização sem fins lucrativos, e está em processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD), uma dúvida comum é:
“Sou obrigado a indicar um encarregado de dados (DPO)?”

A resposta é: não necessariamente.

A Resolução CD/ANPD nº 2/2022 trouxe um importante avanço ao prever tratamento jurídico diferenciado para agentes de tratamento de pequeno porte, desonerando essas empresas da obrigação de nomear um encarregado — desde que disponibilizem um canal de comunicação eficiente com os titulares de dados.

Quem são os agentes de tratamento de pequeno porte segundo a ANPD?

A Resolução CD/ANPD nº 2/2022, que estabelece normas sobre o tratamento de dados pessoais por agentes de tratamento de pequeno porte, define de forma clara quem pode ser enquadrado nessa categoria e, portanto, se beneficiar de um regime jurídico mais simplificado no âmbito da LGPD.

Conforme o Art. 2º da Resolução, são considerados agentes de tratamento de pequeno porte:

  • 1 – Microempresas (ME) e Empresas de Pequeno Porte (EPP)

Conforme definidas na Lei Complementar nº 123/2006, essas empresas são classificadas com base em seu faturamento anual e estrutura operacional. São entidades com menor capacidade econômica e estrutural, o que justifica a adoção de medidas regulatórias proporcionais.

  • 2 – Startups

Incluem-se neste grupo as organizações inovadoras enquadradas nos termos da Lei Complementar nº 182/2021 (Marco Legal das Startups). A legislação considera startups aquelas que atuam na inovação aplicada a modelos de negócio ou produtos/serviços, com receita bruta limitada e inscrição no Inova Simples ou enquadramento específico como startup.

  • 3 – Pessoas jurídicas de direito privado sem fins lucrativos

Abrange associações, fundações, cooperativas, organizações da sociedade civil e demais entidades que não visam à distribuição de lucros, desde que tratem dados pessoais para finalidades legítimas, específicas e proporcionais à sua atuação institucional.

  • 4 – Pessoas naturais e entidades privadas que realizem tratamento de dados com fins econômicos

Desde que atendam aos critérios estabelecidos pela ANPD, pessoas físicas (como profissionais autônomos) e entidades privadas que utilizam dados pessoais com objetivo econômico, mas possuem porte reduzido, também podem ser caracterizadas como agentes de pequeno porte. A avaliação considerará, entre outros fatores, o volume de dados tratados, a natureza das atividades e o risco envolvido.

Importante destacar que, apesar de integrarem o regime diferenciado, agentes de tratamento de pequeno porte não estão isentos de todas as obrigações da LGPD. A flexibilização se dá em aspectos específicos — como prazos, formato de registros e, especialmente, a possibilidade de dispensa da nomeação do encarregado de dados, mediante a manutenção de um canal de comunicação ativo com os titulares.

Dispensa da Nomeação do Encarregado de Dados: O que determina a Resolução CD/ANPD nº 2/2022

A Resolução CD/ANPD nº 2/2022, ao estabelecer normas específicas para agentes de tratamento de pequeno porte, introduz a possibilidade de dispensa da nomeação do Encarregado pelo Tratamento de Dados Pessoais — figura prevista no art. 41 da Lei nº 13.709/2018 (LGPD).

De acordo com o art. 11 da Resolução, esses agentes não estão obrigados a indicar formalmente um encarregado de dados, desde que atendam a uma exigência essencial:

Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado previsto no art. 41 da Lei nº 13.709, de 2018.
§ 1º O agente de tratamento de pequeno porte deverá disponibilizar um canal de comunicação com o titular de dados.

Ou seja, a dispensa do DPO (Data Protection Officer) não é automática nem absoluta. Ela está condicionada à manutenção de um canal de comunicação claro, funcional e acessível ao titular dos dados, por meio do qual ele possa exercer seus direitos legalmente garantidos.

Qual é a finalidade do canal de comunicação LGPD?

O canal de comunicação previsto pela Resolução da ANPD tem como principal objetivo viabilizar o exercício dos direitos do titular, conforme estabelecido no art. 18 da LGPD, tais como:

  • Confirmação da existência de tratamento de seus dados pessoais:
     Permite ao titular saber se seus dados estão sendo coletados, processados ou armazenados por determinada organização.
  • Acesso aos dados coletados:
     Garante transparência, possibilitando que o titular visualize quais informações pessoais foram coletadas e como estão sendo utilizadas.
  • Correção de dados incompletos, inexatos ou desatualizados:
     Assegura que os dados armazenados estejam corretos e atualizados, evitando erros ou impactos negativos decorrentes de informações incorretas.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos:
     Garante ao titular o direito de solicitar medidas sobre dados que não sejam essenciais para a finalidade do tratamento.
  • Portabilidade dos dados:
     Permite a transferência dos dados pessoais a outro fornecedor de serviço ou produto, conforme regulamentação da autoridade.
  • Eliminação de dados tratados com base no consentimento:
     O titular pode solicitar a exclusão dos dados quando o tratamento se basear apenas no consentimento e este for revogado.
  • Informação sobre compartilhamento com terceiros:
     O titular tem direito de saber com quais entidades, públicas ou privadas, seus dados foram compartilhados.
  • Revogação do consentimento:
     Garante ao titular a possibilidade de retirar seu consentimento para o uso dos dados, interrompendo o tratamento, salvo nas hipóteses legais de manutenção.

Além disso:

  • Mesmo sem a presença formal de um encarregado de dados (DPO), o agente de tratamento de pequeno porte deve manter o canal de comunicação ativo e funcional.
  • O canal é essencial para garantir a transparência, a responsabilidade e o atendimento ágil às solicitações dos titulares.
  • É um mecanismo que reforça o cumprimento dos princípios da LGPD, como finalidade, adequação, necessidade, livre acesso e prestação de contas.

A manutenção desse canal é uma obrigação mesmo para pequenos agentes de tratamento, conforme previsto pela ANPD, destacando que o porte da empresa não isenta da responsabilidade quanto aos direitos dos titulares.

Considerações práticas

A criação de um canal de comunicação não se resume à publicação de um e-mail de contato. O canal deve ter:

  • Clareza e acessibilidade: com instruções objetivas para o exercício dos direitos;
  • Segurança da informação: para preservar a confidencialidade e a integridade dos dados;
  • Organização e rastreabilidade: permitindo registrar e controlar as interações com os titulares;
  • Eficiência no atendimento: com observância dos prazos legais.

Assim, ao possibilitar que a indicação de um Encarregado de Dados seja substituída pela implantação de um canal de comunicação LGPD, a Resolução CD/ANPD nº 2/2022 busca balancear a proteção dos direitos dos titulares com a realidade operacional das pequenas empresas, permitindo que cumpram a LGPD de forma proporcional à sua estrutura, mas sem comprometer os fundamentos da lei.

Riscos e Penalidades pelo Descumprimento da LGPD por Agentes de Pequeno Porte

Embora a Resolução CD/ANPD nº 2/2022 permita que agentes de tratamento de pequeno porte sejam dispensados da nomeação de um Encarregado de Dados (DPO), essa flexibilização não isenta a organização das demais obrigações previstas na Lei Geral de Proteção de Dados Pessoais (LGPD).

O não cumprimento das exigências mínimas, como a manutenção de um canal de comunicação efetivo com o titular de dados, pode resultar em infrações administrativas e sanções legais expressivas. As consequências podem comprometer não apenas a continuidade das operações de tratamento, mas também a reputação e a viabilidade financeira da organização.

Principais penalidades previstas no Art. 52 da LGPD:

  • Advertência formal, com prazo determinado para correção da irregularidade;
  • Multa simples de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração;
  • Multa diária, aplicada enquanto persistir a não conformidade;
  • Publicização da infração, após sua apuração e confirmação, afetando a imagem da empresa no mercado;
  • Bloqueio dos dados pessoais a que se refere a infração, impedindo seu uso até a regularização;
  • Eliminação definitiva dos dados pessoais envolvidos na infração, o que pode comprometer serviços, cadastros e históricos operacionais.

Além das sanções administrativas aplicadas pela ANPD, o descumprimento da LGPD pode gerar responsabilidade civil em ações judiciais individuais ou coletivas movidas por titulares de dados ou órgãos de defesa do consumidor.

Conclusão

A Resolução nº 2/2022 representa um avanço ao estabelecer proporcionalidade na aplicação da LGPD, permitindo que pequenas organizações possam se adequar sem onerar excessivamente suas estruturas. Contudo, isso não reduz a responsabilidade legal quanto ao tratamento de dados pessoais.

A adoção de um canal de comunicação eficaz e seguro não é apenas uma alternativa viável – é uma exigência normativa que deve ser tratada com o mesmo rigor de outras obrigações legais.

Evite riscos desnecessários e garanta a conformidade da sua empresa com a LGPD. Conheça nossa solução especializada de canal de comunicação LGPD, desenvolvida especialmente para atender às exigências da Resolução CD/ANPD nº 2/2022. Com tecnologia segura, fluxos automatizados e suporte jurídico, ajudamos sua organização a cumprir a legislação com eficiência e tranquilidade.

Fale com um especialista e descubra como simplificar sua adequação à LGPD — sem complicações e com total respaldo legal.

LGPD e Dados Biométricos: Como Garantir os Direitos dos Titulares

Publicado em | por BCompliance&Law

Com a crescente adoção de tecnologias de autenticação biométrica — como reconhecimento facial, leitura de impressões digitais e escaneamento de íris — o debate sobre privacidade e proteção de dados ganhou novas camadas de complexidade. A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde 2020, estabelece diretrizes claras sobre o uso desses dados sensíveis e impõe obrigações importantes para empresas e organizações.

Neste artigo, exploramos os cuidados que devem ser tomados no tratamento de dados biométricos e como garantir que os titulares de dados tenham meios reais para exercer seus direitos, conforme determinado pela legislação.

O que são dados biométricos segundo a LGPD?

A LGPD define dados biométricos como dados sensíveis, ou seja, informações pessoais que, por sua natureza individualizante, exigem um nível de proteção mais elevado. Trata-se de dados que identificam o indivíduo de forma única, como:

  • Impressões digitais
  • Reconhecimento facial
  • Padrões de voz
  • Escaneamento de retina ou íris
  • Geometria da mão entre outros

O tratamento desses dados sem os devidos cuidados pode representar um risco significativo à privacidade, especialmente porque, ao contrário de uma senha, a biometria não pode ser alterada.

Por este motivo é que a LGPD apresenta regras mais robustas para o tratamento de dados biométricos.

A LGPD impõe regras rigorosas para o uso de dados sensíveis, incluindo os biométricos. Alguns princípios fundamentais para a legitimidade do tratamentos desses dados são:

  1. Base legal adequada: o tratamento de dados biométricos exige uma base legal específica, como o consentimento explícito do titular ou o cumprimento de obrigação legal
  2. Finalidade clara: a coleta deve ter um objetivo determinado, legítimo e informado ao titular
  3. Necessidade e minimização: deve-se coletar apenas os dados estritamente necessários para a finalidade proposta
  4. Segurança e prevenção: as empresas devem adotar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e incidentes de segurança

Canal de Comunicação: ferramenta imprescindível para a conformidade com a LGPD

Um dos pilares da LGPD é o empoderamento do titular dos dados. As empresas que tratam dados biométricos precisam oferecer meios acessíveis, ágeis e claros para que os titulares possam exercer seus direitos, que incluem:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários
  • Revogação do consentimento
  • Portabilidade dos dados
  • Informação sobre compartilhamento com terceiros

Esses direitos não são apenas teóricos: é dever da organização fornecer canais de comunicação eficientes que permitam ao titular exercer sua autonomia sobre os dados pessoais tratados.

Com a crescente popularização do uso de dados biométricos em portarias de edifícios e condomínios, além  de aplicativos diversos, as empresas que gerenciam ferramentas de identificação e cadastro pessoal por meio de biometria devem redobrar sua atenção e cuidado com os dados tratados, além de fornecer meios eficientes, seguros e rastreáveis para que os titulares desses dados exerçam seus direitos.

Assim, torna-se imprescindível que empresas que tratam dados biométricos disponham de canais de comunicação para o recebimento de solicitação de exercício dos direitos dos titulares dos dados tratados.

Exercício de direitos dos titulares: uma obrigação prática

O uso de dados biométricos pode trazer benefícios importantes em termos de segurança e agilidade, representando uma excelente oportunidade de negócios para organizações dos mais variados nichos, mas exige responsabilidade. A LGPD é clara ao colocar o titular no centro do processo de proteção de dados, e isso implica oferecer transparência, controle e respeito à privacidade.

As organizações que utilizam biometria devem, para garantir a conformidade com a LGPD e o respeito aos titulares:

  • Documentar o consentimento sempre que essa for a base legal
  • Oferecer política de privacidade clara, explicando o uso de biometria
  • Capacitar colaboradores sobre o tratamento adequado de dados sensíveis
  • Realizar Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), avaliando os riscos envolvidos na coleta e uso de biometria
  • Disponibilizar canais de comunicação eficientes para o atendimento de solicitações dos titulares — com prazos e fluxos bem definidos

O Canal de Comunicação BCompliance&Law conta com módulo dedicado ao recebimento de solicitações de titulares de dados pessoais, o qual permite que as empresas clientes definam e monitorem seus fluxos de atendimento de solicitações, bem como prazos legais de retorno e mecanismos de confirmação de identidade do solicitante, além do registro e da rastreabilidade das ações realizadas durante o atendimento das solicitações recebidas.

Se sua empresa utiliza dados pessoais e biométricos, conheça o Canal de Comunicação BCompliance&Law e entenda como a nossa solução atende a todas as demandas de comunicação entre as organizações e os titulares de dados.

Mais do que cumprir uma obrigação legal, oferecer meios para que o titular exerça seus direitos é uma forma de construir confiança e reputação positiva no mercado — elementos fundamentais em uma era cada vez mais digital e sensível à privacidade.

Entre em contato conosco para falar com um de nossos especialistas.