Por Gabriel Neves
Introdução
Conforme anteriormente aprofundado na publicação “Conceitos base da LGPD” de nosso blog, o consentimento do titular é um requisito para que a empresa possa armazenar e tratar os dados pessoais de seus usuários/clientes, estabelecido nos arts. 7, 8 e 14 da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/20181).
Nesse sentido, o consentimento é entendido como a manifestação individual que autoriza e legitima a empresa a iniciar o tratamento. A forma e a força do consentimento se dão em níveis diferentes às diferentes categorias de dados pessoais, porém, em geral, sua necessidade se dá para proteger os dados pessoais de forma restritiva, de forma que a autorização do titular para o tratamento não poderá ser estendida para outros meios e momentos além daqueles pactuados ou para finalidade diversa.
A partir disso, surge uma dúvida essencial para proteger a sua empresa das penalidades definidas na LGPD: o que deve ser feito quando o cliente revogar o seu consentimento e solicitar a exclusão de seus dados pessoais do banco de dados da empresa?
Para responder tal dúvida, esta publicação aprofundará e exemplificará as peculiaridades pelas quais sua empresa deverá se atentar para não utilizar indevidamente os dados pessoais de seus clientes.
A partir do exposto, você poderá entender com concretude como a sua empresa deverá agir na eventual solicitação do usuário de exclusão de seus dados.
Solicitação de exclusão de dados pessoais
Sob a LGPD, qualquer titular pode revogar o seu consentimento para tratamento de seus dados pessoais e solicitar que eles sejam excluídos. Para isso, a empresa precisa oferecer canais claros e acessíveis para que o cliente realize tal pedido, normalmente apresentado ao consumidor por meio da Política de Privacidade da empresa, da plataforma ou do serviço a ser prestado; caso você tenha interesse em se aprofundar no tema, recomendamos a seguinte publicação em nosso blog.
Nesse sentido, o art. 41 da LGPD define que a empresa deve designar um encarregado (DPO – Data Protection Officer) e divulgar publicamente seus contatos (e-mail, telefone, site – inclusive por ferramentas de suporte), para que o usuário possa realizar solicitações referentes ao tratamento de dados pessoais, incluindo sua exclusão.
Porém, é essencial compreender que a ANPD dispensou os agentes de tratamento de pequeno porte (como microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos) da obrigação de indicar formalmente um encarregado, desde que garantam um canal de comunicação com titulares de dados.
A partir disso, o titular poderá usar esse canal – por exemplo, um formulário no site, um e-mail ou telefone de suporte – para requerer a exclusão dos dados, que deverá ser gratuito e facilitado. Muitas empresas adotam um “canal de atendimento ao titular”2 dedicado (um portal ou e-mail específico) justamente para receber pedidos de direitos sob a LGPD.
Em outras palavras, o cliente deverá poder revogar o seu consentimento e pedir a exclusão dos seus dados sem enfrentar barreiras – bastará contatar o DPO ou canal disponibilizado pela empresa.
Exceções à exclusão dos dados pessoais
Embora o titular tenha o direito à exclusão de seus dados pessoais, a LGPD prevê em seu art. 16 quatro exceções em que a empresa pode mantê-los, desde que seja para finalidades específicas e que serão analisadas a seguir. Essas hipóteses equilibram o direito à privacidade com necessidades legítimas de empresas e órgãos públicos. Vejamos inicialmente a íntegra do art. 16:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
A partir disso, é possível nos aprofundarmos individualmente a cada uma das quatro exceções reguladas pela LGPD:
Cumprimento de obrigação legal ou regulatória. A empresa pode reter dados pessoais quando há uma determinação legal ou regulatória que exija guardá-los. Por exemplo, informações de empregados demitidos (vínculo empregatício, salário, etc.) precisam ser conservadas para cumprir obrigações trabalhistas ou fiscais.3 Do mesmo modo, documentos fiscais e contábeis e dados médicos devem ser arquivados por prazos especificamente regulados por lei. Nessas situações, o direito contratual ou a lei obrigam a manter os dados, e o pedido de exclusão pode ser negado.
Estudo por órgão de pesquisa. Permissão para que a empresa mantenha o armazenamento e uso dos dados pessoais para que sejam utilizados para pesquisas (como, por exemplo, científicas, estatísticas ou históricas) desde que, “sempre que possível”, sejam anonimizados (conforme aprofundamento do termo que será apresentado a seguir). Por exemplo, uma plataforma de aprimoramento de saúde pode manter registros de usuários para estudos médicos, mas somente em forma anônima, sem nenhum dado que permita remontar à pessoa identificável.
Transferência a terceiro. Há casos em que os dados transferidos a outra empresa ou instituição precisam ser mantidos para a continuidade dessa operação, desde que cumpram todos os requisitos da LGPD.4 Por exemplo, se um médico transferiu dados de pacientes a uma plataforma de intermediação médica, ambas podem conservar as informações enquanto houver necessidade contratual ou legal relacionada àquele paciente.
Uso exclusivo do controlador. A empresa ainda pode usar os dados pessoalmente – sem compartilhá-los com terceiros – se isso for para fins internos (como análise de negócio ou melhoria de serviço), desde que os dados sejam anonimizados, conforme o aprofundamento a seguir.
Para melhor interpretação das exceções à obrigação de exclusão dos dados pessoais, é necessário compreender que o mecanismo da anonimização dos dados pessoais é utilizado para que a empresa não possa mais identificar o usuário titular, mesmo com cruzamentos ou técnicas avançadas de reidentificação. Isso é diferente da pseudonimização5, onde o usuário ainda pode ser reidentificado por alguém com acesso a uma chave, criptografia ou ferramenta semelhante.
Como corretamente cumprir a solicitação de exclusão de dados pessoais
Para atender à solicitação de exclusão de dados formulada pelo titular, a empresa deve primeiro verificar se há alguma base legal que autorize reter os dados. Se não existir nenhuma justificativa legal ou contratual para manter os dados, a empresa deve efetivamente eliminar as informações pessoais do banco de dados e sistemas internos, de modo que não sejam mais utilizadas em nenhuma operação. Em termos práticos, isso significa apagar registros, destruir backups relacionados e remover quaisquer referências pessoais remanescentes referentes ao titular.6
Por outro lado, se houver fundamento legal ou contratual para manter os dados, a empresa pode recusar a exclusão solicitada, com sua subsequente retenção total ou parcial. Alguns exemplos, nos termos das exceções aprofundadas anteriormente: manutenção de dados para fins de cumprimento de obrigações fiscais pendentes (notas fiscais, impostos) ou a necessidade de conservar documentos para eventuais ações judiciais trabalhistas. Nesses cenários, a LGPD permite que os dados sejam preservados com limite imposto ao estritamente necessário para atingimento do fim legal em questão.
Uma terceira alternativa prevista em lei é a anonimização dos dados. Nos casos em que a empresa precisa conservar as informações – ou tem interesse em utilizá-las apenas internamente –, ela pode transformá-las em forma anonimizada, conforme já aprofundado: uma versão em que o titular não possa ser identificado. Isso, pois, após a anonimização, os dados deixam de ser considerados pessoais e não estão mais sujeitos à incidência da LGPD e, por conseguinte, à regra de exclusão obrigatória, conforme o art. 12 da LGPD. Assim, por exemplo, se uma empresa quer manter histórico de acessos para análise de tendência, ela poderá usar esses dados apenas em forma anonimizada – removendo nomes, CPFs e outros identificadores diretos.
Em suma, o atendimento correto envolve avaliar cada caso: (i) quando não houver exceção legal, apagar completamente; (ii) quando houver base legítima, manter conforme exigido; e (iii) quando for preciso manter para análise ou pesquisa, converter em dados anonimizados.
Como comprovar o cumprimento da solicitação de exclusão de dados pessoais?
Após a empresa executar a exclusão (ou a alternativa autorizada), é importante gerar evidências de que o pedido foi atendido. Seguem, abaixo, alternativas7 para que a sua empresa consiga comprovar o cumprimento da solicitação de exclusão realizada pelo titular dos dados.
De início, a forma mais utilizada atualmente para evidenciar o cumprimento é a emissão e envio de uma autodeclaração formal da própria empresa ao usuário, afirmando que os dados foram removidos. Esse documento oficial pode ser enviado através do contato do DPO da empresa, e fica arquivado como prova de boa-fé de que a solicitação foi cumprida.
Além disso, a empresa poderá registrar os logs da operação de exclusão dos dados pessoais. Se a plataforma permitir, deve-se conservar os metadados de cada remoção (quem realizou, quando, qual dado foi afetado). Esses registros não expõem o conteúdo do dado pessoal, mas atestam que a ação de apagar foi executada, servindo como prova em caso de auditoria.
Ainda mais, outra evidência prática é uma consulta ao sistema interno de armazenamento de dados da empresa após a exclusão. Desse modo, ao ser realizada uma busca no sistema acerca do registro excluído pelo seu identificador, o sistema deve retornar sem nenhum resultado. Pode-se registrar essa tela (print ou log de sistema) mostrando que o dado não está mais armazenado e demonstrando, através da interface direta do banco de dados, que o registro foi de fato removido.
Por fim, até mesmo a gravação de uma operação assistida pode ser usada: nada impede a empresa de fazer um vídeo curto (ou um registro de tela) mostrando a execução do comando de exclusão e o retorno “sem registros”. Essa medida artesanal pode ser útil em casos sensíveis e menos regulares de exclusão de dados.
A partir de todo o apresentado, entende-se que, no caso de requerimento de exclusão de dados pessoais por um cliente, reunir evidências do cumprimento de suas obrigações fortalece a segurança jurídica da empresa, demonstrando que atendeu plenamente ao pedido de exclusão do titular
Conclusão
Por meio do estudo realizado, esperamos que a eventual revogação do consentimento com pedido de exclusão de dados pessoais pelos clientes de sua empresa seja facilitada. Nesse sentido, consultar um profissional de sua confiança e seguir os preceitos legais são passos essenciais para a devida proteção empresarial no ambiente digital. Caso tenha interesse em receber maiores informações e publicações relacionadas aos aspectos legais do mundo empresarial, fique conectado no site e nas redes sociais da Caputo Duarte Advogados.
*Gabriel Neves – Advogado no Escritório Caputo Duarte Advogados. Bacharel em Direito pela Universidade Federal de Pelotas (UFPel); Pós-graduando em Direito Empresarial na Escola Brasileira de Direito (EBRADI); Advocacia na Caputo Duarte Advogados, assessoria empresarial especializada em startups e empresas de base tecnológica.
Notas e Referências
1Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
2GOMES, Bárbara F. Canal de Atendimento a Titulares de Dados: Para Que Serve e Como Ele Pode Beneficiar Sua Empresa? In: DPOnet, disponível em: blog.dponet.com.br/canal-atendimento-titular-dados-beneficios-empresa. Acesso em: 24 jun 25.
3CRUZ, Daniel. DOS LIMITES DO DIREITO À ELIMINAÇÃO DOS DADOS PESSOAIS PELO TITULAR. Disponível em: https://sousacruz.adv.br/blog/dos-limites-do-direito-a-eliminacao-dos-dados-pessoais-pelo-titular/. Acesso em: 24 jun 25.
4Idem à citação 3.
5Google Cloud Service. Pseudonimização. Disponível em: cloud.google.com/sensitive-data-protection/docs/pseudonymization. Acesso em 24 jun 25.
6LERMEN, Flávia. Qual prazo a LGPD dispõe para exclusão dos dados? Disponível em: www.levcompliance.com.br/lgpd/qual-prazo-a-lgpd-dispoe-para-exclusao-dos-dado. Acesso em 24 jun 25.
7Code Compliance. Como comprovar a exclusão dos dados pessoais dos titulares dos dados pessoais? Disponível em: https://www.linkedin.com/pulse/como-comprovar-exclus%C3%A3o-dos-dados-pessoais-/. Acesso em 24 jun 25.
