Canal do titular LGPD: como criar, prazos e respostas
Aprenda a criar o canal do titular LGPD da sua empresa. Prazos de resposta, modelos prontos e passo a passo para atender pedidos de exclusão de dados.
Pedro tem uma loja online de suplementos em Belo Horizonte. Na segunda-feira de manhã, abriu o e-mail e encontrou uma mensagem de uma cliente: "Quero que vocês apaguem todos os meus dados." Ele leu duas vezes, fechou o notebook e foi tomar café. Não fazia ideia de por onde começar.
Se isso ainda não aconteceu com você, é questão de tempo. A LGPD dá a qualquer pessoa o direito de pedir acesso, correção e exclusão de dados pessoais, e sua empresa precisa de um canal de atendimento ao titular para receber e responder esses pedidos. Não importa o porte: microempresas, lojas, clínicas, escritórios. Todas precisam.
Neste guia, você vai entender o que é esse canal, quais prazos sua empresa tem para responder, como montar o canal do zero com pouco investimento, e como responder cada tipo de pedido sem entrar em pânico.
O que é o canal do titular e por que sua empresa precisa de um
O canal do titular é o meio oficial que sua empresa oferece para que qualquer pessoa cujos dados você trate possa exercer os direitos previstos no Art. 18 da LGPD. Clientes, funcionários, fornecedores. Todos podem pedir acesso, correção, exclusão ou portabilidade dos seus dados por esse canal.
Não confunda com SAC ou ouvidoria. O canal do titular tem uma função específica: receber solicitações sobre dados pessoais. Cliente ligando para reclamar de um produto? SAC. Esse mesmo cliente pedindo para saber quais dados sua empresa guarda sobre ele? Canal do titular. Fluxos diferentes, prazos diferentes, obrigações diferentes.
A base legal está nos artigos 18 e 41 da LGPD. O Art. 41 exige que a empresa divulgue o contato do encarregado de dados (DPO). Para pequenas empresas, a Resolução CD/ANPD nº 2/2022 dispensa a nomeação de um DPO, desde que a empresa mantenha um canal funcional para o titular.
Ou seja: se sua empresa é pequena e não tem DPO, o canal do titular deixa de ser opcional. Ele vira o pilar central da sua adequação.
A ANPD já mostrou que leva isso a sério. Em dezembro de 2024, fiscalizou 20 empresas por falta de DPO ou canal de comunicação adequado. TikTok, Telegram, X (antigo Twitter), Uber e Vivo estavam na lista. Se a ANPD cobra isso de gigantes da tecnologia, o recado para empresas menores é claro.
Quais direitos o canal do titular precisa atender
O canal do titular precisa estar preparado para receber solicitações referentes aos direitos do titular na LGPD. Na prática, os pedidos mais comuns em pequenas empresas se concentram em poucos tipos. A tabela abaixo mostra cada direito com um exemplo real:
| Direito | O que o titular pede | Exemplo prático |
|---|---|---|
| Confirmação de tratamento | Saber se a empresa trata seus dados | "Vocês têm dados meus no sistema?" |
| Acesso aos dados | Ver quais dados a empresa possui | "Quero saber tudo que vocês guardam sobre mim" |
| Correção | Atualizar dados incompletos ou errados | "Meu endereço mudou, preciso corrigir" |
| Eliminação | Apagar dados tratados com base em consentimento | "Quero sair da lista de e-mails e apagar meu cadastro" |
| Portabilidade | Transferir dados para outra empresa | "Quero levar meu histórico para outro fornecedor" |
| Revogação de consentimento | Retirar uma autorização dada antes | "Não quero mais receber comunicações" |
| Informação sobre compartilhamento | Saber com quem os dados foram divididos | "Vocês passaram meus dados para alguém?" |
| Anonimização ou bloqueio | Tornar dados não identificáveis ou bloquear o uso | "Não quero que usem meus dados para marketing" |
Na maioria das pequenas empresas, os três direitos do titular LGPD mais exercidos são: exclusão de dados, revogação de consentimento e acesso aos dados. É por eles que vale começar a preparar seus processos.
Importante: O direito de exclusão não é absoluto. Dados fiscais (notas fiscais, por exemplo) precisam ser mantidos por pelo menos cinco anos por obrigação legal. Dados vinculados a contratos ativos também ficam. Sua empresa pode, e deve, manter o que a lei exige, mesmo quando o titular pede para apagar tudo. Vamos mostrar como responder esses casos mais adiante.
Prazos de resposta: quanto tempo sua empresa tem
Esse é um dos pontos que mais gera dúvida sobre o canal do titular. O prazo de resposta ao titular na LGPD depende do tipo de solicitação e do porte da empresa. A ANPD define os prazos com base no Art. 19:
| Tipo de resposta | Prazo padrão | Prazo para pequenas empresas |
|---|---|---|
| Confirmação simplificada (sim/não tratamos seus dados) | Imediato | Imediato |
| Declaração completa (quais dados, origem, finalidade, compartilhamento) | Até 15 dias | Até 30 dias úteis |
| Demais solicitações do Art. 18 | Conforme regulamentação da ANPD | Prazo em dobro (Resolução nº 2/2022) |
O ponto que quase ninguém destaca: pequenas empresas têm prazo em dobro. A Resolução CD/ANPD nº 2/2022 concede o dobro do prazo padrão para agentes de pequeno porte. Prazo regular de 15 dias? Sua pequena empresa tem até 30 dias úteis.
Não é desculpa para demorar. Mas dá fôlego para equipes enxutas organizarem a resposta com calma.
Se o pedido não puder ser atendido no prazo, comunique o titular explicando os motivos. A transparência pesa a favor da empresa numa eventual fiscalização.
Como criar o canal do titular na prática: 5 passos
Voltemos ao Pedro. Depois de ler sobre o assunto, ele decidiu montar o canal de atendimento ao titular da loja de suplementos. O processo levou uma tarde. Veja como ele fez, e como você pode fazer também.
1. Escolha o formato do canal
Você não precisa de uma plataforma sofisticada para começar. Existem três opções:
- E-mail dedicado: Algo como [email protected]. Simples, sem custo, funciona para quem recebe poucos pedidos.
- Formulário no site: Um formulário com campos estruturados (nome, CPF, tipo de solicitação, descrição). Mais organizado que e-mail e permite classificar os pedidos.
- Plataforma especializada: Ferramentas como o Canal do Titular do DataSafu automatizam recebimento, prazos, respostas e registros. Ideal para empresas que querem profissionalizar o processo ou que recebem volume maior de pedidos.
Pedro começou com um formulário no site e um e-mail dedicado. É o suficiente para a maioria das pequenas empresas.
2. Defina os campos essenciais do formulário
Se optar por formulário, inclua pelo menos:
- Nome completo do solicitante
- CPF (para verificação de identidade)
- E-mail para resposta
- Tipo de solicitação (acesso, correção, exclusão, outro)
- Descrição do pedido
Esses campos já permitem classificar e priorizar cada solicitação.
3. Publique o canal no site e na Política de Privacidade
O canal precisa ser visível e acessível. Coloque o link ou e-mail de contato em pelo menos dois lugares:
- Na sua Política de Privacidade (obrigatório)
- No rodapé do site (recomendado)
A ANPD espera que o titular encontre o canal com facilidade. Se ele precisa clicar cinco vezes para chegar ao formulário, o canal não é acessível.
4. Defina o processo interno
Antes do primeiro pedido chegar, responda estas perguntas:
- Quem recebe? Quem vai monitorar o e-mail ou formulário no dia a dia.
- Quem analisa? Quem decide se o pedido pode ser atendido integralmente ou parcialmente.
- Quem executa? Quem vai efetivamente apagar, corrigir ou extrair os dados dos sistemas.
- Quem responde? Quem redige e envia a resposta ao titular.
Em empresas pequenas, pode ser a mesma pessoa nos quatro papéis. O importante é que o fluxo esteja definido antes de precisar usar.
5. Registre tudo
Cada solicitação precisa ficar documentada. Data de recebimento, tipo de pedido, ações tomadas, data da resposta, conteúdo da resposta. Esse registro é sua prova de conformidade caso a ANPD venha fiscalizar.
Uma planilha simples já resolve. Mas se você quiser automatizar prazos e manter um histórico organizado, templates de documentos LGPD ajudam a padronizar desde o início.
E-mail, formulário ou plataforma: qual escolher
Cada formato tem seu lugar. A escolha depende do volume de pedidos, do orçamento e da maturidade da empresa na adequação.
| Critério | E-mail dedicado | Formulário no site | Plataforma especializada |
|---|---|---|---|
| Custo | Zero | Baixo (pode usar plugins gratuitos) | Varia conforme plano |
| Facilidade de criar | Alta | Média | Depende da ferramenta |
| Organização das solicitações | Baixa (tudo na caixa de entrada) | Média (campos estruturados) | Alta (dashboard, filtros, prazos) |
| Controle de prazos | Manual | Manual | Automático (alertas) |
| Registro e rastreabilidade | Frágil | Moderado | Completo |
| Indicado para | Início, volume baixo | PMEs com site ativo | Empresas em crescimento ou com volume recorrente |
Começando agora? E-mail ou formulário resolvem. Quando o volume crescer ou a empresa precisar comprovar conformidade de forma mais robusta, vale automatizar o canal do titular com o DataSafu. A plataforma automatiza prazos, padroniza respostas e gera registros prontos para auditoria. Se for o seu caso, compare os planos do DataSafu antes de decidir.
Como responder cada tipo de solicitação
Aqui está o que faz falta na maioria dos conteúdos sobre canal do titular LGPD: modelos práticos de como responder. Abaixo, os três pedidos mais comuns com orientações e exemplos de resposta.
Pedido de acesso aos dados
O titular quer saber quais dados sua empresa tem sobre ele.
O que fazer:
1. Verifique a identidade do solicitante (CPF + e-mail cadastrado)
2. Consulte todos os sistemas onde os dados possam estar (CRM, planilha, e-mail, sistema de gestão)
3. Compile um relatório com: dados armazenados, finalidade de cada dado, origem, e com quem foram compartilhados
Exemplo de resposta:
"Prezado(a) [Nome], em resposta à sua solicitação de acesso aos dados pessoais, informamos que mantemos os seguintes registros: nome completo, CPF, e-mail e histórico de compras, utilizados para emissão de notas fiscais e envio de comunicações autorizadas. Os dados foram fornecidos diretamente por você no momento do cadastro. Não compartilhamos seus dados com terceiros além do nosso sistema de emissão fiscal. Caso deseje correção ou exclusão, estamos à disposição."
Pedido de exclusão de dados
O pedido de exclusão de dados na LGPD é o que mais gera dúvida. O titular quer que tudo seja apagado, mas nem tudo pode ser.
O que fazer:
1. Verifique a identidade
2. Faça o mapeamento de todos os dados do titular nos seus sistemas
3. Classifique: quais podem ser excluídos e quais precisam ser mantidos por obrigação legal
| Dado | Pode excluir? | Motivo |
|---|---|---|
| Nome e e-mail na newsletter | Sim | Base era consentimento, revogado |
| Endereço de entrega (pedido encerrado) | Sim | Não há base legal para reter |
| CPF e dados fiscais | Não | Obrigação legal (5 anos) |
| Dados de contrato ativo | Não | Execução de contrato |
| Telefone no WhatsApp Business (sem base legal) | Sim | Sem justificativa para manter |
Exemplo de resposta:
"Prezado(a) [Nome], sua solicitação de exclusão foi processada. Removemos: nome, e-mail e telefone dos nossos sistemas de marketing e cadastro. Mantivemos: CPF e dados de compra, que precisam ser guardados por cinco anos para cumprimento de obrigação fiscal (Art. 16 da LGPD). Esses dados serão eliminados automaticamente ao fim do prazo legal. Caso tenha dúvidas, entre em contato."
Pedido de correção
O mais simples dos três. O titular quer atualizar dados incompletos ou errados.
O que fazer:
1. Verifique a identidade
2. Atualize o dado em todos os sistemas relevantes (não só no principal)
3. Confirme a alteração ao titular
Exemplo de resposta:
"Prezado(a) [Nome], seu endereço foi atualizado em nossos sistemas conforme solicitado. A correção foi aplicada no cadastro e no sistema de entregas. Caso identifique outros dados que precisem de ajuste, estamos à disposição."
O que acontece se sua empresa não tiver canal do titular
Sem canal de atendimento ao titular, sua empresa fica exposta em três frentes.
Sanções da ANPD. Advertência, multa de até 2% do faturamento anual (teto de R$50 milhões por infração), publicização da infração. A ANPD já aplicou a primeira multa: R$14,4 mil à Telekall Infoservice, em 2023. O valor parece baixo. Mas o precedente está aberto.
Bloqueio de dados. Essa é a sanção que pode parar sua operação. A ANPD pode bloquear ou mandar eliminar dados tratados sem conformidade. Imagine ficar semanas sem acessar sua base de clientes. Para muitas pequenas empresas, isso dói mais que qualquer multa.
Reclamações de titulares. Quando o titular não consegue exercer seus direitos com a empresa, ele pode reclamar no Procon ou registrar uma petição na ANPD. Isso coloca sua empresa no radar da fiscalização.
A fiscalização de dezembro de 2024, em que a ANPD notificou 20 empresas por falta de canal de comunicação, deixa claro que o canal do titular está no topo da lista de verificação da autoridade. Para saber mais sobre as penalidades possíveis, veja nosso guia completo sobre multas e sanções da LGPD.
Perguntas frequentes sobre o canal do titular LGPD
Pequena empresa precisa de DPO para ter canal do titular?
Não necessariamente. A Resolução CD/ANPD nº 2/2022 dispensa a nomeação de DPO para agentes de tratamento de pequeno porte, desde que mantenham um canal de comunicação funcional. O canal substitui, na prática, parte do papel do encarregado.
Preciso apagar todos os dados quando o cliente pede exclusão?
Não. O direito de exclusão não é absoluto. Dados mantidos por obrigação legal (como dados fiscais por cinco anos), por contrato ativo, ou para exercício de direitos em processos devem ser preservados. Apague o que pode, mantenha o que a lei exige, e explique ao titular o que foi feito.
Como verifico se quem está pedindo é realmente o titular?
Peça informações que o titular saberia: CPF, e-mail cadastrado, ou dados do último pedido. Em casos sensíveis, solicite um documento de identidade. O objetivo é confirmar que a pessoa é quem diz ser, sem criar barreiras excessivas ao exercício do direito.
Qual o prazo de resposta para pequenas empresas?
A Resolução CD/ANPD nº 2/2022 concede prazo em dobro para agentes de pequeno porte. Na prática, enquanto o prazo padrão é de 15 dias para declaração completa, pequenas empresas têm até 30 dias úteis.
Próximos passos: comece esta semana
O canal não precisa ser perfeito no primeiro dia. Precisa existir.
O que você pode fazer agora:
- Crie um e-mail dedicado ([email protected]) e publique na sua Política de Privacidade
- Monte um formulário simples no seu site com os campos essenciais (nome, CPF, tipo de pedido, descrição)
- Defina quem na equipe vai monitorar, analisar e responder os pedidos
- Registre cada solicitação em uma planilha ou ferramenta, data, tipo, ações, resposta
Se sua empresa já recebe pedidos ou quer automatizar o processo desde o início, o DataSafu permite centralizar as solicitações dos titulares num só lugar: recebimento, controle de prazos, templates de resposta e registro para auditoria. Tudo pensado para a realidade de uma pequena empresa que precisa resolver sem complicação.
O importante é não deixar para depois. A ANPD já está fiscalizando, e seu próximo cliente pode ser o próximo a pedir acesso aos dados. Quando isso acontecer, sua empresa precisa ter o canal pronto. Você não deveria descobrir, só quando um titular cobra ou a ANPD bate à porta, que não tem como provar quando e como respondeu a cada pedido, e com o DataSafu, você não vai mais. Comece sua adequação à LGPD.