Solicitação de Acesso do Titular de Dados do RGPD (DSAR): Como Responder (2026)

Uma Solicitação de Acesso do Titular de Dados (DSAR, na sigla em inglês) é um pedido formal, feito nos termos do artigo 15 do Regulamento (UE) 2016/679 (o RGPD), pelo qual uma pessoa solicita que uma organização confirme se trata dados pessoais sobre ela e, em caso afirmativo, forneça uma cópia deles. As organizações abrangidas pelo RGPD devem responder no prazo de um mês, sem custo, de forma concisa e inteligível.
Para conhecer o histórico completo do regulamento, veja o que é o RGPD. Para o conjunto completo de direitos dos titulares de dados, incluindo o direito ao apagamento e o direito de oposição, veja Direitos dos Titulares de Dados do RGPD.
O Que É uma DSAR e Quem Pode Fazê-la?
Uma DSAR é qualquer comunicação, em qualquer formato, por meio da qual uma pessoa física exerce o direito de acesso previsto no artigo 15. O solicitante não precisa citar o artigo 15 nem preencher qualquer formulário que a organização disponibilize. "Quais informações vocês têm sobre mim?" é uma DSAR válida.
O direito pertence exclusivamente a pessoas físicas: indivíduos vivos cujos dados pessoais estão sendo tratados. Empresas e outras pessoas jurídicas não podem fazer uma DSAR. Pessoas falecidas geralmente estão fora do escopo do RGPD, embora vários Estados-Membros da UE concedam direitos de acesso a representantes do espólio ou parentes próximos.
Um pedido pode ser feito diretamente ou por meio de um representante autorizado, como um advogado ou um dos pais atuando em nome de um menor de 16 anos. Quando o pedido chega por meio de um representante, o controlador deve verificar a autorização antes de divulgar os dados, mas essa etapa não estende o prazo de um mês.
Os pedidos podem ser feitos verbalmente ou por escrito, por e-mail, correio ou qualquer outro meio. O artigo 12(1) exige respostas em linguagem clara e simples; o considerando 59 incentiva os controladores a facilitar o envio de pedidos, inclusive por via eletrônica. Portais on-line ou endereços de e-mail dedicados são boas práticas, mas não são exigidos por lei.
O direito se aplica a todos os dados pessoais que um controlador trata sobre o titular, em qualquer formato (eletrônico ou em papel, estruturado ou não estruturado, atual ou arquivado), sujeito às exceções discutidas a seguir.
Escopo Jurisdicional
Este artigo aborda o direito de acesso segundo o RGPD da UE e as orientações do CEPD. Ele se aplica a organizações estabelecidas na UE/EEE e a organizações não pertencentes à UE que ofereçam bens ou serviços a pessoas na UE/EEE ou que monitorem seu comportamento (artigo 3(2)). O UK GDPR é materialmente idêntico; as diferenças são indicadas ao longo do texto. Os análogos canadense, americano e de outros países estão fora do escopo.
Quais Informações uma Organização Deve Fornecer?
O artigo 15(1) e 15(3) exigem duas coisas distintas: a confirmação de que o tratamento está ocorrendo (ou de que nenhum dado é detido), e uma cópia dos dados pessoais junto com informações complementares prescritas.
A Cópia dos Dados Pessoais
O artigo 15(3) exige "uma cópia dos dados pessoais objeto de tratamento": os dados propriamente ditos, não uma descrição. Se um controlador detém um fio de e-mail, um registro de conta, uma gravação de chamada, um trecho de CFTV ou uma proposta de crédito que contenha dados pessoais do solicitante, o solicitante tem direito a uma cópia, salvo se alguma exceção se aplicar.
As Diretrizes 01/2022 do CEPD sobre o direito de acesso (versão 2.1, adotada em 28 de março de 2023) confirmam que "cópia" significa uma reprodução fiel, não um resumo ou uma exportação de portabilidade de dados. O direito de cópia do artigo 15 e o direito de portabilidade de dados do artigo 20 são distintos: a portabilidade se aplica apenas quando o fundamento legal é o consentimento ou o contrato e o tratamento é automatizado.
Quando o controlador trata grandes volumes de dados, o considerando 63 estabelece que o controlador "deverá poder solicitar que, antes de fornecer as informações, o titular dos dados especifique as informações ou operações de tratamento a que o pedido se refere". Trata-se de uma ferramenta prática de gestão, não de um direito de recusar ou de exigir a restrição do escopo como condição para responder.
Informações Complementares Exigidas pelo Artigo 15(1)
| Disposição do Artigo 15(1) | O Que o Controlador Deve Explicar |
|---|---|
| (a) Finalidades do tratamento | Por que a organização detém os dados, para cada finalidade específica |
| (b) Categorias de dados pessoais | Tipos detidos: dados de contato, financeiros, de saúde, de localização, etc. |
| (c) Destinatários ou categorias de destinatários | Todo terceiro a quem os dados foram ou serão divulgados; para destinatários em países terceiros, as salvaguardas do artigo 46 também devem ser identificadas |
| (d) Prazo de retenção previsto | O prazo específico ou os critérios usados para determiná-lo |
| (e) Direitos de retificação, apagamento, limitação e oposição | Informações sobre os direitos do titular dos dados nos termos dos artigos 16, 17, 18 e 21 |
| (f) Direito de apresentar reclamação | Nome e dados de contato da autoridade nacional de proteção de dados competente |
| (g) Origem dos dados | Quando os dados não foram coletados diretamente do titular, a origem da qual foram obtidos |
| (h) Decisões automatizadas e definição de perfis | Quando o artigo 22 se aplica, informações significativas sobre a lógica, a importância e as consequências previstas |
O item (g) (a origem dos dados de terceiros) está entre as deficiências mais citadas em medidas de fiscalização. Se o controlador comprou uma lista de marketing ou obteve dados de um corretor de dados, deve divulgar essa origem.
Para transferências para países terceiros, o item (c) exige a divulgação da salvaguarda específica: cláusulas contratuais-padrão, uma decisão de adequação, regras corporativas vinculativas ou outro mecanismo do artigo 46.
Quanto Tempo uma Organização Tem para Responder?
O artigo 12(3) exige uma resposta sem demora injustificada e, em qualquer caso, no prazo de um mês a partir do recebimento do pedido. "Recebimento" significa o dia em que o pedido chega à organização, não o dia em que um funcionário o lê.
A Prorrogação de Dois Meses
O artigo 12(3) permite uma prorrogação de dois meses quando o pedido é complexo ou o controlador recebeu numerosos pedidos simultaneamente. Complexidade significa pedidos que exigem esforço substancial em vários sistemas ou que suscitam questões difíceis de escopo ou de exceção, não simplesmente o fato de o controlador deter muitos dados.
A notificação de prorrogação deve chegar ao titular dos dados antes de expirar o prazo inicial de um mês; uma notificação enviada no segundo mês é inválida. A notificação deve identificar o motivo específico; uma notificação genérica de "complexidade", sem particularidades, não satisfaz as Diretrizes 01/2022 do CEPD.
| Situação | Prazo |
|---|---|
| Pedido padrão | 1 mês a partir do recebimento |
| Pedidos complexos ou numerosos | 3 meses a partir do recebimento, desde que a notificação de prorrogação seja enviada dentro do primeiro mês |
| O controlador recusa o pedido | Deve notificar o titular dos dados no prazo de 1 mês, nos termos do artigo 12(4), com motivos e informações sobre recursos disponíveis |
Quando o Prazo Começa a Contar
O prazo começa a contar no recebimento, não na verificação de identidade. Quando o controlador não consegue identificar o titular dos dados sem informações adicionais, ele pode solicitar o mínimo necessário para a identificação; o prazo fica efetivamente pausado durante esse período. Os controladores não podem exigir rotineiramente documento de identidade com foto emitido pelo governo de todo solicitante como tática de atraso.
Como a Resposta Deve Ser Entregue?
O artigo 12(3) exige informações por escrito ou por outros meios, inclusive eletrônicos, quando apropriado. O artigo 15(3) acrescenta que, quando o pedido é feito eletronicamente, a resposta deve ser fornecida em um formato eletrônico de uso corrente, salvo se o titular dos dados solicitar de outra forma. PDF, Word, Excel ou um portal seguro são todos aceitáveis. Um formato proprietário que exige software especializado que o solicitante provavelmente não possui não é aceitável.
A resposta deve atender aos padrões do artigo 12(1): concisa, transparente, inteligível e em linguagem clara e simples. Um despejo de dados brutos de campos de banco de dados, sem qualquer explicação do que cada campo significa, provavelmente não atenderia ao requisito de inteligibilidade previsto na orientação do CEPD, mesmo que contenha todos os dados exigidos.
Quando os dados incluem categorias especiais nos termos do artigo 9 (registros de saúde, origem racial ou étnica, dados biométricos), enviá-los por e-mail não cifrado ou por um portal com controles de acesso inadequados constitui uma violação de dados pessoais, além de uma resposta deficiente à DSAR. Os controladores devem usar transmissão cifrada para qualquer resposta que contenha dados do artigo 9.
Verificação de Identidade: O Que os Controladores Podem e Não Podem Exigir
O considerando 64 estabelece que os controladores devem usar "todos os meios razoáveis para verificar a identidade de um titular de dados que solicita acesso". A verificação é permitida, mas deve ser proporcional; os controladores não podem solicitar mais informações do que o necessário.
Se o controlador já possui o endereço de e-mail do titular dos dados e o pedido chega desse endereço, exigir um documento de identidade com foto emitido pelo governo é desproporcional. Se uma pessoa contata uma organização pela primeira vez, por correio, alegando ser cliente, solicitar detalhes da conta para confirmar a identidade é razoável.
Os controladores não devem:
- Exigir rotineiramente cópias autenticadas de passaporte ou carteira de motorista quando o pedido vem do endereço de e-mail registrado de um cliente existente.
- Exigir verificação presencial, a menos que um erro na divulgação possa causar dano grave.
- Usar a verificação como pretexto para levar as respostas além do prazo de um mês.
Recusar uma DSAR ou Cobrar uma Taxa
O Limite de "Manifestamente Infundado ou Excessivo"
O artigo 12(5) é o único fundamento para cobrar uma taxa ou recusar-se a agir: o pedido deve ser "manifestamente infundado ou excessivo, em particular devido ao seu caráter repetitivo". A repetição é um indicador, não uma condição suficiente. Um solicitante que envia uma segunda DSAR seis meses após a primeira (porque houve novo tratamento ou porque a primeira resposta foi deficiente) não está fazendo um pedido repetitivo nos termos do artigo 12(5).
O ônus recai sobre o controlador. O artigo 12(5) estabelece explicitamente: "cabe ao controlador demonstrar o caráter manifestamente infundado ou excessivo do pedido". As autoridades de controle já multaram repetidamente organizações que recusaram DSARs com base em fundamentos vagos de "excesso".
Quando o limite é atingido, o controlador tem duas opções: cobrar uma taxa razoável que reflita os custos administrativos, ou recusar-se a agir. Em caso de recusa, aplica-se o procedimento do artigo 12(4): notificar o titular dos dados no prazo de um mês, explicar o motivo e informá-lo sobre seu direito de apresentar reclamação a uma autoridade de controle e buscar recurso judicial.
Taxas para Cópias Adicionais
O artigo 15(3) permite separadamente uma taxa para "quaisquer outras cópias solicitadas pelo titular dos dados", ou seja, cópias adicionais de dados já divulgados, não novas DSARs sobre dados recém-tratados. Essa disposição é restrita e raramente aplicável.
Exceções: Quando os Dados Pessoais Podem Ser Retidos
O artigo 23 permite que os Estados-Membros da UE restrinjam o direito de acesso em circunstâncias definidas. As regras nacionais de implementação variam significativamente.
Categorias comuns de exceção:
Prevenção, investigação e repressão de infrações penais. A maioria dos Estados-Membros permite que órgãos policiais e reguladores retenham dados quando a divulgação prejudicaria uma investigação.
Segurança nacional e inteligência. Padrão em todas as leis de implementação dos Estados-Membros.
Sigilo profissional advocatício. Comunicações entre cliente e advogado, ou trabalhos preparatórios para processos judiciais, podem ser retidos quando a legislação do Estado-Membro preservar essa exceção.
Informações comerciais confidenciais e segredos comerciais. Uma restrição pode se aplicar apenas na medida estritamente necessária para proteger informações que pertençam à própria organização, não ao titular dos dados.
Emprego e negociações. Vários Estados-Membros permitem a retenção quando a estratégia de gestão ou negociação do empregador seria divulgada.
As exceções limitam quais dados são divulgados, não se a organização deve responder. Mesmo quando uma exceção se aplica a parte dos dados, a organização deve responder dentro do prazo, reconhecer que detém dados, divulgar tudo o que não estiver isento, e informar ao titular dos dados que parte dos dados foi retida e por quê.
Exceções no Reino Unido
O UK GDPR incorpora um rol mais amplo de exceções por meio dos Anexos 2 a 4 e da Parte 4 do Data Protection Act 2018, incluindo uma exceção de planejamento e projeção de gestão quando a divulgação prejudicaria a condução dos negócios.
Dados de Terceiros: Ocultação, Não Recusa
Quando os dados detidos sobre o solicitante também incluem dados pessoais de outras pessoas (comum em disputas trabalhistas, reclamações de consumidores e registros de saúde), a abordagem correta nos termos do artigo 15 e das Diretrizes 01/2022 do CEPD é a ocultação seletiva, não a recusa total.
O controlador deve fornecer os dados pessoais do próprio titular, ocultando os dados pessoais de terceiros quando a divulgação infringir os direitos dessas partes. Fatores a ponderar:
- Se o terceiro consentiu com a divulgação.
- Se o solicitante já conhece a identidade do terceiro (se o terceiro for o gestor direto do solicitante, mencionado em uma avaliação de desempenho, seu nome não fica protegido contra divulgação nesse documento).
- Se é razoável, em todas as circunstâncias, fornecer a informação sem o consentimento do terceiro.
- Se a informação do terceiro está tão entrelaçada com os dados do solicitante que a ocultação eficaz é impossível.
As autoridades de controle têm rejeitado de forma consistente o uso da proteção de dados de terceiros como justificativa genérica para reter documentos inteiros quando a ocultação seletiva é viável.
Erros Comuns nas Respostas às DSARs
Perder o prazo sem uma prorrogação válida. Controladores que tratam o prazo de um mês como uma meta, e não como um requisito legal, enfrentam multas e notificações de fiscalização.
Fornecer respostas incompletas. Ignorar sistemas arquivados ou de backup, arquivos offline, ou dados detidos por operadores é uma deficiência recorrente. A resposta deve cobrir todos os dados pessoais que o controlador detém, em qualquer formato.
Solicitar identificação excessiva. Exigir documento de identidade com foto emitido pelo governo de clientes existentes por canais já conhecidos atrasa as respostas e pode, por si só, constituir uma infração ao RGPD.
Não identificar a origem dos dados de terceiros. O artigo 15(1)(g) é sistematicamente omitido. Quando os dados vieram de um corretor de dados, um parceiro de indicação ou uma fonte pública, isso deve ser divulgado.
Ocultar os próprios dados do solicitante. Um controlador não pode ocultar os dados pessoais do solicitante de sua resposta à DSAR com base no fato de que eles também aparecem junto a dados de terceiros.
Recusar com base em fundamentos de "manifestamente infundado" sem evidências. Recusar porque o pedido é inconveniente, envolve litígio ou exige trabalho significativo não atende ao limite do artigo 12(5).
Enviar dados de categoria especial não cifrados. Transmitir dados do artigo 9 por e-mail não cifrado combina uma falha na DSAR com uma violação de dados pessoais.
Ignorar pedidos verbais. O artigo 12(1) permite pedidos verbais. Controladores que só aceitam DSARs por escrito ou por formulário on-line correm o risco de perder pedidos legítimos; a equipe da linha de frente precisa de treinamento para reconhecer e encaminhar esses pedidos.
Um Fluxo de Resposta à DSAR, Passo a Passo
Etapa 1: Reconhecer o pedido. Treine toda a equipe que interage com clientes, funcionários ou o público para reconhecer DSARs, independentemente das palavras usadas. Registre a data de recebimento imediatamente.
Etapa 2: Identificar o titular dos dados. Confirme se a pessoa pode ser identificada com base nas informações fornecidas. Caso contrário, solicite o mínimo de informações adicionais necessárias. Documente por que isso é necessário.
Etapa 3: Iniciar a contagem do prazo. Registre a data de recebimento. Estabeleça um prazo interno de 28 dias para permitir tempo de preparação antes do prazo rígido de um mês.
Etapa 4: Pesquisar todos os sistemas. Pesquise todos os bancos de dados, arquivos de e-mail, arquivos em papel e registros detidos por operadores em seu nome. A pesquisa deve ser abrangente.
Etapa 5: Avaliar exceções e dados de terceiros. Analise os dados localizados em relação às exceções nacionais aplicáveis do artigo 23. Para registros que também contenham dados pessoais de terceiros, determine se a ocultação seletiva é viável.
Etapa 6: Considerar a prorrogação. Se o pedido for genuinamente complexo, ou se você tiver recebido numerosos pedidos simultâneos, documente a decisão de prorrogar e envie a notificação de prorrogação antes do prazo de um mês.
Etapa 7: Preparar a resposta. Compile a cópia dos dados, além de todas as informações complementares do artigo 15(1)(a) a (h). Use um formato eletrônico de uso corrente se o pedido tiver sido feito eletronicamente.
Etapa 8: Entregar com segurança. Use transmissão cifrada para dados do artigo 9. Registre o que foi enviado, quando e em qual formato.
Etapa 9: Documentar o processo. Nos termos do princípio de prestação de contas do artigo 5(2), mantenha um registro de DSARs: data de recebimento, etapas de verificação de identidade, metodologia de pesquisa, dados divulgados, exceções aplicadas, notificação de prorrogação (se houver), e data em que a resposta foi emitida.
Etapa 10: Tratar pedidos de acompanhamento. Trate qualquer consulta de acompanhamento sobre a integralidade da resposta, ou qualquer pedido sobre dados recém-gerados, de acordo com seus próprios termos.
O Equivalente no Reino Unido: Solicitações de Acesso Segundo o UK GDPR
Após o Brexit, o Reino Unido manteve o RGPD como o "UK GDPR" por meio do European Union (Withdrawal) Act 2018, complementado pelo Data Protection Act 2018. O prazo de um mês, o escopo das informações a serem fornecidas, as regras de taxas e os fundamentos de recusa estão todos preservados no texto do Reino Unido.
Diferenças-chave:
- A fiscalização cabe à ICO, não a uma autoridade de controle da UE. As transferências pós-Brexit da UE para o Reino Unido exigem uma decisão de adequação (adotada pela Comissão Europeia em 28 de junho de 2021) ou uma salvaguarda apropriada.
- Os Anexos 2 a 4 do Data Protection Act 2018 contêm exceções adicionais específicas do Reino Unido: planejamento de gestão, negociações e exceções ampliadas de aplicação da lei.
- Organizações que operam tanto na UE quanto no Reino Unido podem enfrentar obrigações concorrentes: uma DSAR de um residente da UE envolve o RGPD da UE; uma DSAR de um residente do Reino Unido envolve o UK GDPR.
Para orientação detalhada da ICO, veja ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/.
DSARs no Contexto Trabalhista
As relações de emprego geram mais DSARs do que quase qualquer outra relação, principalmente quando o vínculo está terminando ou terminou recentemente.
Litígio não cria uma exceção. Um processo trabalhista ameaçado ou em curso não torna uma DSAR manifestamente infundada ou excessiva. As autoridades de controle e a ICO têm confirmado isso de forma consistente. Recusar uma DSAR trabalhista porque um litígio é antecipado quase certamente gerará uma reclamação adicional de fiscalização.
A confidencialidade comercial é restrita. A documentação de gestão de desempenho, as notas disciplinares e os registros de reuniões contêm os próprios dados pessoais do funcionário e devem ser divulgados. O controlador pode ocultar opiniões sobre outros funcionários, mas não pode ocultar os próprios dados do solicitante.
O sigilo profissional advocatício se aplica apenas a documentos específicos. Quando um advogado trabalhista assessorou a organização em antecipação a um litígio, essas comunicações privilegiadas podem ser retidas. Apenas esses documentos específicos estão cobertos, não categorias inteiras de arquivos de RH.
Referências e notas de entrevista são dados pessoais. Referências sobre um funcionário e folhas de pontuação de entrevistas são dados pessoais do funcionário e geralmente devem ser divulgados, sujeitos apenas à ocultação seletiva das informações de outras pessoas.
DSARs e Decisões Automatizadas
Quando o controlador utiliza decisões automatizadas ou definição de perfis que produzem efeitos jurídicos ou similarmente significativos, o artigo 15(1)(h) exige que a resposta à DSAR inclua "informações significativas sobre a lógica envolvida, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados".
As Diretrizes 06/2022 do CEPD sobre decisões automatizadas esclarecem que "informações significativas sobre a lógica" não precisam ser o algoritmo completo ou o código-fonte, mas devem ir além de uma descrição vaga. O titular dos dados tem o direito de entender: quais dados de entrada foram usados; o que o algoritmo faz com eles; qual foi o resultado no caso específico do titular; e quais consequências esse resultado acarreta.
Isso se aplica em pontuação de crédito, subscrição de seguros, triagem de recrutamento e moderação de conteúdo. Uma recusa de crédito acionada por uma avaliação automatizada, sem uma explicação significativa do modelo, viola tanto o artigo 15(1)(h) quanto o direito de revisão humana previsto no artigo 22(3).
Fiscalização de DSARs: O Que os Reguladores Já Fizeram
Temas comuns de fiscalização entre as autoridades de controle membros do CEPD:
Serviços financeiros. Bancos e seguradoras já foram multados por respostas incompletas, especialmente por não divulgarem dados detidos em sistemas legados ou por operadores.
Setor de saúde. Hospitais e seguradoras de saúde já foram sancionados por prazos perdidos e por se recusarem a divulgar registros devido a dados clínicos de terceiros que poderiam ter sido ocultados.
Empresas de tecnologia. Grandes plataformas já enfrentaram escrutínio por respostas em formatos proprietários não legíveis por máquina, que impediam os titulares de dados de entender seus próprios dados.
Empregadores. Empregadores que recusam DSARs com base em fundamentos de "litígio" ou "excesso", sem evidências, enfrentam consistentemente decisões desfavoráveis.
O CEPD publica um registro central de medidas de fiscalização em edpb.europa.eu/about-edpb/who-we-are/members_en e por meio dos sites de cada autoridade nacional de controle.
Como o Direito de Acesso Se Relaciona com Outros Direitos do RGPD
O direito de acesso geralmente precede o exercício de outros direitos. Um titular de dados que ainda não sabe quais dados são detidos costuma enviar primeiro uma DSAR e, então, usar as informações divulgadas para decidir se solicita a retificação nos termos do artigo 16, o apagamento nos termos do artigo 17 (veja direito ao esquecimento do RGPD), a limitação nos termos do artigo 18, ou a oposição nos termos do artigo 21.
O direito de acesso é distinto do direito à portabilidade de dados previsto no artigo 20. A portabilidade se aplica apenas quando o fundamento legal é o consentimento ou o contrato, e o tratamento é automatizado; ela exige que os dados sejam fornecidos em um formato estruturado e legível por máquina. O direito de cópia do artigo 15 se aplica independentemente do fundamento legal, mas tem um requisito de formato menos exigente.
Uma DSAR também não é um pedido de acesso à informação (liberdade de informação). Leis equivalentes de liberdade de informação conferem direitos a informações detidas por autoridades públicas sobre suas funções públicas. Uma DSAR confere direitos aos dados pessoais sobre a pessoa específica que faz o pedido. Ambos os direitos podem surgir simultaneamente quando um titular de dados contata uma autoridade pública, e muitas organizações do setor público os processam em paralelo.
Aviso legal: Este artigo fornece informações jurídicas gerais sobre o direito de acesso do RGPD (artigo 15) e as solicitações de acesso do titular de dados. Ele não constitui aconselhamento jurídico e não substitui a orientação de um advogado qualificado, licenciado em sua jurisdição. A legislação do RGPD e sua interpretação pelas autoridades de controle e pelos tribunais evolui continuamente; as informações deste artigo foram verificadas em junho de 2026. Se você é responsável pela conformidade com DSARs em uma organização, ou se está buscando exercer seus direitos como titular de dados, consulte um profissional de proteção de dados ou um advogado qualificado no Estado-Membro da UE ou na jurisdição do Reino Unido relevante.
Frequently Asked Questions
Quanto tempo você tem para responder a uma DSAR?
O artigo 12(3) exige uma resposta sem demora injustificada e, em qualquer caso, no prazo de um mês a partir do recebimento do pedido. Uma prorrogação de até dois meses adicionais é permitida quando o pedido é complexo ou quando numerosos pedidos foram recebidos simultaneamente, desde que o controlador notifique o titular dos dados antes de expirar o prazo inicial de um mês. Perder o prazo de um mês sem uma prorrogação válida constitui uma infração ao RGPD.
É possível cobrar por uma solicitação de acesso do titular?
Não, como regra geral. A única exceção prevista no artigo 12(5) é quando um pedido é manifestamente infundado ou excessivo, caso em que o controlador pode cobrar uma taxa razoável, com base em custos administrativos, ou recusar o pedido. O ônus de comprovar que o pedido atende a esse limite recai sobre o controlador. O artigo 15(3) permite separadamente uma taxa para cópias adicionais de dados já divulgados, mas não para novos pedidos de DSAR.
É possível recusar uma DSAR?
Sim, em circunstâncias limitadas. O artigo 12(5) permite a recusa apenas quando o pedido é manifestamente infundado ou excessivo; o ônus da prova recai sobre o controlador. O artigo 23 permite que os Estados-Membros da UE restrinjam o direito de acesso por motivos de segurança nacional, investigação criminal ou sigilo profissional. Em caso de recusa, o controlador deve notificar o titular dos dados no prazo de um mês, apresentar os motivos e explicar como apresentar reclamação a uma autoridade de controle e buscar recurso judicial.
Qual é a diferença entre uma DSAR e o direito ao esquecimento?
Uma DSAR nos termos do artigo 15 é um pedido para obter uma cópia dos dados pessoais e entender como eles são tratados. O direito ao esquecimento (direito ao apagamento) nos termos do artigo 17 é um pedido de exclusão em uma de seis circunstâncias definidas. São direitos separados, com fundamentos e procedimentos próprios. Na prática, muitas pessoas enviam uma DSAR para entender o que existe antes de decidir se solicitam o apagamento. Veja [direito ao esquecimento do RGPD](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/gdpr-right-to-be-forgotten/) para mais detalhes.
Uma DSAR precisa ser feita por escrito?
Não. O artigo 12(1) estabelece que as informações podem ser fornecidas verbalmente, a pedido do titular dos dados, e os pedidos verbais são válidos. Controladores que só aceitam DSARs por meio de um formulário formal por escrito ou de um portal on-line correm o risco de perder pedidos verbais feitos por telefone ou pessoalmente. A equipe da linha de frente deve ser treinada para reconhecer e encaminhar DSARs verbais.
O que acontece se uma organização não responder a uma DSAR?
Não responder dentro do prazo aplicável infringe o artigo 12(3). O titular dos dados pode apresentar reclamação à autoridade de controle competente em seu Estado-Membro da UE. As autoridades de controle podem impor multas nos termos do artigo 83; as multas do RGPD por infrações aos artigos 12 ou 15 podem chegar a 20 milhões de euros ou 4% do faturamento anual mundial total, o que for maior.
Uma DSAR abrange os dados detidos pelos operadores da organização?
Sim. O controlador é responsável por todos os dados pessoais que trata, inclusive os dados tratados em seu nome por operadores terceiros, como provedores de nuvem, serviços de folha de pagamento ou plataformas de marketing. O controlador deve instruir os operadores a auxiliarem nas buscas de DSARs, conforme os acordos de tratamento de dados exigidos pelo artigo 28. O titular dos dados envia a DSAR ao controlador; o controlador é responsável por obter os dados dos operadores e incluí-los na resposta.
Um empregador pode recusar uma DSAR trabalhista por causa de litígio em curso?
Não. Estar envolvido em um processo trabalhista não torna uma DSAR manifestamente infundada ou excessiva nos termos do artigo 12(5). As autoridades de controle e a ICO têm confirmado isso de forma consistente. O sigilo profissional advocatício pode se aplicar a comunicações privilegiadas específicas, mas não justifica recusar ou atrasar a DSAR como um todo.
Em que formato deve estar a resposta a uma DSAR?
O artigo 15(3) exige que, quando um pedido é feito eletronicamente, a resposta seja fornecida em um formato eletrônico de uso corrente, salvo se o titular dos dados solicitar de outra forma. PDF, Word, Excel e acesso a um portal seguro são todos aceitáveis. A resposta também deve satisfazer os padrões do artigo 12(1): concisa, transparente, inteligível e em linguagem clara e simples.
Existe uma obrigação de DSAR do RGPD para organizações fora da UE?
Sim, para organizações abrangidas pelo artigo 3(2). O RGPD se aplica a organizações não pertencentes à UE que ofereçam bens ou serviços a pessoas na UE/EEE ou que monitorem seu comportamento. Uma empresa americana que vende para clientes da UE, ou uma empresa global cujo aplicativo rastreia a localização de usuários na UE, deve responder a DSARs dessas pessoas. Essas organizações também devem designar um representante na UE nos termos do artigo 27, salvo se uma exceção se aplicar.
Sources and References
- Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (RGPD), artigo 15 (Direito de acesso do titular dos dados)(eur-lex.europa.eu).gov
- Regulamento (UE) 2016/679, artigo 12 (Transparência das informações, comunicações e modalidades de exercício dos direitos do titular dos dados)(eur-lex.europa.eu).gov
- Regulamento (UE) 2016/679, considerando 63 (Direito de acesso aos dados pessoais)(eur-lex.europa.eu).gov
- Regulamento (UE) 2016/679, considerando 64 (Verificação de identidade para solicitações de acesso do titular)(eur-lex.europa.eu).gov
- Comitê Europeu para a Proteção de Dados, Diretrizes 01/2022 sobre os direitos dos titulares de dados: Direito de acesso, versão 2.1, adotada em 28 de março de 2023(edpb.europa.eu).gov
- Comitê Europeu para a Proteção de Dados, Diretrizes 06/2022 sobre a aplicação do artigo 65(1)(a) do RGPD (Decisões Automatizadas e Definição de Perfis)(edpb.europa.eu).gov
- Information Commissioner's Office (Reino Unido), orientação sobre o direito de acesso segundo o UK GDPR(ico.org.uk).gov
- Comissão de Proteção de Dados da Irlanda, Direito de acesso à informação nos termos do artigo 15 do RGPD(dataprotection.ie).gov
- Comissão Europeia, Decisão de adequação para o Reino Unido, 28 de junho de 2021(ec.europa.eu).gov
- European Union (Withdrawal) Act 2018 (Reino Unido) e Data Protection Act 2018, Anexo 2 (exceções ao direito de acesso)(legislation.gov.uk).gov