Direitos dos Titulares de Dados do RGPD Explicados: Os Oito Direitos (2026)

Nos termos do Capítulo III do Regulamento (UE) 2016/679, o RGPD confere oito direitos exigíveis às pessoas na União Europeia: o direito a ser informado, o direito de acesso, o direito de retificação, o direito ao apagamento, o direito à limitação do tratamento, o direito à portabilidade de dados, o direito de oposição, e os direitos relacionados a decisões automatizadas (artigos 13 a 22). As organizações devem responder a qualquer pedido no prazo de um mês.
O RGPD confere a toda pessoa na União Europeia direitos exigíveis sobre seus próprios dados pessoais. Esses direitos constam do Capítulo III do Regulamento (UE) 2016/679 (artigos 12 a 22). Eles abrangem todo o ciclo de vida dos dados: desde o momento em que uma organização os coleta pela primeira vez (o direito a ser informado) até o acesso, a correção, a exclusão, a movimentação e a contestação de seu uso.
Compreender esses direitos importa em ambas as direções. As pessoas precisam saber o que podem exigir e como exigi-lo. As organizações precisam saber o que estão obrigadas a fazer, em quais prazos, e onde se aplicam exceções.
Este artigo explica os oito direitos em detalhe, aborda como as solicitações de acesso do titular de dados (DSARs) funcionam na prática, destaca as principais decisões do TJUE que moldaram sua interpretação, e trata dos desenvolvimentos recentes mais significativos, incluindo os relatórios de fiscalização coordenada do CEPD e a proposta de Digital Omnibus.
Para o marco regulatório mais amplo, veja O Que É o RGPD. Para as etapas de implementação da conformidade, veja a Lista de Verificação de Conformidade com o RGPD. Para as regras de consentimento em detalhe, veja Requisitos de Consentimento do RGPD.
Escopo jurisdicional: Este artigo aborda os direitos dos titulares de dados nos termos do Regulamento (UE) 2016/679 (RGPD) da UE. Ele não trata do UK GDPR (que divergiu do RGPD da UE após o Brexit), nem das derrogações específicas de Estados-Membros que podem se aplicar em setores particulares. Para direitos específicos do Reino Unido, consulte a ICO.
Este artigo fornece apenas informações jurídicas gerais. Não é aconselhamento jurídico. Consulte um advogado especializado em proteção de dados ou um profissional de privacidade para obter orientação específica sobre a sua situação.
Os Oito Direitos dos Titulares de Dados do RGPD em Resumo
O Capítulo III do RGPD estabelece oito direitos distintos. O artigo 12 fornece o marco procedimental geral: as respostas devem ser gratuitas (em uma primeira instância), fornecidas de forma concisa, transparente, inteligível e de fácil acesso, em linguagem clara e simples. O prazo padrão de resposta de um mês se aplica a todos os direitos.
| Direito | Artigo Principal | Conteúdo Essencial |
|---|---|---|
| Direito a ser informado | Artigos 13 e 14 | Receber informações de privacidade no momento da coleta de dados |
| Direito de acesso | Artigo 15 | Obter confirmação e uma cópia dos dados pessoais detidos |
| Direito de retificação | Artigo 16 | Ter dados incorretos ou incompletos corrigidos |
| Direito ao apagamento | Artigo 17 | Solicitar a exclusão de dados pessoais |
| Direito à limitação do tratamento | Artigo 18 | Limitar o uso dos dados sem excluí-los |
| Direito à portabilidade de dados | Artigo 20 | Receber os dados em um formato estruturado e legível por máquina |
| Direito de oposição | Artigo 21 | Contestar o tratamento baseado em legítimo interesse ou em marketing direto |
| Direitos relacionados a decisões automatizadas | Artigo 22 | Contestar decisões tomadas exclusivamente por sistemas automatizados |

O Direito a Ser Informado (Artigos 13 e 14)
O direito a ser informado é a base sobre a qual todos os outros direitos do RGPD se apoiam. Ele exige que as organizações forneçam às pessoas informações claras sobre quais dados pessoais estão sendo coletados e como serão usados, antes ou no momento da coleta. Sem transparência, as pessoas não conseguem exercer de forma significativa nenhum dos outros sete direitos.
O artigo 13 rege situações em que a organização coleta dados pessoais diretamente da pessoa, por exemplo, por meio de um formulário web, registro em aplicativo, ou requerimento escrito. O artigo 14 rege situações em que os dados pessoais são obtidos de um terceiro, em vez de diretamente da pessoa.
O Que as Organizações Devem Divulgar
Nos termos dos artigos 13 e 14, as organizações devem fornecer, no mínimo:
- A identidade e os dados de contato do controlador, e do encarregado de proteção de dados, se houver
- As finalidades do tratamento e o fundamento legal de cada finalidade
- Quando o tratamento se baseia em legítimo interesse, os interesses específicos perseguidos
- Quaisquer destinatários ou categorias de destinatários
- Detalhes das transferências para países terceiros e as salvaguardas aplicáveis
- O prazo de retenção, ou os critérios usados para determiná-lo
- A existência de todos os direitos aplicáveis do titular dos dados e como exercê-los
- O direito de retirar o consentimento, quando o consentimento for o fundamento legal
- O direito de apresentar reclamação a uma autoridade de controle
- Apenas nos termos do artigo 14: a origem da qual os dados pessoais provêm
Requisitos de Prazo
Para a coleta direta prevista no artigo 13, as informações de privacidade devem ser fornecidas no momento em que os dados são obtidos. Para a coleta indireta prevista no artigo 14, o prazo é de um mês após a obtenção dos dados, ou no primeiro contato com a pessoa, se anterior, ou no momento da divulgação a outro destinatário, se anterior ainda.
O Foco de Fiscalização da CEF 2026
O CEPD escolheu os artigos 12, 13 e 14 como tema de sua ação de Fiscalização Coordenada (CEF) de 2026, lançada em 2026. Vinte e cinco autoridades de proteção de dados em toda a UE estão participando. O CEPD descreveu o direito a ser informado como "um elemento central da transparência que garante que as pessoas tenham mais controle sobre seus dados". Espera-se que os resultados da fiscalização gerem conclusões sobre se os avisos de privacidade, na prática, atendem ao padrão do RGPD.
Direito de Acesso (Artigo 15)
O direito de acesso é o direito do RGPD mais comumente exercido e mais litigado. O artigo 15 permite que as pessoas obtenham a confirmação de que uma organização trata seus dados pessoais e, em caso afirmativo, recebam uma cópia desses dados, junto com informações complementares prescritas.
O Que o Direito Abrange
Nos termos do artigo 15(1), o titular dos dados tem direito a:
- Confirmação de que o tratamento está ocorrendo
- Uma cópia dos próprios dados pessoais
- As finalidades do tratamento
- As categorias de dados pessoais envolvidos
- Os destinatários ou categorias de destinatários, incluindo aqueles em países terceiros
- O prazo de retenção previsto, ou os critérios usados para determiná-lo
- A existência dos direitos de retificação, apagamento, limitação e oposição
- O direito de apresentar reclamação a uma autoridade de controle
- Quando os dados não foram coletados diretamente da pessoa, informações sobre sua origem
- Se decisões automatizadas, incluindo a definição de perfis, são utilizadas, e informações significativas sobre a lógica envolvida
Jurisprudência do TJUE Sobre o Artigo 15
O TJUE reduziu substancialmente a discricionariedade que os controladores exerciam anteriormente ao responder a pedidos de acesso.
No processo C-154/21, RW contra Österreichische Post AG (acórdão de 12 de janeiro de 2023), o Tribunal decidiu que o artigo 15(1)(c) exige que os controladores divulguem a identidade específica dos destinatários a quem os dados pessoais foram ou serão divulgados. Somente quando for genuinamente impossível identificar destinatários específicos o controlador pode recorrer à divulgação de categorias de destinatários. Esse acórdão encerrou a prática comum de fornecer descrições genéricas e vagas de categorias.
No processo C-487/21, F.F. contra Österreichische Datenschutzbehörde e CRIF GmbH (acórdão de 4 de maio de 2023), o Tribunal decidiu que o direito de obter uma "cópia" nos termos do artigo 15(3) significa que o titular dos dados deve receber uma reprodução fiel e inteligível de todos os dados pessoais detidos. Esse direito pode se estender a cópias de trechos de documentos, documentos inteiros, ou trechos de banco de dados, quando necessário para dar à pessoa acesso a seus dados de forma compreensível. Os controladores não podem fornecer uma seleção curada ou resumida.
As Diretrizes 01/2022 do CEPD sobre o Direito de Acesso (versão 2.0, abril de 2023) confirmam ainda que os controladores não podem limitar as respostas aos dados que consideram "relevantes" ou "importantes". O acesso deve cobrir todos os dados pessoais detidos.
Conclusões da CEF 2024 Sobre o Direito de Acesso
O CEPD publicou seu relatório da CEF 2024 sobre o direito de acesso em janeiro de 2025, após uma ação coordenada da qual participaram 31 autoridades de controle. Os desafios recorrentes incluíram: a ausência de procedimentos internos para tratar pedidos; respostas incompletas; e exigências de verificação de identidade excessivamente onerosas, que desestimulavam solicitantes legítimos.

Direito de Retificação (Artigo 16)
O artigo 16 confere às pessoas o direito de ter dados pessoais incorretos corrigidos sem demora injustificada. As pessoas também podem solicitar que dados incompletos sejam completados, inclusive mediante uma declaração complementar.
Escopo e Exemplos Práticos
Esse direito se aplica sempre que dados pessoais factuais detidos por uma organização estiverem incorretos ou incompletos. Exemplos comuns incluem nomes com erros de ortografia, endereços incorretos, números de telefone desatualizados e registros trabalhistas com datas erradas. O direito não se aplica a avaliações ou opiniões (uma nota de avaliação de desempenho é uma opinião, não uma imprecisão factual), embora as pessoas possam solicitar que uma declaração complementar seja anexada a avaliações subjetivas contestadas.
Obrigação de Notificação a Terceiros
Quando um controlador retifica dados, o artigo 19 do RGPD exige a notificação de cada destinatário a quem os dados foram previamente divulgados, salvo se isso se mostrar impossível ou envolver um esforço desproporcional. O controlador também deve informar a pessoa sobre esses destinatários, se solicitado.
Direito ao Apagamento / Direito ao Esquecimento (Artigo 17)
O artigo 17 permite que as pessoas solicitem a exclusão de seus dados pessoais. O direito ao apagamento, também chamado de "direito ao esquecimento", é uma das disposições mais proeminentes do RGPD. Ele não é absoluto: o artigo 17(3) estabelece as situações em que o direito não se aplica.
Fundamentos para o Apagamento
O apagamento é exigido nos termos do artigo 17(1) quando:
- Os dados deixam de ser necessários para a finalidade para a qual foram coletados ou tratados
- A pessoa retira o consentimento e nenhum outro fundamento legal se aplica
- A pessoa se opõe nos termos do artigo 21 e não há fundamentos legítimos superiores para o controlador
- Os dados foram tratados ilicitamente
- O apagamento é necessário para cumprir uma obrigação legal da UE ou de um Estado-Membro
- Os dados foram coletados de um menor em relação a serviços da sociedade da informação (artigo 8)
Fundamentos para Recusar o Apagamento
Nos termos do artigo 17(3), os controladores podem recusar o apagamento quando o tratamento for necessário para:
- O exercício do direito à liberdade de expressão e informação
- O cumprimento de uma obrigação legal (por exemplo, a conservação legal de registros fiscais)
- Fins de saúde pública, de interesse público (artigo 9(2)(h) e (i))
- Fins de arquivo de interesse público, pesquisa científica ou fins estatísticos, quando o apagamento prejudicaria seriamente o objetivo
- O exercício ou a defesa de direitos em processos judiciais
Atenção: A exceção de direitos em processos judiciais é frequentemente aplicada de forma equivocada. Algumas organizações a invocam de forma preventiva para evitar obrigações de apagamento. A exceção exige que um processo judicial esteja de fato pendente, ameaçado ou razoavelmente antecipado, não que o controlador possa, em tese, vir a enfrentar uma futura reclamação.
Apagamento em Motores de Busca
O direito ao apagamento tem relevância particular para os motores de busca. Após o acórdão Google Spain (processo C-131/12, 2014), as pessoas podem solicitar que motores de busca removam resultados sobre elas das listagens. As Diretrizes 5/2019 do CEPD estabelecem os critérios que as autoridades de controle aplicam ao avaliar pedidos de remoção de listagens.
CEF 2025: Desafios na Implementação do Direito ao Apagamento
O CEPD publicou seu relatório da CEF 2025 sobre o direito ao apagamento em fevereiro de 2026. Trinta e duas autoridades de controle participaram ao longo de 2025, com nove abrindo investigações formais e 23 realizando apuração de fatos. Sete desafios recorrentes de implementação foram identificados:
- Organizações que recorrem a técnicas de anonimização ineficientes como substituto do apagamento
- Práticas inconsistentes em relação ao apagamento em sistemas de backup
- Dificuldade em determinar os prazos de retenção e depois agir sobre eles
- Controladores com dificuldade para aplicar os testes de ponderação previstos no artigo 17(3)
- Ausência de procedimentos internos, refletindo as conclusões sobre acesso de 2024
- Informações insuficientes fornecidas às pessoas sobre os resultados dos pedidos de apagamento
- Notificação inadequada a destinatários terceiros após o apagamento
Direito à Limitação do Tratamento (Artigo 18)
O artigo 18 permite que as pessoas solicitem que uma organização mantenha seus dados, mas deixe de usá-los ativamente. Quando a limitação está em vigor, o controlador pode armazenar os dados, mas não pode tratá-los, salvo com o consentimento da pessoa, ou quando o tratamento for necessário para o exercício de direitos em processos judiciais, para proteger os direitos de outra pessoa, ou por razões importantes de interesse público.
Quando a Limitação Se Aplica
As pessoas podem solicitar a limitação em quatro circunstâncias:
- Contestam a exatidão dos dados, e a limitação se aplica enquanto o controlador verifica a exatidão
- O tratamento é ilícito, mas a pessoa prefere a limitação ao apagamento
- O controlador não precisa mais dos dados, mas a pessoa precisa deles para o exercício ou a defesa de direitos em processos judiciais
- A pessoa se opôs nos termos do artigo 21, e o resultado do exercício de ponderação está pendente
Efeito Prático
A limitação é, na prática, uma "pausa" no tratamento ativo. O controlador deve informar a pessoa antes de levantar qualquer limitação. Esse direito serve como um meio-termo entre o apagamento total e o tratamento irrestrito, sendo particularmente útil em disputas factuais contestadas ou durante litígios.
Direito à Portabilidade de Dados (Artigo 20)
O artigo 20 confere às pessoas o direito de receber os dados pessoais que forneceram a um controlador em um formato estruturado, de uso corrente e legível por máquina, e de ter esses dados transmitidos diretamente a outro controlador, quando tecnicamente viável. O direito foi concebido para reduzir a dependência de um único fornecedor e apoiar a troca entre serviços concorrentes.
Condições para a Portabilidade
O direito à portabilidade de dados se aplica apenas quando duas condições são atendidas simultaneamente:
- O tratamento se baseia no consentimento (artigo 6(1)(a) ou artigo 9(2)(a)) ou em um contrato com a pessoa (artigo 6(1)(b))
- O tratamento é realizado por meios automatizados
Dados tratados com base em legítimo interesse, obrigação legal ou interesse público não atraem o direito de portabilidade.
Quais Dados Estão Cobertos
A portabilidade cobre os dados que a pessoa "forneceu" ao controlador. Isso inclui dados enviados ativamente (entradas de formulário, documentos carregados, informações de perfil) e dados gerados pelo uso de um serviço (histórico de transações, registros de uso, dados de localização do uso de um aplicativo). Não inclui dados inferidos ou derivados, como pontuações de risco, segmentos de clientes ou resultados de definição de perfis algorítmicos, pois esses são gerados pelo controlador, e não fornecidos pela pessoa.
Requisitos de Formato
Os dados devem ser fornecidos em um formato estruturado, de uso corrente e legível por máquina. CSV, JSON e XML são formatos amplamente aceitos. Quando tecnicamente viável e a pedido da pessoa, o controlador deve transmitir os dados diretamente a outro controlador nomeado.
Direito de Oposição (Artigo 21)
O artigo 21 permite que as pessoas se oponham ao tratamento em dois cenários distintos, com consequências jurídicas marcadamente diferentes.
Oposição ao Tratamento Baseado em Legítimo Interesse ou Interesse Público
Quando o tratamento se baseia em legítimo interesse (artigo 6(1)(f)) ou interesse público (artigo 6(1)(e)), as pessoas podem se opor por "motivos relacionados com a sua situação particular". O controlador deve interromper o tratamento, salvo se puder demonstrar fundamentos legítimos imperiosos que prevaleçam sobre os interesses, direitos e liberdades da pessoa, ou se o tratamento for necessário para o exercício de direitos em processos judiciais.
O ônus recai sobre o controlador de realizar um exercício genuíno de ponderação, específico para as circunstâncias declaradas pela pessoa, e não uma afirmação genérica de que seus interesses são relevantes.
Direito Absoluto de Oposição ao Marketing Direto
O direito de oposição ao tratamento para fins de marketing direto é incondicional. O artigo 21(2) e (3) estabelecem que, quando uma pessoa se opõe ao tratamento para fins de marketing direto, o controlador deve interromper imediatamente, para essa finalidade e para qualquer definição de perfis relacionada. Nenhum teste de ponderação se aplica, e nenhum fundamento legítimo pode prevalecer sobre ele.
Oposição ao Tratamento para Pesquisa
As pessoas também podem se opor ao tratamento para fins de pesquisa científica, histórica ou estatística, por motivos relacionados com a sua situação particular, salvo se o tratamento for necessário para uma tarefa de interesse público.

Direitos Relacionados a Decisões Automatizadas e Definição de Perfis (Artigo 22)
O artigo 22 estabelece que as pessoas têm o direito de não ficar sujeitas a uma decisão baseada exclusivamente em tratamento automatizado, incluindo a definição de perfis, que produza efeitos jurídicos ou que as afete de modo similarmente significativo.
A Proteção Central
Três condições devem estar todas presentes para que o artigo 22 seja acionado:
- A decisão se baseia exclusivamente em tratamento automatizado (sem envolvimento humano significativo)
- O tratamento inclui a definição de perfis (análise de aspectos pessoais para avaliar, prever ou categorizar a pessoa)
- A decisão produz um efeito jurídico (negação de crédito, visto ou emprego) ou um efeito similarmente significativo (negação de seguro, exclusão de serviços, consequências financeiras ou sociais graves)
Exceções Permitidas
O artigo 22(2) permite decisões exclusivamente automatizadas com efeitos jurídicos ou similarmente significativos em três circunstâncias:
- A decisão é necessária para a celebração ou a execução de um contrato com a pessoa
- É autorizada pelo direito da UE ou de um Estado-Membro, com salvaguardas adequadas
- Baseia-se no consentimento explícito da pessoa
Salvaguardas Obrigatórias
Quando uma exceção se aplica, o controlador deve implementar medidas adequadas para proteger os direitos da pessoa. No mínimo, a pessoa deve ter o direito de:
- Obter intervenção humana na decisão
- Expressar seu ponto de vista antes ou depois de a decisão ser tomada
- Contestar a decisão
O controlador também deve fornecer informações significativas sobre a lógica envolvida no sistema automatizado e sobre a importância e as consequências previstas da decisão para a pessoa.
Interação com o AI Act da UE
O AI Act da UE (Regulamento (UE) 2024/1689, em vigor desde agosto de 2024, com as disposições centrais aplicáveis a partir de agosto de 2026) introduz obrigações que se sobrepõem para sistemas de IA de alto risco. Os sistemas de IA de alto risco listados no Anexo III, que abrangem pontuação de crédito, decisões trabalhistas, acesso a serviços essenciais e migração, devem atender a requisitos de transparência, supervisão humana e precisão previstos no AI Act, além de quaisquer obrigações do artigo 22 do RGPD. Quando ambos os regimes se aplicam, os dois conjuntos de obrigações devem ser satisfeitos. Espera-se que o CEPD e o Gabinete de IA da UE forneçam orientação coordenada sobre a interação entre o artigo 22 e o AI Act à medida que as disposições do AI Act entram em pleno vigor ao longo de 2026.
Como Funcionam, na Prática, as Solicitações de Acesso do Titular de Dados (DSARs)
O artigo 12 fornece o marco procedimental que rege as respostas a todos os pedidos de exercício de direitos dos titulares de dados.
Fazendo um Pedido
As pessoas não precisam usar linguagem jurídica específica nem citar qualquer artigo do RGPD. Qualquer comunicação clara que identifique o que a pessoa deseja é suficiente. Os pedidos podem ser feitos por e-mail, formulário web, carta, telefone ou qualquer outro canal que o controlador opere.
O Prazo de Um Mês
Os controladores devem responder no prazo de um mês corrido, a partir do dia seguinte ao recebimento do pedido. O CEPD confirma que isso significa um mês corrido (um pedido recebido em 5 de março deve ser respondido até 5 de abril). Se o último dia cair em um fim de semana ou feriado na jurisdição do controlador, o prazo se estende até o próximo dia útil.
Prorrogações
Para pedidos complexos, ou quando uma mesma pessoa apresentou numerosos pedidos simultaneamente, o prazo pode ser prorrogado por mais dois meses (três meses no total). Para usar a prorrogação, o controlador deve notificar a pessoa dentro do primeiro mês corrido e explicar o motivo da prorrogação. A falta de envio da notificação de prorrogação dentro do primeiro mês significa que o controlador não pode se valer dela.
Taxas
A primeira resposta a qualquer pedido de exercício de direitos deve ser fornecida gratuitamente. Uma taxa administrativa razoável só pode ser cobrada para pedidos manifestamente infundados ou excessivos, particularmente aqueles de caráter repetitivo. O ônus de demonstrar que um pedido atende a esse limite recai sobre o controlador. O padrão é elevado; um pedido rotineiro de uma pessoa que não fez anteriormente o mesmo pedido não é excessivo.
Verificação de Identidade
Os controladores podem solicitar informações para verificar a identidade do solicitante, mas apenas quando existir dúvida genuína. As medidas de verificação devem ser proporcionais. Os controladores não podem impor obstáculos de verificação desproporcionais como forma de dissuasão. Para contas on-line, solicitar que o usuário se autentique com suas credenciais de conta existentes geralmente é suficiente. Solicitar cópias de passaporte ou identidade emitida pelo governo costuma ser desproporcional, salvo se os dados em questão forem particularmente sensíveis ou as circunstâncias especificamente o justificarem.
Quando os Pedidos Podem Ser Recusados
Os controladores podem se recusar a agir sobre pedidos manifestamente infundados ou excessivos. Se um pedido for recusado, o controlador deve informar a pessoa sobre:
- Os motivos da recusa
- Seu direito de apresentar reclamação a uma autoridade de controle
- Seu direito de buscar um recurso judicial
O controlador não pode ignorar o pedido. Mesmo uma recusa deve ser comunicada dentro do prazo de um mês.
Apresentando uma Reclamação
Todo Estado-Membro da UE possui uma autoridade nacional de proteção de dados onde as pessoas podem apresentar reclamações gratuitamente. O CEPD mantém uma lista completa de todas as autoridades de controle nacionais, com seus dados de contato. Autoridades de destaque incluem a CNIL (França), a BfDI (Alemanha), a DPC (Irlanda, que supervisiona muitas empresas de tecnologia sediadas nos EUA com bases na UE na Irlanda), e a APD/GBA (Bélgica).
Exceções e Limites aos Direitos dos Titulares de Dados
Os direitos dos titulares de dados não são ilimitados. O considerando 73 e vários artigos do RGPD permitem que os Estados-Membros restrinjam direitos por meio de legislação, quando necessário para salvaguardar:
- A segurança nacional, a segurança pública e a defesa
- A prevenção, investigação e repressão de infrações penais
- Outros objetivos importantes de interesse público geral da UE ou de um Estado-Membro, incluindo saúde pública, proteção social e tributação
- A proteção da independência judicial
- A execução de reclamações de direito civil
- Os direitos e liberdades de outras pessoas
As organizações que operam em vários Estados-Membros da UE devem identificar se alguma derrogação nacional aplicável se aplica ao seu tratamento em cada jurisdição.
Desenvolvimentos Recentes (2024 a 2026)
Fiscalização Coordenada do CEPD: Lacunas Sistêmicas em Todos os Direitos
As ações anuais de Fiscalização Coordenada (CEF) do CEPD já cobriram o direito de acesso (2024) e o direito ao apagamento (2025). Ambos os relatórios identificaram as mesmas deficiências sistêmicas: as organizações carecem de procedimentos internos para tratar pedidos de direitos; as respostas são incompletas ou atrasadas; os requisitos de verificação são desproporcionais; e a notificação a destinatários terceiros sobre correções ou exclusões é aplicada de forma inconsistente.
A ação de 2026 tem foco nos artigos 12 a 14 (transparência e informação). Considerando o padrão dos anos anteriores, o CEPD antecipa lacunas sistêmicas na qualidade e acessibilidade dos avisos de privacidade. Espera-se que os resultados de fiscalização das 25 autoridades de controle participantes sejam divulgados até o final de 2026.
TJUE: Reduzindo a Discricionariedade dos Controladores
A jurisprudência do TJUE sobre acesso reduziu consistentemente a margem dos controladores para limitar a conformidade. O processo C-154/21 (janeiro de 2023) exige a divulgação das identidades reais dos destinatários, quando identificáveis. O processo C-487/21 (maio de 2023) exige uma cópia completa e fiel de todos os dados pessoais. Respostas de acesso que eram prática comum até 2022 (tabelas-resumo, descrições apenas por categoria, seleções curadas) agora estão em desconformidade.
A Proposta de Digital Omnibus (Novembro de 2025)
A Comissão Europeia publicou seu Pacote Digital Omnibus em 19 de novembro de 2025, propondo alterações específicas ao RGPD como parte de uma iniciativa mais ampla de simplificação. As propostas mais relevantes para os direitos dos titulares de dados incluem:
- Um novo fundamento discricionário para os controladores recusarem ou cobrarem por DSARs quando se constatar que a pessoa está abusando de direitos "para fins diversos da proteção de seus dados". Isso tem como alvo cenários como litígios trabalhistas em que as DSARs são usadas de forma instrumental, e não para proteção genuína da privacidade.
- Uma proposta de restrição dos requisitos de transparência do artigo 13 em circunstâncias limitadas: quando os dados são coletados diretamente da pessoa, é razoável presumir que a pessoa já tem a informação, e a atividade do controlador não é intensiva em dados. Essa isenção não se aplicaria quando envolver tratamento automatizado, definição de perfis ou transferências de dados.
- Um direito explícito e incondicional de oposição ao tratamento de dados pessoais para treinamento de IA.
Essas são apenas propostas. O pacote está em negociações tripartites entre o Parlamento Europeu, o Conselho e a Comissão. Os direitos atuais do RGPD descritos neste artigo permanecem plenamente em vigor e inalterados até que qualquer regulamento de alteração seja publicado no Jornal Oficial.
Perguntas Frequentes
Mais Guias Sobre o RGPD
- O Que É o RGPD para uma visão geral completa do regulamento e seu fundamento legal
- Requisitos de Consentimento do RGPD para os padrões de consentimento válido e como o consentimento interage com os direitos dos titulares de dados
- Lista de Verificação de Conformidade com o RGPD para um guia de implementação da conformidade, passo a passo
- Multas e Sanções do RGPD para dados de fiscalização e as consequências do descumprimento
- Notificação de Violação de Dados do RGPD: A Regra das 72 Horas para as obrigações de notificação de violações
- Leis de Privacidade de Dados da UE para a visão geral completa da proteção de dados na UE
Aviso Legal
Este artigo fornece informações jurídicas gerais sobre os direitos dos titulares de dados nos termos do Regulamento (UE) 2016/679 (RGPD). Ele aborda apenas o RGPD da UE e não trata do UK GDPR nem das derrogações específicas de Estados-Membros. As informações foram verificadas em 19 de maio de 2026. O RGPD é um instrumento vivo: as orientações das autoridades de controle, as decisões do TJUE e as medidas de fiscalização continuamente refinam a interpretação de suas disposições. Este artigo não substitui o aconselhamento jurídico. Consulte um advogado especializado em proteção de dados ou um profissional de privacidade, licenciado em sua jurisdição, para obter aconselhamento específico sobre a sua situação.
Sobre o Autor
[PLACEHOLDER: lista de autores pendente]
Autoridades Citadas
- Regulamento (UE) 2016/679 (RGPD): Texto Oficial Integral. https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Artigo 12 do RGPD: Transparência das informações, comunicações e modalidades. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679
- Diretrizes 01/2022 do CEPD sobre o Direito de Acesso, versão 2.0 (abril de 2023). https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf
- Diretrizes 5/2019 do CEPD sobre o Direito ao Esquecimento em Motores de Busca. https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201905_rtbfsearchengines_afterpublicconsultation_en.pdf
- Processo C-154/21 do TJUE, RW contra Österreichische Post AG, acórdão de 12 de janeiro de 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0154
- Processo C-487/21 do TJUE, F.F. contra Österreichische Datenschutzbehörde e CRIF GmbH, acórdão de 4 de maio de 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0487
- CEPD: Identifica desafios que dificultam a plena implementação do direito ao apagamento (fevereiro de 2026). https://www.edpb.europa.eu/news/news/2026/edpb-identifies-challenges-hindering-full-implementation-right-erasure_en
- Relatório da CEF 2025 do CEPD: Implementação do Direito ao Apagamento. https://www.edpb.europa.eu/system/files/2026-02/edpb_cef-report_2025_right-to-erasure_en.pdf
- CEPD: Lançamento da CEF 2026: fiscalização coordenada sobre transparência e obrigações de informação. https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- CEPD: CEF 2024: desafios para a plena implementação do direito de acesso (janeiro de 2025). https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full-implementation-right-access_en
- Comissão Europeia: Informações para Pessoas Sobre os Direitos do RGPD. https://commission.europa.eu/law/law-topic/data-protection/information-individuals_en
- Comissão Europeia: Tratamento de Pedidos de Exercício de Direitos dos Titulares de Dados. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-exercising-their-data-protection-rights-be-dealt_en
- CEPD: Autoridades de Controle Nacionais (Membros). https://edpb.europa.eu/about-edpb/about-edpb/members_en
Última atualização: 19/05/2026. As disposições do RGPD citadas refletem o Regulamento (UE) 2016/679 em vigor em 19/05/2026. As propostas de Digital Omnibus (novembro de 2025) estão pendentes de negociação tripartite e não alteraram o RGPD até esta data.
Frequently Asked Questions
Quais são os oito direitos dos titulares de dados do RGPD?
Os oito direitos previstos no Capítulo III do RGPD são: (1) o direito a ser informado (artigos 13 e 14), (2) o direito de acesso (artigo 15), (3) o direito de retificação (artigo 16), (4) o direito ao apagamento, também chamado de direito ao esquecimento (artigo 17), (5) o direito à limitação do tratamento (artigo 18), (6) o direito à portabilidade de dados (artigo 20), (7) o direito de oposição (artigo 21), e (8) os direitos relacionados a decisões automatizadas e à definição de perfis (artigo 22). O artigo 12 rege as obrigações procedimentais aplicáveis a todos os direitos.
Como faço uma solicitação de acesso do titular de dados (DSAR) do RGPD?
Contate a organização que detém seus dados por qualquer canal disponível: e-mail, carta, formulário web ou telefone. Declare claramente que deseja acessar seus dados pessoais. Você não precisa citar o artigo 15 nem usar a expressão 'solicitação de acesso do titular'. A organização deve responder no prazo de um mês e fornecer a primeira cópia gratuitamente. Guarde um registro do seu pedido e da data em que o enviou. Se a organização não responder dentro de um mês, ou recusar sem uma explicação adequada, apresente uma reclamação à sua autoridade nacional de proteção de dados.
Uma organização pode cobrar uma taxa por uma DSAR?
A primeira resposta a uma solicitação de acesso do titular de dados deve ser fornecida gratuitamente. Uma taxa administrativa razoável só pode ser cobrada para pedidos manifestamente infundados ou excessivos, em particular quando os pedidos são repetitivos. O controlador deve demonstrar por que o pedido atende a esse limite. O padrão é elevado; um pedido rotineiro de alguém que não fez anteriormente o mesmo pedido não é excessivo.
O direito ao apagamento é absoluto segundo o RGPD?
Não. O artigo 17(3) do RGPD estabelece seis circunstâncias em que o direito ao apagamento não se aplica: quando o tratamento é necessário para o exercício da liberdade de expressão e informação; para o cumprimento de uma obrigação legal; por razões de saúde pública, de interesse público; para fins de arquivo de interesse público, pesquisa científica ou fins estatísticos, quando o apagamento prejudicaria seriamente o objetivo; ou para o exercício ou a defesa de direitos em processos judiciais. As organizações devem avaliar cada pedido em relação a essas exceções individualmente.
Qual é a diferença entre o apagamento e a limitação do tratamento?
O direito ao apagamento (artigo 17) exige que a organização exclua totalmente os dados pessoais. O direito à limitação do tratamento (artigo 18) exige que a organização deixe de usar ativamente os dados, mas permite que continue a armazená-los. A limitação é adequada como medida provisória, por exemplo, quando a pessoa contesta a exatidão dos dados e deseja que eles sejam preservados enquanto o controlador os verifica, ou quando a pessoa precisa que os dados sejam mantidos para uma reclamação em processo judicial.
Quanto tempo uma organização tem para responder a um pedido de exercício de direitos?
Um mês corrido a partir do dia seguinte ao recebimento do pedido. Para pedidos complexos, ou quando a mesma pessoa apresentou numerosos pedidos, o prazo pode ser prorrogado por até dois meses adicionais (três meses no total). A organização deve informar a pessoa sobre a prorrogação e seu motivo dentro do primeiro mês corrido. Se nenhuma notificação de prorrogação for enviada nesse período, o prazo de um mês permanece válido.
O direito à portabilidade de dados se aplica a todos os meus dados pessoais?
Não. O direito à portabilidade de dados previsto no artigo 20 se aplica apenas quando duas condições são atendidas simultaneamente: o tratamento se baseia no consentimento ou em um contrato com a pessoa, e o tratamento é realizado por meios automatizados. Ele não se aplica a dados tratados com base em legítimo interesse, obrigação legal ou interesse público. Também cobre apenas os dados que a pessoa forneceu ao controlador, não dados inferidos ou derivados, como pontuações de risco, segmentos de clientes ou resultados de definição de perfis.
Posso contestar uma decisão tomada por um algoritmo ou sistema de IA?
Sim, em certas circunstâncias. O artigo 22 do RGPD confere às pessoas o direito de não ficar sujeitas a uma decisão baseada exclusivamente em tratamento automatizado, incluindo a definição de perfis, quando a decisão produz um efeito jurídico ou um efeito similarmente significativo. Quando essas decisões são permitidas por uma das exceções do artigo 22(2), a pessoa deve ter o direito de obter intervenção humana, expressar seu ponto de vista e contestar a decisão. Para sistemas de IA classificados como de alto risco segundo o AI Act da UE, também se aplicam obrigações adicionais de transparência e supervisão humana.
O que acontece se eu me opuser ao marketing direto?
O direito de oposição ao marketing direto previsto no artigo 21(2) e (3) é absoluto e imediato. Assim que você se opõe, a organização deve interromper o tratamento dos seus dados para fins de marketing direto, incluindo qualquer definição de perfis relacionada a esse marketing. Nenhum teste de ponderação se aplica, e nenhum fundamento legítimo pode prevalecer sobre ele.
O que é a proposta de Digital Omnibus e ela muda meus direitos do RGPD?
A Comissão Europeia publicou o Pacote Digital Omnibus em novembro de 2025, propondo alterações específicas ao RGPD. As propostas incluem um novo fundamento para recusar DSARs quando se constata que a pessoa está abusando do direito, uma exceção de transparência restringida em circunstâncias limitadas, e um direito explícito de oposição ao tratamento para treinamento de IA. Trata-se apenas de propostas, que ainda não foram adotadas. Todos os direitos existentes dos titulares de dados do RGPD descritos neste artigo permanecem plenamente em vigor e inalterados até que qualquer regulamento de alteração seja publicado no Jornal Oficial da UE.
Sources and References
- Regulamento (UE) 2016/679 (RGPD): Texto Oficial Integral(eur-lex.europa.eu).gov
- Artigo 12 do RGPD: Transparência das informações e modalidades(eur-lex.europa.eu).gov
- Diretrizes 01/2022 do CEPD sobre o Direito de Acesso (v2.0, abril de 2023)(edpb.europa.eu).gov
- Diretrizes 5/2019 do CEPD sobre o Direito ao Esquecimento em Motores de Busca(edpb.europa.eu).gov
- Processo C-154/21 do TJUE, RW contra Österreichische Post AG, 12 de janeiro de 2023(eur-lex.europa.eu).gov
- Processo C-487/21 do TJUE, F.F. contra Österreichische Datenschutzbehörde e CRIF GmbH, 4 de maio de 2023(eur-lex.europa.eu).gov
- CEPD: Desafios que dificultam a plena implementação do direito ao apagamento (fevereiro de 2026)(edpb.europa.eu).gov
- Relatório da CEF 2025 do CEPD: Implementação do Direito ao Apagamento(edpb.europa.eu).gov
- CEPD: CEF 2026: fiscalização coordenada sobre transparência e obrigações de informação(edpb.europa.eu).gov
- CEPD: CEF 2024: desafios para a plena implementação do direito de acesso (janeiro de 2025)(edpb.europa.eu).gov
- Comissão Europeia: Informações para Pessoas Sobre os Direitos do RGPD(commission.europa.eu).gov
- Comissão Europeia: Tratamento de Pedidos de Exercício de Direitos dos Titulares de Dados(commission.europa.eu).gov
- CEPD: Autoridades de Controle Nacionais (Membros)(edpb.europa.eu).gov