Direito ao Esquecimento no GDPR: Apagamento de Dados do Artigo 17 (2026)

O direito ao esquecimento do GDPR permite exigir que uma organização apague dados pessoais sobre você quando um dos seis fundamentos específicos do Artigo 17(1) se aplicar, salvo se uma das cinco exceções do Artigo 17(3) permitir que o controlador recuse o pedido. Reconhecido como direito pelo Tribunal de Justiça da União Europeia (CJUE) em 2014 e codificado no Regulamento (UE) 2016/679, ele abrange tanto o apagamento direto em bancos de dados de empresas quanto a remoção de referências (desreferenciamento) em resultados de motores de busca. Os controladores devem responder no prazo de um mês.
Para uma visão mais ampla dos oito direitos dos titulares de dados do GDPR, veja Direitos dos Titulares de Dados do GDPR. Para o contexto geral do regulamento, veja O Que É o GDPR. Para o direito complementar que permite verificar quais dados um controlador possui antes de decidir se deve solicitar a exclusão, veja Pedidos de Acesso do Titular de Dados do GDPR. Esta página é o guia completo sobre o apagamento previsto no Artigo 17.
Direito ao Esquecimento no GDPR: Apagamento de Dados do Artigo 17 (2026)
O Que Diz Realmente o Artigo 17 do GDPR: o Direito ao Apagamento dos Dados
O Artigo 17(1) do Regulamento (UE) 2016/679 dispõe que o titular dos dados tem o direito de obter do controlador o apagamento dos dados pessoais que lhe digam respeito, sem demora injustificada, sempre que se aplique um dos seis fundamentos previstos. A expressão "sem demora injustificada" ganha sentido concreto no prazo de resposta de um mês estabelecido no Artigo 12(3).
O Considerando 65 do regulamento explicita a finalidade legislativa. Ele estabelece que o titular dos dados deve ter o direito de que os seus dados pessoais sejam apagados e deixem de ser tratados quando já não forem necessários para as finalidades para as quais foram recolhidos ou tratados, quando o consentimento tiver sido retirado, e quando não existir outro fundamento legal para o tratamento. O Considerando 65 identifica o ambiente on-line como o contexto em que esse direito mais importa, e destaca explicitamente os dados partilhados durante a infância como uma preocupação prioritária.
O Considerando 66 acrescenta a dimensão da cadeia on-line: o direito ao apagamento deve ser alargado de forma que o controlador que tiver tornado públicos os dados pessoais fique obrigado a informar os demais controladores que tratem esses dados a apagarem quaisquer links para eles, ou cópias ou reproduções desses dados pessoais. Esse considerando é o fundamento estrutural direto do dever previsto no Artigo 17(2) de notificar controladores terceiros, e constitui a base legislativa para aplicar o direito ao desreferenciamento em motores de busca mesmo quando a página de origem permanece no ar.
Esses considerandos não são, por si só, disposições legais vinculativas, mas constituem o guia interpretativo autorizado da intenção do legislador. Os tribunais da UE e as autoridades de controle recorrem aos considerandos para resolver ambiguidades nos artigos operativos.
Os Seis Fundamentos para o Apagamento Previstos no Artigo 17(1)
Um pedido de apagamento só aciona o Artigo 17 se pelo menos um dos seis fundamentos a seguir, previstos no Artigo 17(1), alíneas (a) a (f), se aplicar à sua situação. A tabela abaixo oferece uma referência rápida; as seções seguintes explicam cada fundamento.
| Fundamento | Artigo | Gatilho |
|---|---|---|
| Dados não mais necessários | 17(1)(a) | A finalidade original terminou |
| Consentimento retirado | 17(1)(b) | O consentimento era a única base legal e você o retirou |
| Oposição bem-sucedida | 17(1)(c) | A oposição do Artigo 21 teve êxito, ou houve oposição ao marketing direto |
| Tratamento ilícito | 17(1)(d) | Os dados foram coletados ou mantidos sem uma base legal válida |
| Obrigação legal de apagar | 17(1)(e) | O direito da UE ou de um Estado-Membro exige especificamente a exclusão |
| Dados de menores em serviços digitais | 17(1)(f) | Dados coletados de você quando criança para um serviço da sociedade da informação |
(a) Dados Não Mais Necessários para Sua Finalidade Original
Se uma organização coletou dados sobre você para cumprir uma finalidade específica e identificada, e essa finalidade já se esgotou, a organização não tem base legal, nos termos do Artigo 5(1)(e) (o princípio da limitação da conservação), para continuar a mantê-los. Um varejista que ainda conserva perfis comportamentais detalhados de uma compra que você fez há vários anos, sem qualquer relação contratual ou legal em curso que justifique a retenção, é um exemplo claro. A questão central é saber se os dados ainda são necessários para a finalidade específica para a qual foram coletados, e não se o controlador consegue imaginar um uso futuro hipotético.
Esse fundamento é o mais invocado na prática, pois se aplica à mais ampla gama de atividades de tratamento. Ele não exige que você prove culpa ou ilicitude por parte do controlador; basta que a justificativa original tenha se esgotado.
(b) Consentimento Retirado e Ausência de Outra Base Legal
Se a única base legal para o tratamento dos seus dados pessoais era o seu consentimento nos termos do Artigo 6(1)(a), e você retira esse consentimento, o controlador deve apagar os dados. A condição crítica é "nenhuma outra base legal": se o controlador puder apontar uma justificativa distinta, como um contrato nos termos do Artigo 6(1)(b), uma obrigação legal nos termos do Artigo 6(1)(c), ou um legítimo interesse nos termos do Artigo 6(1)(f), ele pode recusar o apagamento apenas com base na retirada do consentimento.
Dois pontos importam na prática. Primeiro, a retirada do consentimento tem efeito apenas prospectivo: ela não torna ilícito o tratamento realizado antes da retirada. Segundo, cabe ao controlador identificar a base legal alternativa. Ele não pode simplesmente afirmar que ela existe; deve especificar qual base se aplica e por quê.
(c) Oposição Bem-Sucedida Nos Termos do Artigo 21
O Artigo 21(1) garante o direito de se opor ao tratamento baseado em legítimo interesse ou em tarefas de interesse público. O controlador só pode afastar sua oposição demonstrando motivos legítimos imperiosos que prevaleçam sobre os seus interesses, direitos e liberdades. Quando o controlador não dispõe de tais motivos, a oposição é bem-sucedida e o Artigo 17(1)(c) é acionado: o apagamento decorre da oposição bem-sucedida.
O Artigo 21(2) cria uma via incondicional: a oposição ao tratamento para fins de marketing direto não está sujeita a nenhum teste de ponderação. Um controlador que recebe uma oposição ao marketing direto não pode invocar motivos de interesse público nem qualquer exceção do Artigo 17(3) (exceto aquelas que se apliquem de forma independente aos próprios dados). A oposição do Artigo 21(2) é um impedimento absoluto ao tratamento para marketing direto, e o apagamento dos dados mantidos especificamente para essa finalidade deve necessariamente ocorrer.
(d) Tratamento Ilícito
Quando os dados foram tratados em violação ao GDPR (coletados sem uma base legal válida, mantidos além do prazo lícito, tratados de forma incompatível com a finalidade original, ou obtidos por meios enganosos), o apagamento está disponível independentemente de o controlador ainda ter uma "finalidade" técnica para os dados. Esse fundamento abrange tanto a ilicitude inicial (os dados jamais deveriam ter sido coletados) quanto a retenção posteriormente ilícita (os dados foram coletados licitamente, mas mantidos além do prazo permitido).
Uma aplicação comum: um controlador se baseia no consentimento como base legal, o formulário de consentimento era inválido (caixas pré-marcadas, consentimento agrupado, ausência de finalidade específica), e o tratamento foi, portanto, ilícito desde o início. O fundamento (d) se aplica mesmo que o controlador queira agora alegar retroativamente um legítimo interesse.
(e) Apagamento Exigido pelo Direito da UE ou de um Estado-Membro
Alguns regulamentos da UE e leis nacionais impõem prazos de retenção obrigatórios seguidos de exclusão obrigatória. Quando essa obrigação legal exige especificamente o apagamento após um prazo definido, a própria obrigação aciona o fundamento do Artigo 17(1)(e). As leis de retenção de prontuários de saúde de vários Estados-Membros são um exemplo: elas exigem que os registros sejam mantidos por um prazo legal e depois destruídos.
Esse fundamento é relativamente restrito: a obrigação legal deve exigir especificamente a exclusão, não apenas permiti-la ou ser omissa a respeito.
(f) Dados Coletados de uma Criança para um Serviço da Sociedade da Informação
O Artigo 17(1)(f) é o fundamento relativo a dados de crianças, e é o mais difícil de ser contestado por um controlador. Nos termos do Artigo 8(1) do GDPR, a idade mínima padrão de consentimento para serviços da sociedade da informação (plataformas de redes sociais, aplicativos, jogos on-line e produtos digitais semelhantes) é de 16 anos. Os Estados-Membros podem reduzir esse piso para não menos de 13 anos, e muitos o fizeram.
Quaisquer dados coletados sobre você quando estava abaixo do limite nacional aplicável, sem o consentimento válido dos pais ou responsáveis, foram tratados ilicitamente nos termos do Artigo 8. Essa coleta ilícita aciona simultaneamente o Artigo 17(1)(d) e o Artigo 17(1)(f). O Considerando 65 destaca isso explicitamente, ao afirmar que o direito ao esquecimento é especialmente importante quando o titular dos dados era criança no momento da coleta.
É essencial notar que esse fundamento se aplica mesmo que você já seja adulto atualmente. O fato relevante é a idade que você tinha quando os dados foram coletados, não a sua idade atual. Se você criou uma conta em uma rede social aos 14 anos em um Estado-Membro onde a idade de consentimento era 16, você pode invocar conjuntamente o Artigo 17(1)(f) e (d), como adulto, solicitando a exclusão de todos os dados coletados durante esse período. A plataforma não pode se valer da sua atual e lícita relação com você, como adulto, para afastar um pedido de apagamento voltado a dados coletados durante a infância.
A única limitação prática são as exceções do Artigo 17(3). Quando algum dado deve ser mantido por força de obrigação legal (por exemplo, registros de transações financeiras exigidos pela legislação tributária), esse subconjunto específico pode ser conservado. Mas perfis comportamentais, dados publicitários, conteúdos que você publicou quando menor, e registros que servem a finalidades puramente operacionais dificilmente se enquadrarão em qualquer exceção do Artigo 17(3).
As Cinco Exceções: Quando o Apagamento Pode Ser Recusado Nos Termos do Artigo 17(3)
Mesmo quando um dos seis fundamentos do Artigo 17(1) se aplica, um controlador pode licitamente recusar o apagamento se a continuidade do tratamento for necessária para uma das cinco finalidades listadas no Artigo 17(3), alíneas (a) a (e). A tabela a seguir resume essas exceções antes de cada uma ser explicada.
| Exceção | Artigo | Aplicação típica |
|---|---|---|
| Liberdade de expressão e de informação | 17(3)(a) | Jornalismo, arquivos de notícias, comentários de interesse público |
| Obrigação legal ou tarefa de interesse público | 17(3)(b) | Registros fiscais, registros de saúde, conformidade regulatória |
| Saúde pública | 17(3)(c) | Vigilância de doenças, pesquisa médica |
| Arquivamento, pesquisa, estatística | 17(3)(d) | Arquivos de interesse público, conjuntos de dados de pesquisa científica |
| Direitos em processos judiciais | 17(3)(e) | Litígios, investigações regulatórias, arbitragem |
Cabe ao controlador identificar qual exceção se aplica e comunicá-la a você por escrito ao recusar um pedido. Uma recusa genérica, que não cite um fundamento específico do Artigo 17(3), constitui, por si só, uma infração ao GDPR.
(a) Liberdade de Expressão e de Informação
Jornalismo, comentário, opinião, reportagens de interesse público e o arquivamento de informações de genuíno interesse público podem se enquadrar nessa exceção. Trata-se da exceção mais litigada no contexto dos motores de busca, em que os operadores rotineiramente a invocam para justificar a manutenção de links para notícias sobre indivíduos.
A exceção não é ilimitada. Nem todo artigo publicado sobre um indivíduo particular se qualifica como expressão protegida de interesse público. A balança pende para a privacidade quando: os fatos são antigos; o indivíduo não desempenhou papel público; a informação não serve a nenhuma finalidade pública atual; ou a pessoa era menor de idade na época. Ela pende para a expressão quando: o titular é uma figura pública; a informação diz respeito ao exercício de funções públicas; os fatos são recentes; ou o público tem interesse genuíno e atual. As Diretrizes 5/2019 do EDPB sobre os critérios do direito ao esquecimento em casos envolvendo motores de busca estabelecem uma lista não exaustiva de critérios para essa avaliação, incluindo o papel do titular dos dados na vida pública, a natureza da informação, o tempo decorrido, e eventuais considerações de reabilitação.
(b) Obrigação Legal, Tarefa de Interesse Público ou Exercício de Autoridade Pública
Quando o direito da UE ou de um Estado-Membro exige que o controlador conserve os dados, ele não pode simplesmente apagá-los mediante pedido. O direito do trabalho, o direito tributário, o direito da segurança social, as exigências de prevenção à lavagem de dinheiro e as regras de conservação de registros de saúde estão entre as fontes mais comuns de prazos de retenção obrigatórios. Autoridades públicas e organismos que exercem funções oficiais também se enquadram nessa exceção quando o tratamento é necessário para a execução de uma tarefa de interesse público ou no exercício de autoridade pública nos termos do Artigo 6(1)(e).
A exceção exige que a retenção seja genuinamente necessária para a obrigação legal ou a tarefa de interesse público. Um controlador não pode invocar uma norma legal apenas tangencialmente relacionada como pretexto para manter dados que deseja conservar por razões comerciais.
(c) Saúde Pública
O tratamento necessário por razões de interesse público no domínio da saúde pública (monitoramento de doenças, epidemiologia, farmacovigilância, resposta a ameaças transfronteiriças à saúde) pode prevalecer sobre um pedido de apagamento, particularmente no caso de dados de saúde de categoria especial nos termos do Artigo 9. Essa exceção é invocada com menos frequência por empresas privadas e mais comumente por organismos de saúde pública e prestadores de serviços de saúde.
(d) Arquivamento de Interesse Público, Pesquisa Científica, Pesquisa Histórica ou Estatística
Os pedidos de apagamento podem ser recusados quando os dados estão sendo tratados para fins de arquivamento de interesse público, ou para pesquisa científica ou histórica, ou para fins estatísticos, desde que atender ao pedido de apagamento prejudique seriamente a realização desses objetivos. Arquivos nacionais, estudos acadêmicos longitudinais e conjuntos de dados estatísticos oficiais são os beneficiários mais comuns dessa exceção.
A condição central é "prejudicar seriamente": um controlador não pode invocar essa exceção como um escudo genérico para qualquer conjunto de dados que poderia, em tese, ser útil para pesquisas futuras. O prejuízo deve ser demonstravelmente sério, e a finalidade da pesquisa deve ser genuinamente de interesse público.
(e) Constituição, Exercício ou Defesa de Direitos em Processos Judiciais
Se uma organização precisar conservar dados para propor, conduzir ou se defender em litígios, arbitragens, processos regulatórios ou procedimentos jurídicos semelhantes, ela pode invocar essa exceção. Essa exceção é frequentemente usada em disputas trabalhistas (quando registros de RH podem ser necessários para se defender de uma alegação de demissão injusta), em contextos de serviços financeiros (quando registros de transações são necessários para investigações regulatórias), em sinistros de seguros e em questões de responsabilidade profissional.
A exceção abrange apenas os dados necessários para o litígio ou procedimento específico, não todo o conjunto de registros do controlador. Uma vez concluído o processo, desaparece a justificativa para a manutenção da retenção com base nessa exceção.
O Efeito Cascata para Outros Controladores: Artigo 17(2)
O Artigo 17(2) trata da situação em que um controlador já tornou públicos os seus dados pessoais, por exemplo, publicando-os em um site, compartilhando-os com parceiros de publicidade, ou distribuindo-os por meio de um mercado de dados. Quando esse controlador é obrigado, nos termos do Artigo 17(1), a apagar dados que tornou públicos, o Artigo 17(2) exige que ele tome medidas razoáveis, inclusive medidas técnicas, tendo em conta a tecnologia disponível e o custo de implementação, para informar os demais controladores que tratam esses dados de que você solicitou o apagamento de quaisquer links para eles, ou de cópias ou reproduções desses dados.
É essa disposição que torna o direito ao esquecimento estruturalmente distinto de um simples pedido de exclusão dirigido a uma única empresa. O controlador que publicou os dados tem a obrigação de notificar os controladores subsequentes sobre o pedido de apagamento. Esses controladores subsequentes passam então a ser independentemente responsáveis por cumprir a obrigação de apagamento em seus próprios sistemas.
No contexto dos motores de busca, o Artigo 17(2) cria uma base independente para apresentar pedidos de desreferenciamento diretamente aos operadores dos motores de busca, separadamente de qualquer pedido dirigido ao editor original. Quando um site mantém conteúdo licitamente publicado sobre você, é possível solicitar o desreferenciamento ao motor de busca, pois este é, ele próprio, um controlador que tratou os dados públicos na acepção do Artigo 17(2). Não é necessário obter primeiro a remoção da página de origem para solicitar o desreferenciamento.
Em Que o Apagamento Difere de um Pedido de Acesso do Titular
O direito ao apagamento previsto no Artigo 17 e o direito de acesso previsto no Artigo 15 (pedido de acesso do titular, ou DSAR) são direitos distintos, que servem a finalidades diferentes, embora sejam frequentemente utilizados em sequência.
Um pedido de acesso do titular nos termos do Artigo 15 garante o direito de obter a confirmação de que um controlador trata dados pessoais sobre você, uma cópia desses dados, e informações sobre como estão sendo tratados. Essas informações abrangem as finalidades, a base legal, eventuais destinatários e o prazo de conservação. Um DSAR é um direito de obtenção de informação. Ele permite descobrir o que um controlador possui antes de decidir o que fazer com essa informação.
O direito ao apagamento previsto no Artigo 17 é um direito de ação: ele determina que o controlador exclua os dados. Os dois direitos estão logicamente conectados, mas são procedimentalmente distintos: um DSAR não aciona uma obrigação de apagamento, e um pedido de apagamento não confere o direito de obter uma cópia dos dados antes da exclusão.
Na prática, muitos consultores de privacidade recomendam apresentar primeiro um DSAR para compreender com precisão quais dados um controlador possui, sua base legal e sua política de retenção. Munido dessa informação, você estará em melhor posição para identificar qual fundamento do Artigo 17(1) se aplica e para prever quais exceções do Artigo 17(3) o controlador provavelmente invocará.
Ambos os direitos estão sujeitos ao mesmo prazo de resposta de um mês previsto no Artigo 12(3), e ambos são gratuitos nos termos do Artigo 12(5).
Onde o Direito Nasceu: o Caso Google Spain (C-131/12, 2014)
O direito ao esquecimento, aplicado aos motores de busca, é anterior ao GDPR. Ele foi criado pelo Tribunal de Justiça da União Europeia no processo C-131/12, Google Spain SL e Google Inc. contra Agencia Espanola de Protección de Datos (AEPD) e Mario Costeja González, Grande Seção, julgado em 13 de maio de 2014. O caso surgiu sob a então vigente Diretiva 95/46/CE relativa à Proteção de Dados; o GDPR posteriormente codificou e reforçou o princípio no Artigo 17.
Os fatos: um cidadão espanhol, Mario Costeja González, pediu ao Google que removesse resultados de busca que, ao se pesquisar seu nome, exibiam um anúncio de jornal de 1998 sobre um leilão de imóvel relacionado a uma dívida havia muito resolvida. O artigo de jornal original havia sido licitamente publicado. A questão era saber se o Google, ao indexar e exibir esses resultados, estava ele próprio sujeito a obrigações de proteção de dados.
O Tribunal decidiu, no parágrafo 33, que a atividade de um motor de busca (encontrar informações publicadas ou colocadas na internet por terceiros, indexá-las automaticamente, armazená-las temporariamente e disponibilizá-las aos internautas segundo uma determinada ordem de preferência) deve ser classificada como tratamento de dados pessoais quando essas informações contiverem dados pessoais. Isso resolveu uma questão fundamental: os motores de busca não são meros condutos passivos.
No parágrafo 34, o Tribunal decidiu que o operador de um motor de busca deve ser considerado o controlador desse tratamento, na acepção do Artigo 2(d) da Diretiva 95/46/CE (atual Artigo 4(7) do GDPR), pois é ele quem determina as finalidades e os meios desse tratamento. Essa foi a conclusão inicial que tornou juridicamente possível o direito ao desreferenciamento: os motores de busca são controladores de dados com obrigações de proteção de dados.
Quanto ao mérito do direito ao apagamento, o Tribunal decidiu, no parágrafo 88, que o operador de um motor de busca é obrigado a remover, da lista de resultados exibida após uma pesquisa feita a partir do nome de uma pessoa, os links para páginas web publicadas por terceiros que contenham informações relativas a essa pessoa, mesmo quando a publicação nessas páginas seja, em si mesma, lícita. O direito de remover resultados de busca é, portanto, independente da licitude da página de origem.
O teste de ponderação previsto no parágrafo 81 estabelece o padrão vigente: os direitos do titular dos dados à privacidade e à proteção de dados, nos termos dos Artigos 7 e 8 da Carta dos Direitos Fundamentais da UE, "prevalecem, regra geral, não apenas sobre o interesse econômico do operador do motor de busca, mas também sobre o interesse do público em geral em ter acesso a essa informação". A exceção ocorre quando, por razões específicas, como o papel desempenhado pelo titular dos dados na vida pública, a ingerência nos direitos fundamentais se justifica pelo interesse preponderante do público em geral em ter acesso à informação em questão. Essa é a base da distinção relativa a figuras públicas que permanece central em todas as decisões de desreferenciamento até hoje.
Até Onde Vai o Desreferenciamento: o Caso Google v CNIL (C-507/17, 2019)
Após a entrada em vigor do GDPR em maio de 2018, a autoridade francesa de proteção de dados, a Commission nationale de l'informatique et des libertés (CNIL), determinou que o Google implementasse o desreferenciamento em todas as versões do seu motor de busca em todo o mundo, e não apenas nos domínios voltados aos Estados-Membros da UE. A CNIL argumentou que limitar o desreferenciamento aos domínios voltados à UE seria ineficaz, pois qualquer usuário da UE poderia facilmente acessar os resultados removidos por meio do google.com ou de outro domínio fora da UE.
O Google contestou o alcance mundial da medida. No processo C-507/17, Google LLC contra CNIL, Grande Seção, julgado em 24 de setembro de 2019, o CJUE decidiu que o direito da UE não exige o desreferenciamento em escala mundial.
A principal conclusão foi a de que o operador de um motor de busca não é obrigado a realizar o desreferenciamento em todas as versões mundiais do seu motor de busca, mas sim nas versões desse motor correspondentes a todos os Estados-Membros. Dois motivos fundamentaram essa conclusão. Primeiro, o âmbito de aplicação territorial do GDPR, nos termos do Artigo 3, e o direito ao esquecimento, nos termos do Artigo 17, não impõem, quanto à intenção legislativa da UE, exigências além do território da UE. Segundo, diversos Estados terceiros não reconhecem o direito ao desreferenciamento, ou adotam uma abordagem substancialmente diferente, e impor os padrões da UE em escala mundial equivaleria a fazer com que o direito da UE se sobrepusesse às escolhas jurídicas dessas jurisdições.
No entanto, a decisão não deixa os usuários da UE desprotegidos quanto ao acesso prático. O Tribunal decidiu que, dentro da UE, os operadores que realizam o desreferenciamento devem implementar medidas suficientemente eficazes para impedir que usuários da UE acessem os links removidos por meio de versões do motor de busca fora da UE. Na prática, isso significa bloqueio geográfico: quando um usuário na França acessa o google.com em vez do google.fr, o resultado removido ainda deve ser ocultado para esse usuário, com base em sua localização geográfica na UE.
O resultado prático: um pedido de desreferenciamento bem-sucedido remove o link do google.fr, do google.de, do google.it, e de todas as demais versões com domínio da UE. O bloqueio geográfico deve impedir que usuários localizados na UE vejam o resultado removido no google.com. O mesmo link permanece visível para um usuário nos Estados Unidos ou no Japão que acesse o google.com de fora da UE.
Fiscalização do EDPB e a Ação Coordenada de 2025
O European Data Protection Board (EDPB) publicou as Diretrizes 5/2019 sobre os critérios do direito ao esquecimento em casos envolvendo motores de busca nos termos do GDPR, finalizadas após consulta pública em julho de 2020. Essas diretrizes estabelecem treze categorias de casos (desde titulares de dados que desempenharam papéis em processos criminais até vítimas de crimes e figuras públicas) e identificam os fatores que as autoridades de controle devem ponderar ao avaliar se um pedido de desreferenciamento deve ser aceito ou recusado.
Em fevereiro de 2026, o EDPB publicou os resultados de sua Ação de Fiscalização Coordenada sobre o direito ao apagamento (CEF 2025), que examinou como os controladores em toda a UE vinham implementando, na prática, os pedidos de apagamento. A ação coordenada identificou problemas generalizados: respostas incompletas que reconheciam os pedidos, mas não confirmavam se o apagamento havia sido realizado; recurso a exceções sem identificar adequadamente qual exceção específica se aplicava; e atrasos nas respostas além do prazo de um mês, sem invocar a prorrogação de dois meses permitida. O relatório orientou as autoridades de controle dos Estados-Membros participantes a dar seguimento junto aos controladores que apresentaram falhas sistemáticas de conformidade.
O mecanismo de fiscalização coordenada reflete um amadurecimento na forma como o EDPB aborda questões sistêmicas. Em vez de deixar que cada autoridade nacional de proteção de dados identifique o descumprimento de forma independente, o EDPB agora coordena ações de fiscalização simultâneas em múltiplas jurisdições, voltadas a direitos de alta prioridade. O apagamento foi selecionado para a ação de 2025 precisamente por causa do volume de reclamações sobre respostas incompletas e recusas injustificadas.
Como Apresentar um Pedido de Apagamento a um Controlador
O Artigo 12(3) exige uma resposta no prazo de um mês corrido a contar do recebimento do pedido. Não há forma prescrita. Você pode enviar o pedido por e-mail, por meio de um portal on-line de direitos de privacidade, ou por carta. A maioria das grandes organizações que operam sob o GDPR mantém atualmente um portal dedicado a direitos de privacidade, geralmente indicado no rodapé do site sob rótulos como "Direitos de Privacidade", "Pedido do Titular de Dados", ou "Minhas Escolhas de Privacidade".
O Que Incluir no Seu Pedido
Seu pedido deve ser suficientemente específico para permitir que o controlador o identifique e compreenda o que você está solicitando. Inclua:
- Seu nome completo e qualquer identificador que a organização use para você: endereço de e-mail, nome de usuário da conta, número de cliente ou número de referência.
- Os dados específicos ou as categorias de dados que você deseja que sejam apagados. Quanto mais preciso você for, melhor. Se você já tiver feito um pedido de acesso do titular, terá uma visão mais clara do que o controlador possui.
- O fundamento do Artigo 17(1) em que você se baseia. Indicar o fundamento não é legalmente obrigatório, mas concentra a atenção do controlador e torna mais difícil que a resposta seja vaga. Por exemplo: "Solicito o apagamento nos termos do Artigo 17(1)(a) do GDPR porque os dados não são mais necessários para a finalidade para a qual foram coletados" ou "nos termos do Artigo 17(1)(b), pois por meio deste retiro meu consentimento e não há outra base legal".
- Um pedido de confirmação por escrito de que o apagamento foi realizado, identificando as categorias de dados excluídos.
- Seus dados de contato para a resposta.
Nos termos do Artigo 12(5), a resposta é gratuita. Quando os pedidos forem manifestamente infundados ou excessivos (particularmente em razão de seu caráter repetitivo), o controlador pode cobrar uma taxa razoável ou recusar-se a agir, mas o ônus de demonstrar que esse limite foi atingido recai inteiramente sobre o controlador. Um único pedido de apagamento, formulado com clareza, não pode ser descartado como excessivo.
Verificação de Identidade
Um controlador pode solicitar informações adicionais para verificar sua identidade, caso não consiga fazê-lo por meios comercialmente razoáveis. Ele não pode usar isso como pretexto para recusar totalmente o pedido, ou para prorrogar o prazo de resposta sem aviso. O Artigo 12(6) permite que um controlador solicite as informações adicionais necessárias para confirmar a identidade do titular dos dados, mas deve fazê-lo prontamente, sem usar essa etapa de verificação para consumir o prazo de resposta de um mês.
O Que Acontece Após o Envio: Prazos e Escalonamento
O Artigo 12(3) concede ao controlador um mês corrido, a contar do recebimento, para responder. Para casos complexos ou um grande volume de pedidos simultâneos, o Artigo 12(3) permite uma prorrogação de até mais dois meses, mas o controlador deve notificá-lo da prorrogação e do seu motivo dentro do primeiro mês. Em todos os casos, você deve receber, no mínimo, uma resposta substantiva dentro de um mês; o silêncio não é uma resposta válida.
Se o controlador atender ao seu pedido, deve confirmar que o apagamento foi realizado e identificar quais dados ou categorias de dados foram excluídos. Uma resposta que diga apenas "registramos o seu pedido", sem confirmar a ação, não está em conformidade com o Artigo 12.
Se o controlador decidir não agir, o Artigo 12(4) exige que ele o informe sem demora e, o mais tardar, dentro de um mês a contar do recebimento, sobre os motivos para não agir e sobre duas vias de escalonamento: o direito de apresentar reclamação a uma autoridade de controle (a sua autoridade nacional de proteção de dados, ou DPA), e o direito de buscar um recurso judicial diretamente contra o controlador nos tribunais do Estado-Membro em que o controlador está estabelecido.
A infração ao Artigo 17 (incluindo a falta de resposta dentro do prazo ou uma recusa injustificada) enquadra-se no Artigo 83(5)(b) do GDPR como violação dos direitos dos titulares de dados. A multa administrativa máxima é de 20 milhões de euros ou, no caso de uma empresa, 4% do faturamento mundial anual total do exercício financeiro anterior, o que for maior.
Como Apresentar um Pedido de Desreferenciamento a um Motor de Busca
Para o desreferenciamento nos resultados de busca, nos termos dos Artigos 17(1) e 17(2), apresente o pedido diretamente ao operador do motor de busca, e não ao site que hospeda o conteúdo. O motor de busca é um controlador independente.
Seu pedido deve identificar:
- Os URLs específicos que você deseja remover dos resultados de busca (copie os links exatos da página de resultados da sua busca).
- Os termos de busca que fazem esses URLs aparecerem associados ao seu nome.
- O fundamento do Artigo 17(1) em que você se baseia.
- Por que os resultados são irrelevantes, desatualizados, excessivos ou, de alguma forma, injustificados em relação ao seu interesse de privacidade, por exemplo, porque os fatos são antigos, porque você não era uma figura pública, porque a questão já foi resolvida, ou porque você era menor de idade na época.
Os operadores de motores de busca analisam os pedidos de desreferenciamento individualmente. Eles podem recusá-los quando entenderem que se aplica uma exceção de interesse público nos termos do Artigo 17(3)(a), particularmente no caso de figuras públicas, fatos noticiosos recentes ou em curso, ou informações sobre conduta profissional genuinamente de interesse público. Se um motor de busca recusar seu pedido, você pode escalar a questão à sua autoridade nacional de proteção de dados, que pode investigar e, caso considere a recusa injustificada, determinar que o operador cumpra o pedido. Você também pode contestar uma recusa diretamente nos tribunais do Estado-Membro onde se localiza o estabelecimento na UE do operador.
UK GDPR: o Equivalente Pós-Brexit
Após o Brexit, o Reino Unido manteve o GDPR sob a forma de UK GDPR, nos termos do European Union (Withdrawal) Act 2018, em conjunto com o Data Protection Act 2018. O direito ao apagamento no UK GDPR reproduz, em sua estrutura essencial, o Artigo 17 do GDPR da UE: os mesmos seis fundamentos do Artigo 17(1), as mesmas cinco exceções do Artigo 17(3), e o mesmo prazo de resposta de um mês previsto no Artigo 12(3).
Principais diferenças em relação ao GDPR da UE:
O UK GDPR é fiscalizado pelo Information Commissioner's Office (ICO), e não pelas autoridades de controle dos Estados-Membros da UE nem pelo EDPB. Se você estiver localizado no Reino Unido e seu pedido de apagamento for recusado, a reclamação deve ser dirigida ao ICO, e não a uma autoridade de proteção de dados do continente europeu.
O ICO publicou orientações detalhadas sobre o direito ao apagamento, tanto para indivíduos quanto para organizações, abrangendo como avaliar se o apagamento é exigido, como tratar pedidos formulados por crianças, e quando as exceções se aplicam. Essas orientações se baseiam na mesma estrutura do Artigo 17, mas podem, com o tempo, divergir das orientações do EDPB, à medida que os dois sistemas jurídicos evoluem de forma independente após o Brexit.
Para indivíduos: um residente no Reino Unido que exerce direitos de apagamento contra um controlador estabelecido no Reino Unido apresenta reclamação ao ICO. Um residente no Reino Unido que exerce direitos contra um controlador estabelecido na UE, que trate dados de residentes do Reino Unido nos termos do GDPR da UE, ainda precisa recorrer à autoridade de proteção de dados do Estado-Membro da UE competente para fins de fiscalização do direito da UE, embora a solução prática frequentemente envolva ambas as autoridades.
Ausência de Equivalente Federal nos Estados Unidos
Não existe um equivalente federal abrangente, nos Estados Unidos, ao direito ao esquecimento do GDPR. Os Estados Unidos não possuem uma lei federal geral de privacidade de dados que conceda aos consumidores um direito universal de exigir o apagamento de dados pessoais de organizações privadas.
O análogo mais próximo nos EUA, em nível estadual, é o direito à exclusão previsto na California Consumer Privacy Act, conforme alterada pela California Privacy Rights Act (CCPA/CPRA), codificada na Seção 1798.105 do California Civil Code. Esse direito se aplica apenas a residentes da Califórnia que lidam com empresas abrangidas que atendam a determinados limiares de faturamento ou volume de dados, e contém sua própria lista extensa de exceções.
No âmbito federal, a Children's Online Privacy Protection Act (COPPA), 15 U.S.C. seção 6501, garante aos pais o direito de solicitar a exclusão de dados pessoais coletados on-line de crianças menores de 13 anos por operadores sujeitos à COPPA. O limite etário da COPPA é fixo em 13 anos, sem discricionariedade estadual; ela abrange apenas operadores direcionados a crianças ou que tenham conhecimento efetivo da coleta de dados de crianças, e o direito pertence aos pais, e não aos próprios indivíduos.
Os tribunais dos EUA, de modo geral, têm se recusado a reconhecer um direito de exigir a remoção de conteúdo lícito das listagens de motores de busca, apoiando-se na Primeira Emenda e na Seção 230 da Communications Decency Act. Um residente dos EUA não pode reproduzir um pedido de apagamento do Artigo 17 nos termos do direito federal atualmente em vigor.
Passos Práticos: Lista de Verificação Resumida
Seja você um indivíduo que apresenta um pedido, seja uma organização decidindo como tratá-lo, as etapas a seguir refletem a estrutura do Artigo 17.
Para indivíduos que solicitam o apagamento:
- Identifique qual dos seis fundamentos do Artigo 17(1) se aplica à sua situação.
- Considere apresentar primeiro um pedido de acesso do titular nos termos do Artigo 15, para estabelecer exatamente quais dados o controlador possui e com que base legal, especialmente se você não tiver certeza se o fundamento (a) (dados não mais necessários) se aplica.
- Apresente o pedido de apagamento por escrito, indicando o fundamento, os dados específicos e seus dados de contato. É gratuito.
- Anote a data de envio: o prazo de um mês começa a contar a partir do recebimento.
- Se o controlador não tiver respondido dentro de um mês, ou tiver recusado sem citar uma exceção específica do Artigo 17(3), apresente uma reclamação à sua autoridade nacional de proteção de dados (no Reino Unido: o ICO).
- Para o desreferenciamento em motores de busca, envie o pedido diretamente pelo formulário de direitos de privacidade do operador, indicando os URLs específicos e seus motivos.
Para organizações que tratam pedidos de apagamento:
- Verifique a identidade do solicitante por meios proporcionais e responda prontamente.
- Avalie se algum dos seis fundamentos se aplica.
- Se um fundamento se aplicar, avalie se alguma exceção do Artigo 17(3) justifica a continuidade da retenção. Documente a avaliação.
- Se optar pelo apagamento, confirme por escrito quais dados foram excluídos.
- Se optar pela recusa, especifique exatamente a exceção do Artigo 17(3) na carta de recusa e informe o solicitante sobre o direito de apresentar reclamação à autoridade de controle e de buscar um recurso judicial.
- Se os dados tiverem sido tornados públicos, cumpra a obrigação em cascata do Artigo 17(2) e notifique os controladores subsequentes sobre o pedido de apagamento.
- Responda dentro de um mês; se for necessária uma prorrogação, notifique o solicitante sobre isso e sobre o motivo antes do término do primeiro mês.
Aviso Legal: Esta página fornece informações jurídicas gerais sobre o direito ao apagamento do GDPR e não constitui aconselhamento jurídico. O direito da proteção de dados envolve avaliações complexas e específicas de cada caso, e varia de forma relevante entre os Estados-Membros da UE. Se você estiver diante de uma situação concreta de apagamento, seja como titular dos dados, seja como controlador, consulte um advogado especializado em proteção de dados ou a sua autoridade nacional de proteção de dados.
Mais Guias
- Transferências Internacionais de Dados no GDPR: SCCs e Adequação (2026)
- O GDPR Se Aplica a Empresas dos EUA? O Artigo 3 Explicado (2026)
- Lei de IA da UE e Proteção de Dados: A Interseção com o GDPR Explicada
- Leis de Privacidade de Dados da UE: GDPR, Lei de IA e as Reformas Digitais de 2025-2026
- O Que É o GDPR? Guia Completo de Proteção de Dados da UE (2026)
Frequently Asked Questions
O que é o direito ao esquecimento no GDPR?
O direito ao esquecimento é o nome informal do direito ao apagamento previsto no Artigo 17 do Regulamento (UE) 2016/679 (GDPR). Ele garante aos indivíduos o direito de solicitar que um controlador (qualquer organização que trate seus dados pessoais) exclua esses dados sem demora injustificada, quando um dos seis fundamentos específicos se aplicar. Esses fundamentos incluem: os dados não são mais necessários para a finalidade para a qual foram coletados; o consentimento foi retirado; o indivíduo se opôs com êxito ao tratamento; o tratamento foi ilícito; uma obrigação legal exige a exclusão; ou os dados foram coletados do indivíduo quando criança para um serviço digital. O direito não é absoluto: cinco exceções previstas no Artigo 17(3) permitem que os controladores recusem o pedido quando a continuidade do tratamento for necessária para a liberdade de expressão, para o cumprimento de obrigações legais, por razões de saúde pública, para fins de pesquisa, ou para a defesa de direitos em processos judiciais.
Como faço para solicitar o apagamento nos termos do GDPR?
Apresente um pedido de apagamento por escrito ao contato de proteção de dados do controlador ou ao seu portal de direitos de privacidade, geralmente indicado no rodapé do site da organização. Inclua seu nome e identificadores de conta, especifique quais dados ou categorias de dados você deseja que sejam excluídos, indique o fundamento do Artigo 17(1) em que se baseia, e peça a confirmação por escrito da conclusão. O pedido é gratuito. O controlador deve responder no prazo de um mês corrido. Se recusar, deve apresentar motivos e informar como reclamar junto à sua autoridade nacional de proteção de dados. Se não responder de forma alguma dentro de um mês, isso já constitui, por si só, uma infração ao GDPR, e você pode reclamar à sua autoridade nacional de proteção de dados.
Quais são as exceções ao direito ao esquecimento no GDPR?
O Artigo 17(3) estabelece cinco exceções que permitem que um controlador recuse um pedido de apagamento mesmo quando um dos seis fundamentos do Artigo 17(1) estiver preenchido. Essas exceções são: (a) liberdade de expressão e de informação, abrangendo jornalismo, comentário e arquivos de interesse público; (b) cumprimento de obrigação legal ou execução de tarefa de interesse público, abrangendo prazos de retenção obrigatórios previstos no direito do trabalho, tributário, da saúde e financeiro; (c) saúde pública, abrangendo vigilância de doenças e pesquisa médica; (d) arquivamento de interesse público, pesquisa científica ou histórica, ou fins estatísticos, quando o apagamento prejudicaria seriamente a pesquisa; e (e) constituição, exercício ou defesa de direitos em processos judiciais, abrangendo litígios e processos regulatórios. O controlador deve identificar a exceção específica aplicável e comunicá-la a você por escrito. Uma recusa genérica, sem citar um fundamento, constitui, por si só, uma violação ao GDPR.
O direito ao esquecimento se aplica aos resultados de busca do Google?
Sim. O Tribunal de Justiça da UE decidiu, no caso Google Spain (processo C-131/12, 2014), que os motores de busca são controladores de dados e devem remover links dos resultados mediante solicitação, quando um dos fundamentos do Artigo 17(1) se aplicar, mesmo que a página web de origem permaneça licitamente publicada. O pedido de desreferenciamento deve ser apresentado diretamente ao operador do motor de busca. No entanto, o caso Google v CNIL (processo C-507/17, 2019) confirmou que o direito da UE não exige a remoção em escala mundial: a obrigação se limita às versões do motor de busca voltadas aos Estados-Membros da UE (google.fr, google.de, etc.), embora o bloqueio geográfico deva impedir que usuários da UE acessem os resultados removidos por meio de domínios fora da UE, como o google.com.
Quanto tempo uma empresa tem para excluir meus dados depois que solicito o apagamento?
Nos termos do Artigo 12(3) do GDPR, o controlador deve agir e confirmar a ação no prazo de um mês corrido a contar do recebimento do seu pedido. O mês é contado a partir da data de recebimento do pedido, não de qualquer confirmação de recebimento. O controlador pode prorrogar esse prazo por até mais dois meses em casos complexos ou de alto volume de pedidos, mas deve notificá-lo da prorrogação e explicar o motivo dentro do primeiro mês. O silêncio por mais de um mês constitui violação ao GDPR. Se você não receber resposta dentro de um mês, apresente uma reclamação à sua autoridade nacional de proteção de dados.
Posso solicitar o apagamento de dados coletados quando eu era criança?
Sim, e esse é um dos fundamentos de apagamento mais sólidos disponíveis. O Artigo 17(1)(f) do GDPR garante o direito de solicitar o apagamento de dados pessoais coletados de você quando criança para um serviço da sociedade da informação (uma plataforma de rede social, aplicativo, jogo ou serviço digital semelhante). O GDPR fixa em 16 anos a idade mínima de consentimento para esses serviços, embora os Estados-Membros possam reduzi-la para não menos de 13 anos. Se os dados foram coletados de você quando estava abaixo do limite etário aplicável, essa coleta foi ilícita, e você tem fundamento tanto no Artigo 17(1)(d) (tratamento ilícito) quanto no Artigo 17(1)(f). Você pode fazer esse pedido já como adulto; o que importa é a sua idade no momento da coleta, não a sua idade atual.
Qual é a diferença entre um pedido de apagamento do GDPR e um pedido de acesso do titular?
Um pedido de acesso do titular (DSAR) nos termos do Artigo 15 do GDPR é um direito de informação: ele permite descobrir quais dados pessoais um controlador possui sobre você, por que os possui, e como os está tratando. Um pedido de apagamento nos termos do Artigo 17 é um direito de ação: ele determina que o controlador exclua os dados. Os dois direitos são frequentemente usados em sequência, primeiro um DSAR para identificar quais dados existem e com que base legal, depois um pedido de apagamento assim que você tiver essa informação. Ambos são gratuitos e têm prazo de resposta de um mês nos termos do Artigo 12. Fazer um DSAR não aciona automaticamente o apagamento, e fazer um pedido de apagamento não confere o direito de obter uma cópia dos dados antes de sua exclusão.
O direito ao esquecimento se aplica em todo o mundo ou apenas na UE?
O direito ao apagamento do GDPR se aplica a titulares de dados localizados na UE e a controladores estabelecidos na UE ou que visam residentes da UE. Ele não se estende automaticamente ao tratamento de dados de indivíduos fora da UE por empresas fora da UE. Especificamente quanto ao desreferenciamento em motores de busca, o CJUE decidiu, no caso Google v CNIL (C-507/17, 2019), que o direito da UE exige a remoção apenas nas versões do motor de busca voltadas aos Estados-Membros da UE, e não em escala mundial. Um residente dos EUA não tem, nos termos do GDPR, o direito de exigir que uma empresa americana apague seus dados, embora possa ter direitos previstos em leis estaduais dos EUA, como o direito à exclusão da CCPA da Califórnia.
O que posso fazer se uma empresa recusar meu pedido de apagamento?
Se um controlador recusar o seu pedido de apagamento, ele deve fornecer motivos por escrito, citando uma exceção específica do Artigo 17(3), e informar como escalar a questão. Você tem duas vias principais: primeiro, apresentar reclamação à sua autoridade nacional de controle (no Reino Unido, o ICO; na França, a CNIL; na Alemanha, a autoridade estadual competente ou a BfDI; na Irlanda, a DPC), que pode investigar e determinar que o controlador cumpra o pedido; segundo, buscar um recurso judicial diretamente contra o controlador nos tribunais do Estado-Membro onde ele está estabelecido, nos termos do Artigo 79 do GDPR. Recusas injustificadas e a ausência total de resposta podem resultar em multas administrativas de até 20 milhões de euros ou 4% do faturamento mundial anual, o que for maior.
Existe um direito ao esquecimento nos Estados Unidos?
Não existe um equivalente federal, nos Estados Unidos, ao direito ao esquecimento do GDPR. O análogo mais próximo é o direito à exclusão previsto na CCPA/CPRA da Califórnia, codificada na Seção 1798.105 do California Civil Code, que se aplica apenas a residentes da Califórnia que lidam com empresas abrangidas e contém amplas exceções. No âmbito federal, a COPPA garante aos pais o direito de solicitar a exclusão de dados coletados de crianças menores de 13 anos, mas tem alcance mais restrito e se aplica apenas a operadores de serviços direcionados a crianças. Os tribunais dos EUA, de modo geral, têm se recusado a exigir que os motores de busca removam conteúdo lícito das listagens, apoiando-se na Primeira Emenda e na Seção 230 da Communications Decency Act.
Sources and References
- Regulamento (UE) 2016/679 (GDPR), Jornal Oficial da União Europeia, texto integral incluindo os Artigos 12, 17, 21 e os Considerandos 65-66(eur-lex.europa.eu)
- CJUE, processo C-131/12, Google Spain SL e Google Inc. contra AEPD e Mario Costeja González, Grande Seção, 13 de maio de 2014(eur-lex.europa.eu)
- CJUE, processo C-507/17, Google LLC contra Commission nationale de l'informatique et des libertés (CNIL), Grande Seção, 24 de setembro de 2019(eur-lex.europa.eu)
- Diretrizes 5/2019 do EDPB sobre os Critérios do Direito ao Esquecimento em Casos Envolvendo Motores de Busca nos Termos do GDPR, adotadas em 7 de julho de 2020 após consulta pública(edpb.europa.eu)
- Ação de Fiscalização Coordenada do EDPB: Implementação do Direito ao Apagamento pelos Controladores (Relatório CEF 2025, 18 de fevereiro de 2026)(edpb.europa.eu)
- Seção 1798.105 do California Civil Code (direito à exclusão da CCPA/CPRA), California Legislative Information(leginfo.legislature.ca.gov)