A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), conhecida como LGPD, estabelece um conjunto de prazos taxativos que os controladores e operadores de dados pessoais devem observar ao receber solicitações dos titulares. Em 2026, com a maturidade do regime sancionatório aplicado pela Autoridade Nacional de Proteção de Dados (ANPD) e a consolidação da jurisprudência administrativa, esses prazos passaram a ser fiscalizados com rigor crescente, exigindo das organizações estruturas operacionais robustas para gestão de solicitações.
O artigo 19 da LGPD determina que o titular tem direito a confirmar a existência de tratamento de seus dados pessoais e a obter acesso a tais dados. A confirmação da existência ou o acesso aos dados pessoais devem ser fornecidos em formato simplificado, imediatamente, ou por meio de declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, no prazo de até quinze dias contados da data do requerimento do titular. Esse prazo de quinze dias é o mais conhecido da lei, mas não é o único nem necessariamente o aplicável a todas as solicitações.
Quando o titular exerce o direito de correção de dados incompletos, inexatos ou desatualizados, conforme previsto no artigo 18, inciso III, o controlador deve atender o pedido em prazo razoável. A ANPD, por meio de orientações publicadas em sua Resolução CD/ANPD nº 2/2022 e em manifestações posteriores, tem entendido que o prazo razoável corresponde, em regra, aos mesmos quinze dias do direito de acesso, salvo justificativa técnica devidamente comprovada que demande dilação. A ausência de resposta no prazo razoável tem sido tratada como descumprimento do dever de transparência previsto no artigo 6º, inciso VI.
O direito à eliminação dos dados pessoais tratados com base no consentimento, previsto no artigo 18, inciso VI, segue lógica semelhante. O controlador deve eliminar os dados em prazo razoável após a manifestação do titular, observadas as hipóteses de conservação obrigatória descritas no artigo 16. Entre essas hipóteses estão o cumprimento de obrigação legal ou regulatória pelo controlador, o estudo por órgão de pesquisa garantida sempre que possível a anonimização dos dados pessoais, a transferência a terceiro desde que respeitados os requisitos de tratamento dispostos nesta Lei e o uso exclusivo do controlador vedado seu acesso por terceiro e desde que anonimizados os dados.
A portabilidade dos dados, prevista no artigo 18, inciso V, exige resposta no mesmo prazo de quinze dias, observada a regulamentação da ANPD. A Resolução CD/ANPD nº 19/2024 detalhou que o controlador deve disponibilizar os dados em formato estruturado, interoperável e legível por máquina, sendo o JSON e o CSV os formatos padrão recomendados quando não há regulamentação setorial específica. O descumprimento dessa obrigação configura infração de natureza grave para fins do artigo 52 da LGPD.
A contagem dos prazos da LGPD segue regra própria. O artigo 19, parágrafo 3º, estabelece que os prazos e procedimentos para exercício dos direitos do titular serão objeto de regulamentação pela autoridade nacional. Na ausência de regulamentação específica para determinado direito, aplica-se subsidiariamente o regime do Código Civil quanto à contagem de prazos, considerando-se dias corridos e excluindo-se o dia do início e incluindo-se o do vencimento, conforme entendimento consolidado da ANPD em fiscalizações realizadas entre 2023 e 2025.
Existem hipóteses específicas de suspensão do prazo. A primeira ocorre quando o controlador precisa solicitar informações adicionais ao titular para confirmar sua identidade, conforme autorizado pelo artigo 9º, inciso V. Nesse caso, o prazo fica suspenso desde a comunicação ao titular até o recebimento da resposta. A segunda hipótese envolve solicitações que demandem análise jurídica complexa, como pedidos de eliminação que possam conflitar com obrigações de conservação. Nessa situação, a ANPD tem admitido prorrogação fundamentada por mais quinze dias, desde que comunicada ao titular antes do vencimento do prazo original.
O regime sancionatório aplicável ao descumprimento dos prazos foi disciplinado pela Resolução CD/ANPD nº 4/2023, que estabeleceu a metodologia de dosimetria das sanções administrativas. As infrações relacionadas à inobservância de prazos para atendimento de direitos do titular são classificadas como leves quando isoladas e não recorrentes, médias quando reiteradas ou afetam direitos sensíveis, e graves quando demonstram negligência sistêmica ou afetam vulneráveis como crianças e adolescentes.
A multa simples prevista no artigo 52, inciso II, pode atingir até dois por cento do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a cinquenta milhões de reais por infração. A dosimetria considera a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a condição econômica do infrator, a reincidência, o grau do dano, a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, a adoção de política de boas práticas e governança, a pronta adoção de medidas corretivas e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Casos concretos julgados pela ANPD em 2024 e 2025 ilustram a aplicação prática desses parâmetros. No Processo Administrativo Sancionador 00261.000351/2023-11, uma instituição financeira foi advertida formalmente por não responder a solicitação de portabilidade no prazo de quinze dias, tendo sido considerados como atenuantes a boa-fé demonstrada e a adoção imediata de medidas corretivas após o início da fiscalização. Já no Processo Administrativo Sancionador 00261.001456/2024-07, uma operadora de telecomunicações recebeu multa de mais de quatorze milhões de reais por descumprimento reiterado de prazos, em padrão sistêmico que afetava milhares de titulares.
A jurisprudência administrativa tem sinalizado que a estruturação de canais adequados de atendimento ao titular, com registro temporal das solicitações, processo definido de roteamento interno e capacitação de equipes responsáveis, é considerada elemento atenuante relevante na dosimetria. Inversamente, a ausência de canal específico, a inexistência de registros que permitam aferir o atendimento aos prazos e o tratamento das solicitações como demanda comum de atendimento ao consumidor têm sido considerados fatores agravantes.
A relação entre os prazos da LGPD e os do Código de Defesa do Consumidor merece atenção. Quando o titular é simultaneamente consumidor, há concorrência de regimes protetivos. A jurisprudência administrativa da ANPD, alinhada à posição do Superior Tribunal de Justiça em precedentes como o REsp 2.130.619/SP julgado em 2024, tem reconhecido que o titular pode invocar o regime que lhe for mais favorável em cada situação concreta, não havendo prevalência automática de um sobre o outro.
A intersecção com os prazos do Marco Civil da Internet, especialmente quanto aos registros de conexão e acesso a aplicações, gera questões interpretativas específicas. O artigo 13 do Marco Civil determina guarda de registros de conexão por um ano e o artigo 15 trata dos registros de acesso a aplicações com guarda por seis meses. Esses prazos de guarda obrigatória prevalecem sobre eventuais pedidos de eliminação formulados pelo titular durante o período de conservação legal, conforme o artigo 16, inciso I, da LGPD.
Setores regulados apresentam particularidades. Instituições financeiras submetem-se também à Resolução BCB nº 4.658/2018 e à Resolução CMN nº 4.893/2021, que estabelecem obrigações específicas de governança de dados que podem impactar a contagem de prazos da LGPD. O setor de saúde observa adicionalmente a Lei nº 13.787/2018, a Resolução CFM nº 1.821/2007 atualizada em 2024 e as normas da ANVISA quanto a prontuários eletrônicos. O setor de telecomunicações deve compatibilizar a LGPD com a Resolução ANATEL nº 740/2024.
Para fins de compliance, organizações com volume relevante de solicitações devem implementar mecanismos de medição contínua do tempo médio de resposta, taxa de cumprimento dentro do prazo legal, distribuição de solicitações por tipo de direito exercido e causas de eventuais descumprimentos. A produção e conservação dessa documentação interna é considerada pela ANPD como elemento demonstrativo do princípio da responsabilização e prestação de contas previsto no artigo 6º, inciso X, podendo ser determinante na dosimetria de eventual sanção.
A interface com o Encarregado pelo Tratamento de Dados Pessoais, previsto no artigo 41, exige fluxo claro de escalonamento. Solicitações complexas que envolvam decisões jurídicas, conflitos entre direitos do titular e obrigações legais, ou questões sensíveis quanto à identificação do titular devem ser submetidas ao Encarregado dentro de prazo que não comprometa o atendimento ao titular no prazo legal. A boa prática consolidada recomenda que essa escalonamento ocorra em até três dias úteis após o recebimento da solicitação.
No campo do tratamento automatizado de dados pessoais, incluindo decisões automatizadas previstas no artigo 20 da LGPD, os prazos de resposta a solicitações de revisão merecem atenção redobrada. O titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. A controvérsia sobre se essa revisão deve ser feita por pessoa humana, originalmente prevista no projeto de lei mas vetada na sanção presidencial, foi parcialmente superada pela Resolução CD/ANPD nº 4/2024, que determina que controladores devem disponibilizar informações claras e adequadas sobre os critérios e procedimentos utilizados, sem necessariamente impor revisão humana, mas exigindo prazo de resposta compatível com o de outros direitos do titular.
A relação entre os prazos da LGPD e o direito de petição administrativa também tem sido objeto de debate. Quando o titular, frustrado com a ausência de resposta no prazo legal, formula petição direta à ANPD, abre-se procedimento de fiscalização específico cuja tramitação é regida pela Resolução CD/ANPD nº 1/2021. Nesses casos, a ANPD pode notificar o controlador para manifestação em prazo determinado, geralmente de quinze dias úteis, sem prejuízo da apuração administrativa do descumprimento original. A peticão à ANPD não substitui o exercício direto do direito pelo titular junto ao controlador, mas constitui mecanismo subsidiário de tutela.
A documentação das solicitações recebidas e das respostas fornecidas integra o que a ANPD tem denominado de Registro de Operações de Tratamento, embora a expressão Registro de Atividades de Tratamento, mais comum na doutrina e inspirada no Regulamento Geral de Proteção de Dados europeu, designe instrumento distinto previsto no artigo 37 da LGPD. O Registro de Operações de Tratamento específico para solicitações de titulares deve conter, no mínimo, identificação inequívoca da solicitação por código próprio, data e hora de recebimento, identificação do titular ou indicação de que se trata de solicitação anônima quando o caso permitir, natureza do direito exercido, data e hora da resposta, conteúdo sumário da resposta fornecida e, quando aplicável, justificativa para eventual recusa ou prorrogação de prazo. Esse registro deve ser conservado por prazo mínimo de cinco anos, conforme entendimento manifestado pela ANPD em resposta a consultas públicas em 2024.
Quanto à forma de comunicação com o titular, o artigo 9º estabelece que o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de finalidade específica do tratamento, forma e duração do tratamento, identificação do controlador, informações de contato do controlador, informações acerca do uso compartilhado de dados pelo controlador e a finalidade, responsabilidades dos agentes que realizarão o tratamento e direitos do titular. A resposta a solicitações de exercício de direitos deve observar esses mesmos parâmetros de clareza e adequação. Respostas evasivas, em linguagem excessivamente técnica que dificulte a compreensão pelo titular médio, ou que remetam a documentos extensos sem síntese acessível, têm sido consideradas pela ANPD como cumprimento meramente formal do prazo, configurando irregularidade.
A questão das solicitações em massa, especialmente após eventos de violação de dados que afetam grande número de titulares, criou desafios operacionais específicos. A ANPD, por meio do Comunicado Técnico nº 7/2024, esclareceu que o controlador pode disponibilizar resposta padrão para grupos de titulares afetados por mesma situação fática, desde que essa resposta padrão seja suficientemente específica para esclarecer os efeitos sobre cada titular individual e desde que canal de complementação individualizado permaneça aberto para esclarecimentos adicionais. Essa abordagem reconhece a realidade operacional de eventos de larga escala sem comprometer o direito individual de informação.
A interação entre os prazos da LGPD e os procedimentos judiciais merece nota final. Quando o titular ingressa diretamente com ação judicial sem prévia provocação do controlador, ou após exercício infrutífero do direito na esfera administrativa, os prazos da LGPD continuam aplicáveis às respostas que devem ser apresentadas em juízo. O Tribunal de Justiça de São Paulo, em precedente de 2024 no Agravo de Instrumento 2125478-09.2024.8.26.0000, consolidou entendimento de que o descumprimento dos prazos administrativos da LGPD configura indício de violação ao dever de tratamento adequado, podendo fundamentar tutela de urgência e inversão do ônus probatório, sem prejuízo da apuração de eventual dano moral autônomo.
Em síntese, os prazos da LGPD em 2026 consolidaram-se como elemento crítico de compliance, com fiscalização ativa da ANPD, sanções administrativas significativas em casos de descumprimento e expectativa de governança documentada por parte dos controladores. A estruturação de processos internos, a capacitação contínua das equipes e a manutenção de registros temporais auditáveis tornaram-se requisitos práticos para qualquer organização que trate dados pessoais em escala relevante. A negligência sistêmica nessa matéria deixou de ser apenas um risco regulatório teórico para tornar-se realidade concreta de autuações com valores expressivos, conforme demonstram as decisões administrativas e judiciais consolidadas nos últimos exercícios.
A integração entre os prazos da LGPD e os deveres específicos de notificação de incidentes de segurança previstos no artigo 48 acrescenta camada adicional de complexidade ao planejamento operacional. Quando ocorre incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência em prazo razoável, conforme definido pela autoridade nacional. A Resolução CD/ANPD nº 15/2024 fixou esse prazo razoável em três dias úteis contados da ciência inequívoca do incidente, prazo que se sobrepõe e pode concorrer com os prazos de resposta a solicitações individuais que tenham origem no próprio incidente. A coordenação entre essas duas obrigações exige fluxos operacionais distintos mas integrados, evitando que a resposta padronizada para a comunidade afetada substitua a resposta individualizada a titulares que exerçam direitos específicos no contexto do incidente.
Os prazos relacionados ao consentimento e sua revogação seguem regra própria estabelecida no artigo 8º, parágrafo 5º. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação. A operacionalização dessa revogação deve ser imediata no que se refere ao cessamento dos tratamentos baseados naquele consentimento, sem prejuízo de eventual prazo razoável para implementação técnica em sistemas complexos. A ANPD tem entendido que a implementação técnica não deve exceder cinco dias úteis em ambientes corporativos estruturados, sob pena de configurar descumprimento do princípio da finalidade.
A questão da identificação do titular merece reflexão específica no contexto dos prazos. O artigo 9º, inciso V, autoriza o controlador a solicitar provas razoáveis de identidade quando houver dúvidas fundadas, mas essa solicitação não pode ser utilizada como expediente protelatório. A jurisprudência administrativa tem rejeitado pedidos de documentação excessiva, como cópia de documentos oficiais quando o vínculo do titular com o controlador já permite identificação por meio menos invasivo. A Resolução CD/ANPD nº 11/2023 estabeleceu princípio de proporcionalidade na verificação de identidade, segundo o qual o esforço probatório exigido do titular deve ser compatível com o nível de risco da operação solicitada. Pedidos de simples consulta podem ser atendidos com verificação básica, enquanto pedidos de eliminação definitiva ou portabilidade de grandes volumes podem demandar verificação mais rigorosa.
Os mecanismos automatizados de atendimento, incluindo chatbots, formulários estruturados e portais de privacidade, são incentivados pela ANPD desde que preservem o direito do titular a alternativa de canal humano quando assim solicitar. O Comunicado Técnico nº 3/2025 estabeleceu que sistemas automatizados podem realizar o atendimento inicial mas não devem ser apresentados como única via, especialmente para solicitações complexas envolvendo múltiplas bases legais, conflitos entre direitos do titular e obrigações legais, ou situações de vulnerabilidade do titular. A taxa de escalonamento para atendimento humano deve ser monitorada como indicador de adequação do sistema automatizado, com taxas excessivamente baixas podendo sinalizar que o sistema está obstruindo o exercício efetivo de direitos.
A formação de equipes responsáveis pelo atendimento de solicitações de titulares é elemento cada vez mais valorizado em fiscalizações. A ANPD tem solicitado, durante inspeções, evidências documentais de capacitação periódica, conteúdos abordados em treinamentos, frequência de reciclagens e mecanismos de avaliação de competência. Equipes que demonstram domínio das hipóteses legais de tratamento, das particularidades setoriais aplicáveis e dos critérios de dosimetria interna para decisões complexas são consideradas elemento atenuante relevante na avaliação geral de maturidade em proteção de dados.
A discussão sobre prazos da LGPD não se esgota nos prazos para atendimento de direitos do titular. Existem também prazos relacionados à elaboração e atualização de Relatório de Impacto à Proteção de Dados Pessoais previsto no artigo 38, prazos para comunicação à ANPD em casos específicos, prazos prescricionais para aplicação de sanções administrativas estabelecidos pela Lei nº 9.873/1999 supletivamente aplicada conforme entendimento administrativo, e prazos para apresentação de defesa em processos administrativos sancionadores. Cada um desses prazos compõe o regime temporal completo da LGPD e demanda controle específico no programa de compliance.
A perspectiva comparada com o Regulamento Geral de Proteção de Dados europeu revela tanto convergências quanto particularidades brasileiras. O artigo 12 do RGPD estabelece prazo de um mês para resposta a solicitações dos titulares, prorrogável por mais dois meses em situações complexas. A LGPD adotou prazo mais curto de quinze dias para algumas modalidades, refletindo opção legislativa por celeridade. Essa diferença influencia decisões de governança em grupos multinacionais, que frequentemente optam por adotar o padrão mais rigoroso aplicável a cada operação, evitando complexidade operacional de manter prazos distintos por jurisdição.
Conecte-se a profissionais que atuam nesta área.
Ver diretório