A Lei Geral de Proteção de Dados (Lei 13.709/2018) dá pra qualquer pessoa nove direitos sobre os seus dados pessoais, CPF, RG, telefone, endereço, dados bancários, do INSS. Você pode exigir do banco, do INSS, da loja, do plano de saúde e de qualquer empresa: confirmação, acesso, correção, eliminação, portabilidade, informações sobre compartilhamento, revogação do consentimento e oposição ao uso. Todo controlador é obrigado a ter um Encarregado de Proteção de Dados (DPO), com canal de contato divulgado. O prazo padrão de resposta é 15 dias. E se houve vazamento, a empresa é obrigada a comunicar você e a ANPD.

A urgência é prática. Em 2023, a Autoridade Nacional de Proteção de Dados recebeu mais de 1.200 comunicações de incidentes de segurança, boa parte envolvendo bases com CPF, RG e dados bancários. No mesmo período, a Operação Sem Desconto da Polícia Federal e do INSS identificou aproximadamente R$ 2 bilhões em descontos associativos não autorizados em benefícios de aposentados e pensionistas. Saber o que pedir, e como pedir, é a defesa concreta contra esse tipo de abuso.

Os 9 direitos do titular (LGPD art. 18)

A LGPD lista de forma direta o que você pode pedir. O artigo 18 da Lei 13.709/2018 diz:

“O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I, confirmação da existência de tratamento; II, acesso aos dados; III, correção de dados incompletos, inexatos ou desatualizados; IV, anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V, portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa (…); VI, eliminação dos dados pessoais tratados com o consentimento do titular (…); VII, informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII, informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX, revogação do consentimento (…).”

Isso significa que, são nove coisas que você pode pedir:

  1. Confirmação, se a empresa trata seus dados.
  2. Acesso, cópia de tudo o que ela tem.
  3. Correção, arrumar dado errado ou desatualizado.
  4. Eliminação ou anonimização, apagar dado desnecessário ou tratado fora da lei.
  5. Portabilidade, passar seus dados pra outra empresa.
  6. Eliminação após consentimento, apagar o que você só deixou usar porque consentiu.
  7. Informação sobre compartilhamento, pra quem a empresa passou seus dados.
  8. Informação sobre não consentir, o que acontece se você se recusar.
  9. Revogação, voltar atrás no consentimento.

Cada direito vale contra qualquer empresa ou órgão público que trate seus dados, banco, INSS, plano de saúde, loja, financeira, telecom, prefeitura.

O Encarregado (DPO): quem recebe o pedido

A LGPD obriga todo controlador a indicar uma pessoa responsável por receber as requisições dos titulares: o Encarregado pelo Tratamento de Dados Pessoais, também chamado de DPO. O artigo 41 da Lei 13.709/2018 determina que a identidade e o contato do Encarregado sejam divulgados publicamente, geralmente no rodapé do site ou na política de privacidade.

Pra mandar um pedido:

  1. Procure no site da empresa o canal do Encarregado (termos comuns: “Encarregado”, “DPO”, “Privacidade”, “Proteção de Dados”).
  2. Anote o e-mail ou formulário indicado.
  3. Escreva o pedido por escrito. Diga qual direito está exercendo, inclua nome completo, CPF e cópia de documento.
  4. Guarde protocolo ou número de atendimento. É a prova de que você pediu.

A ANPD orienta que o titular use linguagem simples, não precisa de juridiquês.

Prazo de resposta: 15 dias para confirmação e acesso, conforme art. 19 da LGPD. Para outros direitos, o prazo padrão tende a 15 dias, com possibilidade de justificativa em casos complexos. Se passar do prazo sem resposta, é hora de escalar.

O que dá pra exigir do banco

Banco é um dos controladores que mais trata dado seu, saldo, extrato, score, contrato, telefone. Pelos direitos da LGPD, dá pra pedir cópia completa do que o banco tem (incluindo histórico de propostas e gravação de ligação), corrigir endereço ou telefone que está errado, exigir a lista de quem recebeu seu dado (bureau de crédito, correspondente, parceiro) e revogar consentimento de marketing.

Sobre ligação de oferta de crédito que ninguém pediu, quando o banco usa dado obtido fora dos limites do consentimento, há violação. A reclamação vai direto pra ANPD, em paralelo ao Procon e ao Bacen. Caminhos completos de reclamação contra banco estão no guia direitos do aposentado contra bancos, lojas e golpistas.

O que dá pra exigir do INSS

O INSS é controlador de uma das bases mais sensíveis do país, dados do CNIS, histórico contributivo, valores de benefício, descontos. A LGPD vale pra órgão público também, com adaptações previstas no Capítulo IV da Lei 13.709/2018.

O Encarregado do INSS está identificado na seção de Proteção de Dados do site do INSS. Pelo canal do Encarregado, dá pra pedir confirmação de quem acessou seu cadastro, correção de dado errado no CNIS que não foi resolvido pela via comum do Meu INSS e lista das instituições que receberam seus dados (bancos consignatários, conveniados).

Sobre descontos associativos não autorizados, o caminho principal continua sendo o Meu INSS (contestação direta) e a Defensoria Pública da União. Mas o pedido baseado em LGPD funciona como camada adicional: força o órgão a dar resposta documentada.

Quando uma empresa liga e você nunca deu o número

Telemarketing oferecendo empréstimo, plano ou seguro em um número que você só passou pro banco ou pro hospital? Mande pelo canal do Encarregado da empresa que ligou: confirmação de tratamento, acesso aos dados, informação sobre a origem do CPF e telefone, e eliminação dos dados.

A empresa é obrigada a responder em 15 dias. Se a origem foi compra de base, parceiro sem contrato válido ou vazamento, é violação. Material completo sobre ligação insistente está em telemarketing abusivo: como bloquear e reclamar.

Vazamento de dados: o que fazer

Vazamento é quando uma empresa que tinha seus dados perde o controle deles, por invasão, falha de segurança ou erro interno. O artigo 48 da LGPD é claro:

“O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”

Se houve vazamento de dado seu, a empresa tem que avisar você, com informação sobre o que vazou, possíveis consequências e medidas tomadas.

Se você recebeu o aviso (ou descobriu por notícia):

  1. Guarde o aviso ou print da notícia. É prova.
  2. Faça denúncia à ANPD pelo canal de atendimento do cidadão no site gov.br/anpd.
  3. Ative proteção de CPF. Bloqueio preventivo no Serasa, no SPC, alerta de consulta, passo a passo em CPF protegido: como evitar fraude.
  4. Cheque Registrato do Banco Central pra ver se algum contrato apareceu no seu nome.
  5. Se houve dano (cobrança, empréstimo no seu nome, negativação), considere ação no JEC com pedido de indenização. A LGPD prevê responsabilização civil de quem trata dados sem cuidado.

Como denunciar à ANPD

A ANPD é o órgão fiscalizador da LGPD, autarquia federal pela Lei 13.853/2019. O Decreto 11.348/2023 reorganizou sua estrutura e reforçou a capacidade fiscalizatória.

Quando denunciar:

  • Empresa não respondeu seu pedido em 15 dias.
  • Resposta foi negativa sem justificativa válida.
  • Houve vazamento e a empresa não comunicou.
  • Você suspeita de uso indevido dos seus dados (oferta de crédito que ninguém pediu, perfil compartilhado sem consentimento).

A denúncia é feita pelo site gov.br/anpd, com formulário próprio. A ANPD pode abrir procedimento, aplicar multas (limite de R$ 50 milhões por infração) e impor obrigações de correção. Guarde protocolo de tudo: pedido feito ao Encarregado, resposta (ou ausência) e denúncia. Esse conjunto vira prova em eventual ação judicial.

Estatuto do Idoso + LGPD: proteção em camadas

Quem tem 60 anos ou mais tem proteção dupla. A LGPD vale por si; e o Estatuto do Idoso (Lei 10.741/2003), no artigo 110, agrava as penas de crime financeiro contra idoso, incluindo fraudes que dependem de uso indevido de dado pessoal. Combinar as duas leis dá base mais forte pra contestar contrato e pedir indenização.

Perguntas frequentes

Preciso de advogado pra mandar pedido pro Encarregado? Não. A LGPD foi pensada pra ser exercida diretamente pelo titular, de forma direta.

E se a empresa não responder em 15 dias? Junte a prova do pedido e denuncie à ANPD pelo site gov.br/anpd. O Procon também aceita reclamação por violação de LGPD.

Vale pra órgão público também? Vale. INSS, Receita, prefeitura, secretaria estadual, o Capítulo IV da LGPD trata do Poder Público.

Posso pedir pra apagar tudo que o banco tem sobre mim? Em regra, não, o banco tem obrigação legal de guardar histórico financeiro por anos. Mas dá pra pedir eliminação de dado que excede a finalidade legítima (marketing, perfil de oferta).

O que fica

A LGPD é uma lei que pesa quando você sabe usar. Nove direitos no artigo 18, um Encarregado obrigatório em cada empresa, prazo de 15 dias pra resposta e ANPD como instância final. É um conjunto que mudou o jogo desde 2020, antes, ligação invasiva e vazamento sem aviso não tinham órgão pra acionar; hoje, têm.

Pra quem tem 60 anos ou mais, a LGPD se soma ao Estatuto do Idoso e ao Código de Defesa do Consumidor. Três camadas de proteção que funcionam ao mesmo tempo. Quando um banco te liga com oferta que você nunca pediu, quando aparece desconto associativo que ninguém autorizou, quando o INSS deixa CPF circular por base que não devia, em todos esses casos, há base legal pra contestar com força.

O passo concreto a guardar é a rotina: pedido escrito pelo canal do Encarregado, com nome, CPF e documento, dizendo qual direito você está exercendo. Guarde o protocolo, conte os 15 dias. Se a empresa não responder ou responder mal, gov.br/anpd é o próximo endereço. Pra quem desconfia de vazamento, vale antes ativar a proteção de CPF, bloqueio no Serasa e SPC, alerta de consulta, conferência no Registrato. É a defesa que funciona enquanto a denúncia tramita.