"Quero que apaguem meus dados": o que o provedor faz quando o cliente pede

</> Ver como Markdown
Resumo em 30 segundos

A resposta direta

Quando um assinante pede para apagar, ver, corrigir ou exportar os dados dele — ou para revogar um consentimento que deu antes —, ele está exercendo um direito garantido pela LGPD, e o atendimento precisa de um processo, não de improviso. O caminho honesto tem cinco passos: confirmar a identidade do titular, entender exatamente o que ele quer, registrar o pedido formalmente, encaminhar ao responsável (DPO ou jurídico) e responder dentro do prazo legal. E há uma nuance que separa quem faz certo de quem cria problema: exclusão não é um botão mágico — o provedor tem obrigações legais e fiscais que podem exigir reter parte dos dados. A IA acolhe, valida e registra; quem decide o que apaga é o humano responsável.

O resto do artigo detalha cada passo, os tipos de pedido que chegam e por que a nuance da retenção é a parte que mais gente erra.

Aviso: este texto é informativo e descreve como organizar o atendimento a pedidos de direitos do titular. Não é aconselhamento jurídico. Prazos exatos, bases legais e o que pode ou não ser eliminado devem ser validados com o jurídico ou um advogado especializado em proteção de dados.

Quais são os pedidos que chegam de verdade

Os direitos do titular na LGPD são vários, mas no atendimento de um provedor eles aparecem em quatro formas concretas e recorrentes:

Reconhecer qual dos quatro está na frente é o primeiro trabalho do atendimento. Um "não me manda mais propaganda" tratado como "quero cancelar meu plano" custa um cliente. Um "quero meus dados" respondido sem confirmar identidade custa uma multa.

Passo 1: confirmar a identidade antes de qualquer coisa

Esta é a etapa que não pode ser pulada, e é a mais fácil de esquecer no calor do atendimento. Um pedido de direito do titular só pode ser processado depois de confirmar que quem pede é mesmo o titular. O raciocínio é direto:

A confirmação segue a mesma lógica de qualquer ação sensível: o vínculo do canal ao cadastro no ERP e, quando necessário, a confirmação de um dado que só o titular tem — nunca uma senha. É exatamente o método descrito no artigo sobre verificação de identidade do assinante. Aqui a régua é rígida: pedido de direito do titular é sempre ação sensível, porque expõe ou destrói dado pessoal. Sem identidade confirmada, o pedido não anda.

Passo 2: entender exatamente o que o cliente pede

Depois de confirmada a identidade, o atendimento precisa traduzir o pedido em linguagem clara. "Apaga tudo" pode significar coisas muito diferentes: apagar de verdade, parar de receber mensagens, cancelar o serviço, ou só remover um dado específico. Perguntar com calma o que a pessoa quer — sem jargão jurídico, sem transformar em interrogatório — evita processar o pedido errado.

Vale separar, em especial, revogar consentimento de cancelar o serviço. São coisas distintas:

Confundir os dois faz o provedor cancelar quem só queria silêncio, ou continuar mandando propaganda para quem pediu para parar. Entender o pedido com precisão é o que garante que o passo seguinte trate a coisa certa.

Passo 3: a nuance crítica — exclusão não é botão mágico

Aqui está a parte que mais gente erra, e a mais importante deste artigo. Um pedido de exclusão não obriga o provedor a apagar tudo imediatamente. O direito do titular à eliminação existe, mas convive com outras obrigações legais que podem exigir a retenção de parte dos dados:

O que isso significa na prática: quando chega um "apaga tudo", a resposta correta não é "pronto, apaguei", nem "não posso apagar nada". É acolher o pedido, registrá-lo e encaminhá-lo a quem decide — o DPO ou o jurídico — que vai separar o que pode ser eliminado do que a lei obriga a reter, e comunicar isso ao cliente de forma transparente. O titular tem direito de saber que parte dos dados será mantida por obrigação legal, e por quanto tempo.

É por isso que a decisão nunca pode ser da IA nem do atendente de linha de frente sozinho. É uma decisão que mistura direito, fiscal e regulatório — e exige um dono humano, como manda qualquer boa governança de IA no atendimento.

Passo 4: registrar e encaminhar ao responsável

Todo pedido de direito do titular precisa virar um registro formal: quem pediu, o quê, quando, por qual canal, e a confirmação de que a identidade foi validada. Esse registro serve a dois propósitos. Primeiro, inicia o relógio do prazo de resposta de forma rastreável — sem registro, o pedido se perde na conversa e o prazo estoura sem ninguém perceber. Segundo, é a prova de que o provedor tratou a solicitação com diligência, algo que a própria LGPD valoriza.

Do registro, o pedido vai para o responsável designado — o DPO (encarregado de dados), o jurídico, ou quem a operação nomear. Num provedor menor, pode ser o dono ou o coordenador com apoio jurídico externo. O que não funciona é a responsabilidade difusa: se ninguém é dono do processo, o pedido morre na caixa de entrada.

Passo 5: responder dentro do prazo legal

A LGPD prevê que o controlador responda ao titular, e há prazos definidos na lei para isso. Como o prazo específico e a forma de contá-lo dependem do tipo de pedido e de interpretação jurídica, o provedor deve fixar esse prazo com o seu jurídico e cumpri-lo com folga — não improvisar um número no meio do atendimento. A resposta ao cliente deve ser clara: o que foi feito, o que foi eliminado, o que precisa ser retido por obrigação legal e por quê.

O ponto operacional é simples: quem garante que o prazo seja cumprido é o registro do passo 4, não a memória de ninguém. Um pedido registrado com data e encaminhado no ato dá ao responsável o tempo necessário para decidir e responder. Um pedido que ficou solto no WhatsApp é o que vira multa.

Onde a IA ajuda (e onde ela não decide)

Um agente de IA bem desenhado é uma excelente porta de entrada para pedidos de direitos do titular — e um péssimo lugar para a decisão sobre eles. A divisão é clara.

A IA faz bem:

A IA não faz — por design:

Essa fronteira é o que transforma a automação em aliada da conformidade, e não em risco. A IA remove o gargalo da recepção — que o cliente não fique sem resposta, que o pedido não se perca, que a identidade seja confirmada — e entrega ao humano exatamente o que exige julgamento. É o mesmo princípio que rege qualquer escalonamento com contexto: a IA prepara, o humano decide.

O resumo prático

Pedido de direito do titular não precisa ser um susto. Precisa de um processo: confirma quem é, entende o que quer, registra, encaminha a um dono humano e responde no prazo. E precisa de honestidade sobre a nuance que quase todo mundo erra — exclusão não é apagar tudo na hora, porque a lei que dá o direito de eliminar é a mesma que obriga a reter parte dos registros. Um provedor que tem esse fluxo montado responde ao cliente com segurança e à autoridade com diligência. Um que improvisa descobre o problema quando já é tarde.

Se você quer ver como um agente de IA acolhe, valida a identidade e registra esse tipo de pedido para o seu jurídico decidir — sem nunca apagar nada sozinho —, agende uma demonstração de 20 minutos.

Fontes e mais leitura

Perguntas frequentes

O cliente pode exigir que o provedor apague todos os dados dele?

Ele tem o direito de pedir a exclusão dos dados pessoais, sim — a LGPD garante isso ao titular. Mas o pedido não é absoluto: o provedor tem obrigações legais que podem exigir a guarda de parte dos dados mesmo depois do pedido, como registros fiscais e a guarda de registros de conexão prevista no Marco Civil da Internet. Na prática, o atendimento acolhe o pedido, confirma a identidade e o encaminha ao responsável (DPO ou jurídico), que decide o que pode ser eliminado e o que a lei obriga a manter — e comunica isso ao cliente de forma transparente. A IA não apaga nada por conta própria.

Preciso confirmar a identidade antes de atender um pedido de exclusão ou de cópia dos dados?

Sempre, e essa é a etapa mais importante. Entregar uma cópia dos dados a quem não é o titular é vazamento; apagar os dados a pedido de um terceiro é sabotagem da conta de outra pessoa. Antes de processar qualquer direito do titular, o atendimento precisa confirmar que quem está pedindo é mesmo o dono dos dados — pelo vínculo do canal ao cadastro no ERP e pela confirmação de um dado que só o titular tem, nunca por senha. Só depois de confirmada a identidade o pedido segue para registro e encaminhamento.

Qual o prazo para responder a um pedido de direito do titular?

A LGPD prevê que o controlador responda ao titular, e há prazos definidos na lei conforme o tipo de solicitação. Como o prazo específico e sua contagem dependem da natureza do pedido e de interpretação jurídica, o mais seguro é o provedor definir esse prazo com o seu jurídico ou DPO e cumpri-lo com folga. O papel do atendimento é registrar o pedido com data e hora e encaminhá-lo imediatamente ao responsável, para que o relógio não comece a correr sem ninguém saber. Perder o prazo por falta de processo é um risco evitável.

O que significa revogar o consentimento, e o cliente perde o serviço se fizer isso?

Revogar consentimento é o titular retirar uma autorização que deu antes — por exemplo, para receber comunicações de marketing. Não é a mesma coisa que cancelar o serviço. Tratamentos que se apoiam em outra base legal, como a execução do contrato de internet, continuam válidos independentemente do consentimento para marketing. Ou seja: o cliente pode pedir para parar de receber ofertas sem que isso afete a prestação do serviço. O atendimento deve saber distinguir os dois pedidos e não tratar 'não quero mais receber propaganda' como 'quero cancelar'.

A IA pode processar sozinha um pedido de exclusão de dados?

Não deve, e um bom sistema não permite. Direitos do titular envolvem decisões que misturam obrigações legais, fiscais e regulatórias — a IA não tem (nem deveria ter) autonomia para apagar uma base ou entregar todos os dados de alguém. O papel dela é o de porta de entrada bem-feita: acolher o pedido a qualquer hora, confirmar a identidade, registrar formalmente com todo o contexto e escalar para o DPO ou jurídico, que decide e executa. Automatizar a recepção do pedido é útil; automatizar a decisão sobre ele seria imprudente.

Esse conteúdo substitui a orientação de um advogado sobre LGPD?

Não. Este texto descreve, de forma operacional, como estruturar o atendimento a pedidos de direitos do titular — mas as decisões sobre prazos exatos, bases legais, o que pode ser apagado e o que precisa ser retido devem ser validadas com o jurídico ou um advogado especializado em proteção de dados. O objetivo aqui é dar ao provedor um processo claro para não travar nem prometer o impossível, não substituir a assessoria jurídica que cada operação precisa ter.

Atendimento com IA para o seu provedor

Agentes de IA que atendem telefone e WhatsApp do seu provedor 24/7, conectados ao IXC, MK-Auth e Hubsoft. Implementação em 14 dias.

Agendar demonstração