Carregando agora

Direito ao Esquecimento Digital na LGPD: Mito ou Realidade?

Direito ao Esquecimento Digital na LGPD

Quando alguém pede para “sumir da internet”, o que exatamente a empresa deve fazer? O direito ao esquecimento digital LGPD costuma virar um campo minado entre jurídico, marketing e TI. Um pedido mal conduzido gera conflito com liberdade de expressão, prejudica evidências necessárias e ainda coloca a empresa na mira da ANPD.

A confusão piora com o histórico judicial do tema. O STF, no RE 1.010.606/RJ (Tema 786/STF), rejeitou a ideia de um “direito ao esquecimento” amplo, mas a LGPD garante direitos de eliminação, bloqueio e anonimização em situações específicas. Onde uma coisa começa e a outra termina? É isso que vamos destravar neste guia direto ao ponto, com a visão prática que aplicamos diariamente nas consultorias da LGPDPRO.

Se você é advogado, DPO ou gestor, este artigo é para tomar decisões com segurança — sem apagar dados que não podem ser apagados, nem manter dados que já viraram passivo.

Direito ao esquecimento digital LGPD: o que é e o que não é

Comece pelo princípio: a LGPD não criou um “botão de apagar o passado”. O que ela oferece é um conjunto de direitos e obrigações que, na prática, podem resultar em exclusão ou restrição de dados pessoais em determinados cenários.

  • O que não é: um direito genérico de remover fatos verdadeiros de interesse público só pelo decurso do tempo. O STF rejeitou essa ideia no RE 1.010.606/RJ.
  • O que é: direitos específicos do titular, como eliminação de dados tratados com consentimento e anonimização/bloqueio de dados desnecessários, excessivos ou tratados em desconformidade (Art. 18), além de oposição ao tratamento quando a base legal não se sustenta (Art. 18, § 2º).

Insight crítico: Não existe “direito ao esquecimento” amplo. Existe o dever de tratar dados com base legal clara, finalidade legítima, minimização e retenção limitada. Se isso falha, o resultado pode ser exclusão.

O que decidiu o STF e por que isso importa

No Tema 786/STF, o Supremo entendeu ser incompatível com a Constituição a ideia abstrata de “apagar fatos verídicos pelo tempo”. Contudo, o próprio julgamento deixou claro: casos concretos podem exigir restrições ou remoções quando há abuso, violação da intimidade, dano ou tratamento ilícito — e aqui a LGPD entra com instrumentos específicos.

Tradução para o dia a dia: não se remove conteúdo jornalístico legítimo apenas porque “incomoda”, mas se avalia base legal, interesse público, necessidade, proporcionalidade e eventual ilegalidade no tratamento.

O que isso significa na prática?

Para indivíduos:

  • Você pode pedir confirmação e acesso aos seus dados (Art. 18, I e II).
  • Pode solicitar correção de dados incompletos, inexatos ou desatualizados (Art. 18, III).
  • Se os dados são desnecessários, excessivos ou ilícitos, cabe anonimização, bloqueio ou eliminação (Art. 18, IV).
  • Se a base for consentimento, você pode pedir a exclusão (Art. 18, VI) e revogar o consentimento (Art. 18, IX).
  • Pode apresentar oposição ao tratamento sem consentimento quando houver desconformidade (Art. 18, § 2º).

Para empresas (controladores):

  • Deve responder pedidos de confirmação e acesso em prazo objetivo (Art. 18, § 5º), com registro do atendimento.
  • Deve excluir dados ao fim do tratamento e manter apenas quando houver fundamento de retenção (Art. 16).
  • Deve conseguir provar a base legal e a finalidade do tratamento (Art. 7º e princípios do Art. 6º).
  • Deve oferecer transparência e canal para titulares, com governança para decisões difíceis (ex.: indexadores, UGC, conteúdo histórico).

Verdade dura: sem política de retenção e descarte, sua empresa confunde “dado valioso” com “bomba-relógio”.

Por que isso é um risco para o seu negócio?

  • Sanções e fiscalizações: ausência de base legal, retenção sem fundamento e respostas fora do prazo chamam a atenção da ANPD.
  • Litígios e imagem: pedidos mal tratados viram ações por danos morais, especialmente em casos de dados sensíveis ou exposição indevida.
  • Custos operacionais: sem processos, cada solicitação vira “caso especial”, consome horas de time e atrasa o negócio.
  • Risco reputacional: apagar quando não pode e manter quando deve apagar é receita para crise pública.

Como começar a se adequar (passo a passo)?

  1. Mapeie o ciclo de vida dos dados. Identifique origem, base legal, finalidade, prazo e destino. Sem inventário, não há decisão consistente.
  2. Classifique as bases legais. Para cada tratamento, valide se é consentimento, legítimo interesse, obrigação legal, execução de contrato etc. O que é consentimento pode ser excluído; o que é obrigação legal precisa ser retido.
  3. Implemente política de retenção e descarte. Vincule cada categoria de dado a prazos e critérios do Art. 16. Documente exceções.
  4. Estruture o fluxo de atendimento ao titular (DSAR). Padronize triagem, verificação de identidade, análise jurídica, decisão e resposta. Registre tudo.
  5. Defina critérios para remoção de conteúdo. Diferencie: remoção de dado pessoal nos seus sistemas vs. solicitação de desindexação a buscadores vs. retenção por obrigação legal.
  6. Automatize onde fizer sentido. Modelos de resposta, playbooks, e integrações com CRM/ERP ajudam a cumprir prazos e reduzir erro humano.
  7. Treine áreas de contato. Marketing, SAC e Jurídico precisam falar a mesma língua. Assunto sensível não se resolve no improviso.

Na consultoria da LGPDPRO, estruturamos esse fluxo ponta a ponta, com templates e decisões orientadas por risco.

Erros comuns que custam caro

  • Confundir LGPD com “apaga tudo”. Há dados que precisam ser mantidos por obrigação legal, defesa em processos ou auditoria (Art. 16).
  • Usar “legítimo interesse” como curinga. Sem balancing test e transparência, a base cai — e o pedido de exclusão vence.
  • Esquecer logs e backups. Exclusão também precisa de política para réplicas e cópias, dentro de limites técnicos e prazos razoáveis.
  • Responder sem verificar identidade. Entregar dados a quem não é o titular é vazamento com carimbo.
  • Não registrar decisões. Em auditorias, “fizemos” sem evidência é igual a “não fizemos”.

O que a ANPD realmente fiscaliza

  • Princípios do Art. 6º na prática: finalidade, adequação, necessidade e segurança refletidos em políticas e sistemas.
  • Base legal e registros de tratamento: documentação atualizada, inclusive das hipóteses do Art. 7º.
  • Resposta ao titular: prazo, conteúdo e rastreabilidade do atendimento (Art. 18).
  • Governança de retenção e descarte: critérios do Art. 16, inclusive bloqueio quando cabível.
  • Gestão de riscos e DPIA quando necessário: especial atenção a dados sensíveis e decisões automatizadas (Art. 20).

Exemplos práticos que evitam dor de cabeça

  • Blog corporativo com casos reais: mantenha conteúdo de interesse público, mas avalie anonimização quando a identificação do indivíduo não é essencial à narrativa.
  • Base de leads “antigos” de campanhas: sem interação por longo período e sem base legal atual, descarte programado e prova de eliminação.
  • Reclame aqui de ex-funcionário: não é “esquecimento”. Verifique fundamento legal, eventual abuso e políticas da plataforma; trate o dado que você controla e documente a decisão.

Dica de Ouro da LGPDPRO

Trate “esquecimento” como governança de ciclo de vida de dados, não como briga de remoção. Quem domina base legal, minimização e retenção decide rápido e com segurança.

Se você quer acelerar, temos três caminhos complementares:

Modelos e cláusulas úteis

Trechos que costumam funcionar bem quando adaptados ao seu contexto:

Política de Retenção:
"Dados pessoais serão mantidos apenas pelo tempo necessário ao cumprimento das finalidades informadas,
ou para cumprimento de obrigação legal ou regulatória, conforme Art. 16 da LGPD. Ao término do prazo,
serão eliminados ou anonimizados, respeitados limites técnicos e de auditoria."

Atendimento ao Titular (DSAR):
"Para exercer seus direitos (Art. 18), envie solicitação pelo canal X. Podemos solicitar comprovação de
identidade. Responderemos em prazo objetivo, indicando as medidas adotadas e fundamentos legais
para eventual impossibilidade de exclusão imediata."

Critérios de Exclusão:
"Dados tratados com base em consentimento serão excluídos mediante revogação, salvo hipóteses de
retenção do Art. 16. Para tratamentos com base em legítimo interesse, realizaremos avaliação de
proporcionalidade e, se aplicável, bloqueio, anonimização ou eliminação."

Conclusão: mito e realidade, lado a lado

O “esquecimento” absoluto é mito. A realidade é uma combinação de direitos do titular com governança de dados que decide, caso a caso, o que deve ser eliminado, bloqueado, anonimizado ou mantido com base legal. Foi assim que o STF delimitou o tema, e é assim que a LGPD opera no dia a dia.

E então: sua empresa está protegida ou exposta? Se você ainda decide “no feeling”, é hora de profissionalizar. Agende um diagnóstico com a LGPDPRO e coloque regra no jogo.

Fale com a LGPDPRO agora e transforme pedidos de exclusão em decisões seguras e defensáveis.

Compartilhe este conteúdo

Emerson Rocha é especialista em LGPD, DPO Profissional e fundador do blog LGPD Pro. Reconhecido por sua atuação técnica na área, foi membro da primeira composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), onde contribuiu para as discussões iniciais sobre a regulamentação da lei no Brasil. Através de seus artigos, busca descomplicar a LGPD e oferecer insights práticos para profissionais e empresas que buscam a conformidade.

Publicar comentário