Exclusão de Dados Pessoais: quando o Usuário pode exigir e o que a sua empresa precisa fazer

Escrito por Maria Andrade, advogada especialista em proteção de dados e LGPD para empresas de tecnologia e fintechs na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 22/06/2026

Imagine o seguinte cenário: um cliente decide cancelar a assinatura da sua plataforma SaaS ou encerrar a conta na sua fintech. Minutos depois, chega um e-mail com tom de urgência no suporte. Ele exige a exclusão de dados pessoais imediata e irrestrita, incluindo todas as suas informações do banco de dados, citando a Lei Geral de Proteção de Dados (LGPD).

O primeiro instinto de muitos times de atendimento é acatar o pedido rapidamente para evitar dores de cabeça jurídicas ou reclamações em redes sociais. Por outro lado, apagar tudo cegamente pode colocar o seu negócio em um risco legal gravíssimo.

O que poucos percebem é que o direito à eliminação de informações não é absoluto. Existe uma linha tênue entre respeitar a privacidade do usuário e cumprir com as obrigações legais da sua própria empresa. A seguir, vamos destrinchar exatamente quando você precisa apagar esses dados, quando deve retê-los e como estruturar esse processo sem travar a sua operação.

O mito da exclusão total de dados

Quando a LGPD (Lei nº 13.709/2018) entrou em vigor, criou-se um pânico generalizado no mercado de tecnologia de que os usuários teriam controle supremo sobre os bancos de dados das empresas. Na prática, a história é bem diferente.

Embora o Artigo 18 da lei garanta aos titulares o direito de solicitar a eliminação dos seus dados, essa regra vem acompanhada de uma série de exceções vitais. O seu negócio não é um mero repositório que deve ser esvaziado ao menor sinal de insatisfação do cliente.

Vale destacar que a sua empresa também responde a outros órgãos e regulamentações. Se você opera uma fintech, por exemplo, o Banco Central exige a guarda de históricos transacionais para prevenção à lavagem de dinheiro. Se você tem uma plataforma digital, o Marco Civil da Internet obriga a retenção de logs de acesso.

Isso significa que a “exclusão total” quase nunca é, de fato, total. O desafio do empresário moderno é saber equilibrar o pedido do usuário com a política de retenção da companhia, justificando de forma transparente o porquê algumas informações simplesmente não podem sumir do servidor.

Quando a exclusão de dados pessoais é obrigatória?

Ainda que existam ressalvas, o direito do usuário deve ser respeitado em situações específicas. Ignorar uma solicitação válida pode resultar em multas pesadas e danos irreversíveis à reputação da sua marca no mercado.

O usuário tem o direito legítimo de exigir a exclusão de dados pessoais quando essas informações não são mais necessárias para a finalidade original. Se você coletou o e-mail de um lead apenas para enviar um e-book e não há outra base legal que justifique reter esse contato, ele deve ser apagado caso o usuário solicite.

Além disso, a eliminação é obrigatória quando o tratamento dos dados era baseado exclusivamente no consentimento e o titular decide revogá-lo. Se não houver um contrato ativo, uma obrigação legal ou um interesse legítimo claro e documentado, os dados atrelados a esse consentimento perdem a validade jurídica de armazenamento.

Por fim, qualquer dado tratado de forma ilícita, irregular ou excessiva deve ser descartado. Se a sua plataforma coleta informações pessoais sem necessidade real para a prestação do serviço, o usuário pode exigir a exclusão imediata.

O que a sua empresa não pode (e não deve) apagar

Para facilitar a tomada de decisão do seu time de operações e jurídico, é crucial mapear as exceções à regra de exclusão. O Artigo 16 da LGPD é o melhor amigo do empreendedor nesses momentos, pois garante a conservação dos dados em cenários críticos.

A tabela abaixo resume os principais conflitos de exclusão que plataformas e fintechs enfrentam no dia a dia, e como você pode se posicionar diante deles:

Como demonstrado acima, o argumento regulatório pode se sobrepor ao pedido do titular. Contudo, é fundamental que esses dados retidos sejam isolados. Eles não podem continuar sendo usados para campanhas de marketing ou análise de perfil comercial; devem ficar armazenados de forma segura apenas para fins de auditoria ou defesa legal.

Como estruturar a retenção e exclusão na prática

Saber a teoria é importante, mas o gargalo real das empresas de tecnologia está na operação. Receber chamados via e-mail e procurar dados manualmente em dezenas de sistemas espalhados (CRMs, ERPs, bancos de dados em nuvem) é um modelo insustentável que não escala.

A solução passa por criar uma Política de Retenção e Exclusão de Dados robusta e automatizada. Essa política deve definir prazos de descarte para cada categoria de dado (o que chamamos de ciclo de vida do dado). Quando o prazo expira, o sistema deve eliminar a informação automaticamente. Porém, é importante a revisão e confirmação humana das decisões tomadas e dos protocolos considerados.

Nesse contexto, o uso de inteligência artificial e ferramentas automatizadas de governança é um diferencial competitivo enorme. Plataformas de descoberta de dados (Data Discovery) conseguem varrer seus servidores, identificar onde estão os dados de um usuário específico e aplicar regras de mascaramento (anonimização) ou exclusão com um clique.

Conclusão

Lidar com a solicitação de exclusão de dados pessoais não precisa ser uma crise operacional nem um risco jurídico para o seu negócio. Compreender que o direito do titular encontra limites nas obrigações legais da sua empresa é o primeiro passo para uma gestão de privacidade madura e profissional.

Em resumo, a chave para o sucesso é a governança aliada à tecnologia. Ao documentar suas justificativas de retenção e automatizar a varredura e limpeza dos bancos de dados, você protege o negócio contra multas e atende o consumidor com agilidade e transparência.

Na NDM Advogados, entendemos profundamente a realidade das plataformas de tecnologia e fintechs. Sabemos que você precisa de segurança jurídica sem engessar a sua inovação. Se a sua empresa ainda gerencia solicitações de dados manualmente ou tem dúvidas sobre o que pode ou não apagar, nossa equipe especializada em Direito Digital e Proteção de Dados está pronta para ajudar a estruturar políticas ágeis para o seu negócio.

FAQ

1. O cliente pediu para apagar todos os dados, mas ele está me devendo. O que eu faço?

O exercício regular de direitos em cobrança de dívidas e a proteção do crédito (previstos na LGPD) permitem que você retenha as informações do devedor até que a pendência financeira seja resolvida.

2. Sou uma startup de tecnologia, sou obrigado a apagar os logs de IP se o usuário pedir?

Não. O Marco Civil da Internet obriga provedores de aplicações a guardarem os registros de acesso (IP, data e hora) por, no mínimo, seis meses. O pedido do usuário não anula essa obrigação legal.

3. Qual é o prazo legal para responder a um pedido de exclusão de dados pessoais?

A Agência Nacional de Proteção de Dados (ANPD) estabelece que as solicitações de direitos dos titulares, incluindo a exclusão, devem ser respondidas de forma imediata (quando em formato simplificado) ou em até 15 dias para declarações completas e detalhadas.

4. Posso apenas anonimizar o dado em vez de excluí-lo do servidor?

Sim. A LGPD considera que dados verdadeiramente anonimizados (que não podem ser revertidos para identificar a pessoa) perdem o caráter de “dado pessoal”. É uma excelente prática para empresas que precisam manter relatórios estatísticos e treinar modelos de IA.

5. Como respondo ao cliente que não posso apagar tudo o que ele pediu?

Aja com transparência. Envie uma resposta oficial confirmando a exclusão dos dados que puderem ser excluídos, mas explique claramente (citando a lei correspondente) quais informações foram retidas, por quanto tempo ficarão armazenadas e que elas não serão usadas para outros fins.