O direito de acesso do artigo 15.º do RGPD permite a qualquer titular obter do responsável a confirmação de que os seus dados são tratados e, em caso afirmativo, o acesso a esses dados e a um conjunto de informações sobre o tratamento. Do lado da empresa, o pedido deve ser respondido no prazo de um mês a contar da receção (art. 12.º, n.º 3), prorrogável por mais dois meses em casos complexos. A resposta inclui uma cópia dos dados (art. 15.º, n.º 3) e as finalidades, categorias, destinatários, prazos de conservação e origem dos dados. Como as queixas por exercício de direitos são a principal fonte de processos na CNPD, responder bem a um pedido de acesso é uma das competências operacionais mais importantes em proteção de dados.
Principais conclusões
- Prazo de resposta: 1 mês, prorrogável por mais 2 (art. 12.º, n.º 3).
- A resposta inclui uma cópia dos dados e informação sobre o tratamento (art. 15.º).
- O responsável pode verificar a identidade do requerente em caso de dúvida fundamentada.
- Existem exceções: direitos de terceiros e, em certos casos, segredo comercial.
- Pedidos manifestamente infundados ou excessivos podem ser recusados ou sujeitos a taxa (art. 12.º, n.º 5).
O que o titular tem direito a receber
O artigo 15.º do RGPD confere ao titular o direito a obter:
- Confirmação de que os seus dados são, ou não, tratados;
- Acesso aos dados e às seguintes informações: finalidades, categorias de dados, destinatários (em especial em países terceiros), prazo de conservação, existência dos direitos de retificação, apagamento e oposição, direito de reclamar à CNPD, origem dos dados e existência de decisões automatizadas;
- Uma cópia dos dados pessoais em tratamento (art. 15.º, n.º 3).
A cópia deve ser fornecida gratuitamente. Se o titular a solicitar por meios eletrónicos, a informação deve ser fornecida num formato eletrónico de uso corrente, salvo pedido em contrário. As Guidelines 01/2022 do CEPD sobre o direito de acesso esclarecem que a «cópia» significa uma reprodução fiel dos dados, não necessariamente dos documentos originais.
Verificação de identidade
Antes de responder, o responsável deve certificar-se de que o requerente é, de facto, o titular dos dados. O artigo 12.º, n.º 6, permite pedir informações adicionais para confirmar a identidade quando existam dúvidas razoáveis — mas não de forma sistemática nem excessiva. Pedir uma cópia do cartão de cidadão para um pedido que pode ser autenticado por outros meios é, ele próprio, um tratamento excessivo. O equilíbrio é: verificar o suficiente para não entregar dados à pessoa errada (o que seria, essa sim, uma violação de dados), sem transformar a verificação numa barreira.
O prazo de um mês e a sua prorrogação
O responsável tem um mês a contar da receção do pedido para responder (art. 12.º, n.º 3). Este prazo pode ser prorrogado por mais dois meses quando o pedido for complexo ou quando haja um elevado número de pedidos — mas a prorrogação tem de ser comunicada ao titular no primeiro mês, com indicação dos motivos. O silêncio não é opção: se o responsável não der seguimento, deve, ainda assim, informar o titular no prazo de um mês da razão para não atuar e do direito de reclamar à CNPD.
| Situação | Prazo |
|---|---|
| Regra geral | 1 mês |
| Pedido complexo / elevado volume | +2 meses (comunicar no 1.º mês) |
| Recusa de atuar | Informar em 1 mês, com motivos |
Exceções e limites ao acesso
O direito de acesso não é absoluto. O artigo 15.º, n.º 4, estabelece que a cópia não pode prejudicar os direitos e liberdades de terceiros. Na prática, isto obriga a ponderar, não a recusar em bloco:
- Dados de terceiros — quando os dados do requerente estão misturados com dados de outras pessoas, deve ocultar-se (redação/redaction) a parte relativa a terceiros, entregando o resto.
- Segredo comercial e propriedade intelectual — podem limitar o acesso a certos elementos, mas não servem de pretexto para recusar o acesso aos dados pessoais em si (Considerando 63).
- Segredo profissional — releva sobretudo em setores regulados, como no exercício da advocacia; ver o guia de RGPD para advogados.
Pedidos manifestamente infundados ou excessivos
O artigo 12.º, n.º 5, permite ao responsável, perante pedidos manifestamente infundados ou excessivos — designadamente pelo seu caráter repetitivo — cobrar uma taxa razoável ou recusar-se a dar seguimento. O ónus da prova do caráter excessivo recai sobre o responsável, pelo que esta faculdade deve ser usada com prudência e sempre documentada. Um titular que pede a mesma cópia todas as semanas pode ser um caso; um titular que pede acesso uma vez, mesmo que a resposta seja trabalhosa, não é.
Importa distinguir o motivo do pedido do seu caráter excessivo. O titular não tem de justificar por que exerce o direito de acesso, e o facto de o pedido surgir num contexto de conflito — laboral, contratual ou pré-litigioso — não o torna, por si só, abusivo. As Guidelines 01/2022 do CEPD são claras: a motivação do titular é, em regra, irrelevante para o dever de resposta. Recusar um pedido de acesso porque «o cliente só o quer para nos processar» é um erro frequente e uma violação do artigo 15.º.
Operacionalizar o direito de acesso
Responder a pedidos de acesso de forma consistente exige saber onde estão os dados e quem é responsável por reunir a resposta. Uma organização com um registo de atividades de tratamento atualizado localiza os dados rapidamente; sem ele, cada pedido é uma investigação. A designação de um encarregado de proteção de dados centraliza o ponto de contacto. Plataformas como a Legiscope ajudam a mapear os tratamentos que alimentam a resposta e a documentar os prazos, o que reduz o risco de falhar o prazo de um mês. Note-se que o direito de acesso é distinto do direito ao apagamento e do direito de portabilidade, embora um pedido possa combinar vários.
Perguntas frequentes
Posso cobrar pela resposta a um pedido de acesso?
Em regra, não. A primeira cópia é gratuita. Só pode cobrar uma taxa razoável para cópias adicionais ou quando o pedido for manifestamente infundado ou excessivo (art. 12.º, n.º 5), e deve conseguir demonstrar esse caráter.
Tenho de entregar os documentos originais ou apenas os dados?
O direito de acesso incide sobre os dados pessoais, não necessariamente sobre os documentos que os contêm. Pode extrair e entregar os dados num formato legível, desde que a reprodução seja fiel e completa, conforme as Guidelines 01/2022 do CEPD.
E se o pedido incluir dados de outras pessoas?
Deve entregar os dados do requerente e ocultar os dados de terceiros que não possam ser divulgados. A regra é ponderar e minimizar, não recusar o acesso na totalidade (art. 15.º, n.º 4).
O que acontece se ignorar o pedido?
O titular pode reclamar à CNPD, que trata estas queixas como prioritárias por serem a principal fonte de processos. A não resposta é uma violação do artigo 15.º e um agravante numa eventual fiscalização.
Conclusão
O direito de acesso é, na prática, o direito mais exercido — e aquele cujo incumprimento mais frequentemente leva as organizações à CNPD. Responda no prazo de um mês, verifique a identidade sem exageros, entregue uma cópia fiel com toda a informação do artigo 15.º e pondere com cuidado os limites relativos a terceiros. Ter os tratamentos mapeados e um ponto de contacto claro transforma cada pedido de uma investigação improvisada numa resposta de rotina.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial