PROJETO DE LEI N

, DE

DE

DE

Dispe sobre a proteo de dados pessoais, a privacidade e d outras providncias.

O CONGRESSO NACIONAL decreta:

TTULO I DA TUTELA DOS DADOS PESSOAIS

CAPTULO I DISPOSIES GERAIS

Art. 1 Esta lei tem por objetivo garantir e proteger, no mbito do tratamento de dados pessoais, a dignidade e os direitos fundamentais da pessoa, particularmente em relao sua liberdade, igualdade e privacidade pessoal e familiar, nos termos do art. 5, incisos X e XII da Constituio Federal. Art. 2 Toda pessoa tem direito proteo de seus dados pessoais. Art. 3 A presente lei aplica-se aos tratamentos de dados pessoais realizados no territrio nacional por pessoa fsica ou jurdica de direito pblico ou privado, ainda que o banco de dados seja localizado no exterior. 1 A presente lei no se aplica: I ao tratamento de dados pessoais realizado por pessoa fsica para fins exclusivamente pessoais e domsticos, desde que os dados tratados no sejam destinados comunicao; II aos bancos de dados utilizados para o exerccio da atividade jornalstica e exclusivamente para tal fim. 2 Os bancos de dados institudos e mantidos para fins exclusivos de segurana pblica, defesa, segurana do Estado e suas atividades de investigao e represso de delitos sero regidos por legislao especfica.

Art. 4 Para os fins da presente lei, entende-se como: I - dado pessoal: qualquer informao relativa a uma pessoa identificada ou identificvel, direta ou indiretamente, incluindo todo endereo ou nmero de identificao de um terminal utilizado para conexo a uma rede de computadores; II - tratamento: toda operao ou conjunto de operaes, realizadas com ou sem o auxlio de meios automatizados, que permita a coleta, armazenamento, ordenamento, conservao, modificao, comparao, avaliao, organizao, seleo, extrao, utilizao, bloqueio e cancelamento de dados pessoais, bem como o seu fornecimento a terceiros por meio de transferncia, comunicao ou interconexo; III - banco de dados: todo conjunto estruturado de dados pessoais, localizado em um ou vrios locais, em meio eletrnico ou no; IV - dados sensveis: dados pessoais cujo tratamento possa ensejar discriminao do titular, tais como aqueles que revelem a origem racial ou tnica, as convices religiosas, filosficas ou morais, as opinies polticas, a filiao sindical, partidria ou a organizaes de carter religioso, filosfico ou poltico, os referentes sade e vida sexual, bem como os dados genticos e biomtricos; V - titular: pessoa fsica a quem se referem os dados pessoais que so objeto de tratamento nos termos desta lei; VI - responsvel: a pessoa fsica ou jurdica, de direito pblico ou privado, a quem competem as decises referentes s finalidades e modalidades de tratamento de dados pessoais; VII - subcontratado: a pessoa jurdica contratada pelo responsvel pelo banco de dados como encarregado do tratamento de dados pessoais; VIII - comunicao: ato de revelar dados pessoais a um ou mais sujeitos determinados diversos do seu titular, sob qualquer forma; IX - difuso: ato de revelar dados pessoais a um ou mais sujeitos indeterminados diversos do seu titular, sob qualquer forma; X - interconexo: transferncia de dados de um banco de dados a outro, mantido ou no pelo mesmo proprietrio, com finalidade semelhante ou distinta; XI - bloqueio: a conservao do dado pessoal ou do banco de dados com a suspenso temporria de qualquer operao de tratamento; XII - cancelamento: a eliminao ou destruio de dados ou conjunto de dados armazenados em banco de dados, seja qual for o procedimento empregado; XIII - dissociao: ato de modificar o dado pessoal de modo a que ele no possa ser associado, direta ou indiretamente, com um indivduo identificado ou identificvel; XIV - dados annimos: dados relativos a um titular que no possa ser identificado, nem pelo responsvel pelo tratamento nem por qualquer outra pessoa, tendo em conta o conjunto de meios suscetveis de serem razoavelmente utilizados pelo responsvel pelo tratamento dos dados ou por qualquer outra pessoa para identificar o referido titular;

Art. 5 O tratamento de dados pessoais por parte de pessoas jurdicas de direito pblico permitido para o cumprimento de suas funes institucionais, dentro dos limites da lei. Art. 6 O tratamento de dados pessoais atividade de risco e todo aquele que, por meio do tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, obrigado a ressarci-lo, nos termos da lei. Art. 7 A defesa dos interesses e direitos dos titulares de dados poder ser exercida em juzo individualmente ou a ttulo coletivo, na forma do disposto nos artigos 81 e 82 da Lei 8.078, de 11 de setembro de 1990, na Lei 7.347 de 24 de julho de 1985 e nos demais instrumentos de tutela coletiva estabelecidos em Lei.

CAPTULO II PRINCPIOS GERAIS DE PROTEO DE DADOS

Art. 8 Os responsveis pelo tratamento de dados pessoais devero atender, dentre outros, aos seguintes princpios gerais de proteo de dados pessoais: I - Princpio da finalidade: a no utilizao dos dados pessoais objeto de tratamento para finalidades distintas ou incompatveis com aquelas que fundamentaram a sua coleta e que tenham sido informadas ao titular; bem como a limitao deste tratamento s finalidades determinadas, explcitas e legtimas do responsvel; II - Princpio da necessidade: a limitao da utilizao de dados pessoais ao mnimo necessrio, de forma a excluir o seu tratamento sempre que a finalidade que se procura atingir possa ser igualmente realizada com a utilizao de dados annimos ou com o recurso a meios que permitam a identificao do interessado somente em caso de necessidade; III - Princpio do livre acesso: a possibilidade de consulta gratuita, pelo titular, de seus dados pessoais, bem como de suas modalidades de tratamento; IV - Princpio da proporcionalidade: o tratamento de dados pessoais apenas nos casos em que houver relevncia e pertinncia em relao finalidade para a qual foram coletados; V - Princpio da qualidade dos dados: a exatido dos dados pessoais objeto de tratamento, com atualizao realizada segundo a periodicidade necessria para o cumprimento da finalidade de seu tratamento; VI - Princpio da transparncia: a informao ao titular sobre a realizao do tratamento de seus dados pessoais, com indicao da sua finalidade, categorias de dados tratados, perodo de conservao destes e demais informaes relevantes; VII - Princpio da segurana fsica e lgica: o uso, pelo responsvel pelo tratamento de dados, de medidas tcnicas e administrativas proporcionais ao atual estado da tecnologia, natureza dos dados e s caractersticas especficas do tratamento, constantemente atualizadas e aptas a proteger os dados pessoais sob sua

responsabilidade da destruio, perda, alterao e difuso, acidentais ou ilcitas, ou do acesso no autorizado; VIII - Princpio da boa-f objetiva: o respeito lealdade e boa-f objetiva no tratamento de dados pessoais; e IX - Princpio da responsabilidade: a reparao, nos termos da lei, dos danos causados aos titulares dos dados pessoais, sejam estes patrimoniais ou morais, individuais ou coletivos. X Princpio da preveno: o dever do responsvel de, para alm das disposies especficas desta Lei, adotar, sempre que possvel, medidas capazes de prevenir a ocorrncia de danos em virtude do tratamento de dados pessoais.

CAPTULO III REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS

Art. 9 O tratamento de dados pessoais somente pode ocorrer aps o consentimento livre, expresso e informado do titular, que poder ser dado por escrito ou por outro meio que o certifique, aps a notificao prvia ao titular das informaes constantes no art. 11. 1 Nos servios de execuo continuada, o consentimento dever ser renovado periodicamente, nos termos do regulamento. 2 O tratamento de dados pessoais de crianas somente ser possvel com o consentimento dos responsveis legais e no seu melhor interesse, sendo vedada a utilizao destes dados para finalidades comerciais. Art. 10. O consentimento pode ser revogado a qualquer momento. Art. 11. No momento da coleta de dados pessoais, o titular ser informado de forma clara e explcita sobre: I - a finalidade para a qual os seus dados pessoais esto sendo coletados e de que forma sero tratados; II a identidade e o domiclio do responsvel pelo tratamento; III - a natureza obrigatria ou facultativa do fornecimento dos dados; IV - as conseqncias de uma eventual negativa em fornec-los; V - os sujeitos para os quais os dados podem ser comunicados e o seu mbito de difuso; e VI - os seus direitos, em particular da possibilidade de negar-se a fornecer os dados pessoais e sobre o seu direito de acesso e retificao gratuitos. Pargrafo nico. Considera-se nulo o consentimento prestado caso as referidas informaes tenham contedo enganoso ou no tenham sido fornecidas de forma clara

e explcita. Art. 12. O consentimento, caso prestado em conjunto com outras declaraes, deve figurar de forma expressa e apartada. Art. 13. O consentimento ser dispensado quando o tratamento: I - for necessrio para a execuo de obrigaes derivadas de um contrato do qual parte o titular, para a execuo de procedimentos pr-contratuais requeridos por este, ou para o cumprimento de uma obrigao legal por parte do responsvel; II - referir-se a dados provenientes de registros, atos ou documentos pblicos de acesso pblico irrestrito; III - for necessrio para o exerccio de funes prprias dos poderes do Estado; IV - for realizado unicamente com finalidades de pesquisa histrica, cientfica ou estatstica; V - for necessrio para a proteo da vida ou da incolumidade fsica do titular ou de um terceiro, nos casos em que o titular no possa prestar o prprio consentimento por impossibilidade fsica ou por incapacidade de compreenso; VI - for necessrio para o exerccio do direito de defesa ou para fazer valer um direito em sede judicial, desde que os dados coletados sejam tratados exclusivamente para esta finalidade e estritamente pelo perodo de tempo necessrio para sua execuo; VII - disser respeito a dados sobre o inadimplemento de obrigaes por parte do titular, caso em que o titular dever ser notificado previamente por escrito, nos termos do art. 43 da Lei 8.078/90 Cdigo de Defesa do Consumidor. Art. 14. Os dados pessoais que forem objeto de tratamento devero ser: I - tratados de forma lcita e com boa-f; II - coletados e armazenados para finalidades determinadas, explcitas e legtimas; III exatos, claros, objetivos, atualizados e de fcil compreenso; IV - pertinentes, completos, proporcionais e no excessivos em relao finalidade que justificou sua coleta ou tratamento posterior; V - conservados de forma a permitir a identificao de seu titular por um perodo de tempo no superior ao necessrio para as finalidades que justificaram sua coleta ou tratamento posterior; e VI - conservados por perodo no superior ao estabelecido em lei ou regulamento especfico para cada setor. 1 vedado o tratamento de dados pessoais obtidos por meio de erro, dolo, coao e leso. 2 Os dados pessoais obtidos ou tratados de forma contrria presente lei e disciplina referente proteo de dados no podero ser utilizados e devero ser cancelados.

CAPTULO IV DOS DIREITOS DO TITULAR

Art. 15. O titular dos dados poder obter do responsvel pelo tratamento a confirmao da existncia de dados pessoais que lhe digam respeito, bem como o acesso aos dados em si, tanto diretamente, como por meio da ao de habeas data, nos termos da lei. 1 As informaes requeridas sero fornecidas, imediatamente, de forma simplificada ou, no prazo de 5 (cinco) dias, por meio de um extrato claro e completo, abrangendo a informao sobre a sua origem, bem como sobre a lgica, os critrios utilizados e a finalidade do respectivo tratamento. 2 O fornecimento destas informaes no importa em nus para o titular dos dados. 3 Estas informaes, por escolha do titular, podero ser fornecidas por escrito ou por meio eletrnico, seguro e idneo para tal fim. 4 A informao deve ser ampla e versar sobre a totalidade do registro existente, mesmo quando o requerimento compreender somente um aspecto dos dados pessoais do titular. 5 Os dados pessoais sero armazenados de forma que permitam o exerccio do direito de acesso. Art. 16. Mediante solicitao do titular dos dados, o responsvel dever, sem nus, no prazo de 5 (cinco) dias: I - corrigir os dados pessoais que forem incompletos, inexatos ou desatualizados; II - cancelar, dissociar ou bloquear os dados pessoais que forem desnecessrios, excessivos ou tratados em desconformidade com a presente lei. Pargrafo nico. O responsvel obriga-se, no prazo de 5 (cinco) dias, a comunicar aos destinatrios das informaes a realizao de correo, cancelamento, dissociao e bloqueio dos dados. Art. 17. O titular dos dados poder opor-se, total ou parcialmente, ao tratamento de seus dados pessoais: I - sempre que tiver motivos legtimos, salvo nos casos em que o tratamento seja necessrio para o cumprimento de uma obrigao imposta pela lei pessoa responsvel; II - quando seus dados forem utilizados para fins publicitrios, ainda que tenham sido submetidos a um procedimento de dissociao. Art. 18. Nos casos de descumprimento desta lei, o titular poder pleitear os seus direitos perante a Autoridade de Garantia, na forma do regulamento.

Art. 19. O titular dos dados tem direito a no ser submetido a decises que lhe afetem, de maneira significativa, unicamente com base em um tratamento automatizado de dados pessoais destinado a definir o perfil ou a personalidade do titular. 1 Qualquer deciso desta natureza pode ser impugnada pelo titular, que tem o direito de obter informaes do responsvel pelo tratamento a respeito dos critrios desta avaliao e sobre o procedimento em que esta se baseou. 2 Admite-se esta modalidade de deciso nos casos em que tenha sido expressamente solicitada pelo titular e desde que garantidos o devido processo legal e a ampla defesa.

CAPTULO V TRATAMENTO DE DADOS SENSVEIS

Art. 20. Nenhuma pessoa pode ser obrigada a fornecer dados sensveis. Art. 21. proibida a formao de bancos de dados que contenham informaes que, direta ou indiretamente, revelem dados sensveis, salvo disposio legal expressa, respeitados os direitos de personalidade do titular, em especial a garantia de no discriminao. 1 O tratamento de dados sensveis ser permitido quando: I - o titular tiver dado o seu consentimento livre, informado e por escrito, sempre que este tratamento for indispensvel para o legtimo exerccio das atribuies legais ou estatutrias de seus responsveis. II - for realizado por associaes e outras entidades sem fins lucrativos de natureza poltica, filosfica, religiosa ou sindical para a realizao de finalidades lcitas e compreendendo os dados pessoais de seus inscritos, sempre que os dados no sejam comunicados ou difundidos para terceiros e quando o ente em questo determine medidas idneas de garantia dos direitos do titular para o tratamento realizado; III - for necessrio para a proteo da vida ou da incolumidade fsica do titular ou de um terceiro, nos casos em que o titular no possa prestar o prprio consentimento por impossibilidade fsica ou por incapacidade de compreenso; ou IV - for realizado unicamente com finalidades de pesquisa histrica, cientfica ou estatstica; V - for relativo a dados manifestamente tornados pblicos pelo seu titular. VI - for realizado por profissionais da rea da sade ou entidades sanitrias e se mostrar indispensvel para a tutela da sade do interessado. VII for necessrio para o exerccio de funes prprias dos poderes de Estado, previstas em lei.

 2 Em qualquer hiptese, considerar-se- ilegal o tratamento de dados sensveis que for utilizado para fins discriminatrios. Art. 22. A Autoridade de Garantia poder indicar medidas de segurana e de proteo ao titular de dados sensveis que devero ser adotadas pelo responsvel pelo tratamento.

CAPTULO VI SEGURANA DOS DADOS Art. 23. O tratamento de dados pessoais ser feito de modo a reduzir ao mnimo, mediante a adoo de medidas idneas de segurana preventiva, o risco de sua destruio ou perda, de acesso no autorizado ou de tratamento no permitido pelo titular ou diverso da finalidade da sua coleta, independentemente do motivo. Pargrafo nico. As medidas referidas no caput devem ser proporcionais ao atual estado da tecnologia, natureza dos dados e s caractersticas especficas do tratamento, em particular no caso do tratamento de dados sensveis. Art. 24. Um conjunto de medidas mnimas de segurana preventiva ser publicado pela Autoridade de Garantia dentro de, no mximo, um ano aps a entrada em vigor da presente lei, e atualizado periodicamente, com base na evoluo da tecnologia e na experincia adquirida. Art. 25. O subcontratado deve ter experincia, capacidade e idoneidade para garantir o respeito s disposies vigentes em matria de tratamento de dados pessoais, e responder solidariamente com o responsvel pelos prejuzos causados pela sua atividade aos titulares dos dados. Pargrafo nico. O subcontratado dever realizar o tratamento segundo as instrues fornecidas por escrito pelo responsvel, que, mediante inspees peridicas, verificar a observncia das prprias instrues e das normas sobre a matria. Art. 26 O responsvel, o subcontratado ou qualquer outra pessoa que intervenha em qualquer fase do tratamento de dados pessoais obriga-se ao dever de segredo em relao aos mesmos, dever este que permanece aps o trmino do respectivo tratamento ou do vnculo empregatcio existente. Art. 27. O responsvel pelo tratamento dever comunicar Autoridade de Garantia e aos titulares dos dados, imediatamente, sobre o acesso indevido, perda ou difuso acidental, seja total ou parcial, de dados pessoais, sempre que este acesso, perda ou difuso acarretem riscos privacidade dos seus titulares. Pargrafo nico. Nos casos mencionados no caput, a Autoridade de Garantia poder tomar as providncias que julgar necessrias, no mbito de suas competncias, inclusive determinando ao responsvel a ampla divulgao do fato em meios de comunicao.

CAPTULO VII

COMUNICAO E INTERCONEXO DOS DADOS PESSOAIS Art. 28. A comunicao ou a interconexo dos dados pessoais somente ser permitida com o consentimento livre e expresso do titular e para o cumprimento de fins diretamente relacionados com as funes legtimas do cedente e do cessionrio. 1 O consentimento para a comunicao ou interconexo revogvel a qualquer tempo. 2 O consentimento ser dispensado quando: I - os dados forem provenientes de registros, atos ou documentos pblicos acessveis a qualquer pessoa, levando em considerao os limites estabelecidos para o acesso e publicidade destes dados; II - para o cumprimento de uma obrigao prevista em lei; III - quando for necessria para a proteo da vida ou da incolumidade fsica do titular ou de um terceiro, nos casos em que o titular no possa prestar o prprio consentimento por impossibilidade fsica ou por incapacidade de compreenso. Art. 29. O cessionrio ficar sujeito s mesmas obrigaes legais e regulamentares do cedente, inclusive quanto responsabilidade solidria pelos danos eventualmente causados e ao dever de receber e processar impugnao e realizar correes.

CAPTULO VIII DO TRMINO DO TRATAMENTO DOS DADOS PESSOAIS Art. 30. Os dados pessoais sero cancelados quando deixarem de ser necessrios ou pertinentes para a finalidade que justificou sua coleta e tratamento. Pargrafo nico. Lei ou regulamento poder dispor sobre perodos mximos para o tratamento de dados pessoais em setores e situaes especficas. Art. 31. No trmino do tratamento dos dados pessoais, sem prejuzo dos direitos do titular, e sempre que houver necessidade ou pertinncia, os dados podem ser: I - cedidos a terceiros, desde que destinados a tratamento para finalidades anlogas quelas para as quais foram colhidas e mediante o consentimento dos titulares; II - conservados para fins exclusivamente pessoais e no destinados comunicao ou

 difuso; III - conservados ou cedidos a terceiro, unicamente para finalidades histricas, estatsticas ou de pesquisa cientfica.

CAPTULO IX TRATAMENTO DE DADOS PESSOAIS NO SETOR PBLICO Art. 32. A comunicao e interconexo de dados pessoais entre pessoas jurdicas de direito pblico ser admitida nos casos em que suas competncias no versem sobre matrias distintas, respeitados os direitos estabelecidos nesta lei. Pargrafo nico. A comunicao de dados pessoais entre pessoas jurdicas de direito pblico com competncias sobre matrias distintas ser admitida: I - mediante expressa previso legal, sempre no respeito aos direitos dos titulares dos dados; ou II - quando for necessria para a realizao das suas competncias institucionais. Art. 33. Os responsveis pelos bancos de dados pblicos podero, mediante deciso fundamentada e somente pelo perodo necessrio, negar o cancelamento e a oposio ao tratamento dos dados pessoais, quando for indispensvel para: I - a proteo da ordem pblica; II - a proteo de direitos de terceiros; III no obstaculizar a atuao judicial ou administrativa em curso, vinculadas investigao sobre o cumprimento de obrigaes tributrias, o desenvolvimento de funes de controle da sade e do meio ambiente e a verificao de infraes administrativas. CAPTULO X TRATAMENTO DE DADOS PESSOAIS NO SETOR PRIVADO Art. 34. Toda entidade privada que realize o tratamento de dados pessoais para o desenvolvimento de suas atividades e conte com mais de duzentos empregados dever apontar um diretor responsvel pelo tratamento de dados pessoais. 1 O diretor responsvel pelo tratamento de dados pessoais dever zelar, de forma independente, pela observncia das disposies da presente lei. 2 As atividades do diretor responsvel pelo tratamento de dados pessoais

consistem, entre outras, em: I atuar como o correspondente imediato da Autoridade de Garantia; II - orientar os demais funcionrios a respeito das prticas a serem tomadas em relao proteo de dados pessoais; e III - manter uma relao dos tratamentos de dados pessoais realizados pela empresa, imediatamente acessvel pelos titulares que requisitem seus prprios dados pessoais. 3 A entidade informar Autoridade de Garantia sobre a identidade do diretor responsvel pelo tratamento de dados pessoais.

CAPTULO XI TRANSFERNCIA INTERNACIONAL DE DADOS Art. 35. A transferncia internacional de dados pessoais somente permitida para pases que proporcionem um nvel de proteo de dados equiparvel ao da presente lei, salvo as seguintes excees: I - quando o titular tiver manifestado o prprio consentimento livre, expresso e informado para a transferncia; II - quando for necessria para a execuo de obrigaes derivadas de um contrato do qual o titular for parte; III - quando for necessria para a garantia de um interesse pblico relevante previsto em lei; IV quando for necessria para a cooperao internacional entre rgos pblicos de inteligncia e de investigao, de acordo com os instrumentos de direito internacional a que o Brasil se vincule; V - quando for necessria para a defesa de um direito em juzo, se os dados forem transferidos exclusivamente para esta finalidade e pelo perodo de tempo necessrio; VI - quando for necessria para a proteo da vida ou da incolumidade fsica do titular ou de terceiro, se o titular no puder fornecer o prprio consentimento por impossibilidade fsica, por incapacidade de agir ou de compreender. Art. 36. A Autoridade de Garantia reconhecer o carter adequado do nvel de proteo de dados do pas de destino levando em conta a legislao em vigor neste pas e as demais circunstncias relativas transferncia de dados.

Pargrafo nico. Para os fins do previsto no caput, a Autoridade considerar a natureza dos dados, as normas gerais e setoriais presentes em seu ordenamento, a observncia dos princpios de proteo de dados e das medidas de segurana previstas. Art. 37. A Autoridade de Garantia poder autorizar uma transferncia ou srie de transferncias para um pas estrangeiro que no disponha de um nvel adequado de proteo quando o responsvel pelo tratamento oferea garantias suficientes em relao proteo da privacidade dos titulares, s medidas de segurana adotadas e a possibilidade do exerccio dos direitos dispostos nesta lei. Pargrafo nico. A transferncia de dados pessoais ao exterior, neste caso, somente poder ocorrer aps a autorizao expressa da Autoridade de Garantia.

TTULO II TUTELA ADMINISTRATIVA CAPTULO I AUTORIDADE DE GARANTIA Art. 38. criado o Conselho Nacional de Proteo de Dados Pessoais, com autonomia administrativa, oramentria e financeira, com a atribuio de atuar como Autoridade de Garantia quanto proteo de dados pessoais, cuja estrutura e atribuies sero estabelecidas em legislao especfica. Art. 39. Compete ao Conselho Nacional de Proteo de Dados Pessoais: I - zelar pela observncia desta lei, de seu regulamento e do seu regimento interno; II - planejar, elaborar, propor, coordenar e executar aes da poltica nacional de proteo de dados pessoais; III - editar normas e provimentos sobre matrias de sua competncia; IV - aprovar seu regimento interno; V - receber, analisar, avaliar e encaminhar consultas, denncias, reclamaes ou sugestes apresentadas por titulares de dados pessoais, entidades representativas ou pessoas jurdicas de direito pblico ou privado, referentes proteo de dados pessoais, nos termos do regulamento; VI aplicar, de ofcio ou a pedido de parte, conforme o caso, sanes, medidas corretivas e medidas preventivas que considere necessrias, na forma desta lei; VII criar, manter e publicar, para fins de transparncia, um registro de bancos de

dados pessoais de carter de categorias e setores que considere relevantes, nos termos de regulamento; VIII - verificar se os tratamentos respeitam as normas legais e os princpios gerais de proteo de dados; IX - promover o conhecimento entre a populao das normas que tratam da matria e de suas finalidades, bem como das medidas de segurana de dados; X - vetar, total ou parcialmente, o tratamento de dados ou prover seu bloqueio se o tratamento se torna ilcito ou inadequado, nos termos de regulamento; XI - reconhecer o carter adequado do nvel de proteo de dados do pas de destino no caso de transferncia internacional de dados pessoais, bem como autorizar uma transferncia ou srie de transferncias para pases terceiros que no contem com este nvel adequado; XII determinar ao responsvel pelo tratamento de dados pessoais, quando necessrio, a realizao de estudo de impacto privacidade, na forma de regulamento. XIII - desenvolver outras atividades compatveis com suas finalidades. Art. 40. Os Estados, o Distrito Federal e os Municpios podero criar suas prprias autoridades de proteo de dados pessoais, com competncia concorrente e nas suas respectivas reas de atuao administrativa. CAPTULO II SANES ADMINISTRATIVAS Art. 41. Sem prejuzo das sanes civis e penais cabveis e de outras sanes administrativas a serem definidas em normas especficas, as infraes das normas previstas nesta Lei ficam sujeitas, conforme o caso, s seguintes sanes administrativas: I - multa; II bloqueio dos dados pessoais; III dissociao dos dados pessoais; IV cancelamento dos dados pessoais; V proibio do tratamento de dados sensveis; VI suspenso temporria de atividade; e VII proibio de funcionamento do banco de dados.

 1 As sanes previstas neste artigo sero aplicadas pela Autoridade de Garantia, no mbito de sua atribuio, podendo ser aplicadas cumulativamente, inclusive por medida cautelar, antecedente ou incidente de procedimento administrativo. 2 As condies e procedimentos para a aplicao das sanes previstas, que devem ser graduadas em razo da gravidade, extenso da violao, natureza dos direitos pessoais afetados, reincidncia e dos prejuzos dela derivados, sero determinados por meio de regulamentao. Art. 42. A multa ser estipulada: I - no caso de empresa, em at vinte por cento do valor do faturamento bruto no seu ltimo exerccio, excludos os impostos; II - No caso das demais pessoas fsicas ou jurdicas de direito pblico ou privado, bem como quaisquer associaes de entidades ou pessoas constitudas de fato ou de direito, ainda que temporariamente, com ou sem personalidade jurdica, no sendo possvel utilizar-se o critrio do valor do faturamento bruto, em montante no inferior a R$ 2.000,00 (dois mil reais) e no superior a R$ 6.000.000,00 (seis milhes de reais). Pargrafo nico. Em caso de reincidncia, as multas cominadas sero aplicadas em dobro, no se aplicando, em tal hiptese, o limite mximo indicado no inciso II. Art. 43. Sem prejuzo das sanes cabveis, a Autoridade de Garantia, atuando de ofcio ou a pedido de parte, dever impor, aos responsveis que incorram em infrao s normas desta lei, as medidas corretivas que considere necessrias para reverter os efeitos danosos que a conduta infratora tenha causado ou para evitar que esta se produza novamente no futuro, fixando o valor da multa diria pelo seu descumprimento. 1 As decises administrativas transitadas em julgado que apliquem medidas corretivas em favor do titular dos dados constituem ttulo executivo extrajudicial. 2 Sempre que as medidas corretivas se dirigirem a um titular especfico, deste a legitimidade para executar a deciso. Art. 44. Em qualquer fase do processo administrativo facultado Autoridade de Garantia adotar medidas preventivas, de ofcio ou a pedido de parte, quando houver indcio ou fundado receio de que o representado, direta ou indiretamente, cause ou possa causar coletividade leso irreparvel ou de difcil reparao no mbito da proteo de dados pessoais, ou torne ineficaz o resultado final do processo, fixando o valor da multa diria pelo seu descumprimento.

TTULO III

CDIGOS DE BOAS PRTICAS Art. 45. Os responsveis pelo tratamento de dados pessoais, individualmente ou atravs de organizaes de classe, podero formular cdigos de boas prticas que estabeleam as condies de organizao, regime de funcionamento, procedimentos aplicveis, normas de segurana, padres tcnicos, obrigaes especficas para os diversos envolvidos no tratamento e no uso de dados pessoais e demais quesitos e garantias para as pessoas, com pleno respeito aos princpios e disposies da presente lei e demais normas referentes proteo de dados. 1 Os cdigos de boas prticas vincularo os respectivos responsveis pelo tratamento de dados e os membros de uma determinada classe profissional. 2 A Autoridade de Garantia solicitar s respectivas organizaes de classe a elaborao dos cdigos de boas prticas quando julgar conveniente e poder participar de sua elaborao. 3 Entre outras categorias profissionais, a Autoridade de Garantia priorizar o fomento elaborao de cdigos de boas prticas em tema de: I - vigilncia e monitoramento; II - publicidade e marketing direto; III - bancos de dados de proteo ao crdito; IV - seguros; e V - demais matrias pertinentes. 4 Os cdigos de boas prticas sero depositados na Autoridade de Garantia, que poder no aprov-los se estiverem em desconformidade com as disposies legais e regulamentares sobre a matria, ao que seguir uma solicitao para que sejam feitas as modificaes necessrias e indicadas. 5 Os cdigos de boas prticas sero disponibilizados publicamente e devero ser atualizados sempre que se demonstrar necessrio. TTULO IV DISPOSIES FINAIS E TRANSITRIAS Art. 46. Os direitos previstos nesta lei no excluem outros, decorrentes de tratados ou convenes internacionais de que o Brasil seja signatrio, da legislao interna

ordinria, bem como de regulamentos expedidos pelas autoridades administrativas competentes. Art. 47. Ficam revogados os artigos de 2, 3 e 4 da Lei 9.507, de 12 de novembro de 1997. Art. 48. Esta Lei entrar em vigor no prazo de 90 dias contados da data da sua publicao.