Você está na página 1de 16

ANTEPROJETO DE LEI

Dispe sobre o tratamento de dados pessoais


para proteger a personalidade e a dignidade da
pessoa natural

A PRESIDENTA DA REPBLICA Fao saber que o Congresso Nacional decreta e eu sanciono a


seguinte Lei:
CAPTULO I
DISPOSIES PRELIMINARES
Art. 1o Esta Lei dispe sobre o tratamento de dados pessoais, com o objetivo de proteger os direitos
fundamentais de liberdade, intimidade e privacidade da pessoa natural.
Art. 2o Esta Lei aplica-se a qualquer operao de tratamento realizada por meio total ou
parcialmente automatizado, por pessoa natural ou por pessoa jurdica de direito pblico ou privado,
independentemente do pas de sua sede e do pas onde esteja localizado o banco de dados, desde
que:
I - a operao de tratamento seja realizada no territrio nacional; ou
II - os dados pessoais objeto do tratamento tenham sido coletados no territrio nacional.
1o Consideram-se coletados no territrio nacional os dados pessoais cujo titular nele se encontre
no momento da coleta.
2o Esta Lei no se aplica aos tratamentos de dados:
I - realizados por pessoa natural para fins exclusivamente pessoais; ou
II - realizados para fins exclusivamente jornalsticos.
3o vedado aos rgos pblicos e entidades pblicas efetuar a transferncia de dados pessoais
constantes de bases de dados que administram ou a que tenham acesso no exerccio de suas
competncias legais para entidades privadas, exceto em casos de execuo terceirizada ou mediante
concesso e permisso de atividade pblica que o exija e exclusivamente para fim especfico e
determinado.
Art. 3o As empresas pblicas e sociedades de economia mista que atuem em regime de
concorrncia, sujeitas ao disposto no art. 173 da Constituio, tero o mesmo tratamento dispensado
s pessoas jurdicas de direito privado particulares, nos termos desta Lei.
Pargrafo nico. As empresas pblicas e sociedades de economia mista, quando estiverem
operacionalizando polticas pblicas e no estiverem atuando em regime de concorrncia, tero o
mesmo tratamento dispensado aos rgos e entidades pblicas, nos termos dessa Lei.

Art. 4o Os tratamentos de dados pessoais para fins exclusivos de segurana pblica, defesa,
segurana do Estado, ou atividades de investigao e represso de infraes penais, sero regidos
por legislao especfica, observados os princpios gerais de proteo e os direitos do titular
previstos nesta Lei.
Pargrafo nico. vedado o tratamento dos dados a que se refere o caput por pessoa de direito
privado, salvo em procedimentos sob tutela de pessoa jurdica de direito pblico, que sero objeto
de informe especfico ao rgo competente.
Art. 5o Para os fins desta Lei, considera-se:
I - dado pessoal: dado relacionado pessoa natural identificada ou identificvel, inclusive a partir
de nmeros identificativos, dados locacionais ou identificadores eletrnicos;
II - tratamento: conjunto de aes referentes a coleta, produo, recepo, classificao, utilizao,
acesso, reproduo, transmisso, distribuio, transporte, processamento, arquivamento,
armazenamento, eliminao, avaliao ou controle da informao, modificao, bloqueio ou
fornecimento a terceiros de dados pessoais, por comunicao, interconexo, transferncia, difuso
ou extrao;
III - dados sensveis: dados pessoais que revelem a origem racial ou tnica, as convices religiosas,
filosficas ou morais, as opinies polticas, a filiao a sindicatos ou organizaes de carter
religioso, filosfico ou poltico, dados referentes sade ou vida sexual, bem como dados
genticos;
IV - dados annimos: dados relativos a um titular que no possa ser identificado, nem pelo
responsvel pelo tratamento nem por qualquer outra pessoa, tendo em conta o conjunto de meios
suscetveis de serem razoavelmente utilizados para identificar o referido titular;
V - banco de dados: conjunto estruturado de dados pessoais, localizado em um ou em vrios locais,
em suporte eletrnico ou fsico;
VI - titular: a pessoa natural a quem se referem os dados pessoais objeto de tratamento;
VII - consentimento: manifestao livre, expressa, especfica e informada pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
VIII - responsvel: a pessoa natural ou jurdica, de direito pblico ou privado, a quem competem as
decises referentes ao tratamento de dados pessoais;
IX - operador: a pessoa natural ou jurdica, de direito pblico ou privado, que realiza o tratamento
de dados pessoais em nome do responsvel;
X - comunicao de dados: transferncia de dados pessoais a um ou mais sujeitos determinados
diversos do seu titular, sob qualquer forma;
XI - interconexo: transferncia de dados pessoais de um banco a outro, mantido ou no pelo
mesmo proprietrio, com finalidade semelhante ou distinta;

XII - difuso: transferncia de dados pessoais a um ou mais sujeitos indeterminados, diversos do


seu titular, sob qualquer forma;
XIII - transferncia internacional de dados: transferncia de dados pessoais para um pas
estrangeiro;
XIV - dissociao: ato de modificar o dado pessoal de modo a que ele no possa ser associado,
direta ou indiretamente, com um indivduo identificado ou identificvel;
XV - bloqueio: guarda do dado pessoal ou do banco de dados com a suspenso temporria de
qualquer operao de tratamento;
XVI - cancelamento: eliminao de dados ou conjunto de dados armazenados em banco de dados,
seja qual for o procedimento empregado;
XVII - uso compartilhado de dados: a comunicao, a difuso, a transferncia internacional, a
interconexo de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por
rgos e entidades pblicos, no cumprimento de suas competncias legais, ou entre rgos e
entidades pblicos e entes privados, com autorizao especfica, para uma ou mais modalidades de
tratamento delegados por esses entes pblicos; e
XVIII - encarregado: pessoa natural, indicada pelo responsvel, que atua como canal de
comunicao perante os titulares e o rgo competente.
Art. 6o As atividades de tratamento de dados pessoais devero atender aos seguintes princpios
gerais:
I - princpio da finalidade, pelo qual o tratamento deve ser realizado com finalidades legtimas,
especficas, explcitas e conhecidas pelo titular;
II - princpio da adequao, pelo qual o tratamento deve ser compatvel com as finalidades
almejadas e com as legtimas expectativas do titular, de acordo com o contexto do tratamento;
III - princpio da necessidade, pelo qual o tratamento deve se limitar ao mnimo necessrio para a
realizao das finalidades almejadas, abrangendo dados pertinentes, proporcionais e no excessivos;
IV - princpio do livre acesso, pelo qual deve ser garantida consulta facilitada e gratuita pelos
titulares sobre as modalidades de tratamento e sobre a integralidade dos seus dados pessoais;
V - princpio da qualidade dos dados, pelo qual devem ser garantidas a exatido, a clareza e a
atualizao dos dados, de acordo com a periodicidade necessria para o cumprimento da finalidade
de seu tratamento;
VI - princpio da transparncia, pelo qual devem ser garantidas aos titulares informaes claras e
adequadas sobre a realizao do tratamento;
VII - princpio da segurana, pelo qual devem ser utilizadas medidas tcnicas e administrativas
constantemente atualizadas, proporcionais natureza das informaes tratadas e aptas a proteger os

dados pessoais de acessos no autorizados e de situaes acidentais ou ilcitas de destruio, perda,


alterao, comunicao ou difuso;
VIII - princpio da preveno, pelo qual devem ser adotadas medidas capazes de prevenir a
ocorrncia de danos em virtude do tratamento de dados pessoais; e
IX - princpio da no discriminao, pelo qual o tratamento no pode ser realizado para fins
discriminatrios.
1o Os rgos pblicos daro publicidade s suas atividades de tratamento de dados por meio de
informaes claras, precisas e atualizadas em veculos de fcil acesso, preferencialmente em seus
stios eletrnicos, respeitando o princpio da transparncia disposto no inciso VI.
2o O uso compartilhado de dados pessoais deve atender a finalidade especfica de execuo de
polticas pblicas e atribuio legal pelos rgos e entidades pblicas, respeitando o princpio da
finalidade, adequao e necessidade dispostos nos incisos I, II e III.

CAPTULO II
REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
Seo I
Consentimento
Art. 7o O tratamento de dados pessoais somente permitido aps o consentimento livre, expresso,
especfico e informado do titular, salvo o disposto no art. 11.
1o O consentimento para o tratamento de dados pessoais no pode ser condio para o
fornecimento de produto ou servio ou para o exerccio de direito, salvo em hipteses em que os
dados forem indispensveis para a sua realizao.
2o vedado o tratamento de dados pessoais cujo consentimento tenha sido obtido mediante erro,
dolo, estado de necessidade ou coao.
3o O consentimento dever ser fornecido por escrito ou por outro meio que o certifique.
4o O consentimento dever ser fornecido de forma destacada das demais clusulas contratuais.
5o O consentimento dever se referir a finalidades determinadas, sendo nulas as autorizaes
genricas para o tratamento de dados pessoais.
6o O consentimento pode ser revogado a qualquer momento, sem nus para o titular.
7o So nulas as disposies que estabeleam ao titular obrigaes inquas, abusivas, que o
coloquem em desvantagem exagerada, ou que sejam incompatveis com a boa-f ou a equidade.

8o Cabe ao responsvel o nus da prova de que o consentimento do titular foi obtido em


conformidade com o disposto nesta Lei.
Art. 8o O titular de dados pessoais com idade entre doze e dezoito anos idade poder fornecer
consentimento para tratamento que respeite sua condio peculiar de pessoa em desenvolvimento,
ressalvada a possibilidade de revogao do consentimento pelos pais ou responsveis legais, no seu
melhor interesse.
Art. 9o No caso do titular de dados pessoais com idade at doze anos incompletos, o consentimento
ser fornecido pelos pais ou responsveis legais, devendo o tratamento respeitar sua condio
peculiar de pessoa em desenvolvimento.
Art. 10o No momento do fornecimento do consentimento, o titular ser informado de forma clara,
adequada e ostensiva sobre os seguintes elementos:
I - finalidade especfica do tratamento;
II - forma e durao do tratamento;
III - identificao do responsvel;
IV - informaes de contato do responsvel;
V - sujeitos ou categorias de sujeitos para os quais os dados podem ser comunicados, bem como
mbito de difuso;
VI - responsabilidades dos agentes que realizaro o tratamento; e
VII - direitos do titular, com meno explcita a:
a) possibilidade de no fornecer o consentimento, com explicao sobre as consequncias da
negativa, observado o disposto no 1o do art. 6o;
b) possibilidade de acessar os dados, retific-los ou revogar o consentimento, por procedimento
gratuito e facilitado; e
c) possibilidade de denunciar ao rgo competente o descumprimento de disposies desta Lei.
1o Considera-se nulo o consentimento caso as informaes tenham contedo enganoso ou no
tenham sido apresentadas de forma clara, adequada e ostensiva.
2o Em caso de alterao de informao referida nos incisos I, II, III ou V do caput, o responsvel
dever obter novo consentimento do titular, aps destacar de forma especfica o teor das alteraes.
3o Em caso de alterao de informao referida no inciso IV do caput, o responsvel dever
comunicar ao titular as informaes de contato atualizadas.
4o Nas atividades que importem em coleta continuada de dados pessoais, o titular dever ser
informado regularmente sobre a continuidade, nos termos definidos pelo rgo competente.

Art. 11. O consentimento ser dispensado quando os dados forem de acesso pblico irrestrito ou
quando o tratamento for indispensvel para:
I - cumprimento de uma obrigao legal pelo responsvel;
II - tratamento e uso compartilhado de dados relativos ao exerccio de direitos ou deveres previstos
em leis ou regulamentos pela administrao pblica;
III - execuo de procedimentos pr-contratuais ou obrigaes relacionados a um contrato do qual
parte o titular, observado o disposto no 1o do art. 6o;
IV - realizao de pesquisa histrica, cientfica ou estatstica, garantida, sempre que possvel, a
dissociao dos dados pessoais;
V - exerccio regular de direitos em processo judicial ou administrativo;
VI - proteo da vida ou da incolumidade fsica do titular ou de terceiro;
VII - tutela da sade, com procedimento realizado por profissionais da rea da sade ou por
entidades sanitrias.
1o Nas hipteses de dispensa de consentimento, os dados devem ser tratados exclusivamente para
as finalidades previstas e pelo menor perodo de tempo possvel, conforme os princpios gerais
dispostos nesta Lei, garantidos os direitos do titular.
2o Nos casos de aplicao do disposto nos incisos I e II, ser dada publicidade a esses casos, nos
termos do pargrafo 1o do art. 6o
3o No caso de descumprimento do disposto no 2o, o operador ou o responsvel pelo tratamento
de dados poder ser responsabilizado.

Seo II
Dados Pessoais Sensveis
Art. 12. vedado o tratamento de dados pessoais sensveis, salvo:
I - com fornecimento de consentimento especial pelo titular:
a) mediante manifestao prpria, distinta da manifestao de consentimento relativa a outros dados
pessoais; e
b) com informao prvia e especfica sobre a natureza sensvel dos dados a serem tratados, com
alerta quanto aos riscos envolvidos no tratamento desta espcie de dados; ou
II - sem fornecimento de consentimento do titular, quando os dados forem de acesso pblico
irrestrito, ou nas hipteses em que for indispensvel para:

a) cumprimento de uma obrigao legal pelo responsvel;


b) tratamento e uso compartilhado de dados relativos ao exerccio regular de direitos ou deveres
previstos em leis ou regulamentos pela administrao pblica;
c) realizao de pesquisa histrica, cientfica ou estatstica, garantida, sempre que possvel, a
dissociao dos dados pessoais;
d) exerccio regular de direitos em processo judicial ou administrativo;
e) proteo da vida ou da incolumidade fsica do titular ou de terceiro;
f) tutela da sade, com procedimento realizado por profissionais da rea da sade ou por entidades
sanitrias.
1o O disposto neste artigo aplica-se a qualquer tratamento capaz de revelar dados pessoais
sensveis.
2o O tratamento de dados pessoais sensveis no poder ser realizado em detrimento do titular,
ressalvado o disposto em legislao especfica.
3o Nos casos de aplicao do disposto nos itens a e b pelos rgos e entidades pblicas, ser
dada publicidade referida dispensa de consentimento, nos termos do 1o do art. 6o.
Art. 13. rgo competente poder estabelecer medidas adicionais de segurana e de proteo aos
dados pessoais sensveis, que devero ser adotadas pelo responsvel ou por outros agentes do
tratamento.
1o A realizao de determinadas modalidades de tratamento de dados pessoais sensveis poder ser
condicionada autorizao prvia de rgo competente, nos termos do regulamento.
2o O tratamento de dados pessoais biomtricos ser disciplinado por rgo competente, que
dispor sobre hipteses em que dados biomtricos sero considerados dados pessoais sensveis.
Seo III
Trmino do Tratamento
Art. 14. O trmino do tratamento de dados pessoais ocorrer nas seguintes hipteses:
I - verificao de que a finalidade foi alcanada ou de que os dados deixaram de ser necessrios ou
pertinentes para o alcance da finalidade especfica almejada;
II - fim do perodo de tratamento;
III - comunicao do titular; ou
IV - determinao de rgo competente quando houver violao de dispositivo legal ou
regulamentar.

Pargrafo nico. rgo competente estabelecer perodos mximos para o tratamento de dados
pessoais, ressalvado o disposto em legislao especfica.
Art. 15. Os dados pessoais sero cancelados aps o trmino de seu tratamento, autorizada a
conservao para as seguintes finalidades:
I - cumprimento de obrigao legal pelo responsvel;
II - pesquisa histrica, cientfica ou estatstica, garantida, sempre que possvel, a dissociao dos
dados pessoais; ou
III - cesso a terceiros, nos termos desta Lei.
Pargrafo nico. rgo competente poder estabelecer hipteses especficas de conservao de
dados pessoais, garantidos os direitos do titular, ressalvado o disposto em legislao especfica.
CAPTULO III
DIREITOS DO TITULAR
Art. 16. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais, garantidos os
direitos fundamentais de liberdade, intimidade e privacidade, nos termos desta Lei.
Art. 17. O titular dos dados pessoais tem direito a obter:
I - confirmao da existncia de tratamento de seus dados;
II - acesso aos dados;
III - correo de dados incompletos, inexatos ou desatualizados; e
IV - dissociao, bloqueio ou cancelamento de dados desnecessrios, excessivos ou tratados em
desconformidade com o disposto nesta Lei.
1o O titular pode opor-se a tratamento realizado com fundamento em uma das hipteses de
dispensa de consentimento, alegando descumprimento ao disposto nesta Lei.
2o Os direitos previstos neste artigo sero exercidos mediante requerimento do titular a um dos
agentes de tratamento, que adotar imediata providncia para seu atendimento.
3o Em caso de impossibilidade de adoo imediata da providncia de que trata o 2o, o
responsvel enviar ao titular, em at sete dias a partir da data do recebimento da comunicao,
resposta em que poder:
I - comunicar que no agente de tratamento dos dados; ou
II - indicar as razes de fato ou de direito que impedem a adoo imediata da providncia.
4o A providncia de que trata o 2o ser realizada sem nus para o titular.

5o O responsvel dever informar aos terceiros a quem os dados tenham sido comunicados sobre a
realizao de correo, cancelamento, dissociao ou bloqueio dos dados, para que repitam idntico
procedimento.
Art. 18. A confirmao de existncia ou o acesso a dados pessoais sero providenciados, a critrio
do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declarao clara e completa, que indique a origem dos dados, data de registro,
critrios utilizados e finalidade do tratamento, fornecida no prazo de at sete dias, a contarem do
momento do requerimento do titular.
1o Os dados pessoais sero armazenados em formato que permita o exerccio do direito de acesso.
2o As informaes e dados podero ser fornecidos, a critrio do titular:
I - por meio eletrnico, seguro e idneo para tal fim; ou
II - sob a forma impressa, situao em que poder ser cobrado exclusivamente o valor necessrio ao
ressarcimento do custo dos servios e dos materiais utilizados.
3o O titular poder solicitar cpia eletrnica integral dos seus dados pessoais em formato que
permita a sua utilizao subsequente, inclusive em outras operaes de tratamento, sempre que o
banco de dados estiver em suporte eletrnico.
4o rgo competente poder dispor sobre os formatos em que sero fornecidas as informaes e
os dados ao titular.
Art. 19. O titular dos dados tem direito a solicitar reviso de decises tomadas unicamente com base
em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decises
destinadas a definir o seu perfil ou avaliar aspectos de sua personalidade.
1o O responsvel dever fornecer, sempre que solicitadas, informaes adequadas a respeito dos
critrios e procedimentos utilizados para a deciso automatizada.
2o Ficam ressalvados os tratamentos de dados pessoais necessrios ao cumprimento de obrigao
legal.
Art. 20. Os dados pessoais referentes a exerccio regular de direitos pelo titular no podem ser
utilizados em seu prejuzo.
Art. 21. A defesa dos interesses e direitos dos titulares de dados poder ser exercida em juzo
individual ou coletivamente, na forma do disposto na Lei no 9.507, de 12 de novembro de 1997, nos
arts. 81 e 82 da Lei no 8.078, de 11 de setembro de 1990, na Lei no 7.347, de 24 de julho de 1985, e
nos demais instrumentos de tutela individual e coletiva.

CAPTULO IV
COMUNICAO E INTERCONEXO
Art. 22. Nos casos de comunicao ou interconexo de dados pessoais, o cessionrio ficar sujeito
s mesmas obrigaes legais e regulamentares do cedente, com quem ter responsabilidade
solidria pelos danos eventualmente causados.
Pargrafo nico. A responsabilidade solidria no se aplica aos casos de comunicao ou
interconexo realizadas no exerccio dos deveres de que trata a Lei no 12.527, de 18 de novembro
de 2011, relativos garantia do acesso a informaes pblicas.
Art. 23. A comunicao ou interconexo de dados pessoais entre pessoas de direito privado
depender de consentimento livre, expresso, especfico e informado, ressalvadas as hipteses de
dispensa do consentimento previstas nesta Lei.
Art. 24. A comunicao ou interconexo de dados pessoais entre pessoa jurdica de direito pblico e
pessoa de direito privado depender de consentimento livre, expresso, especfico e informado do
titular, salvo:
I - nas hipteses de dispensa do consentimento previstas nesta Lei;
II - nos casos de uso compartilhado de dados previsto no inciso XVII do art. 5o, em que ser dada
publicidade nos termos do 1o do art. 6o; ou
III - quando houver prvia autorizao de rgo competente, que avaliar o atendimento ao
interesse pblico, a adequao e a necessidade da dispensa do consentimento.
Pargrafo nico. A autorizao prevista no inciso III do caput poder ser condicionada:
I - comunicao da interconexo aos titulares, nos termos do 1o do art. 6o;
II - ao oferecimento aos titulares de opo de cancelamento de seus dados; ou
III - ao cumprimento de obrigaes complementares determinadas por rgo competente.
Art. 25. A comunicao ou interconexo entre rgos e entidades de direito pblico ser objeto de
publicidade, nos termos do 1o do art. 6o, e obedecer s regras gerais deste Captulo.
Art. 26. O rgo competente poder solicitar, a qualquer momento, aos rgos e entidades pblicos
que realizem interconexo de dados e o uso compartilhado de dados pessoais, informe especfico
sobre o mbito, natureza dos dados e demais detalhes do tratamento realizado, podendo emitir
recomendaes complementares para garantir o cumprimento desta Lei.
Art. 27. rgo competente poder estabelecer normas complementares para as atividades de
comunicao e interconexo de dados pessoais.
CAPTULO V

TRANSFERNCIA INTERNACIONAL DE DADOS


Art. 28. A transferncia internacional de dados pessoais somente permitida para pases que
proporcionem nvel de proteo de dados pessoais equiparvel ao desta Lei, ressalvadas as
seguintes excees:
I - quando a transferncia for necessria para a cooperao judicial internacional entre rgos
pblicos de inteligncia e de investigao, de acordo com os instrumentos de direito internacional;
II - quando a transferncia for necessria para a proteo da vida ou da incolumidade fsica do
titular ou de terceiro;
III - quando rgo competente autorizar a transferncia, nos termos de regulamento;
IV - quando a transferncia resultar em compromisso assumido em acordo de cooperao
internacional;
V - quando a transferncia for necessria para execuo de poltica pblica ou atribuio legal do
servio pblico, sendo dada publicidade nos termos do 1o do art. 6o.
Pargrafo nico. O nvel de proteo de dados do pas ser avaliado por rgo competente, que
levar em conta:
I - normas gerais e setoriais da legislao em vigor no pas de destino;
II - natureza dos dados;
III - observncia dos princpios gerais de proteo de dados pessoais previstos nesta Lei;
IV - adoo de medidas de segurana previstas em regulamento; e
V - outras circunstncias especficas relativas transferncia.
Art. 29. Nos casos de pases que no proporcionem nvel de proteo equiparvel ao desta Lei, o
consentimento de que trata o art. 7o ser especial, fornecido:
I - mediante manifestao prpria, distinta da manifestao de consentimento relativa a outras
operaes de tratamento; e
II - com informao prvia e especfica sobre o carter internacional da operao, com alerta quanto
aos riscos envolvidos, de acordo com as circunstncias de vulnerabilidade do pas de destino.
Art. 30. A autorizao referida no inciso III do caput do art. 28 ser concedida quando o responsvel
pelo tratamento apresentar garantias suficientes de observncia dos princpios gerais de proteo e
dos direitos do titular, apresentadas em clusulas contratuais aprovadas para uma transferncia
especfica, em clusulas contratuais-padro ou em normas corporativas globais, nos termos do
regulamento.

1o rgo competente poder elaborar clusulas contratuais-padro, que devero observar os


princpios gerais de proteo de dados e os direitos do titular, garantida a responsabilidade solidria,
independente de culpa, de cedente e cessionrio.
2o Os responsveis pelo tratamento que fizerem parte de um mesmo grupo econmico ou
conglomerado multinacional podero submeter normas corporativas globais aprovao de rgo
competente, obrigatrias para todas as empresas integrantes do grupo ou conglomerado, a fim de
obter permisso para transferncias internacionais de dados dentro do grupo ou conglomerado sem
necessidade de autorizaes especficas, observados os princpios gerais de proteo e os direitos do
titular.
3o Na anlise de clusulas contratuais ou de normas corporativas globais submetidas aprovao
de rgo competente, podero ser requeridas informaes suplementares ou realizadas diligncias
de verificao quanto s operaes de tratamento.
Art. 31. O cedente e o cessionrio tm responsabilidade solidria pelo tratamento de dados realizado
no exterior ou no territrio nacional, em qualquer hiptese, independente de culpa.
Art. 32. No caso de transferncia internacional de dados de pas estrangeiro para o Brasil, somente
permitido o seu tratamento no territrio nacional quando nas operaes realizadas naquele pas
tiverem sido observadas suas normas relativas obteno de consentimento.
Art. 33. rgo competente poder estabelecer normas complementares que permitam identificar
uma operao de tratamento como transferncia internacional de dados pessoais.

CAPTULO VII
RESPONSABILIDADE DOS AGENTES
Seo I
Agentes do Tratamento e Ressarcimento de Danos
Art. 34. So agentes do tratamento de dados pessoais o responsvel e o operador.
Art. 35. Todo aquele que, por meio do tratamento de dados pessoais, causar a outrem dano material
ou moral, individual ou coletivo, obrigado a ressarci-lo.
1 O juiz, no processo civil, poder inverter o nus da prova a favor do titular dos dados quando, a
seu juzo, for verossmil a alegao ou quando a produo de prova pelo titular resultar
excessivamente onerosa;
2 O responsvel ou o operador podem deixar de ser responsabilizados se provarem que o fato que
causou o dano no lhes imputvel.
Art. 36. A eventual dispensa da exigncia do consentimento no desobriga os agentes do tratamento
das demais obrigaes previstas nesta Lei, especialmente da observncia dos princpios gerais e da
garantia dos direitos do titular.

Art. 37. As punies cabveis no mbito desta Lei sero aplicadas pessoalmente aos operadores e
responsveis de rgos pblicos que agirem de forma contrria a esta Lei, conforme disposto na Lei
no 8.112, de 11 de dezembro de 1990 e na Lei no 8.429, de 2 de junho de 1992.
Art. 38. As competncias e responsabilidades relativas gesto de bases de dados nos rgos e
entidades pblicos, bem como a responsabilidade pela prtica de atos administrativos referentes a
dados pessoais, sero definidas nos atos normativos que tratam da definio de suas competncias.
Seo II
Responsvel e Operador
Art. 39. O operador dever realizar o tratamento segundo as instrues fornecidas pelo responsvel,
que verificar a observncia das prprias instrues e das normas sobre a matria.
1o O responsvel tem responsabilidade solidria quanto a todas as operaes de tratamento
realizadas pelo operador.
2o rgo competente poder determinar ao responsvel que elabore relatrio de impacto
privacidade referente s suas operaes de tratamento de dados, nos termos do regulamento.
Art. 40. O responsvel ou o operador devem manter registro das operaes de tratamento de dados
pessoais que realizarem, observado o disposto no art. 15.
Pargrafo nico. rgo competente poder dispor sobre formato, estrutura e tempo de guarda do
registro.
Seo III
Encarregado pelo Tratamento de Dados Pessoais
Art. 41. O responsvel dever indicar um encarregado pelo tratamento de dados pessoais.
1o A identidade e as informaes de contato do encarregado devero ser divulgadas publicamente
de forma clara e objetiva, preferencialmente na pgina eletrnica do responsvel na Internet.
2 o As atividades do encarregado consistem em:
I - receber reclamaes e comunicaes dos titulares, prestar esclarecimentos e adotar providncias;
II - receber comunicaes do rgo competente e adotar providncias;
III - orientar os funcionrios da entidade a respeito das prticas a serem tomadas em relao
proteo de dados pessoais; e
IV - demais atribuies estabelecidas em normas complementares ou determinadas pelo
responsvel.

3o rgo competente estabelecer normas complementares sobre a definio e as atribuies do


encarregado, inclusive hipteses de dispensa da necessidade de definio, conforme critrios de
natureza ou porte da entidade, e volume de operaes de tratamento de dados.
Seo IV
Segurana e Sigilo dos Dados
Art. 42. O operador deve adotar medidas de segurana tcnicas e administrativas constantemente
atualizadas, proporcionais natureza das informaes tratadas e aptas a proteger os dados pessoais
de acessos no autorizados e de situaes acidentais ou ilcitas de destruio, perda, alterao,
comunicao, difuso, ou qualquer forma de tratamento inadequado ou ilcito.
Pargrafo nico. As medidas de segurana devem ser compatveis com o atual estado da
tecnologia, com a natureza dos dados e com as caractersticas especficas do tratamento, em
particular no caso de dados sensveis.
Art. 43. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do
tratamento obriga-se ao dever de sigilo em relao aos dados pessoais, mesmo aps o seu trmino.
Art. 44. O responsvel dever comunicar imediatamente ao rgo competente a ocorrncia de
qualquer incidente de segurana que possa acarretar prejuzo aos titulares.
Pargrafo nico. A comunicao dever mencionar, no mnimo:
I - descrio da natureza dos dados pessoais afetados;
II - informaes sobre os titulares envolvidos;
III - indicao das medidas de segurana utilizadas para a proteo dos dados, inclusive
procedimentos de encriptao;
IV - riscos relacionados ao incidente; e
V - medidas que foram ou que sero adotadas para reverter ou mitigar os efeitos de prejuzo.
Art. 45. rgo competente poder determinar a adoo de providncias quanto a incidentes de
segurana relacionados a dados pessoais, conforme sua gravidade, tais como:
I - pronta comunicao aos titulares;
II - ampla divulgao do fato em meios de comunicao; ou
III - medidas para reverter ou mitigar os efeitos de prejuzo.
1o No juzo de gravidade do incidente, ser avaliada eventual comprovao de que foram adotadas
medidas tcnicas adequadas que tornem os dados pessoais afetados ininteligveis para terceiros no
autorizados a acess-los.

2o A pronta comunicao aos titulares afetados pelo incidente de segurana ser obrigatria,
independente de determinao do rgo competente, nos casos em que for possvel identificar que o
incidente coloque em risco a segurana pessoal dos titulares ou lhes possa causar danos.
Art. 46. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma
a atender aos requisitos de segurana, aos princpios gerais previstos nesta Lei e s demais normas
regulamentares.
Art. 47. rgo competente poder estabelecer normas complementares acerca de critrios e padres
mnimos de segurana, inclusive com base na evoluo da tecnologia.
Seo V
Boas Prticas
Art. 48. Os responsveis pelo tratamento de dados pessoais, individualmente ou por meio de
associaes, podero formular regras de boas prticas que estabeleam condies de organizao,
regime de funcionamento, procedimentos, normas de segurana, padres tcnicos, obrigaes
especficas para os diversos envolvidos no tratamento, aes formativas ou mecanismos internos de
superviso, observado o disposto nesta Lei e em normas complementares sobre proteo de dados.
Pargrafo nico. As regras de boas prticas disponibilizadas publicamente e atualizadas podero ser
reconhecidas e divulgadas pelo rgo competente.
Art. 49. O rgo competente estimular a adoo de padres tcnicos para softwares e aplicaes de
Internet que facilitem a disposio dos titulares sobre seus dados pessoais, incluindo o direito ao
no rastreamento.

CAPTULO VIII
SANES ADMINISTRATIVAS
Art. 50. As infraes realizadas por pessoas jurdicas de direito privado s normas previstas nesta
Lei ficam sujeitas s seguintes sanes administrativas aplicveis por rgo competente:
I - multa simples ou diria;
II - publicizao da infrao;
III - dissociao dos dados pessoais;
IV - bloqueio dos dados pessoais;
V - suspenso de operao de tratamento de dados pessoais, por prazo no superior a dois anos;
VI - cancelamento dos dados pessoais;

VII - proibio do tratamento de dados sensveis, por prazo no superior a dez anos; e
VIII - proibio de funcionamento de banco de dados, por prazo no superior a dez anos.
1o As sanes podero ser aplicadas cumulativamente.
2o Os procedimentos e critrios para a aplicao das sanes sero adequados em relao
gravidade e extenso da infrao, natureza dos direitos pessoais afetados, existncia de
reincidncia, situao econmica do infrator e aos prejuzos causados, nos termos do regulamento.
3o Os prazos de proibio previstos nos incisos VII e VIII do caput podero ser prorrogados pelo
rgo competente, desde que verificada a omisso no cumprimento de suas determinaes, a
reincidncia no cometimento de infraes ou a ausncia de reparao integral de danos causados
pela infrao.
4o O disposto neste artigo no prejudica a aplicao de sanes administrativas, civis ou penais
definidas em legislao especfica.
5o O disposto nos incisos III a VII poder ser aplicado s entidades e aos rgos pblicos, sem
prejuzo do disposto na Lei no 8.112, de 11 de dezembro de 1990 e na Lei no 8.429, de 2 de junho de
1992.
CAPTULO IX
DISPOSIES TRANSITRIAS E FINAIS

Art. 51. rgo competente estabelecer normas sobre adequao progressiva de bancos de dados
constitudos at a data de entrada em vigor desta Lei, considerada a complexidade das operaes de
tratamento, a natureza dos dados e o porte do responsvel.
Art. 52. Esta Lei entrar em vigor no prazo de 120 (cento e vinte) dias contados da data da sua
publicao.
Braslia,

de

de 2015; 194o da Independncia e 127o da Repblica.