proto beter 22 *E [acie Dispde sobre 0 tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural. A PRESI saneiono a seguinte Lei ENTA DA REPUBLICA faco saber que 0 Congresso Nacional decreta ¢ eu CAPITULO I DISPOSICOES PRELIMINARES Art. 12 Esta Lei dispi pessoa juridica de direito piblico ou privado, com o objetivo de proteger os direitos fundamentai liberdade e de privacidade ¢ o livre desenvolvimento da personalidade da pessoa natural obre 0 tratamento de dados pessoais por pessoa natural ou por de Art. 22 A disciplina da protegao de dados pessoais tem como fundamento o respeito a privacidade e: | - a autodeterminagao informativa; do, de comunicagao € de opi II -a liberdade de expr IIL - a inviolabilidade da intimidade, da vida privada, da honra ¢ da imagem; IV - o desenvolvimento econdmico e t cnoldgico; ¢ V -a livre iniciativa, a livre concorréncia e a defesa do consumidor, onde estejam localizados os dados, desde que: I - a operagdo de tratamento seja realizada no territério nacional; servigos ou 0 tratamento de dados de individuos localizados no territério nacional; ou III - os dados pessoais objeto do tratamento tenham sido coletados no territério naci ~ So Il - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de & ou Pardgrafo tinico. Consideram-se coletados no territério nacional os dados pessom¥ ct titular nele se encontre no momento da coleta.Art. 42 ta Lei ndo se aplica ao tratamento de dados’ I - realizado por pessoa natural para fins exclusivamente pessoa st cos, literarios ou académico: Ou II - realizado para fins exclusivamente jornalisticos, arti III - realizado para fins exclusivos de seguranga pliblica, de defesa nacional, de seguranga do Estado ou de atividades de investigagao ¢ repressio de infragdes penais. § 12 O tratamento de dados pessoais previsto no inciso III sera regido por legislagao specifica, observados os prineipios gerais de protegio e os direitos do titular previstos nesta Lei. § 2° E vedado o tratamento dos dados a que se refere o inciso III por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa juridica de direito piiblico, que serio objeto de informe especifico ao Stevo competente. § 3% O érgio competente emitira opinides técnicas ou recomendagdes referentes as excegdes previstas nos incisos II ¢ III ¢ podera solicitar aos responsaveis relatérios de impacto 3 privacidade. Art. 5? Para os fins desta Lei, considera-se: I = dado pessoal: dado relacionado a pessoa natural identificada ou identificavel, inclusive niimeros identificativos, dados locacionais ou identificadores eletrénicos quando estes. estiverem relacionados a uma pessoa, IL - tratamento: toda operagio realizada com dados pessoais, como as que se referem a coleta, producdo, recepgio, classificagao, utilizagdo, acesso, reprodugao, transmissio, distribuigdo, processamento, arquivamento, armazenamento, eliminagao, avaliag’o ou controle da informagdo, modificacao, comunicagao, transferéncia, difusdo ou extragao; IIL = dados sensiveis: dados pessoais sobre a origem racial ou étnica, as convicgdes religiosas, as opinides politicas, a filiagdo a sindicatos ou a organizagdes de cariter religioso, filoséfico ou politico, dados referentes a satide ou vida sexual e dados genéticos ou biométricos; asa IV - dados anonimizados: dados relativos a um titular que nao possa ser identificado; V - banco de dados: conjunto estruturado de dados pessoais, localizado em um ou em virios locais, em suporte eletrnico ou fisico: * VI - titular: @ pessoa natural a quem se referem os dados pessoais que sio olfigtp de tratamento; be VII - consentimento: manifestagdo livre, informada e inequivoca pela qual CRular concorda com 0 tratamento de seus dados pessoais para uma finalidade determinada; Nn VIII - responsivel: a pessoa natural ou juridica, de direito publico ou privado, fiem competem as decisées referentes ao tratamento de dados pessoais; Ww IX - operador: a pessoa natural ou juridica, de direito piiblico ou privado, que Saks tratamento de dados pessoais em nome do responsavel; NB << fvel, que atua como cial & X ~ encarregado: pessoa natural, indicada pelo respon: comunicagio perante os titulares ¢ 0 6 competente; XI - transferéneia internacional de dados: transferéncia de dados pessoais para um paisestrangeiro: XII - anonimizagao: qualquer procedimento por meio do qual um dado perde a possibilidade de associagiio, direta ou indireta, a um individuo; «al ou do banco de dados com a s io temporir XIII - bloqueio: guarda do dado pe sper de qualquer operagio de tratamento: XIV - climinagio: exclusio definitiva de dado ou de conjunto de dados armazenados em banco de dados, independente do procedimento empregado; € XV - uso compartithado de dados: a comunicagao, a difu ‘a interconexio de dados pessoais ou o tratamento compartilhado de bancos de dados pessoais por drgios ¢ entidades pablicos, no cumprimento de suas competéncias legais, ou entre drgiios e entidades piblicos ¢ 1, para uma ou mais modalidades de tratamento delegados por 10, a transferéncia internacional, entes privados, com autorizagao especi esses entes piiblicos. observar a boa-fé ¢ os Art. 6° As atividades de tratamento de dados pessoais deve seguintes prineipios I - finalidade: pelo qual o tratamento deve ser realizado para finalidades legitima: especificas, explicitas ¢ informadas ao titular, no podendo ser tratados posteriormente de forma incompativel com essas finalidades; I1- adequagao: pelo qual o tratamento deve ser compativel com as suas finalidades e com as legitimas expectativas do titular, de acordo com 0 contexto do tratamento; III ~ necessidade: pelo qual 0 tratamento deve se limitar ao minimo necessério para a realizagao das suas finalidades, abrangendo dados pertinentes, proporcionais ¢ nao excessivos em relagio Ais finalidades do tratamento de dados IV - livre acesso: pelo qual deve ser garantida aos titulares consulta facilitada e gratuita sobre as modalidades de tratamento ¢ sobre a integralidade dos seus dados pessoais: V - qualidade dos dados: pelo qual devem ser garantidas aos titulares a exatidio, a clareza, relevancia ¢ a atualizagiio dos dados, de acordo com a periodicidade necessaria para o cumprimento da finalidade de seu tratamento; VI - transparéncia: pelo qual devem ser garantidas aos titulares informagdes claras, adequadas ¢ facilmente acessiveis sobre a realizagio do tratamento © os respectivos agentes de tratamento; VII - seguranga: pelo qual devem ser utilizadas medidas téenicas ¢ adminiggativas constantemente atualizadas, proporcionais 4 natureza das informagSes tratadas ¢ aptas a proteger qpycpdos pessoais de acessos no autorizados e de situagdes acidentais ow ilicitas de destruigio, perda, alfetaao, oO comunicagio ou difusiio; VIII - prevengao: pelo qual devem ser adotadas medidas para prevenir a ocorraNh di danos em virtude do tratamento de dados pessoais; e Qa IX = nao diseriminagao: pelo qual 0 tratamento nao pode ser realizado pas?) fins discriminatérios < a Ns CAPITULO IL * SG REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAISSegiio 1 Requisitos para o tratamento Art 7® © tratamento de dados pessoais somente poder ser realizado nas seguintes hipotese L- mediante 0 fornecimento pelo titular de consent informado ¢ inequivoco: I1- para o cumprimento de uma obrigag3o legal pelo responsavel; © piiblica, para o tratamento ¢ uso compartilhado de dados nentos; IIL ~ pela administrag: necessirios 4 execugio de politicas publicas previstas em leis ou regula IV - para a realizagdo de pesquisa hist6rica, cientifica ou estatistica, garantida, sempre que vel, a anonimizagio dos dados pessoa pos de um contrato ou de procedimentos preliminares, a pedido do titular dos dados; V - quando necessario para a execu relacionados a um contrato do qual é parte o titu V1 - para o exercicio regular de direitos em processo judicial ou administrativo; ica do titular ou de terceiro: VIL- para a protegio da vida ou da incolumidade fi VIII - para a tutela da satide, com procedimento realizado por profissionais da area da satide ou por entidades sanitarias; rio para atender aos interesses legitimos do responsavel ou de terceiro, ou direitos e liberdades fundamentais do titular que exijam a IX - quando necess exceto no caso de prevalecerem interes dos dados pessoais, em especial se o titular for menor de idade. protega Nos casos de aplicagao do disposto nos incisos 11 III, 0 responsavel deverd informar ao titular as hipdteses em que seri admitido o tratamento de seus dados. § 22 A forma de disponibilizagao das informagdes previstas no parigrafo anterior € no art 24 podera ser especificada pelo érgio competent. to no § 12, 0 operador ou © responsive! pelo * § 38 No caso de descumprimento do disp. tratamento de dados podera ser responsabilizado. § 4° 0 tratamento de dados pessoais cujo acesso é piiblico deve ser realizado dgacordo com esta Lei, considerados a finalidade, a boa-fé e 0 interesse piiblico que justificaram@® sua disponibilizagio, lon Art. 8°. O titular deverd ter acesso facilitado as informagdes sobre 0 tratamento WO sept ser disponibilizadas de forma clara, adequada e ostensiva sobre, entre outros: do tratamento; aD x I- finalidade especi 9A5D20; IL forma e duragao do tratamento; II] - identificagao do responsivel;IV - informagées de contato do responsivel; V - sujeitos ou categorias de sujeitos para os quais os dados podem ser comunicados ¢ 0 Ambito de sua difusao; V1 - responsabilidades dos agentes que realizardo o tratamento; e VII - direitos do titular, com mengao explicita a possibilidade de: a) acessar os dados, retificd-los ou revogar o consentimento, por procedimento gratuito e facilitado; b) denunciar ao érgao competente o descumprimento de disposigdes desta Lei; ¢ ©) no fornecer o consentimento, na hipdtese em que © consentimento & requerido, mediante o fornecimento de informagdes sobre as consequéncias da negativa. era considerado nulo caso as § 12 Na hipétese em que 0 consentimento é requerido, este informagdes fornecidas ao titular tenham contetdo enganoso ou no tenham sido apresentadas previamente de forma clara, adequada e ostensiva § 22 Em caso de alteragaio de informagao referida no inciso [V do caput, o responsavel devera comunicar ao titular as informagdes de contato atualizadas. § 3° Nas atividades que importem em coleta continuada de dados pessoais, o titular deverd ser informado periodicamente sobre as principais caracteristicas do tratamento, nos termos definidos pelo 6rgiio competente. § 4° Quando 0 consentimento para o tratamento de dados pessoais fornecimento de produto ou de servigo ou para 0 exercicio de direito, o titular seré informado com destaque sobre tal fato e sobre os meios pelos quais poder’ exercer controle sobre 0 tratamento de seus dados. § 52 0 drgio competente poderi dispor sobre os meios referidos no § 4%, Art. 98 © consentimento previsto no art. 72, inciso 1, deveri ser livre, informado ¢ inequivoco e fornecido por escrito ou por qualquer outro meio que o certifique. em G7E* § 12 Caso 0 consentimento seja fornecido por escrito, este dever ser forne: cliusula destacada das demais ckiusulas contratuais. vel o Gnus da prova de que © consentimento foi obi § 22 Cabe ao respons conformidade com o disposto nesta Lei 9A5D2 502078 § 3° E vedado o tratamento de dados pessoais quando 0 consentimento tenha sido¥obtidS mediante erro, dolo, coagio, estado de perigo ou simulagao.sendo nulas as § 42 consentimento deverd se referir a finalidades determinad: autorizagSes genéricas para o tratamento de dados pessoais. § 58 © consentimento pode ser revogado a qualquer momento, mediante manifestagdo expressa do titular. § 62 Em caso de alteragao de informagao referida nos incisos 1, II, III ou V do art. 8%, 0 responsivel deverd obter novo consentimento do titular, apés destacar de forma especifica o teor das alteragdes. § 72 O 6rgio competente podera adequar os requisitos para o consentimento, considerado © contexto em que é fornecido e a natureza dos dados pessoais fornecidos. Art, 10. © legitimo interesse do responsive! somente poder fundamentar um tratamento de dados pessoais quando necessirio ¢ baseado em uma situagio concreta, respeitados os direitos © liberdades fundamentais do titular § 12 0 legitimo interesse devera contemplar as legitimas expectativas do titular quanto ao tratamento de seus dados, de acordo com o disposto no art. 6%, inciso I § 22 O responsavel devera adotar medidas para garantir a transparéncia do tratamento de dados baseado no seu legitimo interesse, devendo fornecer aos titulares mecanismos eficazes para que 2 para q possam manifestar sua oposigio ao tratamento de dados pessoas. § 38 Quando o tratamento for baseado no legitimo interesse do responsavel, somente os dados pessoais estritamente necessarios para a finalidade pretendida poderio ser tratados, devendo ser mpre que compativel com a finalidade do tratamento. anonimizados s § 42 © Grgio competente poderi solicitar ao responsivel relatério de impacto 4 privacidade quando 0 tratamento tiver como fundamento o seu interesse legitimo, Art. LL E vedado 0 tratamento de dados pessoais sensiveis, exceto: - com fornecimento de consentimento livre, inequivoco, informado, expresso ¢ eshsa pelo titular a) mediante manifestag3o propria, distinta da manifestagao de consentimento re outros dados pessoais; & va a D207E* b) com informagdo prévia e especifica sobre a natureza sensivel dos dados a com alerta quanto aos riscos envolvidos no seu tratamento. AS tratado: 9 9A5D207E II - sem fornecimento de consentimento do titular, nas hipéteses em que for indispgsi EI para: a) cumprimento de uma obrigagdo legal pelo responsavel:b) tratamento ¢ uso compartilhado de dados necessirios 4 execugdo, pela administragao piiblica, de politicas piiblicas previstas em leis ou regulamentos; ©) realizagdo de pesquisa historica, cientifica ou estatistica, garantida, sempre que possivel a anonimizagao dos dados pessoais sensiveis 4) exercicio regular de direitos em processo judicial ou administrative; do da vida ou da incolumidade fisica do titular ou de terceiro; ow ©) protes 1) tutela da satide, com procedimento realizado por profissionais da area da satide ou por entidades sanitarias. § 1° Aplica-se 0 disposto neste artigo a qualquer tratamento de dados pessoais capaz de revelar dados pessoais sensiveis. § 22 O tratamento de dados pessoais sensiveis no podera ser realizado em detrimento do titular, ressalvado o disposto em ley § 32. O disposto na alinea “c” do inciso II nao se aplica caso as atividades de pesquisa estejam vineuladas a qualquer das seguintes atividades: 1- comercial; Il ~ de administragdo piblica, quando a pesquisa ndo for a atividade principal ou legalmente estabelecida do drgio; ou IIL - relativa a investigagdo criminal ou inteligéncia, § 42 Nas hipéteses do parigrafo anterior, sempre que possivel, seri garantida a dados pessoa anonimizagao dos § 58 Nos casos de aplicago do disposto nas alineas “a” e “b” do inciso II pelos érgiios © .. sera dada publicidade a referida dispensa de consentimento, nos termos do art pelas entidades publica 24. Art. 12. O érgdo competente poder estabelecer medidas adicionais de seguranga e de protegdio aos dados pessoais sensiveis, que deverdo ser adotadas pelo responsivel ou por outros *ientes do tratamento, ou solicitar a apresentagao de relatorio de impacto a privacidade. qe Art. 13. Os dados anonimizados seraio considerados dados pessoais, para os fins daStaLe quando © processo de anonimizagao 20 qual foram submetidos for revertido ou quando, com @¥cos razoaiveis, puder ser revertido. -w w u 5 8 § 12 Poderio ser igualmente considerados como dados pessoais, para os fins desta), dados utilizados para a formagao do perfil comportamental de uma determinada pessoa natural, aigda q& no identificadautilizadas em proc § 2° 0 érgio competente poder dispor sobre padrdes ¢ técnica izagao e realizar verificagdes acerea de sua seguranga. § 3° O compartithamento e o uso que se faz de dados anonimizados deve ser objeto de publicidade e de transparéncia, sem prejuizo do érgio competente poder solicitar ao responsavel relatirio de impacto a privacidade referente aos riseos de reversiio do processo de anonimizagio ¢ demais aspectos de seu tratamento, Art. 14. 0 tratamento de dados pessoais de criangas ¢ de adolescentes deveri ser realizado no seu melhor interesse, nos termos da legislagio pertinente Segio Il Término do tratamento Art. 15. O término do tratamento de dados pessoais ocorrerd nas seguintes hipéteses: I - verificago de que a finalidade foi aleangada ou de que os dados deixaram de ser ios ou pertinentes ao aleance da finalidade especitfica almejada; I- fim do periodo de tratamento: IIL - comunicagao do titular, inclusive no exercicio do seu direito de revoga consentimento conforme disposto no art. 9, § 5% ou IV - determinagdo do érgdo competente, quando houver violagao da legislagao em vigor a respeito. Parigrafo inico. O drgdo competente estabelecerd os periodos maximos para o tratamento de dados pessoais, ressalvado o disposto em legislagio especitfica. Art, 16, Os dados ps seriio eliminados apés © término de seu tratamento, autorizada para as seguintes finalidades a conservaga 1- cumprimento de obrigagao legal do responsive: garantida, quando possivel, a anonimizagio * dos dados pessoais: ou II - transferéncia a terceiros, desde que respeitados os requisitos de tratamento Fos dispostos nesta Lei. entifica ou estatis IL- pesquisa histérica, So N Parigrafo Gnico. © érgo competente poder estabelecer hipéteses especiffea) de conservagio de dados pessoais, garantidos os direitos do titular, ressalvado o disposto em leRistyae especifica, < 5 an CAPITULO III * DOS DIREITOS DO TITULAR 9A5D20