Você está na página 1de 2

Cheat Sheet - LGPD v 1.

Estrutura da lei nº 13709 - Lei Geral de Proteção de Dados Pessoais:

Capítulo I Capítulo II Capítulo III Capítulo IV Capítulo V


Disposições preliminares: Tratamento de Direitos do titular: Tratamento de dados Transferência internacional
(Arts 1º - 6º) dados pessoais: (Arts 17º - 22º) pessoais pelo poder público: de dados pessoais:
(Arts 7º - 16º) (Arts 23º - 32º) (Arts 33º - 36º)

Capítulo VI Capítulo VII Capítulo VIII Capítulo IX Capítulo X


Agentes de tratamento de Segurança e Fiscalização: ANPD e Conselho Nacional: Disposições finais
dados pessoais: boas práticas: (Arts 52º - 54º) (Arts 55º - 59º) e transitórias:
(Arts 37º - 45º) (Arts 46º - 51º) (Arts 60º - 65º)

A LGPD se dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou
privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural. Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado,
independentemente do meio, do país ou onde estejam localizados os dados, desde que: O tratamento ou a coleta dos dados pessoais seja
realizado no território nacional, e tenha por objetivo a oferta ou o fornecimento de bens ou serviços. (Arts 1º e 3º)

A lei não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
fins exclusivamente jornalístico e artísticos; acadêmicos; segurança pública; defesa nacional; segurança do Estado; atividades de
investigação e repressão de infrações penais. (Art. 4º)

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável; Dado pessoal sensível: dado sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófico ou político, dado referente à saúde ou à
vida sexual, dado genético ou biométrico; Titular: pessoa natural a quem se referem os dados objeto de tratamento; Controlador: pessoa
natural ou jurídica, pública ou privada, a quem competem as decisões referentes ao tratamento dos dados; Operador: pessoa natural ou
jurídica, pública ou privada, que realiza o tratamento em nome do controlador; Encarregado: pessoa indicada pelo controlador e operador
para atuar como canal de comunicação entre controlador, titulares e ANPD; Tratamento: toda operação realizada como coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; RIPD: documentação do
controlador que descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. (Art. 5º)

Fundamentos (Art. 2º) Princípios (Art. 6º) Bases legais (Art. 7º) Direitos dos titulares (Art. 9º, 17º - 22º)

Respeito à privacidade Finalidade Consentimento Ser informado sobre a finalidade específica, forma e
duração do tratamento, assim como consequências de não
Adequação Obrigação legal fornecer o consentimento
Autodeterminação
informativa
Necessidade Política pública Identificação e informações de contato do controlador e
Liberdade de expressão encarregado de dados (DPO)
Livre Acesso Pesquisa
Inviolabilidade da Responsabilidades dos agentes de tratamento
intimidade, honra e Qualidade dos dados Execução de contratos
imagem
Garantidos direitos fundamentais de liberdade, intimidade
Transparência Processo judicial e privacidade
Desenvolvimento
econômico, tecnológico e
inovação Segurança Proteção da vida Acesso facilitado aos dados de forma clara, adequada e
ostensiva

Livre iniciativa, livre Prevenção Tutela da saúde


concorrência e defesa
Correção de dados incompletos, inexatos ou desatualizados
do consumidor
Não discriminação Legítimo interesse

Anonimização, bloqueio ou eliminação de dados


Direitos humanos Responsabilização Proteção do crédito desnecessários, excessivos ou tratados em
desconformidade
Tratamento de dados pessoais sensíveis (Art. 11º)
Portabilidade dos dados
Somente com consentimento do titular ou responsável legal, de forma específica e
destacada, para finalidades específicas
Revogação do consentimento e ou eliminação dos dados

Sem consentimento somente para cumprir: Obrigação legal; Política pública;


Pesquisa; Processo judicial; Proteção da vida; Tutela da saúde; Prevenção à fraude Informação sobre possível compartilhamento dos dados
pessoais
Aplica-se a qualquer tratamento de dados que revele dados pessoais sensíveis que
possa causar dano ao titular
Confirmada existência do tratamento dos dados, o acesso
pelo controlador será providenciado de forma simplificada
Vedado compartilhamento de informações de dados pessoais sensíveis com no prazo de até 15 dias após solicitação
objetivo de obter vantagem econômica, exceto na prestação de serviços de saúde,
assistência farmacêutica e assistência à saúde
Revisão de decisões tomadas de modo automatizado

Vedado às operadoras de planos de saúde o tratamento de dados para a prática de


seleção de riscos na contratação de qualquer modalidade, assim como na Os dados obtidos não podem ser utilizados em seu prejuízo
contratação e exclusão de beneficiários.

in Kleber S. Costa 1
Cheat Sheet - LGPD v 1.1

Tratamento de dados pessoais de crianças e adolescentes (Art. 14º) Término do tratamento (Art. 15º - 16º)

Somente com consentimento de um dos pais ou responsável legal Verificado que a finalidade foi alcançada
ou que os dados deixaram de ser
necessários ou pertinentes para o alcance
Deverão ser mantidas públicas informações sobre tipos de dados coletados, forma de utilização e da finalidade específica almejada
procedimentos para exercício dos direitos dos titulares

Fim do período de tratamento


Só poderão ser coletados dados se necessário para contatar os pais ou responsável legal, utilizados
uma única vez e sem armazenamento e não podem ser repassados a terceiro sem consentimento
Comunicação do titular no exercício de
seu direito de revogação do
Controladores não deverão condicionar a participação dos titulares em jogos, aplicações de internet consentimento
ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias

Determinação da ANPD, quando entender


Devem ser realizados todos os esforços razoáveis para verificar que o consentimento foi dado pelo desconformidade no tratamento
responsável, consideradas as tecnologias disponíveis

Os dados só poderão ser mantidos


Informações sobre tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, quando: Cumprimento de obrigação legal;
consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do Estudo por órgão de pesquisa; Uso
usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação exclusivo do controlador, vedado seu
necessária aos pais ou responsável legal e adequada ao entendimento da criança ou adolescente acesso por terceiro, e desde que
anonimizados os dados
Transferência internacional (Art. 33º) Agentes de tratamento (Art. 37º - 40º, 42º, 43º)
Encarregado (DPO) (Art. 41º)
Somente serão permitidas para países ou Os agentes de tratamento devem manter registro do
organismos internacionais que tratamento de dados que realizarem, especialmente O controlador deverá indicar encarregado
proporcionem grau de proteção adequados quando baseado no legítimo interesse pelo tratamento de dados. A identidade e
aos previstos pela LGPD as informações de contato do DPO
deverão ser divulgadas publicamente, de
A ANPD poderá determinar ao controlador que forma clara e objetiva, preferencialmente
Quando o controlador comprovar garantias elabore RIPD, inclusive de dados sensíveis, referente no síte do controlador
de cumprimento dos princípios, dos direitos a suas operações de tratamento, nos termos de
do titular e do regime de proteção de dados regulamento, observados os segredos comercial e
previstos na LGPD, na forma de: Cláusulas industrial. O relatório deverá conter, no mínimo, a Atividades: Aceitar reclamações e
contratuais específicas para determinada descrição dos tipos de dados coletados, a comunicações dos titulares, prestar
transferência; Cláusulas-padrão contratuais; metodologia utilizada para coleta e para a garantia esclarecimentos e adotar providências;
Normas corporativas globais; Selos, da segurança das informações e a análise do Receber comunicações da ANPD; Orientar
certificados e códigos de conduta controlador com relação a medidas, salvaguardas e funcionários e contratados da entidade a
regularmente emitidos mecanismos de mitigação de risco adotados respeito das práticas a serem tomadas em
relação à proteção de dados; Executar
demais atribuições determinadas pelo
Necessária para a cooperação jurídica O operador deverá realizar tratamento segundo as controlador ou estabelecidas em normas
internacional entre órgãos públicos de instruções fornecidas pelo controlador, que verificará complementares
inteligência, de investigação e persecução, a observância das próprias instruções e das normas
de acordo com os instrumentos de direito sobre a matéria
internacional Privacy by design (Art. 46º - 49º)
A ANPD poderá dispor sobre padrões de
Necessária para a proteção da vida ou da interoperabilidade para fins de portabilidade, livre Proativo e preventivo, não reativo e
incolumidade física do titular ou de terceiro acesso aos dados e segurança, assim como sobre o corretivo. o PbD vem antes não depois
tempo de guarda dos registros, tendo em vista
especialmente a necessidade e a transparência
ANPD autorizar a transferência Nenhuma ação é necessária, a privacidade
é incorporada ao sistema por padrão
O operador responde solidariamente pelos danos
A transferência resultar em compromisso causados pelo tratamento quando descumprir as
assumido em acordo de cooperação obrigações da LGPD ou quando não tiver seguido as Privacidade incorporada e integrada ao
internacional instruções lícitas do controlador Design, e não complementando

Para a execução de política pública ou Os controladores que estiverem diretamente Funcionalidade total (soma positiva, não
atribuição legal do serviço público envolvidos no tratamento do qual decorreram danos soma-zero)
ao titular respondem solidariamente
O titular fornecer consentimento específico Segurança fim a fim, ou seja, em todo
e em destaque para transferência, com Os agentes de tratamento só não serão ciclo de vida dos dados
informação prévia sobre caráter responsabilizados quando provarem: Que não
internacional da operação, distinguindo realizaram o tratamento de dados pessoais que lhes
claramente de outras finalidades é atribuído; Que, embora tenham realizado o Visibilidade e transparência para usuários
tratamento que lhes é atribuído, não houve violação e fornecedores
à legislação de proteção de dados; O dano é
Boas práticas (Art. 50º - 51º) responsabilidade exclusiva do titular ou de terceiro
Respeito à privacidade com foco no titular

Os agentes de tratamento poderão formular


regras de boas práticas e governança que Sanções e Autoridade Nacional de Proteção de Dados (ANPD) (Art. 52º - 58º)
estabeleçam condições de organização,
regime de funcionamento, procedimentos,
Os agentes de tratamento ficam sujeitos: Advertência com prazo para adoção de medidas
incluindo reclamações e petições de
corretivas; Multa simples diária de até 2% do faturamento no seu último exercício, limitada a R$ 50
titulares, normas de segurança, padrões
milhões por infração; Publicização da infração; Bloqueio dos dados até regularização; Eliminação
técnicos, obrigações específicas para os
diversos envolvidos no tratamento, ações
educativas, mecanismos de supervisão e É assegurada autonomia técnica e decisória à ANPD, onde lhe compete: Zelar pela proteção dos
mitigação de riscos dados pessoais; Elaborar diretrizes para políticas de proteção de dados e privacidade;
Fiscalizar e aplicar sanções; Promover e elaborar estudos sobre práticas nacionais e internacionais
de proteção de dados; Promover ações de cooperação com autoridades de proteção de dados
A ANPD estimulará a adoção de padrões internacionais; Realizar auditorias; Editar normas, orientações e procedimentos simplificados;
técnicos que facilitem o controle pelos Implementar mecanismos simplificados, inclusive por meio eletrônico, para registro de reclamações
titulares dos seus dados sobre tratamento de dados pessoais em desconformidade com a LGPD

in Kleber S. Costa 2

Você também pode gostar