Escolar Documentos
Profissional Documentos
Cultura Documentos
go
dados com agentes de tratamento brasileiros ou objeto de
ou por pessoa jurídica de direito público ou privado, com transferência internacional de dados com outro país que
o objetivo de proteger os direitos fundamentais de não o de proveniência, desde que o país de proveniência
liberdade e de privacidade e o livre desenvolvimento da proporcione grau de proteção de dados pessoais
personalidade da pessoa natural.
ia
adequado ao previsto nesta Lei.
§ 1º O tratamento de dados pessoais previsto no inciso III
Parágrafo único. As será regido por legislação específica, que deverá prever
normas gerais contidas nesta Lei são de interesse
nt
medidas proporcionais e estritamente necessárias ao
nacional e devem ser observadas pela União, Estados, atendimento do interesse público, observados o devido
Distrito Federal e Municípios. (Incluído pela Lei nº processo legal, os princípios gerais de proteção e os
13.853, de 2019) Vigência Sa
direitos do titular previstos nesta Lei.
Art. 2º A disciplina da proteção de dados pessoais tem § 2º É vedado o tratamento dos dados a que se refere o
como fundamentos: inciso III do caput deste artigo por pessoa de direito
I - o respeito à privacidade; privado, exceto em procedimentos sob tutela de pessoa
II - a autodeterminação informativa; jurídica de direito público, que serão objeto de informe
III - a liberdade de expressão, de informação, de específico à autoridade nacional e que deverão observar a
o
comunicação e de opinião; limitação imposta no § 4º deste artigo.
IV - a inviolabilidade da intimidade, da honra e da § 3º A autoridade nacional emitirá opiniões técnicas ou
dr
pelas pessoas naturais. poderá ser tratada por pessoa de direito privado, salvo
Art. 3º Esta Lei aplica-se a qualquer operação de por aquela que possua capital integralmente
tratamento realizada por pessoa natural ou por pessoa constituído pelo poder público. (Redação dada pela
jurídica de direito público ou privado, independentemente Lei nº 13.853, de 2019) Vigência
do meio, do país de sua sede ou do país onde estejam Art. 5º Para os fins desta Lei, considera-se:
of
localizados os dados, desde que: I - dado pessoal: informação relacionada a pessoa natural
I - a operação de tratamento seja realizada no território identificada ou identificável;
nacional; II - dado pessoal sensível: dado pessoal sobre origem
Pr
V - titular: pessoa natural a quem se referem os dados histórico, científico, tecnológico ou estatístico; e
pessoais que são objeto de tratamento; (Redação dada pela Lei nº 13.853, de
VI - controlador: pessoa natural ou jurídica, de direito 2019) Vigência
público ou privado, a quem competem as decisões XIX - autoridade nacional: órgão da
referentes ao tratamento de dados pessoais; administração pública responsável por zelar, implementar
VII - operador: pessoa natural ou jurídica, de direito e fiscalizar o cumprimento desta Lei em todo o
público ou privado, que realiza o tratamento de dados território nacional. (Redação dada pela Lei nº 13.853,
pessoais em nome do controlador; de 2019) Vigência
VIII - encarregado: Art. 6º As atividades de tratamento de dados pessoais
pessoa indicada pelo controlador e operador para deverão observar a boa-fé e os seguintes princípios:
atuar como canal de comunicação entre o I - finalidade: realização do tratamento para propósitos
controlador, os titulares dos dados e a legítimos, específicos, explícitos e informados ao titular,
Autoridade Nacional de Proteção de Dados (ANPD); sem possibilidade de tratamento posterior de forma
(Redação dada pela Lei nº 13.853, de incompatível com essas finalidades;
2019) Vigência II - adequação: compatibilidade do tratamento com as
IX - agentes de tratamento: o controlador e o operador; finalidades informadas ao titular, de acordo com o
go
X - tratamento: toda operação realizada com dados contexto do tratamento;
pessoais, como as que se referem a coleta, produção, III - necessidade: limitação do tratamento ao mínimo
recepção, classificação, utilização, acesso, reprodução, necessário para a realização de suas finalidades, com
transmissão, distribuição, processamento, arquivamento, abrangência dos dados pertinentes, proporcionais e não
ia
armazenamento, eliminação, avaliação ou controle da excessivos em relação às finalidades do tratamento de
informação, modificação, comunicação, transferência, dados;
difusão ou extração; IV - livre acesso: garantia, aos titulares, de consulta
nt
XI - anonimização: utilização de meios técnicos razoáveis e facilitada e gratuita sobre a forma e a duração do
disponíveis no momento do tratamento, por meio dos tratamento, bem como sobre a integralidade de seus
quais um dado perde a possibilidade de associação, direta dados pessoais;
ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e
inequívoca pela qual o titular concorda com o tratamento
Sa
V - qualidade dos dados: garantia, aos titulares, de
exatidão, clareza, relevância e atualização dos dados, de
acordo com a necessidade e para o cumprimento da
de seus dados pessoais para uma finalidade determinada; finalidade de seu tratamento;
XIII - bloqueio: suspensão temporária de qualquer VI - transparência: garantia, aos titulares, de informações
operação de tratamento, mediante guarda do dado claras, precisas e facilmente acessíveis sobre a realização
o
pessoal ou do banco de dados; do tratamento e os respectivos agentes de tratamento,
XIV - eliminação: exclusão de dado ou de conjunto de observados os segredos comercial e industrial;
dr
dados pessoais para país estrangeiro ou organismo ilícitas de destruição, perda, alteração, comunicação ou
internacional do qual o país seja membro; difusão;
XVI - uso compartilhado de dados: comunicação, difusão, VIII - prevenção: adoção de medidas para prevenir a
transferência internacional, interconexão de dados ocorrência de danos em virtude do tratamento de dados
ºS
permitidas por esses entes públicos, ou entre entes eficazes e capazes de comprovar a observância e o
privados; cumprimento das normas de proteção de dados pessoais
XVII - relatório de impacto à proteção de dados pessoais: e, inclusive, da eficácia dessas medidas.
Pr
go
saúde, exclusivamente, em procedimento realizado procedimento gratuito e facilitado, ratificados os
por profissionais de saúde, serviços de saúde ou tratamentos realizados sob amparo do consentimento
autoridade sanitária; (Redação dada pela Lei anteriormente manifestado enquanto não houver
nº 13.853, de 2019) Vigência requerimento de eliminação, nos termos do inciso VI do
ia
IX - quando necessário para atender aos interesses caput do art. 18 desta Lei.
legítimos do controlador ou de terceiro, exceto no caso de § 6º Em caso de alteração de informação referida nos
prevalecerem direitos e liberdades fundamentais do incisos I, II, III ou V do art. 9º desta Lei, o controlador
nt
titular que exijam a proteção dos dados pessoais; ou deverá informar ao titular, com destaque de forma
X - para a proteção do crédito, inclusive quanto ao específica do teor das alterações, podendo o titular, nos
disposto na legislação pertinente. casos em que o seu consentimento é exigido, revogá-lo
não desobriga os agentes de tratamento das demais ao titular tenham conteúdo enganoso ou abusivo ou não
obrigações previstas nesta Lei, especialmente da tenham sido apresentadas previamente com
observância dos princípios gerais e da garantia dos direitos transparência, de forma clara e inequívoca.
Pr
Art. 10. O legítimo interesse do controlador somente dispensa de consentimento, nos termos do inciso I do
poderá fundamentar tratamento de dados pessoais para caput do art. 23 desta Lei.
finalidades legítimas, consideradas a partir de situações § 3º A comunicação ou o uso compartilhado de dados
concretas, que incluem, mas não se limitam a: pessoais sensíveis entre controladores com objetivo de
I - apoio e promoção de atividades do controlador; e obter vantagem econômica poderá ser objeto de vedação
II - proteção, em relação ao titular, do exercício regular de ou de regulamentação por parte da autoridade nacional,
seus direitos ou prestação de serviços que o beneficiem, ouvidos os órgãos setoriais do Poder Público, no âmbito
respeitadas as legítimas expectativas dele e os direitos e de suas competências.
liberdades fundamentais, nos termos desta Lei. § 4º É vedada a comunicação
§ 1º Quando o tratamento for baseado no legítimo ou o uso compartilhado entre controladores
interesse do controlador, somente os dados pessoais de dados pessoais sensíveis referentes à saúde
estritamente necessários para a finalidade pretendida com objetivo de obter vantagem econômica,
poderão ser tratados. exceto nas hipóteses relativas a prestação de
§ 2º O controlador deverá adotar medidas para garantir a serviços de saúde, de assistência farmacêutica e
transparência do tratamento de dados baseado em seu de assistência à saúde, desde que observado
legítimo interesse. o § 5º deste artigo, incluídos os serviços
go
§ 3º A autoridade nacional poderá solicitar ao controlador auxiliares de diagnose e terapia, em benefício dos
relatório de impacto à proteção de dados pessoais, interesses dos titulares de dados, e para
quando o tratamento tiver como fundamento seu permitir: (Redação dada pela Lei nº 13.853,
interesse legítimo, observados os segredos comercial e de 2019) Vigência
ia
industrial. I - a portabilidade de
Seção II dados quando solicitada pelo titular; ou (Incluído pela
Do Tratamento de Dados Pessoais Sensíveis Lei nº 13.853, de 2019) Vigência
nt
Art. 11. O tratamento de dados pessoais sensíveis
somente poderá ocorrer nas seguintes hipóteses: II - as transações
I - quando o titular ou seu responsável legal consentir, de financeiras e administrativas resultantes do uso e da
forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas
hipóteses em que for indispensável para:
Sa prestação dos serviços de que trata este
parágrafo.
Vigência
(Incluído pela Lei nº 13.853, de 2019)
c) realização de estudos por órgão de pesquisa, garantida, assim como na contratação e exclusão de beneficiários.
sempre que possível, a anonimização dos dados pessoais (Incluído pela Lei nº 13.853, de 2019)
sensíveis; Vigência
an
d) exercício regular de direitos, inclusive em contrato e em Art. 12. Os dados anonimizados não serão considerados
processo judicial, administrativo e arbitral, este último nos dados pessoais para os fins desta Lei, salvo quando o
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de processo de anonimização ao qual foram submetidos for
Arbitragem) ; revertido, utilizando exclusivamente meios próprios, ou
ºS
e) proteção da vida ou da incolumidade física do titular ou quando, com esforços razoáveis, puder ser revertido.
de terceiro; § 1º A determinação do que seja razoável deve levar em
f) tutela da saúde, consideração fatores objetivos, tais como custo e tempo
exclusivamente, em procedimento realizado por necessários para reverter o processo de anonimização, de
profissionais de saúde, serviços de saúde ou acordo com as tecnologias disponíveis, e a utilização
of
go
tratamento por meio do qual um dado perde a seguintes finalidades:
possibilidade de associação, direta ou indireta, a um I - cumprimento de obrigação legal ou regulatória pelo
indivíduo, senão pelo uso de informação adicional controlador;
mantida separadamente pelo controlador em ambiente II - estudo por órgão de pesquisa, garantida, sempre que
ia
controlado e seguro. possível, a anonimização dos dados pessoais;
Seção III III - transferência a terceiro, desde que respeitados os
Do Tratamento de Dados Pessoais de Crianças e de requisitos de tratamento de dados dispostos nesta Lei; ou
nt
Adolescentes IV - uso exclusivo do controlador, vedado seu acesso por
Art. 14. O tratamento de dados pessoais de crianças e de terceiro, e desde que anonimizados os dados.
adolescentes deverá ser realizado em seu melhor CAPÍTULO III
interesse, nos termos deste artigo e da legislação
pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá
Sa DOS DIREITOS DO TITULAR
Art. 17. Toda pessoa natural tem assegurada a titularidade
de seus dados pessoais e garantidos os direitos
ser realizado com o consentimento específico e em fundamentais de liberdade, de intimidade e de
destaque dado por pelo menos um dos pais ou pelo privacidade, nos termos desta Lei.
responsável legal. Art. 18. O titular dos dados pessoais tem direito a obter do
o
§ 2º No tratamento de dados de que trata o § 1º deste controlador, em relação aos dados do titular por ele
artigo, os controladores deverão manter pública a tratados, a qualquer momento e mediante requisição:
dr
go
§ 6º O
responsável deverá informar, de maneira imediata, aos § 3º (VETADO).
agentes de tratamento com os quais tenha (Incluído pela Lei nº 13.853, de 2019) Vigência
realizado uso compartilhado de dados a Art. 21. Os dados pessoais referentes ao exercício regular
ia
correção, a eliminação, a anonimização ou o bloqueio dos de direitos pelo titular não podem ser utilizados em seu
dados, para que repitam idêntico procedimento, prejuízo.
exceto nos casos em que esta comunicação seja Art. 22. A defesa dos interesses e dos direitos dos titulares
nt
comprovadamente impossível ou implique esforço de dados poderá ser exercida em juízo, individual ou
desproporcional. (Redação dada pela coletivamente, na forma do disposto na legislação
Lei nº 13.853, de 2019) Vigência pertinente, acerca dos instrumentos de tutela individual e
§ 7º A portabilidade dos dados pessoais a que se refere o
inciso V do caput deste artigo não inclui dados que já
tenham sido anonimizados pelo controlador.
Sa
coletiva.
CAPÍTULO IV
DO TRATAMENTO DE DADOS PESSOAIS PELO PODER
§ 8º O direito a que se refere o § 1º deste artigo também PÚBLICO
poderá ser exercido perante os organismos de defesa do Seção I
consumidor. Das Regras
o
Art. 19. A confirmação de existência ou o acesso a dados Art. 23. O tratamento de dados pessoais pelas pessoas
pessoais serão providenciados, mediante requisição do jurídicas de direito público referidas no parágrafo único do
dr
origem dos dados, a inexistência de registro, os critérios interesse público, com o objetivo de executar as
utilizados e a finalidade do tratamento, observados os competências legais ou cumprir as atribuições legais do
segredos comercial e industrial, fornecida no prazo de até serviço público, desde que:
15 (quinze) dias, contado da data do requerimento do I - sejam informadas as hipóteses em que, no exercício de
ºS
do titular ou em contrato, o titular poderá solicitar cópia encarregado quando realizarem operações de
eletrônica integral de seus dados pessoais, observados os tratamento de dados pessoais, nos termos do art.
segredos comercial e industrial, nos termos de 39 desta Lei; e (Redação dada pela Lei nº 13.853,
regulamentação da autoridade nacional, em formato que de 2019) Vigência
permita a sua utilização subsequente, inclusive em outras
operações de tratamento. IV - (VETADO).
§ 4º A autoridade nacional poderá dispor de forma (Incluído pela Lei nº 13.853, de 2019)
diferenciada acerca dos prazos previstos nos incisos I e II Vigência
do caput deste artigo para os setores específicos. § 1º A autoridade nacional poderá dispor sobre as formas
Art. 20. O titular dos de publicidade das operações de tratamento.
dados tem direito a solicitar a revisão de decisões § 2º O disposto nesta Lei não dispensa as pessoas jurídicas
tomadas unicamente com base em tratamento mencionadas no caput deste artigo de instituir as
automatizado de dados pessoais que afetem seus
autoridades de que trata a Lei nº 12.527, de 18 de outras finalidades. (Incluído pela Lei nº 13.853, de
novembro de 2011 (Lei de Acesso à Informação) . 2019) Vigência
§ 3º Os prazos e procedimentos para exercício dos direitos § 2º Os contratos e convênios de que trata o § 1º deste
do titular perante o Poder Público observarão o disposto artigo deverão ser comunicados à autoridade nacional.
em legislação específica, em especial as disposições Art. 27. A comunicação ou o uso compartilhado de dados
constantes da Lei nº 9.507, de 12 de novembro de 1997 pessoais de pessoa jurídica de direito público a pessoa de
(Lei do Habeas Data) , da Lei nº 9.784, de 29 de janeiro de direito privado será informado à autoridade nacional e
1999 (Lei Geral do Processo Administrativo) , e da Lei nº dependerá de consentimento do titular, exceto:
12.527, de 18 de novembro de 2011 (Lei de Acesso à I - nas hipóteses de dispensa de consentimento previstas
Informação) . nesta Lei;
§ 4º Os serviços notariais e de registro exercidos em II - nos casos de uso compartilhado de dados, em que será
caráter privado, por delegação do Poder Público, terão o dada publicidade nos termos do inciso I do caput do art.
mesmo tratamento dispensado às pessoas jurídicas 23 desta Lei; ou
referidas no caput deste artigo, nos termos desta Lei. III - nas exceções constantes do § 1º do art. 26 desta Lei.
§ 5º Os órgãos notariais e de registro devem fornecer
acesso aos dados por meio eletrônico para a Parágrafo único. A
go
administração pública, tendo em vista as finalidades de informação à autoridade nacional de que trata o
que trata o caput deste artigo. caput deste
Art. 24. As empresas públicas e as sociedades de artigo será objeto de regulamentação. (Incluído pela
economia mista que atuam em regime de concorrência, Lei nº 13.853, de 2019) Vigência
ia
sujeitas ao disposto no art. 173 da Constituição Federal , Art. 28. (VETADO).
terão o mesmo tratamento dispensado às pessoas Art. 29. A autoridade
jurídicas de direito privado particulares, nos termos desta nacional poderá solicitar, a qualquer momento, aos
nt
Lei. órgãos e às entidades do poder público a realização de
Parágrafo único. As empresas públicas e as sociedades de operações de tratamento de dados pessoais,
economia mista, quando estiverem operacionalizando informações específicas sobre o âmbito e a natureza dos
políticas públicas e no âmbito da execução delas, terão o
mesmo tratamento dispensado aos órgãos e às entidades
do Poder Público, nos termos deste Capítulo.
Sa
dados e outros detalhes do tratamento realizado e poderá
emitir parecer técnico complementar para garantir o
cumprimento desta Lei. (Redação dada pela
Art. 25. Os dados deverão ser mantidos em formato Lei nº 13.853, de 2019) Vigência
interoperável e estruturado para o uso compartilhado, Art. 30. A autoridade nacional poderá estabelecer normas
com vistas à execução de políticas públicas, à prestação de complementares para as atividades de comunicação e de
o
serviços públicos, à descentralização da atividade pública uso compartilhado de dados pessoais.
e à disseminação e ao acesso das informações pelo Seção II
dr
execução de políticas públicas e atribuição legal pelos autoridade nacional poderá enviar informe com medidas
órgãos e pelas entidades públicas, respeitados os cabíveis para fazer cessar a violação.
princípios de proteção de dados pessoais elencados no Art. 32. A autoridade nacional poderá solicitar a agentes
art. 6º desta Lei. do Poder Público a publicação de relatórios de impacto à
ºS
§ 1º É vedado ao Poder Público transferir a entidades proteção de dados pessoais e sugerir a adoção de padrões
privadas dados pessoais constantes de bases de dados a e de boas práticas para os tratamentos de dados pessoais
que tenha acesso, exceto: pelo Poder Público.
I - em casos de execução descentralizada de atividade CAPÍTULO V
pública que exija a transferência, exclusivamente para DA TRANSFERÊNCIA INTERNACIONAL DE DADOS
of
esse fim específico e determinado, observado o disposto Art. 33. A transferência internacional de dados pessoais
na Lei nº 12.527, de 18 de novembro de 2011 (Lei de somente é permitida nos seguintes casos:
Acesso à Informação) ; I - para países ou organismos internacionais que
Pr
III - quando a transferência for necessária para a § 3º A autoridade nacional poderá designar organismos de
cooperação jurídica internacional entre órgãos públicos de certificação para a realização do previsto no caput deste
inteligência, de investigação e de persecução, de acordo artigo, que permanecerão sob sua fiscalização nos termos
com os instrumentos de direito internacional; definidos em regulamento.
IV - quando a transferência for necessária para a proteção § 4º Os atos realizados por organismo de certificação
da vida ou da incolumidade física do titular ou de terceiro; poderão ser revistos pela autoridade nacional e, caso em
V - quando a autoridade nacional autorizar a desconformidade com esta Lei, submetidos a revisão ou
transferência; anulados.
VI - quando a transferência resultar em compromisso § 5º As garantias suficientes de observância dos princípios
assumido em acordo de cooperação internacional; gerais de proteção e dos direitos do titular referidas no
VII - quando a transferência for necessária para a execução caput deste artigo serão também analisadas de acordo
de política pública ou atribuição legal do serviço público, com as medidas técnicas e organizacionais adotadas pelo
sendo dada publicidade nos termos do inciso I do caput operador, de acordo com o previsto nos §§ 1º e 2º do art.
do art. 23 desta Lei; 46 desta Lei.
VIII - quando o titular tiver fornecido o seu consentimento Art. 36. As alterações nas garantias apresentadas como
específico e em destaque para a transferência, com suficientes de observância dos princípios gerais de
go
informação prévia sobre o caráter internacional da proteção e dos direitos do titular referidas no inciso II do
operação, distinguindo claramente esta de outras art. 33 desta Lei deverão ser comunicadas à autoridade
finalidades; ou nacional.
IX - quando necessário para atender as hipóteses previstas CAPÍTULO VI
ia
nos incisos II, V e VI do art. 7º desta Lei. DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Parágrafo único. Para os fins do inciso I deste artigo, as Seção I
pessoas jurídicas de direito público referidas no parágrafo Do Controlador e do Operador
nt
único do art. 1º da Lei nº 12.527, de 18 de novembro de Art. 37. O controlador e o operador devem manter
2011 (Lei de Acesso à Informação) , no âmbito de suas registro das operações de tratamento de dados pessoais
competências legais, e responsáveis, no âmbito de suas que realizarem, especialmente quando baseado no
atividades, poderão requerer à autoridade nacional a
avaliação do nível de proteção a dados pessoais conferido
por país ou organismo internacional.
Sa
legítimo interesse.
Art. 38. A autoridade nacional poderá determinar ao
controlador que elabore relatório de impacto à proteção
Art. 34. O nível de proteção de dados do país estrangeiro de dados pessoais, inclusive de dados sensíveis, referente
ou do organismo internacional mencionado no inciso I do a suas operações de tratamento de dados, nos termos de
caput do art. 33 desta Lei será avaliado pela autoridade regulamento, observados os segredos comercial e
o
nacional, que levará em consideração: industrial.
I - as normas gerais e setoriais da legislação em vigor no Parágrafo único. Observado o disposto no caput deste
dr
país de destino ou no organismo internacional; artigo, o relatório deverá conter, no mínimo, a descrição
II - a natureza dos dados; dos tipos de dados coletados, a metodologia utilizada para
III - a observância dos princípios gerais de proteção de a coleta e para a garantia da segurança das informações e
an
dados pessoais e direitos dos titulares previstos nesta Lei; a análise do controlador com relação a medidas,
IV - a adoção de medidas de segurança previstas em salvaguardas e mecanismos de mitigação de risco
regulamento; adotados.
V - a existência de garantias judiciais e institucionais para Art. 39. O operador deverá realizar o tratamento segundo
ºS
o respeito aos direitos de proteção de dados pessoais; e as instruções fornecidas pelo controlador, que verificará a
VI - outras circunstâncias específicas relativas à observância das próprias instruções e das normas sobre a
transferência. matéria.
Art. 35. A definição do conteúdo de cláusulas-padrão Art. 40. A autoridade nacional poderá dispor sobre
contratuais, bem como a verificação de cláusulas padrões de interoperabilidade para fins de portabilidade,
of
contratuais específicas para uma determinada livre acesso aos dados e segurança, assim como sobre o
transferência, normas corporativas globais ou selos, tempo de guarda dos registros, tendo em vista
certificados e códigos de conduta, a que se refere o inciso especialmente a necessidade e a transparência.
Pr
III - orientar os funcionários e os contratados da entidade III - as técnicas de tratamento de dados pessoais
a respeito das práticas a serem tomadas em relação à disponíveis à época em que foi realizado.
proteção de dados pessoais; e Parágrafo único. Responde pelos danos decorrentes da
IV - executar as demais atribuições determinadas pelo violação da segurança dos dados o controlador ou o
controlador ou estabelecidas em normas operador que, ao deixar de adotar as medidas de
complementares. segurança previstas no art. 46 desta Lei, der causa ao
§ 3º A autoridade nacional poderá estabelecer normas dano.
complementares sobre a definição e as atribuições do Art. 45. As hipóteses de violação do direito do titular no
encarregado, inclusive hipóteses de dispensa da âmbito das relações de consumo permanecem sujeitas às
necessidade de sua indicação, conforme a natureza e o regras de responsabilidade previstas na legislação
porte da entidade ou o volume de operações de pertinente.
tratamento de dados. CAPÍTULO VII
DA SEGURANÇA E DAS BOAS PRÁTICAS
§ 4º (VETADO). Seção I
(Incluído pela Lei nº 13.853, de 2019) Vigência Da Segurança e do Sigilo de Dados
Seção III Art. 46. Os agentes de tratamento devem adotar medidas
go
Da Responsabilidade e do Ressarcimento de Danos de segurança, técnicas e administrativas aptas a proteger
Art. 42. O controlador ou o operador que, em razão do os dados pessoais de acessos não autorizados e de
exercício de atividade de tratamento de dados pessoais, situações acidentais ou ilícitas de destruição, perda,
causar a outrem dano patrimonial, moral, individual ou alteração, comunicação ou qualquer forma de tratamento
ia
coletivo, em violação à legislação de proteção de dados inadequado ou ilícito.
pessoais, é obrigado a repará-lo. § 1º A autoridade nacional poderá dispor sobre padrões
§ 1º A fim de assegurar a efetiva indenização ao titular dos técnicos mínimos para tornar aplicável o disposto no
nt
dados: caput deste artigo, considerados a natureza das
I - o operador responde solidariamente pelos danos informações tratadas, as características específicas do
causados pelo tratamento quando descumprir as tratamento e o estado atual da tecnologia, especialmente
obrigações da legislação de proteção de dados ou quando
não tiver seguido as instruções lícitas do controlador,
hipótese em que o operador equipara-se ao controlador,
Sa
no caso de dados pessoais sensíveis, assim como os
princípios previstos no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão
salvo nos casos de exclusão previstos no art. 43 desta Lei; ser observadas desde a fase de concepção do produto ou
II - os controladores que estiverem diretamente do serviço até a sua execução.
envolvidos no tratamento do qual decorreram danos ao Art. 47. Os agentes de tratamento ou qualquer outra
o
titular dos dados respondem solidariamente, salvo nos pessoa que intervenha em uma das fases do tratamento
casos de exclusão previstos no art. 43 desta Lei. obriga-se a garantir a segurança da informação prevista
dr
§ 2º O juiz, no processo civil, poderá inverter o ônus da nesta Lei em relação aos dados pessoais, mesmo após o
prova a favor do titular dos dados quando, a seu juízo, for seu término.
verossímil a alegação, houver hipossuficiência para fins de Art. 48. O controlador deverá comunicar à autoridade
an
produção de prova ou quando a produção de prova pelo nacional e ao titular a ocorrência de incidente de
titular resultar-lhe excessivamente onerosa. segurança que possa acarretar risco ou dano relevante aos
§ 3º As ações de reparação por danos coletivos que titulares.
tenham por objeto a responsabilização nos termos do § 1º A comunicação será feita em prazo razoável,
ºS
caput deste artigo podem ser exercidas coletivamente em conforme definido pela autoridade nacional, e deverá
juízo, observado o disposto na legislação pertinente. mencionar, no mínimo:
§ 4º Aquele que reparar o dano ao titular tem direito de I - a descrição da natureza dos dados pessoais afetados;
regresso contra os demais responsáveis, na medida de sua II - as informações sobre os titulares envolvidos;
participação no evento danoso. III - a indicação das medidas técnicas e de segurança
of
Art. 43. Os agentes de tratamento só não serão utilizadas para a proteção dos dados, observados os
responsabilizados quando provarem: segredos comercial e industrial;
I - que não realizaram o tratamento de dados pessoais que IV - os riscos relacionados ao incidente;
Pr
técnicas adequadas que tornem os dados pessoais boas práticas ou códigos de conduta, os quais, de forma
afetados ininteligíveis, no âmbito e nos limites técnicos de independente, promovam o cumprimento desta Lei.
seus serviços, para terceiros não autorizados a acessá-los. § 3º As regras de boas práticas e de governança deverão
Art. 49. Os sistemas utilizados para o tratamento de dados ser publicadas e atualizadas periodicamente e poderão ser
pessoais devem ser estruturados de forma a atender aos reconhecidas e divulgadas pela autoridade nacional.
requisitos de segurança, aos padrões de boas práticas e de Art. 51. A autoridade nacional estimulará a adoção de
governança e aos princípios gerais previstos nesta Lei e às padrões técnicos que facilitem o controle pelos titulares
demais normas regulamentares. dos seus dados pessoais.
Seção II CAPÍTULO VIII
Das Boas Práticas e da Governança DA FISCALIZAÇÃO
Art. 50. Os controladores e operadores, no âmbito de suas Seção I
competências, pelo tratamento de dados pessoais, Das Sanções Administrativas
individualmente ou por meio de associações, poderão Art. 52. Os agentes de tratamento de dados, em razão das
formular regras de boas práticas e de governança que infrações cometidas às normas previstas nesta Lei, ficam
estabeleçam as condições de organização, o regime de sujeitos às seguintes sanções administrativas aplicáveis
funcionamento, os procedimentos, incluindo reclamações pela autoridade nacional: (Vigência)
go
e petições de titulares, as normas de segurança, os I - advertência, com indicação de prazo para adoção de
padrões técnicos, as obrigações específicas para os medidas corretivas;
diversos envolvidos no tratamento, as ações educativas, os II - multa simples, de até 2% (dois por cento) do
mecanismos internos de supervisão e de mitigação de faturamento da pessoa jurídica de direito privado, grupo
ia
riscos e outros aspectos relacionados ao tratamento de ou conglomerado no Brasil no seu último exercício,
dados pessoais. excluídos os tributos, limitada, no total, a R$
§ 1º Ao estabelecer regras de boas práticas, o controlador 50.000.000,00 (cinquenta milhões de reais) por infração;
nt
e o operador levarão em consideração, em relação ao III - multa diária, observado o limite total a que se refere o
tratamento e aos dados, a natureza, o escopo, a finalidade inciso II;
e a probabilidade e a gravidade dos riscos e dos benefícios IV - publicização da infração após devidamente apurada e
decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e
VIII do caput do art. 6º desta Lei, o controlador,
Sa
confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração
até a sua regularização;
observados a estrutura, a escala e o volume de suas VI - eliminação dos dados pessoais a que se refere a
operações, bem como a sensibilidade dos dados tratados infração;
e a probabilidade e a gravidade dos danos para os VII - (VETADO);
o
titulares dos dados, poderá: VIII - (VETADO);
I - implementar programa de governança em privacidade IX - (VETADO).
dr
que, no mínimo:
a) demonstre o comprometimento do controlador em X - suspensão parcial do funcionamento do
adotar processos e políticas internas que assegurem o banco de dados a que se refere a infração pelo
an
cumprimento, de forma abrangente, de normas e boas período máximo de 6 (seis) meses, prorrogável por igual
práticas relativas à proteção de dados pessoais; período, até a regularização da atividade de
b) seja aplicável a todo o conjunto de dados pessoais que tratamento pelo controlador; (Incluído pela Lei nº
estejam sob seu controle, independentemente do modo 13.853, de 2019)
ºS
VI - o grau do dano;
VII - a cooperação do infrator; § 7º Os vazamentos
VIII - a adoção reiterada e demonstrada de mecanismos e individuais ou os acessos não autorizados de que
procedimentos internos capazes de minimizar o dano, trata o caput do art.
voltados ao tratamento seguro e adequado de dados, em 46 desta Lei poderão ser objeto de conciliação
consonância com o disposto no inciso II do § 2º do art. 48 direta entre controlador e titular e, caso não haja
desta Lei; acordo, o controlador estará sujeito à
IX - a adoção de política de boas práticas e governança; aplicação das penalidades de que trata este
X - a pronta adoção de medidas corretivas; e artigo. (Incluído pela Lei
nº 13.853, de 2019)
XI - a proporcionalidade entre a gravidade da falta e a Art. 53. A autoridade nacional definirá, por meio de
intensidade da sanção. regulamento próprio sobre sanções administrativas a
§ 2º O disposto neste artigo não infrações a esta Lei, que deverá ser objeto de consulta
substitui a aplicação de sanções pública, as metodologias que orientarão o cálculo do
administrativas, civis ou penais definidas na Lei nº 8.078, valor-base das sanções de multa. (Vigência)
de 11 de setembro de 1990, e em § 1º As metodologias a que se refere o caput deste artigo
go
legislação específica. (Redação dada pela Lei devem ser previamente publicadas, para ciência dos
nº 13.853, de 2019) agentes de tratamento, e devem apresentar
§ 3º O disposto nos incisos I, objetivamente as formas e dosimetrias para o cálculo do
IV, V, VI, X, XI e XII do caput deste artigo poderá valor-base das sanções de multa, que deverão conter
ia
ser aplicado às entidades e aos órgãos públicos, sem fundamentação detalhada de todos os seus elementos,
prejuízo do disposto na Lei nº 8.112, de 11 de demonstrando a observância dos critérios previstos nesta
dezembro de 1990, na Lei nº 8.429, Lei.
nt
de 2 de junho de 1992, e na Lei § 2º O regulamento de sanções e metodologias
nº 12.527, de 18 de novembro de 2011. correspondentes deve estabelecer as circunstâncias e as
(Promulgação partes condições para a adoção de multa simples ou diária.
vetadas)
§ 4º No cálculo do valor da multa de que trata o inciso II
do caput deste artigo, a autoridade nacional poderá
Sa
Art. 54. O valor da sanção de multa diária aplicável às
infrações a esta Lei deve observar a gravidade da falta e a
extensão do dano ou prejuízo causado e ser
considerar o faturamento total da empresa ou grupo de fundamentado pela autoridade nacional. (Vigência)
empresas, quando não dispuser do valor do faturamento Parágrafo único. A intimação da sanção de multa diária
no ramo de atividade empresarial em que ocorreu a deverá conter, no mínimo, a descrição da obrigação
o
infração, definido pela autoridade nacional, ou quando o imposta, o prazo razoável e estipulado pelo órgão para o
valor for apresentado de forma incompleta ou não for seu cumprimento e o valor da multa diária a ser aplicada
dr
arrecadação das multas aplicadas pela ANPD, inscritas (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE
ou não em dívida ativa, será destinado DADOS PESSOAIS E DA PRIVACIDADE
ao Fundo de Defesa de Direitos Difusos de Seção I
que tratam o art. 13 da Lei nº 7.347, de 24 de julho de Da Autoridade Nacional de Proteção de Dados (ANPD)
ºS
go
VI - unidades administrativas e unidades (Incluído pela Lei
especializadas necessárias à aplicação do disposto nº 13.853, de 2019)
nesta Lei.
(Incluído pela Lei nº 13.853, de 2019) § 2º Compete ao Presidente da
ia
República determinar o afastamento preventivo,
Art. 55-D. O Conselho Diretor da ANPD somente quando assim recomendado pela comissão
será composto de 5 (cinco) diretores, incluído o especial de que trata o § 1º deste artigo, e proferir
nt
Diretor-Presidente. o julgamento.
(Incluído pela Lei nº 13.853, (Incluído pela Lei nº 13.853, de 2019)
de 2019)
Conselho Diretor será de 4 (quatro) anos. República para o exercício de suas atividades.
(Incluído pela Lei nº 13.853, de (Incluído pela Lei nº 13.853,
2019) de 2019)
Pr
go
comercial e industrial, observada a proteção de dados XI - solicitar, a qualquer momento, às
pessoais e do sigilo das informações quando protegido por entidades do poder público que realizem operações de
lei ou quando a quebra do sigilo violar os tratamento de dados pessoais informe específico sobre
fundamentos do art. 2º desta Lei; o âmbito, a natureza dos dados e os demais
ia
(Incluído pela detalhes do tratamento realizado, com a possibilidade de
Lei nº 13.853, de 2019) emitir parecer técnico complementar para garantir o
cumprimento desta Lei;
nt
III - elaborar diretrizes para a Política (Incluído pela Lei nº 13.853,
Nacional de Proteção de Dados Pessoais e da de 2019)
Privacidade;
(Incluído pela Lei nº 13.853, de 2019)
receitas e despesas;
VII - promover e elaborar estudos sobre (Incluído pela Lei nº 13.853,
as práticas nacionais e internacionais de proteção de de 2019)
dados pessoais e privacidade;
(Incluído pela Lei XVI - realizar auditorias, ou determinar
nº 13.853, de 2019) sua realização, no âmbito da atividade de
fiscalização de que trata o inciso IV e com a devida
VIII - estimular a adoção de padrões para observância do disposto no inciso II do caput deste
serviços e produtos que facilitem o exercício de controle artigo, sobre o tratamento de dados pessoais
dos titulares sobre seus dados pessoais, os quais efetuado pelos agentes de tratamento, incluído o poder
deverão levar em consideração as especificidades das público;
atividades e o porte dos responsáveis; (Incluído pela Lei nº 13.853, de
2019)
go
de inovação, possam adequar-se a esta Lei; específicos da atividade econômica e governamental
(Incluído pela devem coordenar suas atividades, nas
Lei nº 13.853, de 2019) correspondentes esferas de atuação, com vistas a
assegurar o cumprimento de suas atribuições com a maior
ia
XIX - garantir que o tratamento de dados eficiência e promover o adequado funcionamento
de idosos seja efetuado de maneira simples, clara, dos setores regulados, conforme legislação específica, e o
acessível e adequada ao seu entendimento, nos termos tratamento de dados pessoais, na forma desta Lei.
nt
desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Incluído pela Lei nº 13.853,
(Estatuto do Idoso); de 2019)
(Incluído pela Lei nº 13.853,
de 2019)
(Incluído pela Lei nº 13.853, de que trata o caput deste artigo, a autoridade
2019) competente deverá zelar pela preservação do
segredo empresarial e do sigilo das informações, nos
XXII - comunicar aos órgãos de controle termos da lei.
ºS
interno o descumprimento do disposto nesta Lei por (Incluído pela Lei nº 13.853, de
órgãos e entidades da administração pública federal; 2019)
go
forem conferidos; (Incluído pela II - 1 (um) do Senado Federal;
Lei nº 13.853, de 2019) (Incluído pela Lei
nº 13.853, de 2019)
II - as doações, os legados, as
ia
subvenções e outros recursos que lhe forem III - 1 (um) da Câmara dos Deputados;
destinados; (Incluído pela
(Incluído pela Lei nº 13.853, de 2019) Lei nº 13.853, de 2019)
nt
III - os valores apurados na venda ou IV - 1 (um) do Conselho Nacional de Justiça;
aluguel de bens móveis e imóveis de sua (Incluído pela Lei nº 13.853,
propriedade;
Lei nº 13.853, de 2019)
(Incluído pela Sa
de 2019)
go
artigo e seus suplentes: Art. 60. A Lei nº 12.965, de 23 de abril de 2014 (Marco
(Incluído pela Lei Civil da Internet) , passa a vigorar com as seguintes
nº 13.853, de 2019) alterações:
“Art. 7º
ia
I - serão indicados na forma de regulamento; ..............................................
(Incluído pela Lei nº 13.853, ....................
de 2019) ..............................................
nt
.........................................
II - não poderão ser membros do Comitê Gestor X - exclusão definitiva dos
da Internet no Brasil; dados pessoais que tiver
nº 13.853, de 2019)
(Incluído pela Lei Sa fornecido a determinada
aplicação de internet, a seu
requerimento, ao término
III - terão mandato de 2 (dois) anos, permitida 1 da relação entre as partes,
(uma) recondução. ressalvadas as hipóteses de
(Incluído pela Lei nº 13.853, guarda obrigatória de
o
de 2019) registros previstas nesta Lei
e na que dispõe sobre a
dr
go
2019)
ia
55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e
(Incluído pela
Lei nº 13.853, de 2019)
nt
I-A – dia 1º de agosto de 2021, quanto aos arts.
52, 53 e 54; (Incluído pela Lei nº 14.010, de
2020)