LGPD

LEI GERAL DE PROTEÇÃO

DE DADOS PESSOAIS
Comentada
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018

Renato Caveari Pimenta

Técnico em Segurança & Tecnologia da Informação
Agosto de 2021
ARTIGO 1
O texto da Lei Geral de Proteção de Dados, como
de praxe, começa com o estabelecimento do
escopo e objetivos das regras que virão a seguir. A
LGPD visa preservar o direito constitucional à
liberdade e à privacidade que todos os cidadãos
brasileiros têm, assim como protegê-los de danos
causados por rupturas desses direitos.
O parágrafo também destaca que as regras da
LGPD valem em todo o território nacional e que
prevalece sobre quaisquer outras leis municipais ou
estaduais.
Finalmente, temos a especificação de que a LGPD
se aplica “inclusive nos meios digitais”. Quando se
fala sobre a lei, a proteção de dados na internet e
em meios eletrônicos costuma ser o foco, mas é
fundamental entender que suas normas valem para
todo e qualquer tratamento de dados, inclusive
analógicos (fichas de cadastro no papel,
verificações presenciais de documentos etc.).
ARTIGO 2
Aqui, temos mais especificações sobre os
embasamentos para a LGPD. A lei é construída sob
a premissa do respeito à privacidade e à liberdade
(inclusive de expressão). Enquanto isso, o conceito
de autodeterminação informativa (item II) entende
que o cidadão é soberano sobre suas próprias
informações pessoais e deve ser o protagonista de
quaisquer temas relacionados ao tratamento de
seus dados.
Os itens IV e VII estabelecem que a LGPD se
preocupa com a preservação da imagem do
cidadão — um dos motivos por que seus dados
pessoais devem ser protegidos é que o tratamento
dessas informações não pode ser feito com fins de
prejudicá-lo, salvo em casos específicos com
finalidade noticiosa, por exemplo.
Finalmente, os itens V e VI especificam que a
LGPD não se propõem a prejudicar as atividades
das empresas que realizam tratamento de dados.
O objetivo das regras é proteger o cidadão, e isso
compreende entendê-lo como soberano de seus
dados.
Ou seja, a Lei não impede o tratamento, e sim
estabelece meios para que o cidadão saiba
exatamente o que será feito com seus dados.
Dessa forma, ele tem autonomia e capacidade de
consentir, ou não, com o uso que a empresa deseja
fazer de suas informações pessoais.
Isso preserva a competitividade e as estratégias
das empresas, desde que elas se preocupem com
a comunicação e uso transparente dos dados
pessoais tratados no decorrer dessas atividades.
ARTIGO 3
Determina o escopo de atuação da lei, que se
aplica a todo e qualquer tratamento de dados
realizado tanto por pessoa física quanto por pessoa
jurídica. A seguir, temos as especificações, que
afunilam a regra.
A LGPD se aplica a qualquer tratamento de dados
ocorrido (total ou parcialmente) em solo brasileiro,
ou que tenha por objetivo vender produtos e
serviços nacionais. Uma pessoa estrangeira está
protegida sob a LGPD dentro do Brasil, por
exemplo, enquanto um brasileiro em outro país
não.
Além disso, a lei é voltada para tratamentos com
fins comerciais, ou seja, trocas e outros
tratamentos de dados entre pessoas físicas sem
objetivos de compra ou venda de produtos e
serviços não se enquadram.
ARTIGO 4
Complementando o que já havia sido abordado no
artigo anterior, pessoas físicas têm o direito de
realizar tratamentos de dados livremente quando
estes tiverem fins exclusivamente particulares.
Além disso, o direito à privacidade e à liberdade
não impede a coleta, o uso e outros tratamentos de
dados para fins jornalísticos, artísticos ou
acadêmicos. Dessa forma, preserva-se a liberdade
de imprensa, da arte e da ciência.
Quando os objetivos de um tratamento de dados
são relacionados à segurança pública, à defesa
nacional e/ou à segurança do Estado, são isentos
da LGPD. Atividades investigativas ou com o
objetivo de impedir a ocorrência de crimes também
resultam em tratamentos de dados válidos. É
importante ressaltar que o tratamento de dados no
contexto de garantir a segurança e defesa nacional
deve ser realizado exclusivamente por órgão
público, empresa pública ou empresa privada que
esteja sob tutela do poder público ao realizar
aquela atividade.
A LGPD prevê legislação específica para assegurar
que, nesses casos, o tratamento de dados será
feito única e exclusivamente para fins de atender o
interesse público.
O item IV especifica outros casos em que a LGPD
não se aplica. A Lei não vale para o tratamento de
dados que venham de fora do Brasil — deve-se
seguir a lei de proteção de dados do país de
origem das informações tratadas. Nesses casos, as
leis do país de origem são priorizadas caso o nível
de proteção seja equivalente ao da LGPD.
ARTIGO 5
O artigo 5 é um dos mais importantes da LGPD,
pois estabelece a definição de conceitos
fundamentais para a compreensão do texto como
um todo. Então, entenda o que significa:
· Dado pessoal: qualquer informação que
possa levar à identificação de uma pessoa física
(nome completo, número de CPF, endereço,
filiação…).
· Dado pessoal sensível: assim considerado
por haver a real possibilidade de mau uso para fins
discriminatórios e prejudiciais ao indivíduo, como
informações relativas a raça/etnia, religião, opinião
política, sexualidade e dados genéticos ou
biométricos (como a biometria facial ou o DNA de
um indivíduo).
· Dado anonimizado: um dado pessoal ou
dado pessoal sensível passa a ser um dado
anonimizado quando deixa de ser diretamente
relacionado a uma pessoa. Isso acontece, por
exemplo, quando um conjunto de dados sensíveis
(como a autodeclaração de raça dos colaboradores
de uma empresa) torna-se estatística (a
porcentagem de colaboradores que se identificam
com cada raça).
· Banco de dados: seja digital, seja físico, um
banco de dados é qualquer conjunto de dados
pessoais.
· Titular: indivíduo a quem os dados pessoais
sendo tratados se referem. É o soberano de
qualquer assunto relacionado ao tratamento dessas
informações e tem capacidade de consentir, ou
não, com o tratamento.
· Controlador: responsável pelas decisões
relacionadas ao tratamento dos dados pessoais.
Entre outros pontos, é o controlador quem decide
que dados serão tratados, de que forma e com que
fim. Ele também é o principal responsável em caso
de quaisquer incidentes que envolvam dados
pessoais.
· Operador: quem trata os dados em nome de
outra entidade, ou seja, em nome do controlador. O
operador deve sempre seguir estritamente as
ordens do controlador em relação ao tratamento
dos dados.
· Encarregado: a LGPD prevê que operadores
e controladores tenham um encarregado, pessoa
responsável por intermediar a comunicação entre
os titulares, o controlador e a Autoridade Nacional
de Proteção de Dados.
· Agentes de tratamento: tanto o operador
quanto o controlador são agentes de tratamento; a
responsabilidade final é sempre do controlador,
mas o operador também tem obrigações a cumprir
e pode ser responsabilizado em alguns casos,
como quando não seguir as instruções do
controlador.
· Tratamento: toda e qualquer ação realizada
com os dados pessoais de um titular, desde a
coleta e armazenamento até o compartilhamento e
uso. O ciclo completo de um dado pessoal,
portanto, começa na coleta e termina na exclusão
ou anonimização.
· Anonimização: um dado anonimizado é um
dado pessoal que se torna total e integralmente
desvinculado do titular, de forma irreversível,
fazendo com que seja impossível que se possa
chegar ao titular por meio desse dado. A
anonimização, por remover o caráter pessoal dos
dados, abre espaço para que dados sejam tratados
de maneiras que são proibidas quando falamos de
dados pessoais.
· Consentimento: permissão dada pelo titular
para que determinado(s) dado(s) pessoal(is)
seja(m) tratado(s). Deve ser pedido de forma
explícita, clara e transparente pelo operador ou
controlador, e se referir a uso específico e limitado.
· Bloqueio: suspensão do tratamento de
dados, que não isenta o operador e o controlador
de precisarem proteger os dados pessoais e o
banco de dados em que eles se encontram.
· Eliminação: exclusão de dados pessoais.
· Transferência internacional de dados:
quando os dados pessoais são transferidos para
fora do Brasil. É preciso assegurar que os dados
terão proteção de nível equivalente ao
proporcionado pela LGPD.
· Uso compartilhado de dados: quando os
dados pessoais não ficam limitados a um único
ente (privado ou público). Órgãos públicos podem
compartilhar dados na prática de suas obrigações
legais, enquanto entes privados podem fazê-lo
mediante devido consentimento do titular.
· Relatório de impacto à proteção de dados
pessoais: se houver qualquer risco de que
determinado tratamento de dados possa vir a
causar danos ao titular, é dever do controlador
manter esse relatório. Dessa forma, em caso de
incidentes, é possível entender os perigos da
situação e trabalhar para mitigá-los mais
rapidamente. A manutenção do relatório também
visa comprovar que o tratamento que gera esses
riscos recebe os devidos cuidados para evitá-los.
· Órgão de pesquisa: especificados no texto
da LGPD porque tais órgãos têm regras
diferenciadas para o tratamento de dados e pedido
de consentimento.
· Autoridade nacional: a Autoridade Nacional
de Proteção de Dados (ANPD) será o órgão
responsável por implementar e gerenciar as regras
da LGPD, garantindo que a Lei seja cumprida. A
ANPD também é responsável por realizar
auditorias, assim como aplicar as devidas sanções
em casos comprovados de descumprimento da Lei.
ARTIGO 6
Assim como a maior parte das leis, a LGPD prevê a
boa-fé daqueles atingidos por ela. Isso é
fundamental porque, quando falamos de certas
regras da Lei — como a possibilidade de o titular
solicitar a exclusão de seus dados ou um relatório
completo de tratamentos —, nem sempre será
possível fornecer provas absolutamente
incontestáveis de que a Lei foi obedecida.
Isso também vale para o detalhamento quanto ao
tratamento a ser feito, presente na solicitação do
consentimento ao titular. Até que surjam evidências
do contrário, o titular deve presumir que o
controlador realmente está utilizando seus dados
pessoais somente para os fins acordados. Caso
apareçam evidências do contrário, aí sim, caberá à
Autoridade Nacional de Proteção de Dados tomar
as devidas providências punitivas.
Com isso em mente, os demais princípios que
devem ser seguidos ao realizar tratamentos de
dados pessoais são:
· Finalidade: uma das mais básicas regras da
LGPD é de que todo e qualquer tratamento de
dados pessoais deve ter uma finalidade específica,
explicada com clareza para o titular. Não é
permitido coletar dados sem propósito ou que
possam vir a ter utilidade para o controlador, pois
tudo tem que ser explicitamente detalhado para o
titular no momento de solicitação do
consentimento.
· Adequação: o tratamento deve realmente
acontecer de acordo com as finalidades informadas
ao titular no momento do consentimento, utilizando
dados e meios adequados.
· Necessidade: outro ponto muito importante
para a Lei como um todo. A LGPD determina que,
independentemente do fim proposto, somente os
dados absolutamente essenciais devem ser
tratados. A relevância dos dados solicitados é
fundamental para que o princípio de finalidade seja
seguido. Portanto, pense: o que é indiscutivelmente
necessário que você saiba sobre um usuário?
· Livre acesso: como veremos em outros
artigos mais para a frente, o titular tem direito de
solicitar certos relatórios e informações sobre o
tratamento de dados realizado por sua empresa.
Como ele é compreendido pela LGPD como sendo
o soberano sobre essas informações, o titular tem
direito a entender exatamente como e para que
eles são utilizados. Essas informações devem ser
fornecidas gratuitamente e de forma simples, ou
seja, compreensível para ele.
· Qualidade dos dados: os dados pessoais
tratados devem ser asseguradamente corretos e
atualizados. Portanto, o titular tem direito a fazer
exigências para garantir isso, como pedir a
atualização de informações conforme necessário.
· Transparência: complementa o princípio do
livre acesso e especifica a necessidade de clareza
na prestação de informações aos titulares. Isso
inclui informar sobre os agentes que efetivamente
realizam o tratamento de dados.
· Segurança: para assegurar o cumprimento
dos demais princípios, a segurança dos dados
pessoais tratados é imprescindível. É dever do
controlador — e do operador — tomar todas as
medidas cabíveis para garantir que, tanto
administrativa quanto tecnicamente, os dados
pessoais tratados estão devidamente protegidos e
mantidos em integridade. Além disso, é
fundamental garantir que somente as pessoas
devidamente autorizadas — e necessárias — têm
acesso a esses dados.
· Prevenção: a segurança dos dados pessoais
não deve ser tratada apenas de forma reativa, mas
principalmente preventiva. Políticas fortes de
proteção e privacidade de dados pessoais
contribuem para o estabelecimento de rotinas e
processos eficazes para impedir danos aos dados
tratados e possibilitam a identificação prévia de
riscos e ameaças à segurança da informação.
· Não discriminação: sob hipótese alguma
podem os dados coletados serem utilizados para
fins discriminatórios, como recusar serviços com
base em informações étnicas. Isso não impede os
controladores de cumprirem as regulamentações
de seus setores quanto aos clientes a quem podem
ou não prestar serviços — não é ato
discriminatório, por exemplo, um banco recusar
crédito a um indivíduo envolvido com lavagem de
dinheiro.
· Responsabilização e prestação de contas: o
agente deve não apenas adotar as devidas
medidas de segurança para proteção dos dados,
mas ser capaz de comprová-las. Em casos de
incidentes e outras falhas, isso será levado em
consideração pela ANPD na hora de definir as
sanções aplicadas.
ARTIGO 7
O consentimento é realmente um dos conceitos
mais importantes da lei, que o entende como base
fundamental para muitos dos tratamentos de dados
realizados pelos controladores. Porém, ao contrário
do que muitos ainda acreditam, o consentimento
não é obrigatório em todos os casos: a LGPD
busca um equilíbrio entre os interesses do titular e
as necessidades dos controladores ao exercerem
suas atividades. É preciso considerar, também, que
alguns tratamentos de dados são imprescindíveis
para o cumprimento das obrigações legais dos
controladores, de acordo com o seu setor de
atuação.
Nesses casos, inclusive, o consentimento não é
necessário. Isso também vale para órgãos da
administração pública quando o tratamento visar o
cumprimento de leis e de políticas públicas.
Enquanto isso, órgãos de pesquisa também não
precisam exigir consentimento, mas devem
trabalhar com dados anonimizados sempre que
possível — dessa forma, é possível ter acesso aos
dados estatísticos sem que eles sejam conectados
a um titular específico.
Também há casos específicos em que o
consentimento não precisa ser formalmente
exigido, como para a execução de contratos ou
para o exercício regular de direitos, isto é, ao
utilizar dados em uma ação judicial, por exemplo.
Quando o assunto é tutela da saúde e proteção da
vida, o consentimento também não deve ser uma
preocupação. No caso da saúde, é importante
destacar que a não-obrigação do consentimento
vale apenas para a realização de procedimentos, e
não a qualquer momento e para qualquer
controlador operando na área de saúde.
É preciso considerar ainda os dados pessoais
públicos, ou seja, amplamente divulgados e de fácil
acesso a qualquer indivíduo — e que,
normalmente, são referentes a pessoas públicas.
Porém, mesmo nessas situações, é preciso
considerar e respeitar o fim para o qual eles foram
disponibilizados, assim como manter em mente o
princípio da boa-fé.
O quinto parágrafo relembra que o consentimento
deve ser solicitado para fins específicos. Dessa
forma, caso o controlador queira utilizar os dados
que já possui para outro tipo de tratamento, é
fundamental pedir consentimento novamente — a
não ser que o novo tratamento se encaixe em
alguma das exceções apresentadas neste artigo.
Finalmente, é preciso manter em mente que,
mesmo quando não há a necessidade de
consentimento, todas as demais normas da LGPD
continuam valendo.
ARTIGO 8
O oitavo artigo trata da forma com que o
controlador deve solicitar o consentimento do
titular. A primeira e mais importante regra é que as
cláusulas referentes ao consentimento devem vir
separadas das outras, permitindo que o titular
tenha total clareza sobre a que está consentindo.
Ou seja, os termos de uso aos quais estamos
acostumados, em que o uso dos dados pessoais
aparece em meio a tantas outras cláusulas que
quase nenhum usuário lê, não serão mais o
bastante. É preciso investir em uma linguagem
clara e acessível, garantindo que o titular saiba
exatamente qual será o tratamento feito com seus
dados pessoais.
A Lei lembra, mais uma vez, que o consentimento
deve ser pedido para um determinado fim
específico. É uma violação da LGPD pedir
consentimento de forma não-específica e genérica;
todo e qualquer dado pessoal solicitado e
tratamento proposto deve ter uma finalidade clara.
Além disso, o titular tem o direito de revogar seu
consentimento a qualquer momento e sem a
necessidade de justificar a recusa ao tratamento de
seus dados.
ARTIGO 9
Trata do direito do titular de ser informado sobre os
tratamentos de seus dados pessoais.
Controladores e operadores têm uma série de
obrigações nesse sentido, sendo importante
destacar que as informações solicitadas devem ser
fornecidas de forma clara e acessível — não
cabem, por exemplo, relatórios altamente técnicos.
O titular tem direito de solicitar informações sobre a
finalidade, a duração e a forma de tratamento dos
dados, assim como saber se seus dados estão
sendo ou foram compartilhados com outros
agentes.
O primeiro parágrafo especifica que, nos casos em
que for identificado que o consentimento não foi
solicitado seguindo as regras da LGPD, ele será
considerado inválido. Além disso, caso o
controlador altere a finalidade para a qual
originalmente pediu o consentimento, ele deve ser
solicitado novamente. O titular pode, se preferir,
optar por não renovar o consentimento para essa
nova finalidade.
O controlador ainda deve informar claramente ao
titular sobre os produtos e serviços a que ele
deixará de ter acesso caso não forneça o
consentimento. Dessa forma, garante-se a plena
ciência do titular e seu discernimento sobre aceitar
ou não o tratamento de seus dados para os fins
propostos.
ARTIGO 10
O conceito de “legítimo interesse” não é
especificado e, portanto, só será possível entender
exatamente sua extensão e aplicação a partir das
situações concretas que forem surgindo ao longo
da atuação da ANPD após a entrada em vigor da
lei.
Utilizar os dados pessoais coletados para fins de e-
mail marketing, por exemplo, entra dentro do
legítimo interesse do controlador (conforme
especificado no item I). Para essa e outras
atividades de legítimo interesse, é importante que
somente os dados estritamente necessários sejam
utilizados. Assim, preserva-se tanto o legítimo
interesse do controlador quanto a integridade dos
dados do titular.
É prerrogativa da ANPD pedir que o controlador
forneça relatórios sobre o impacto que as
atividades de legítimo interesse têm sobre a
proteção dos dados pessoais tratados.
ARTIGO 11
Conforme especificado no artigo 5, dados sensíveis
são aquelas informações mais delicadas e cujas
chances de mau uso (para fins discriminatórios e
prejudiciais ao indivíduo, por exemplo) são mais
altos. Portanto, são considerados dados sensíveis
aqueles relacionados a religião, raça/etnia, opinião
política, sexualidade e dados genéticos ou
biométricos (como a biometria facial ou o DNA de
um indivíduo).
Aqui, o artigo 11 determina como deve ser feito —
e como pode ser feito — o tratamento de dados
pessoais sensíveis.
Para começar, a questão do consentimento
solicitado de forma clara e explícita, sempre com
uma finalidade determinada, torna-se ainda mais
importante quando tratamos dados sensíveis.
As exceções, ou seja, casos em que o tratamento
pode ser feito sem pedir o consentimento do titular,
são similares àquelas relativas a dados pessoais
comuns: obedecer a regulamentação, executar
políticas públicas, realizar pesquisas (dando
preferência para os dados anonimizados), exercer
os direitos em ações judiciais e execução de
contratos, proteger a vida de indivíduos ou realizar
procedimentos de saúde.
Em se tratando de dados sensíveis, um diferencial
nas exceções é que, além de especificar a
obediência às normas, a LGPD ainda destaca a
prevenção à fraude e à segurança do titular. A
cláusula é voltada especificamente para os
cadastros digitais, ou seja, para o processo de
onboarding digital.
Um grande perigo relacionado a dados sensíveis é
que o controlador venda-os ou compartilhe-os com
o intuito de gerar lucro. Isso é explicitamente
proibido pela LGPD e, diante desses casos, a
Autoridade Nacional de Proteção de Dados pode
aplicar punições.
As exceções são quando há necessidade de
compartilhar tais dados para prestar serviços
relacionados a saúde e farmácia. Além de ser
necessário para preservar a integridade do titular,
isso também abre caminho para que a LGPD
determine que o titular pode solicitar a portabilidade
de seus dados (por exemplo, transferir o histórico
de exames de um hospital para outro).
Outro ponto destacado no item é a proibição de
outro grande risco resultante do tratamento de
dados sensíveis: o mau uso dessas informações
por parte de planos de saúde privados, que podem
tentar utilizá-los como forma de selecionar e excluir
beneficiários. Sob a LGPD, essa prática é
terminantemente proibida.
ARTIGO 12
Dados anonimizados não são considerados dados
pessoais e, portanto, não são protegidos pelas
diretrizes regulares da LGPD. Para que isso
efetivamente aconteça, porém, a anonimização dos
dados não pode, sob hipótese alguma, ser passível
de reversão.
A lei determina que a reversão não pode ser
possível “com esforços razoáveis”, o que deixa
certa margem para interpretação. Mas, como
explica o parágrafo 1º, a determinação de quais
são os “esforços razoáveis” de um agente
considera o tempo e o custo necessários para
conseguir reverter a anonimização, assim como a
tecnologia disponível. Ou seja, o total de esforço e
a disponibilidade de ferramentas que possam
reverter o processo.
Caso fique comprovado que não é possível
identificar os titulares desses dados, eles são
considerados anônimos. Se o controlador
criptografar dados pessoais mas tiver uma chave
de criptografia, por exemplo, trata-se de um
processo facilmente reversível.
Para esclarecer melhor a questão, é possível que a
Autoridade Nacional venha a estabelecer os
padrões a serem seguidos em processos de
anonimização de dados.
ARTIGO 13
Este artigo trata do tratamento de dados pessoais
por órgãos de pesquisa estudando questões de
saúde pública. Nesses casos, os dados podem ser
tratados, mas isso deve acontecer única e
exclusivamente dentro do órgão e para fins da
pesquisa sendo conduzida. Deve-se dar
preferência para a anonimização (ou
pseudonimização) dos dados.
Mas o que é pseudonimização? Como explica o
parágrafo 4º deste artigo, é quando um dado
pessoal só pode ser atrelado a um indivíduo se
houver acesso também a alguma outra informação
— que deve ser mantida em separado e em total
segurança. Dessa forma, se alguém conseguir
acesso apenas aos dados originalmente tratados,
não conseguirá relacioná-lo a nenhum indivíduo.
ARTIGO 14
Também há regras específicas para os dados de
crianças e adolescentes, ou seja, pertencentes a
titulares com menos de 18 anos. A lei destaca a
necessidade de tratá-los somente para o melhor
interesse do titular, reforçando essa que é uma
questão necessária em qualquer tratamento de
dados.
Para o tratamento de dados de crianças e
adolescentes, é imprescindível solicitar o
consentimento de um dos pais ou do responsável
legal. Assim, assegura-se que uma pessoa maior
de idade dará o devido consentimento pelo titular
sob o qual é responsável. É responsabilidade do
controlador assegurar, na medida do possível, que
o consentimento realmente foi fornecido pelo
responsável.
Há duas exceções bastante específicas, em que o
consentimento do titular e/ou do responsável não é
exigido: quando houver a necessidade de entrar
em contato com os pais ou com o responsável pela
criança ou adolescente ou quando tais dados forem
necessários para proteger o titular menor de idade.
Nesses casos, é terminantemente proibido
compartilhar ou repassar os dados coletados com
terceiros.
Há um grande cuidado também em garantir que
dados pessoais de crianças e adolescentes não
sejam coletados além do estritamente necessário.
Sendo assim, o compartilhamento de dados não-
essenciais não pode ser requisito para que o titular
possa utilizar apps e jogos.
Mesmo que o consentimento final tenha que ser
dado por um dos pais ou pelo responsável, ainda
assim é importante que a criança ou adolescente
entenda o que está sendo pedido. Portanto, a
LGPD determina que as informações sobre o
tratamento de dados devem ser fornecidas com
uma linguagem adequada ao público-alvo do
produto/serviço em questão. O texto recomenda a
utilização de áudio, vídeo e imagens para
complementar as informações e facilitar o
entendimento.
ARTIGO 15
O tratamento dos dados pessoais deve ser
terminado quando a finalidade for alcançada,
quando os dados tratados não forem mais
necessários para aquela finalidade, quando o fim
do período de tratamento acordado com o titular se
encerrar ou quando o titular assim solicitar. Outra
condição que leva ao encerramento é quando a
Autoridade Nacional de Proteção de Dados
determinar o fim do tratamento de dados após
descobrir irregularidades no cumprimento da
LGPD.
ARTIGO 16
E, após o término do tratamento, os dados
pessoais devem, via de regra, ser eliminados. Isso
não é exigido quando a permanência dos dados é
necessária para que o controlador cumpra suas
obrigações legais (para fins de compliance ou KYC,
por exemplo).
Órgãos de pesquisa estão isentos dessa regra,
mas recomenda-se a anonimização dos dados
sempre que possível.
Cumpridas as diretrizes da lei e/ou sob a
solicitação do titular, a transferência dos dados a
terceiros é permitida no lugar de sua exclusão.
Além disso, caso o controlador anonimize os
dados, é possível mantê-los para uso único e
exclusivo (para fins estatísticos, por exemplo).
ARTIGO 17
Todos os cidadãos são os titulares de seus próprios
dados pessoais e sob hipótese alguma perderão
essa titularidade. Não importa o que seja pedido no
consentimento ou qual seja o tratamento; dados
pessoais são individuais e intransferíveis e sempre
pertencerão à pessoa a que se referem.
ARTIGO 18
A qualquer momento e de forma gratuita e simples,
o titular pode solicitar relatórios e informações
sobre seus dados, incluindo a confirmação de qual
é o tratamento feito com eles, quem tem acesso
aos dados, quais são os dados sendo tratados e
com quais agentes foram compartilhados.
Além disso, o titular pode solicitar a correção ou
atualização de dados, assim como a anonimização,
exclusão ou interrupção do tratamento de dados
pessoais não necessários para a finalidade à qual
consentiu.
Outro direito do titular é exigir a portabilidade de
seus dados pessoais para outro prestador do
mesmo serviço, por exemplo, de um plano de
saúde para outro ou de um banco para outro.
Nesses casos, devem ser preservados os segredos
do negócio do controlador. Isso exclui dados que já
haviam sido anonimizados.
A qualquer momento, o titular pode questionar o
controlador sobre o que acontecerá se ele não
consentir com o tratamento de seus dados: a quais
serviços não terá acesso, quais aspectos do
serviço serão prejudicados etc.
E se o controlador não for capaz de providenciar as
informações solicitadas imediatamente, como
obriga a LGPD? Então, deverá esclarecer os
motivos por que não consegue. Caso o titular
solicite as informações para uma empresa que não
é a controladora (para a operadora, por exemplo),
então deve-se indicar quem é o real agente de
tratamento dos dados.
Se o controlador compartilhou os dados com outros
agentes de tratamento, há a obrigação de entrar
em contato com eles para solicitar que também
realizem os procedimentos solicitados pelo titular.
ARTIGO 19
Quando o titular solicitar a confirmação de que
seus dados estão com o controlador ou peça
acesso a esses dados, o agente deve fazê-lo
imediatamente e de forma simplificada. Outra
opção é fornecer uma declaração completa (mas
também clara e acessível) dentro do prazo de 15
dias. Essa comunicação deve detalhar a origem
dos dados, a finalidade do tratamento e o critério
para tal, respeitando-se sempre os segredos de
negócio. As informações podem ser fornecidas por
meio eletrônico ou impresso, de acordo com a
solicitação do titular.
Ao determinar a forma com que os dados serão
armazenados, o controlador deve levar em
consideração a acessibilidade das informações nos
casos de solicitação por parte do titular. Assim,
assegura-se o cumprimento dos prazos.
É direito do titular solicitar uma cópia eletrônica de
todos os seus dados pessoais armazenados pelo
controlador de forma que possam ser usados
posteriormente, até mesmo em outros tratamentos.
A LGPD prevê que a Autoridade Nacional pode
determinar prazos diferenciados para setores
específicos. Dessa forma, preserva-se a
integridade de empresas menores, por exemplo,
que podem ter mais dificuldades nesse sentido do
que uma grande multinacional, por exemplo. A ideia
é garantir o exercício dos direitos do cidadão sem
prejudicar desnecessariamente as empresas
controladoras dos dados.
ARTIGO 20
Cada vez mais frequentemente, processos
operacionais são automatizados por meio de
soluções de machine learning e inteligência
artificial, por exemplo. Quando essas e outras
tecnologias tomarem decisões de forma puramente
automatizada, o titular tem o direito de solicitar a
revisão dessas decisões.
O controlador deve ser capaz de fornecer
informações claras e transparentes sobre como o
processo de decisão automatizada acontece. Caso
isso não se cumpra, a ANPD pode solicitar
auditoria para verificar se há algum tipo de
discriminação ou viés na tomada de decisões
automatizadas.
ARTIGO 21
O tratamento de dados pessoais pode ser realizado
para os fins consentidos pelo titular e para
cumprimento de obrigações regulatórias do
controlador, não podendo haver prejuízos à
imagem, à segurança ou à integridade do titular.
ARTIGO 22
Se o titular sentir que seus interesses não estão
sendo respeitados, ele pode tomar providências
legais sozinho ou, se preferir, fazer isso ao lado de
outros titulares que também se sentirem
prejudicados pelo mesmo controlador.
ARTIGO 23
Aborda o tratamento de dados pessoais pelo poder
público, que pode ser realizado quando houver
uma finalidade pública de interesse também público
e somente quando houver real necessidade do
tratamento para a execução dessas obrigações
legais.
O artigo não aborda o compartilhamento de dados
ou o tratamento de dados sensíveis, o que abre
espaço para que informações biométricas, por
exemplo, venham a ser tratadas em nome da
segurança pública.
Para operações da esfera pública que envolvam
tratamentos de dados pessoais, deve ser apontado
um encarregado para zelar pelo bom uso e
segurança das informações. Após formada, a
ANPD pode determinar como devem ser
anunciadas as medidas de segurança e as formas
de tratamento.

ARTIGO 24
Pessoas jurídicas de direito privado são as
associações, sociedades, fundações, organizações
religiosas, partidos políticos e empresas individuais
de responsabilidade limitada, instituídas por
iniciativa de particulares.
Já as empresas públicas são os entes de
administração direta — União, Estados, Distrito
Federal, Territórios e Municípios —, as autarquias,
as fundações públicas e as demais entidades de
caráter público. Por último, as sociedades de
economia mista são formadas tanto por capital
público quanto privado, sendo que a parcela de
capital público deve ser maior.
Para os fins da LGPD, as sociedades de economia
mista e as empresas públicas estão sujeitas às
mesmas diretrizes e regras das empresas de direito
privado particular quando operarem em regime de
concorrência, ou seja, para fins comerciais e/ou
mercadológicos. Enquanto isso, se estiverem
aplicando políticas públicas dentro de seus
respectivos âmbitos de execução, serão
consideradas da mesma forma que os demais
órgãos do poder público.
ARTIGO 25
Prezando pela possível necessidade de execução
de políticas e serviços públicos, e também pela
descentralização da atividade pública e pelo livre
acesso à informação por parte dos cidadãos, a
LGPD orienta que os dados pessoais tratados
nessas esferas devem ser mantidos de forma a
permitir o uso compartilhado.
ARTIGO 26
Complementando diretamente o artigo 25, o artigo
26 determina que o compartilhamento de dados por
parte do poder público só pode acontecer para fins
de execução das políticas públicas. Ou seja, é
preciso haver uma justificativa real e comprovável
para o compartilhamento.
Além disso, excetuando-se a prevenção a fraudes
ou o uso de dados publicamente disponíveis, o
poder público não deve compartilhar dados com
entidades privadas.
ARTIGO 27
As organizações de direito público só poderão
compartilhar ou comunicar dados pessoais a
empresas de direito privado mediante
consentimento do titular.
Porém, há exceções. Permanecem os casos de
dispensa do consentimento dispostas no artigo 7 e
as exceções do artigo 26.
ARTIGO 28
O artigo 28, que foi integralmente vetado, previa a
necessidade de informar publicamente sobre
compartilhamentos de dados entre entidades do
poder público. A justificativa para o veto é que essa
publicização prejudicaria atividades de fiscalização,
controle e policiamento.
Portanto, as entidades ficam obrigadas a seguir as
regras dos artigos 26 e 27, mas não precisam
informar publicamente sobre esses
compartilhamentos de dados.
ARTIGO 29
A Autoridade Nacional de Proteção de Dados pode
solicitar informações sobre o tratamento de dados
pessoais às entidades do poder público, assim
como informações específicas sobre os dados em
si. Também pode exigir a realização de
tratamentos.
ARTIGO 30
Após seu estabelecimento, a ANPD ainda pode
adicionar novas diretrizes sobre o
compartilhamento de dados e a forma com que
esse tipo de tratamento compartilhado é
comunicada.
ARTIGO 31
A Autoridade Nacional de Proteção de Dados pode
propor diretrizes para correção de violações de
dados, quando estas acontecerem por causa de
tratamentos de dados pessoais feitos por órgãos
públicos.
ARTIGO 32
A ANPD ainda pode pedir que agentes do poder
público divulguem relatórios de impacto à proteção
de dados pessoais, assim como propor medidas
para aprimorar os padrões e processos no
tratamento desses dados.
ARTIGO 33
Determina os casos em que dados pessoais podem
ser transferidos para fora do Brasil. A transferência
só pode ser feita para países cujas leis de proteção
de dados proporcionem um nível de proteção aos
dados equivalente ao da LGPD — por isso, o
controlador tem o dever de assegurar o
cumprimento desses princípios por meio de
cláusulas contratuais, certificados e outras
comprovações reconhecidas.
A transferência pode acontecer também quando for
necessária a cooperação entre órgãos públicos de
inteligência de diferentes países para fins de
investigação e processamento penal, ou quando a
transferência for necessária para a proteção da
vida ou da integridade física de um indivíduo ou
para a execução de políticas públicas ou demandas
legais do serviço público.
Além disso, a ANPD tem autoridade para autorizar
a transferência em quaisquer casos que julgar
relevantes, e o titular pode escolher consentir para
fins específicos e claramente informados que
envolvam a transferência de seus dados para
outros países.
ARTIGO 34
Como especificado no artigo 33, uma exigência
para a transferência de dados para outros países é
que a legislação ofereça níveis de proteção
similares aos da LGPD. A responsável por avaliar
isso é a ANPD, considerando a legislação em vigor
no país, a natureza dos dados a serem transferidos
e as medidas de segurança adotadas, entre outros
aspectos.
ARTIGO 35
A responsabilização do controlador pela proteção
de dados em casos de transferências para o
exterior, conforme especificado no artigo 33, deve
ser feita por meio de cláusulas contratuais,
certificados e outras comprovações reconhecidas.
Sendo assim, é a ANPD que vai definir as cláusulas
e certificados aceitos. Ao conduzir essas
demandas, a ANPD pode solicitar ao controlador
informações adicionais sobre o tratamento
proposto.
Nessas situações, devem-se considerar sempre os
requisitos e condições mais básicos da LGPD,
assegurando assim o mínimo cumprimento da lei.
Além disso, a Autoridade pode revisar as
certificações e anulá-las, caso encontre
desconformidades.
ARTIGO 36
Caso ocorram mudanças nos preceitos utilizados
como garantia do nível de proteção de dados
proporcionado em transferências para fora do
Brasil, a ANPD deve ser comunicada.
ARTIGO 37
É dever tanto do controlador quanto do operador
manter registros claros e completos sobre todos os
tratamentos de dados que realizarem. Isso é
especialmente importante nos casos em que o
tratamento é realizado para fins de legítimo
interesse, pois o titular tem o direito de questionar
isso e podem ser necessárias auditorias por parte
da ANPD.
ARTIGO 38
A ANPD pode solicitar que o controlador
providencie relatórios detalhando o impacto que os
tratamentos realizados têm sobre a proteção dos
dados pessoais, inclusive em casos de tratamentos
de dados sensíveis.
Tais relatórios devem incluir detalhes sobre os
dados coletados, sobre como foi feita a coleta e
sobre as garantias para a segurança desses dados,
além de uma análise do controlador sobre essas
medidas de segurança e prevenção a riscos. Pode-
se optar por incluir outras informações julgadas
relevantes, mas as aqui listadas são essenciais.
ARTIGO 39
O operador deve tratar dados pessoais exatamente
de acordo com as instruções do controlador — que,
por sua vez, é o responsável por garantir que essas
instruções obedecem a todas as diretrizes da
LGPD.
ARTIGO 40
Visando preservar a transparência nos tratamentos
de dados e sua real essencialidade, a ANPD pode
estabelecer padrões de interoperabilidade para os
casos de portabilidade e no que visa o livre acesso
aos dados, a segurança da informação e o tempo
pelo qual os registros devem ser mantidos.
Dentro do contexto da LGPD, interoperabilidade é a
capacidade de sistemas e empresas operarem
entre si.
ARTIGO 41
O controlador é o responsável por indicador o
encarregado, pessoa responsável pelo tratamento
de dados pessoais. Além disso, o controlador deve
informar claramente — de preferência em seu site
— a identidade e os meios de contato do
encarregado. Isso é necessário para que o titular
possa entrar em contato com o encarregado, caso
deseje.
O artigo 41 detalha, ainda, as atividades de
responsabilidade do encarregado, que incluem:
receber reclamações e outras mensagens dos
titulares; fornecer esclarecimentos e tomar
providências para solucionar problemas ou
dúvidas; receber mensagens da ANPD e tomar as
devidas providências; orientar os colaboradores
quanto à proteção de dados; e demais atividades
exigidas pelo controlador sobre o tratamento de
dados, visando obedecer a Lei.
Após sua formação, a ANPD pode
estabelecer outras atividades para o
encarregado. Dependendo da
organização, levando em consideração
características como porte e volume do
tratamento de dados, a Autoridade
Nacional pode dispensar a
necessidade desse profissional.
ARTIGO 42
O tratamento de dados feito pelo
controlador ou operador não pode ter
quaisquer consequências negativas ou
de alguma forma causar danos ao
titular. Caso isso aconteça, o agente
responsável deve reparar a situação
imediatamente.
A responsabilidade é do operador
quando este descumprir suas
obrigações dentro da LGPD ou quando
desobedecer às ordens dadas pelo
controlador. Enquanto isso, a
responsabilidade cai sobre o
controlador quando estiver diretamente
envolvido no tratamento danoso.
Nesses casos, é o titular quem deve
fornecer provas de que o tratamento
causou danos a ele. Porém, se o juiz
entender que a acusação é verossímil,
mas que o titular não tem condições ou
recursos para fornecer as provas, o
dever de fornecê-las pode passar para
o agente de tratamento.
ARTIGO 43
Para não serem responsabilizados por
danos decorrentes do tratamento de
dados, os agentes precisam
comprovam que não realizam esse
tratamento, que o realizam mas que
não houve violação às diretrizes de
proteção à integridade do titular ou que
o titular é o único culpado pelos danos
em questão.
ARTIGO 44
O tratamento de dados é considerado
irregular quando não seguir a LGPD ou
quando não proporcionar o devido
nível de segurança de dados. Tal
segurança deve ser assegurada
levando em consideração a forma
com que o tratamento é realizado,
os riscos que podem ser esperados
e as tecnologias disponíveis no
momento.
Se acontecerem danos decorrentes
da desobediência das diretrizes de
segurança de dados, o agente
responsável por essas falhas — seja
o controlador, seja o operador —
será responsabilizado.
ARTIGO 45
Quando o assunto são relações de
consumo, o que determina o que é
ou não uma violação dos direitos do
titular é a legislação vigente, ou seja,
a Lei 8.078/1990 – Código de
Defesa do Consumidor.
ARTIGO 46
A segurança de dados deve incluir a
garantia de que somente as pessoas
devidamente autorizadas e
fundamentais podem ter acesso aos
dados. Deve-se assegurar também
que não haverá tentativas ou
situações indevidas e/ou acidentais
de perda, alteração,
compartilhamento ou qualquer outro
tipo de tratamento com os dados.
Para garantir isso, os agentes de
tratamento devem tomar medidas
técnicas e administrativas.
Os padrões mínimos para esse tipo
de proteção poderão ser dispostos
pela ANPD, levando em
consideração o tipo de tratamento
realizado e as possibilidades atuais
da tecnologia.
O artigo destaca que esses cuidados
devem ser levados em consideração
não apenas durante a execução,
mas desde a fase de concepção do
produto. Isso aproxima a LGPD do
conceito de Privacy by Design, em que a
privacidade e a segurança de dados são parte
integrante do desenvolvimento do produto, e não
preocupações posteriores.
ARTIGO 47
Quaisquer agentes ou indivíduos que tiverem
participação ou intervirem em qualquer fase do
tratamento de dados torna-se responsável por
assegurar a segurança desses dados, mesmo
depois que o tratamento terminar.
ARTIGO 48
Diante de um incidente ou falha na segurança de
dados que possa resultar em danos ou riscos aos
titulares, é dever do controlador comunicar a ANPD
e os titulares dos dados envolvidos.
O prazo para essa comunicação será definido pela
Autoridade Nacional, mas deve incluir pelo menos
a natureza dos dados afetados, as informações dos
respectivos titulares, o detalhamento das medidas
de segurança adotadas para a proteção dos dados,
os possíveis riscos do incidente e o que será feito
para mitigar ou reverter as consequências. Caso
haja demora na comunicação, é preciso incluir
também os motivos para o atraso.
A partir daí, a ANPD irá averiguar a situação e a
gravidade do ocorrido. Visando preservar os
titulares, a Autoridade pode solicitar que o
controlador divulgue amplamente o incidente nos
meios de comunicação e/ou tome providências
para reverter ou mitigar os efeitos.
A avaliação do nível de gravidade do ocorrido deve
levar em consideração o fornecimento de que os
dados envolvidos encontram-se ininteligíveis por
meio de medidas técnicas, impedindo assim que
terceiros não-autorizados os acessem.
ARTIGO 49
Todos os sistemas e bases de dados usados para o
tratamento devem ser estruturados levando em
consideração as diretrizes de segurança dispostas
pela LGPD, assim como os padrões de boas
práticas e de governança propostos pela lei e
demais normas legislativas.
ARTIGO 50
A LGPD recomenda que os agentes de tratamento
estabeleçam regras de boas práticas e de
governança sobre segurança e proteção de dados.
O documento pode incluir, por exemplo, os
procedimentos e os padrões técnicos da
organização, como lidar com reclamações e
petições dos titulares, as ações educativas
tomadas dentro do empresa, os envolvidos nos
tratamentos, processos para mitigar riscos etc.
Se escolherem fazer isso, é importante levar em
consideração todas as diretrizes da LGPD,
garantindo assim que o documento está alinhado
com a lei e efetivamente ajudará o agente de
tratamento a obedecê-la.
Apesar de não ser obrigatório, a existência de tais
documentos e sua respectiva aplicação no dia a dia
da instituição será levada em consideração pela
ANPD se for necessário determinar sanções para
incidentes ou falhas que vierem a ocorrer.
O artigo recomenda ainda que, após analisar o
volume e a sensibilidade dos dados tratados e a
gravidade dos riscos envolvidos, o controlador
pode implementar programas de governança
internos para divulgar as boas práticas de proteção
de dados, que devem ser aplicadas a todos os
dados pessoais coletados, e as políticas e medidas
preventivas estabelecidas. O programa deve ser
construído também de acordo com a estrutura da
organização e visar a construção de relações de
confiança com o titular — valorizando, portanto, a
transparência e a clareza nas comunicações.
A LGPD aponta ainda a importância de que tal
programa inclua planos de resposta e remediação
para casos de incidentes e que seja reavaliado e
atualizado com frequência. Se a ANPD assim pedir,
será necessário comprovar a eficácia do programa.
ARTIGO 51
A ANPD vai promover a adoção de padrões
técnicos mínimos para facilitar o controle de dados
por parte dos próprios titulares. Assim, a Autoridade
cumpre seu papel de não apenas aplicar a LGPD,
mas também de conscientizar a população sobre
os temas da lei.
ARTIGO 52
Caso os agentes de tratamento cometam infrações
à LGPD, a ANPD irá definir as sanções a serem
aplicadas. Pode ser dada uma advertência,
indicando o prazo para a adoção de medidas
corretivas; uma multa simples de até 2% do
faturamento, limitada a R$ 50 milhões por infração;
uma multa diária, dentro desse mesmo limite total;
a ampla divulgação da infração e de suas causas;
ou o bloqueio ou exclusão dos dados pessoais
envolvidos na infração.
A ANPD ainda pode exigir a suspensão parcial dos
bancos de dados envolvidos na infração ou de toda
a atividade de tratamento desses dados por até 6
meses, passíveis de prorrogação. Dentro desse
período, o agente deve regularizar a situação que
levou à infração. O tratamento de quaisquer dados
também pode ser proibido total ou parcialmente.
Levando em consideração a gravidade do
incidente, a boa-fé do infrator, se trata-se ou não de
reincidência, o quanto o agente mostra-se
cooperativo, a tomada imediata de medidas
corretivas e a existência de políticas de boas
práticas e de governança, a ANPD deve dar espaço
para que o infrator se defenda. Esses
comportamentos também serão considerados na
hora de determinar a sanção; o faturamento do
agente pode ser avaliado também. Além disso, a
sanção deve ser nivelada de acordo com a
gravidade do ocorrido.
ARTIGO 53
A ANPD definirá as metodologias exatas para
calcular o valor-base das multas, que deverá ir para
consulta pública antes de ser implementada. As
metodologias devem ser claras e detalhadas,
determinando também o que levará à sanção de
multa diária ou simples. Os agentes de tratamento
devem ter acesso prévio às metodologias.
ARTIGO 54
O valor definido para a multa diária deve ser
estabelecido de acordo com a gravidade do
incidente e com a extensão dos danos decorrentes.
Ao estabelecer a multa, a ANPD deve incluir a
obrigação que o agente deve cumprir para seu
encerramento, além de um prazo razoável para
isso e de qual passará a ser o valor da multa diária
caso não seja cumprido.
ARTIGO 55
Este artigo cria a Autoridade Nacional de Proteção
de Dados (ANPD), inicialmente vetada, mas depois
retomada. O órgão da administração pública
federal fará parte da Presidência da República e é
de natureza transitória — ou seja, o Poder
Executivo pode transformá-la em entidade da
administração pública federal indireta, sendo então
submetida a regime autárquico especial, mas
mantendo o vínculo à Presidência.
Com autonomia técnica e decisória, a ANPD será
formada por Conselho Diretor, Conselho Nacional
de Proteção de Dados e Privacidade, Corregedoria
e Ouvidoria, além de unidades administrativas e
unidades especializadas e um órgão próprio de
assessoramento jurídico.
O Conselho Diretor será composto por um Diretor-
Presidente e outros quatro diretores, nomeados
pelo Presidente da República e sujeitos a
aprovação do Senado. Eles terão mandatos de 4
anos e serão escolhidos entre cidadãos brasileiros
altamente especializados na área a que seus
cargos se referem.
Enquanto a ANPD não conclui seu processo de
entrada em vigor, o órgão será auxiliado pela Casa
Civil da Presidência da República. O regime interno
da ANPD, por sua vez, será estabelecido pelo
próprio Conselho Diretor, que também indicará
pessoas para os cargos em comissão e para
funções de confiança para posterior aprovação do
Diretor-Presidente.
As responsabilidades da ANPD incluem:
· zelar pela proteção dos dados pessoais;
· elaborar a Política Nacional de Proteção de
Dados Pessoais e da Privacidade;
· fiscalizar a aplicação da LGPD e determinar
sanções para casos de infração;
· avaliar petições e reclamações de titulares;
· fomentar a conscientização e conhecimento
sobre proteção e segurança de dados pessoais
entre a população;
· estimular a adoção de padrões que facilitem
o controle dos titulares sobre seus dados;
· promover ações internacionais de
cooperação entre autoridades de proteção de
dados;
· estabelecer as medidas para, quando
necessário, divulgar operações de tratamento de
dados;
· solicitar informações sobre tratamentos de
dados ao poder público a fim de garantir o
cumprimento da LGPD;
· elaborar relatórios anuais sobre suas
atividades, que deve incluir detalhes sobre a receita
e as despesas do órgão;
· estabelecer regulamentos e procedimentos
sobre proteção e privacidade de dados e relatórios
de impacto diante de tratamentos que representem
alto risco;
· realizar auditorias para verificar o
cumprimento da LGPD por parte dos agentes de
tratamento, incluindo os do poder público;
· adaptar normas, orientações e processos
para atender às necessidades específicas de
microempresas, empresas de pequeno porte e
iniciativas disruptivas, incluindo startups e
empresas de inovação, a fim de auxiliá-las na
adequação e cumprimento da LGPD;
· garantir a clareza, facilitação, transparência
e acessibilidade das informações no que se refere
ao tratamento de dados de idosos;
· implementar meios práticos e facilitados
para que titulares possam registrar reclamações
sobre o tratamento de seus dados, inclusive pela
internet;
· colocar seus regulamentos e normas para
consulta pública e análises de impacto regulatório.
Quando o assunto é proteção, privacidade e
tratamento de dados pessoais, a ANPD prevalece
sobre outras entidades da administração pública.
Para arrecadar receita, a ANPD dependerá do
orçamento geral da União; doações; venda ou
aluguel de bens e imóveis de que for dona;
rendimentos advindos da aplicação de suas
receitas; recursos originados de acordos ou
convênios com outras entidades; e venda de
publicações e materiais técnicos.
ARTIGO 56
Integralmente vetado, o artigo 56 complementava o
artigo 55 original no estabelecimento da Autoridade
Nacional de Proteção de Dados.
ARTIGO 57
Outro artigo vetado por completo que falava sobre
a Autoridade Nacional de Proteção de Dados.
ARTIGO 58
Os itens originais do artigo 58, que trata do
Conselho Nacional de Proteção de Dados Pessoais
e da Privacidade, foi vetado. Os novos itens
determinam que o conselho, que faz parte da
LGPD, será composto por 23 representantes,
sendo 5 do Poder Executivo Federal, 1 do Senado
Federal, 1 da Câmara dos Deputados, 1 do
Conselho Nacional de Justiça, 1 do Conselho
Nacional do Ministério Público, 1 do Comitê Gestor
da Internet no Brasil, 3 vindos de entidades da
sociedade civil que tratem da proteção de dados, 3
de instituições científicas ou tecnológicas, 3
sindicalistas representando setores da economia, 2
representantes do setor empresarial dentro da área
de tratamento de dados e 2 representantes do
setor laboral. Os mandatos serão de 2 anos.
O Conselho será responsável por contribuir na
elaboração da Política Nacional de Proteção de
Dados Pessoais e da Privacidade, publicar
relatórios anuais avaliando a Política, sugerir ações
a serem tomadas pela ANPD, estudar e realizar
debates sobre proteção e privacidade de dados e
fomentar informação e conhecimento sobre esses
temas.
ARTIGO 59
Dispunha sobre outras obrigações da ANPD, mas
foi integralmente vetado.
ARTIGO 60
Estabelece duas alterações no Marco Civil da
Internet (Lei 12.965/2014). A primeira, no artigo 7,
determina a exclusão dos dados após o fim do
tratamento previsto — com exceção dos casos em
que seu armazenamento for necessário para fins
regulatórios.
A segunda mudança é no artigo 12 do Marco Civil,
que passa a incluir a necessidade de eliminar
dados pessoais excessivos em relação ao
tratamento para o qual o titular consentiu.
ARTIGO 61
Empresas estrangeiras com filiais ou escritórios no
Brasil — e, portanto, sujeitas à LGPD se coletarem
e tratarem dados em território nacional — serão
notificadas e intimadas no que se refere à
aplicação da Lei Geral de Proteção de Dados pelo
agente ou representante da filial ou escritório
brasileiro.
ARTIGO 62
Estabelece que a ANPD, ao lado do Inep —
Instituto Nacional de Estudos e Pesquisas
Educacionais, editará regulamentos específicos
para que os tratamentos de dados necessários
para o Sinaes — Sistema Nacional de Avaliação da
Educação Superior possam acontecer.
ARTIGO 63
Para os bancos de dados formados antes da
entrada em vigência da LGPD, a ANPD vai
estabelecer regras e processos para que sejam
progressivamente adaptados à Lei. Para tanto,
serão levadas em consideração a complexidade
das operações e a natureza dos dados tratados —
o objetivo é garantir o cumprimento da Lei e os
direitos do titular sem prejudicar as empresas em
questão.
ARTIGO 64
Determina que as medidas de proteção dispostas
pela LGPD não excluem as medidas de proteção
de outras leis. Dessa forma, pode-se considerar
que há uma dupla camada de proteção para os
dados pessoais dos titulares, já que as leis em
vigor atuarão de forma complementar.
ARTIGO 65
Estabelece que a Lei Geral de Proteção de Dados
entra em plena vigência em 16 de agosto de 2020,
ou seja, no dia seguinte à data em que se
completam 24 meses da publicação no Diário
Oficial (que foi feita no dia 15 de agosto de 2018).
Alguns dos itens que determinam a criação e
funcionamento da Autoridade Nacional de Proteção
de Dados, porém, estavam previstos para entrar
em vigor em 28 de dezembro de 2018.
Entretanto, a pandemia de coronavírus acabou
adiando um pouco a entrada em vigência da LGPD,
que aconteceu somente em setembro de 2020,
com sanções administrativas previstas para
começar a valer em 1º de agosto de 2021.