04.1 - Conhecimentos Bancar

Licenciado para: Jonatas Ferreira Silva | jonatasferreira68f@gmail.com | 15591701663 | Protegido por AlpaClass.
com #jsmVzG5
Conhecimentos Bancários 123 Passei | Banco do Brasil
SUMÁRIO
LEI Nº 9.613, DE 3 DE MARÇO DE 1998. 1
CIRCULAR Nº 3.978, DE 23 DE JANEIRO DE

2020 11
Carta-Circular BACEN/DC Nº 4001 DE

29/01/2020 31
LEI COMPLEMENTAR Nº 105, DE 10 DE

JANEIRO DE 2001. 40
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 45
LEI Nº 12.846, DE 1º DE AGOSTO DE 2013. 71
RESOLUÇÃO CMN Nº 4.893, DE 26 DE

FEVEREIRO DE 2021 79
Licenciado para: Jonatas Ferreira Silva | jonatasferreira68f@gmail.com | 15591701663 | Protegido por AlpaClass.com #jsmVzG5
LEI Nº 9.613, DE 3 DE MARÇO DE 1998. V - (revogado); (Redação dada pela

Lei nº 12.683, de 2012)VI - (revogado);
(Redação dada pela Lei nº 12.683, de 2012)
Texto compilado Dispõe sobre os
crimes de "lavagem" VII - (revogado); (Redação dada pela
(Vide Decreto nº ou ocultação de Lei nº 12.683, de 2012)
2.799, de 1998) bens, direitos e
valores; a prevenção VIII - (revogado). (Redação dada
da utilização do pela Lei nº 12.683, de 2012)
sistema financeiro
para os ilícitos Pena: reclusão, de 3 (três) a 10 (dez) anos, e
previstos nesta Lei; multa. (Redação dada pela Lei nº
cria o Conselho de 12.683, de 2012)
Controle de
Atividades § 1o Incorre na mesma pena quem, para ocultar
Financeiras - COAF, ou dissimular a utilização de bens, direitos ou
e dá outras valores provenientes de infração penal:
providências. (Redação dada pela Lei nº 12.683, de 2012)
I - os converte em ativos lícitos;

O PRESIDENTE DA REPÚBLICA Faço saber
que o Congresso Nacional decreta e eu II - os adquire, recebe, troca, negocia, dá ou
sanciono a seguinte Lei: recebe em garantia, guarda, tem em depósito,
movimenta ou transfere;
CAPÍTULO I
III - importa ou exporta bens com valores não
Dos Crimes de "Lavagem" ou Ocultação de
correspondentes aos verdadeiros.
Bens, Direitos e Valores
§ 2o Incorre, ainda, na mesma pena quem:
Art. 1o Ocultar ou dissimular a natureza, origem,
localização, disposição, movimentação ou
propriedade de bens, direitos ou valores I - utiliza, na atividade econômica ou financeira,
provenientes, direta ou indiretamente, de bens, direitos ou valores provenientes de
infração penal. (Redação dada pela infração penal; (Redação dada pela
Lei nº 12.683, de 2012) Lei nº 12.683, de 2012)
I - (revogado); (Redação dada pela II - participa de grupo, associação ou escritório

Lei nº 12.683, de 2012) tendo conhecimento de que sua atividade
principal ou secundária é dirigida à prática de
II - (revogado); (Redação dada pela
crimes previstos nesta Lei.
Lei nº 12.683, de 2012)
§ 3º A tentativa é punida nos termos do
III - (revogado); (Redação dada pela
parágrafo único do art. 14 do Código Penal.
Lei nº 12.683, de 2012)
§ 4o A pena será aumentada de um a dois
IV - (revogado); (Redação dada pela
terços, se os crimes definidos nesta Lei forem
Lei nº 12.683, de 2012)
cometidos de forma reiterada ou por intermédio
de organização criminosa.
§ 5o A pena poderá ser reduzida de um a dois § 1o A denúncia será instruída com indícios
terços e ser cumprida em regime aberto ou suficientes da existência da infração penal
semiaberto, facultando-se ao juiz deixar de antecedente, sendo puníveis os fatos previstos
aplicá-la ou substituí-la, a qualquer tempo, por nesta Lei, ainda que desconhecido ou isento de
pena restritiva de direitos, se o autor, coautor ou pena o autor, ou extinta a punibilidade da
partícipe colaborar espontaneamente com as infração penal antecedente.
autoridades, prestando esclarecimentos que (Redação dada pela Lei nº 12.683, de 2012)
conduzam à apuração das infrações penais, à
identificação dos autores, coautores e § 2o No processo por crime previsto nesta Lei,
partícipes, ou à localização dos bens, direitos ou não se aplica o disposto no art. 366 do
valores objeto do crime. (Redação Decreto-Lei nº 3.689, de 3 de outubro de 1941
dada pela Lei nº 12.683, de 2012) (Código de Processo Penal), devendo o
acusado que não comparecer nem constituir
§ 6º Para a apuração do crime de que trata este advogado ser citado por edital, prosseguindo o
artigo, admite-se a utilização da ação controlada feito até o julgamento, com a nomeação de
e da infiltração de agentes. (Incluído pela Lei defensor dativo. (Redação dada pela
nº 13.964, de 2019) (Vigência) Lei nº 12.683, de 2012)
CAPÍTULO II Art. 4o O juiz, de ofício, a requerimento do

Ministério Público ou mediante representação
Disposições Processuais Especiais do delegado de polícia, ouvido o Ministério
Público em 24 (vinte e quatro) horas, havendo
Art. 2º O processo e julgamento dos crimes indícios suficientes de infração penal, poderá
previstos nesta Lei: decretar medidas assecuratórias de bens,
direitos ou valores do investigado ou acusado,
I – obedecem às disposições relativas ao ou existentes em nome de interpostas pessoas,
procedimento comum dos crimes punidos com que sejam instrumento, produto ou proveito dos
reclusão, da competência do juiz singular; crimes previstos nesta Lei ou das infrações
penais antecedentes. (Redação dada
II - independem do processo e julgamento das pela Lei nº 12.683, de 2012)
infrações penais antecedentes, ainda que
praticados em outro país, cabendo ao juiz § 1o Proceder-se-á à alienação antecipada para
competente para os crimes previstos nesta Lei a preservação do valor dos bens sempre que
decisão sobre a unidade de processo e estiverem sujeitos a qualquer grau de
julgamento; (Redação dada pela deterioração ou depreciação, ou quando houver
Lei nº 12.683, de 2012) dificuldade para sua manutenção.
III - são da competência da Justiça Federal:
§ 2o O juiz determinará a liberação total ou
a) quando praticados contra o sistema parcial dos bens, direitos e valores quando
financeiro e a ordem econômico-financeira, ou comprovada a licitude de sua origem,
em detrimento de bens, serviços ou interesses mantendo-se a constrição dos bens, direitos e
da União, ou de suas entidades autárquicas ou valores necessários e suficientes à reparação
empresas públicas; dos danos e ao pagamento de prestações
pecuniárias, multas e custas decorrentes da
b) quando a infração penal antecedente for de infração penal. (Redação dada pela
competência da Justiça Federal. Lei nº 12.683, de 2012)
§ 3o Nenhum pedido de liberação será
conhecido sem o comparecimento pessoal do
acusado ou de interposta pessoa a que se adotando-se a seguinte disciplina:

refere o caput deste artigo, podendo o juiz (Incluído pela Lei nº 12.683, de 2012)
determinar a prática de atos necessários à
conservação de bens, direitos ou valores, sem I - nos processos de competência da
prejuízo do disposto no § 1o. Justiça Federal e da Justiça do Distrito Federal:
(Redação dada pela Lei nº 12.683, de 2012) (Incluído pela Lei nº 12.683, de 2012)
§ 4o Poderão ser decretadas medidas a) os depósitos serão efetuados na Caixa

assecuratórias sobre bens, direitos ou valores Econômica Federal ou em instituição financeira
para reparação do dano decorrente da infração pública, mediante documento adequado para
penal antecedente ou da prevista nesta Lei ou essa finalidade; (Incluída pela
para pagamento de prestação pecuniária, multa Lei nº 12.683, de 2012)
e custas. (Redação dada pela Lei
nº 12.683, de 2012) b) os depósitos serão repassados pela
Caixa Econômica Federal ou por outra
Art. 4o-A. A alienação antecipada para instituição financeira pública para a Conta Única
preservação de valor de bens sob constrição do Tesouro Nacional, independentemente de
será decretada pelo juiz, de ofício, a qualquer formalidade, no prazo de 24 (vinte e
requerimento do Ministério Público ou por quatro) horas; e (Incluída pela Lei
solicitação da parte interessada, mediante nº 12.683, de 2012)
petição autônoma, que será autuada em
apartado e cujos autos terão tramitação em c) os valores devolvidos pela Caixa
separado em relação ao processo principal. Econômica Federal ou por instituição financeira
(Incluído pela Lei nº 12.683, de 2012) pública serão debitados à Conta Única do
Tesouro Nacional, em subconta de restituição;
§ 1o O requerimento de alienação deverá (Incluída pela Lei nº 12.683, de 2012)
conter a relação de todos os demais bens, com
a descrição e a especificação de cada um deles, II - nos processos de competência da
e informações sobre quem os detém e local Justiça dos Estados: (Incluído pela
onde se encontram. (Incluído pela Lei nº 12.683, Lei nº 12.683, de 2012)
de 2012)
a) os depósitos serão efetuados em
o
§ 2 O juiz determinará a avaliação dos instituição financeira designada em lei,
bens, nos autos apartados, e intimará o preferencialmente pública, de cada Estado ou,
Ministério Público. (Incluído pela Lei na sua ausência, em instituição financeira
nº 12.683, de 2012) pública da União; (Incluída pela Lei nº
12.683, de 2012)
§ 3o Feita a avaliação e dirimidas
eventuais divergências sobre o respectivo b) os depósitos serão repassados para a
laudo, o juiz, por sentença, homologará o valor conta única de cada Estado, na forma da
atribuído aos bens e determinará sejam respectiva legislação. (Incluída pela
alienados em leilão ou pregão, Lei nº 12.683, de 2012)
preferencialmente eletrônico, por valor não
§ 5o Mediante ordem da autoridade
inferior a 75% (setenta e cinco por cento) da
judicial, o valor do depósito, após o trânsito em
avaliação. (Incluído pela Lei nº
julgado da sentença proferida na ação penal,
12.683, de 2012)
será: (Incluído pela Lei nº 12.683, de
§ 4o Realizado o leilão, a quantia apurada 2012)
será depositada em conta judicial remunerada,
I - em caso de sentença condenatória, nos dada destinação prévia; e

processos de competência da Justiça Federal e (Incluído pela Lei nº 12.683, de 2012)
da Justiça do Distrito Federal, incorporado
definitivamente ao patrimônio da União, e, nos III - a perda dos bens não reclamados no
processos de competência da Justiça Estadual, prazo de 90 (noventa) dias após o trânsito em
incorporado ao patrimônio do Estado respectivo; julgado da sentença condenatória, ressalvado o
(Incluído pela Lei nº 12.683, de 2012) direito de lesado ou terceiro de boa-fé.
(Incluído pela Lei nº 12.683, de 2012)
II - em caso de sentença absolutória
extintiva de punibilidade, colocado à disposição § 11. Os bens a que se referem os incisos
do réu pela instituição financeira, acrescido da II e III do § 10 deste artigo serão adjudicados ou
remuneração da conta judicial. levados a leilão, depositando-se o saldo na
(Incluído pela Lei nº 12.683, de 2012) conta única do respectivo ente.
§ 6o A instituição financeira depositária
manterá controle dos valores depositados ou § 12. O juiz determinará ao registro público
devolvidos. (Incluído pela Lei nº competente que emita documento de habilitação
12.683, de 2012) à circulação e utilização dos bens colocados
sob o uso e custódia das entidades a que se
§ 7o Serão deduzidos da quantia apurada refere o caput deste artigo.
no leilão todos os tributos e multas incidentes (Incluído pela Lei nº 12.683, de 2012)
sobre o bem alienado, sem prejuízo de
iniciativas que, no âmbito da competência de § 13. Os recursos decorrentes da alienação
cada ente da Federação, venham a desonerar antecipada de bens, direitos e valores oriundos
bens sob constrição judicial daqueles ônus. do crime de tráfico ilícito de drogas e que
(Incluído pela Lei nº 12.683, de 2012) tenham sido objeto de dissimulação e ocultação
nos termos desta Lei permanecem submetidos
§ 8o Feito o depósito a que se refere o § à disciplina definida em lei específica.
4o deste artigo, os autos da alienação serão (Incluído pela Lei nº 12.683, de 2012)
apensados aos do processo principal.
(Incluído pela Lei nº 12.683, de 2012) Art. 4o-B. A ordem de prisão de pessoas ou as
medidas assecuratórias de bens, direitos ou
§ 9o Terão apenas efeito devolutivo os valores poderão ser suspensas pelo juiz, ouvido
recursos interpostos contra as decisões o Ministério Público, quando a sua execução
proferidas no curso do procedimento previsto imediata puder comprometer as investigações.
neste artigo. (Incluído pela Lei nº (Incluído pela Lei nº 12.683, de 2012)
12.683, de 2012)
Art. 5o Quando as circunstâncias o
§ 10. Sobrevindo o trânsito em julgado de aconselharem, o juiz, ouvido o Ministério
sentença penal condenatória, o juiz decretará, Público, nomeará pessoa física ou jurídica
em favor, conforme o caso, da União ou do qualificada para a administração dos bens,
Estado: (Incluído pela Lei nº 12.683, direitos ou valores sujeitos a medidas
de 2012) assecuratórias, mediante termo de
compromisso. (Redação dada pela
I - a perda dos valores depositados na Lei nº 12.683, de 2012)
conta remunerada e da fiança;
(Incluído pela Lei nº 12.683, de 2012) Art. 6o A pessoa responsável pela
administração dos bens:
II - a perda dos bens não alienados (Redação dada pela Lei nº 12.683, de 2012)
antecipadamente e daqueles aos quais não foi
I - fará jus a uma remuneração, fixada pelo juiz, processos de competência da Justiça Estadual,
que será satisfeita com o produto dos bens a preferência dos órgãos locais com idêntica
objeto da administração; função. (Incluído pela Lei nº 12.683, de 2012)
Regulamento
II - prestará, por determinação judicial,
informações periódicas da situação dos bens § 2o Os instrumentos do crime sem valor
sob sua administração, bem como explicações e econômico cuja perda em favor da União ou do
detalhamentos sobre investimentos e Estado for decretada serão inutilizados ou
reinvestimentos realizados. doados a museu criminal ou a entidade pública,
se houver interesse na sua conservação.
Parágrafo único. Os atos relativos à (Incluído pela Lei nº 12.683, de 2012)
administração dos bens sujeitos a medidas
assecuratórias serão levados ao conhecimento CAPÍTULO IV
do Ministério Público, que requererá o que
entender cabível. (Redação dada Dos Bens, Direitos ou Valores Oriundos de
pela Lei nº 12.683, de 2012) Crimes Praticados no Estrangeiro
CAPÍTULO III Art. 8o O juiz determinará, na hipótese de

existência de tratado ou convenção
Dos Efeitos da Condenação internacional e por solicitação de autoridade
estrangeira competente, medidas
Art. 7º São efeitos da condenação, além dos assecuratórias sobre bens, direitos ou valores
previstos no Código Penal: oriundos de crimes descritos no art. 1o
praticados no estrangeiro.
I - a perda, em favor da União - e dos Estados, (Redação dada pela Lei nº 12.683, de 2012)
nos casos de competência da Justiça Estadual
-, de todos os bens, direitos e valores § 1º Aplica-se o disposto neste artigo,
relacionados, direta ou indiretamente, à prática independentemente de tratado ou convenção
dos crimes previstos nesta Lei, inclusive internacional, quando o governo do país da
aqueles utilizados para prestar a fiança, autoridade solicitante prometer reciprocidade ao
ressalvado o direito do lesado ou de terceiro de Brasil.
boa-fé; (Redação dada pela
Lei nº 12.683, de 2012) § 2o Na falta de tratado ou convenção, os bens,
direitos ou valores privados sujeitos a medidas
II - a interdição do exercício de cargo ou função assecuratórias por solicitação de autoridade
pública de qualquer natureza e de diretor, de estrangeira competente ou os recursos
membro de conselho de administração ou de provenientes da sua alienação serão repartidos
gerência das pessoas jurídicas referidas no art. entre o Estado requerente e o Brasil, na
9º, pelo dobro do tempo da pena privativa de proporção de metade, ressalvado o direito do
liberdade aplicada. lesado ou de terceiro de boa-fé.
§ 1o A União e os Estados, no âmbito de suas
competências, regulamentarão a forma de CAPÍTULO V
destinação dos bens, direitos e valores cuja
perda houver sido declarada, assegurada, (Redação dada pela Lei nº 12.683, de 2012)
quanto aos processos de competência da
Justiça Federal, a sua utilização pelos órgãos DAS PESSOAS SUJEITAS AO MECANISMO
federais encarregados da prevenção, do DE CONTROLE
combate, da ação penal e do julgamento dos
crimes previstos nesta Lei, e, quanto aos
(Redação dada pela Lei nº 12.683, de 2012) VI - as sociedades que, mediante sorteio,
método assemelhado, exploração de loterias,
Art. 9o Sujeitam-se às obrigações referidas nos inclusive de apostas de quota fixa, ou outras
arts. 10 e 11 as pessoas físicas e jurídicas que sistemáticas de captação de apostas com
tenham, em caráter permanente ou eventual, pagamento de prêmios, realizem distribuição de
como atividade principal ou acessória, dinheiro, de bens móveis, de bens imóveis e de
cumulativamente ou não: (Redação dada outras mercadorias ou serviços, bem como
pela Lei nº 12.683, de 2012) concedam descontos na sua aquisição ou
contratação; (Redação dada pela Lei nº
I - a captação, intermediação e aplicação de 14.183, de 2021)
recursos financeiros de terceiros, em moeda
nacional ou estrangeira; VII - as filiais ou representações de entes
estrangeiros que exerçam no Brasil qualquer
II – a compra e venda de moeda estrangeira ou das atividades listadas neste artigo, ainda que
ouro como ativo financeiro ou instrumento de forma eventual;
cambial;
VIII - as demais entidades cujo funcionamento
III - a custódia, emissão, distribuição, liqüidação, dependa de autorização de órgão regulador dos
negociação, intermediação ou administração de mercados financeiro, de câmbio, de capitais e
títulos ou valores mobiliários. de seguros;
Parágrafo único. Sujeitam-se às mesmas IX - as pessoas físicas ou jurídicas, nacionais ou

obrigações: estrangeiras, que operem no Brasil como
agentes, dirigentes, procuradoras,
I – as bolsas de valores, as bolsas de comissionárias ou por qualquer forma
mercadorias ou futuros e os sistemas de representem interesses de ente estrangeiro que
negociação do mercado de balcão organizado; exerça qualquer das atividades referidas neste
(Redação dada pela Lei nº 12.683, de 2012) artigo;
II - as seguradoras, as corretoras de seguros e X - as pessoas físicas ou jurídicas que exerçam

as entidades de previdência complementar ou atividades de promoção imobiliária ou compra e
de capitalização; venda de imóveis; (Redação dada pela
Lei nº 12.683, de 2012)
III - as administradoras de cartões de
credenciamento ou cartões de crédito, bem XI - as pessoas físicas ou jurídicas que
como as administradoras de consórcios para comercializem jóias, pedras e metais preciosos,
aquisição de bens ou serviços; objetos de arte e antigüidades.
IV - as administradoras ou empresas que se XII - as pessoas físicas ou jurídicas que

utilizem de cartão ou qualquer outro meio comercializem bens de luxo ou de alto valor,
eletrônico, magnético ou equivalente, que intermedeiem a sua comercialização ou
permita a transferência de fundos; exerçam atividades que envolvam grande
volume de recursos em espécie;
V - as empresas de arrendamento mercantil
(leasing), as empresas de fomento comercial
(factoring) e as Empresas Simples de Crédito XIII - as juntas comerciais e os registros
(ESC); (Redação dada pela Lei públicos; (Incluído pela Lei nº 12.683, de
Complementar nº 167, de 2019) 2012)
XIV - as pessoas físicas ou jurídicas que XVIII - as dependências no exterior das

prestem, mesmo que eventualmente, serviços entidades mencionadas neste artigo, por meio
de assessoria, consultoria, contadoria, auditoria, de sua matriz no Brasil, relativamente a
aconselhamento ou assistência, de qualquer residentes no País. (Incluído pela Lei nº
natureza, em operações : (Incluído pela 12.683, de 2012)
Lei nº 12.683, de 2012)
CAPÍTULO VI
a) de compra e venda de imóveis,
estabelecimentos comerciais ou industriais ou Da Identificação dos Clientes e Manutenção de
participações societárias de qualquer natureza; Registros
(Incluída pela Lei nº 12.683, de 2012)
Art. 10. As pessoas referidas no art. 9º:
b) de gestão de fundos, valores mobiliários ou
outros ativos; (Incluída pela Lei nº 12.683, I - identificarão seus clientes e manterão
de 2012) cadastro atualizado, nos termos de instruções
emanadas das autoridades competentes;
c) de abertura ou gestão de contas bancárias,
de poupança, investimento ou de valores II - manterão registro de toda transação em
mobiliários; (Incluída pela Lei nº 12.683, de moeda nacional ou estrangeira, títulos e valores
2012) mobiliários, títulos de crédito, metais, ou
qualquer ativo passível de ser convertido em
d) de criação, exploração ou gestão de dinheiro, que ultrapassar limite fixado pela
sociedades de qualquer natureza, fundações, autoridade competente e nos termos de
fundos fiduciários ou estruturas análogas; instruções por esta expedidas;
(Incluída pela Lei nº 12.683, de 2012)
III - deverão adotar políticas, procedimentos e
e) financeiras, societárias ou imobiliárias; e controles internos, compatíveis com seu porte e
(Incluída pela Lei nº 12.683, de 2012) volume de operações, que lhes permitam
atender ao disposto neste artigo e no art. 11, na
f) de alienação ou aquisição de direitos sobre
forma disciplinada pelos órgãos competentes;
contratos relacionados a atividades desportivas
ou artísticas profissionais; (Incluída pela
Lei nº 12.683, de 2012) IV - deverão cadastrar-se e manter seu cadastro
atualizado no órgão regulador ou fiscalizador e,
XV - pessoas físicas ou jurídicas que atuem na
na falta deste, no Conselho de Controle de
promoção, intermediação, comercialização,
Atividades Financeiras (Coaf), na forma e
agenciamento ou negociação de direitos de
condições por eles estabelecidas; (Incluído
transferência de atletas, artistas ou feiras,
pela Lei nº 12.683, de 2012)
exposições ou eventos similares;
(Incluído pela Lei nº 12.683, de 2012) V - deverão atender às requisições formuladas
pelo Coaf na periodicidade, forma e condições
XVI - as empresas de transporte e guarda de
por ele estabelecidas, cabendo-lhe preservar,
valores; (Incluído pela Lei nº 12.683, de
nos termos da lei, o sigilo das informações
2012)
prestadas. (Incluído pela Lei nº
12.683, de 2012)
XVII - as pessoas físicas ou jurídicas que
comercializem bens de alto valor de origem rural
§ 1º Na hipótese de o cliente constituir-se em
ou animal ou intermedeiem a sua
pessoa jurídica, a identificação referida no inciso
comercialização; e (Incluído pela Lei nº
I deste artigo deverá abranger as pessoas
12.683, de 2012)
físicas autorizadas a representá-la, bem como b) das operações referidas no inciso I;

seus proprietários. (Redação dada pela Lei nº 12.683, de 2012)
§ 2º Os cadastros e registros referidos nos III - deverão comunicar ao órgão regulador ou

incisos I e II deste artigo deverão ser fiscalizador da sua atividade ou, na sua falta, ao
conservados durante o período mínimo de cinco Coaf, na periodicidade, forma e condições por
anos a partir do encerramento da conta ou da eles estabelecidas, a não ocorrência de
conclusão da transação, prazo este que poderá propostas, transações ou operações passíveis
ser ampliado pela autoridade competente. de serem comunicadas nos termos do inciso II.
§ 3º O registro referido no inciso II deste artigo
será efetuado também quando a pessoa física § 1º As autoridades competentes, nas
ou jurídica, seus entes ligados, houver instruções referidas no inciso I deste artigo,
realizado, em um mesmo mês-calendário, elaborarão relação de operações que, por suas
operações com uma mesma pessoa, características, no que se refere às partes
conglomerado ou grupo que, em seu conjunto, envolvidas, valores, forma de realização,
ultrapassem o limite fixado pela autoridade instrumentos utilizados, ou pela falta de
competente. fundamento econômico ou legal, possam
configurar a hipótese nele prevista.
Art. 10A. O Banco Central manterá registro
centralizado formando o cadastro geral de § 2º As comunicações de boa-fé, feitas na forma
correntistas e clientes de instituições prevista neste artigo, não acarretarão
financeiras, bem como de seus procuradores. responsabilidade civil ou administrativa.
§ 3o O Coaf disponibilizará as comunicações
CAPÍTULO VII recebidas com base no inciso II do caput aos
respectivos órgãos responsáveis pela regulação
Da Comunicação de Operações Financeiras ou fiscalização das pessoas a que se refere o
art. 9o. (Redação dada pela Lei nº 12.683,
Art. 11. As pessoas referidas no art. 9º: de 2012)
I - dispensarão especial atenção às operações Art. 11-A. As transferências internacionais

que, nos termos de instruções emanadas das e os saques em espécie deverão ser
autoridades competentes, possam constituir-se previamente comunicados à instituição
em sérios indícios dos crimes previstos nesta financeira, nos termos, limites, prazos e
Lei, ou com eles relacionar-se; condições fixados pelo Banco Central do Brasil.
II - deverão comunicar ao Coaf, abstendo-se de
dar ciência de tal ato a qualquer pessoa, CAPÍTULO VIII
inclusive àquela à qual se refira a informação,
no prazo de 24 (vinte e quatro) horas, a Da Responsabilidade Administrativa
proposta ou realização: (Redação dada
pela Lei nº 12.683, de 2012) Art. 12. Às pessoas referidas no art. 9º, bem
como aos administradores das pessoas
a) de todas as transações referidas no inciso II jurídicas, que deixem de cumprir as obrigações
do art. 10, acompanhadas da identificação de previstas nos arts. 10 e 11 serão aplicadas,
que trata o inciso I do mencionado artigo; e cumulativamente ou não, pelas autoridades
(Redação dada pela Lei nº 12.683, de 2012) competentes, as seguintes sanções:
I - advertência; IV - descumprirem a vedação ou deixarem de

fazer a comunicação a que se refere o art. 11.
II - multa pecuniária variável não superior:
(Redação dada pela Lei nº 12.683, de 2012) § 3º A inabilitação temporária será aplicada
quando forem verificadas infrações graves
a) ao dobro do valor da operação; quanto ao cumprimento das obrigações
(Incluída pela Lei nº 12.683, de 2012) constantes desta Lei ou quando ocorrer
reincidência específica, devidamente
b) ao dobro do lucro real obtido ou que
caracterizada em transgressões anteriormente
presumivelmente seria obtido pela realização da
punidas com multa.
operação; ou (Incluída pela Lei nº 12.683,
de 2012) § 4º A cassação da autorização será aplicada
nos casos de reincidência específica de
c) ao valor de R$ 20.000.000,00 (vinte milhões
infrações anteriormente punidas com a pena
de reais); (Incluída pela Lei nº 12.683, de
prevista no inciso III do caput deste artigo.
2012)
CAPÍTULO IX
III - inabilitação temporária, pelo prazo de até
dez anos, para o exercício do cargo de Do Conselho de Controle de Atividades
administrador das pessoas jurídicas referidas no Financeiras
art. 9º;
Art. 14. É criado, no âmbito do Ministério da
IV - cassação ou suspensão da autorização Fazenda, o Conselho de Controle de Atividades
para o exercício de atividade, operação ou Financeiras - COAF, com a finalidade de
funcionamento. (Redação dada pela Lei nº disciplinar, aplicar penas administrativas,
12.683, de 2012) receber, examinar e identificar as ocorrências
suspeitas de atividades ilícitas previstas nesta
§ 1º A pena de advertência será aplicada por
Lei, sem prejuízo da competência de outros
irregularidade no cumprimento das instruções
órgãos e entidades.
referidas nos incisos I e II do art. 10.
§ 1º As instruções referidas no art. 10
§ 2o A multa será aplicada sempre que as
destinadas às pessoas mencionadas no art. 9º,
pessoas referidas no art. 9o, por culpa ou dolo:
para as quais não exista órgão próprio
fiscalizador ou regulador, serão expedidas pelo
COAF, competindo-lhe, para esses casos, a
I – deixarem de sanar as irregularidades objeto
definição das pessoas abrangidas e a aplicação
de advertência, no prazo assinalado pela
das sanções enumeradas no art. 12.
autoridade competente;
§ 2º O COAF deverá, ainda, coordenar e propor
II - não cumprirem o disposto nos incisos I a IV
mecanismos de cooperação e de troca de
do art. 10; (Redação dada pela Lei nº
informações que viabilizem ações rápidas e
12.683, de 2012)
eficientes no combate à ocultação ou
III - deixarem de atender, no prazo estabelecido, dissimulação de bens, direitos e valores.
a requisição formulada nos termos do inciso V
§ 3o O COAF poderá requerer aos órgãos da
do art. 10; (Redação dada pela Lei nº
Administração Pública as informações
12.683, de 2012)
cadastrais bancárias e financeiras de pessoas
envolvidas em atividades suspeitas.
10
Art. 15. O COAF comunicará às autoridades Art. 17-E. A Secretaria da Receita Federal do
competentes para a instauração dos Brasil conservará os dados fiscais dos
procedimentos cabíveis, quando concluir pela contribuintes pelo prazo mínimo de 5 (cinco)
existência de crimes previstos nesta Lei, de anos, contado a partir do início do exercício
fundados indícios de sua prática, ou de qualquer seguinte ao da declaração de renda respectiva
outro ilícito. ou ao do pagamento do tributo. (Incluído
pela Lei nº 12.683, de 2012)
CAPÍTULO X
Art. 18. Esta Lei entra em vigor na data de sua
(Incluído pela Lei nº 12.683, de 2012) publicação.
DISPOSIÇÕES GERAIS
Art. 17-A. Aplicam-se, subsidiariamente, as

disposições do Decreto-Lei nº 3.689, de 3 de
outubro de 1941 (Código de Processo Penal),
no que não forem incompatíveis com esta Lei.
Art. 17-B. A autoridade policial e o Ministério

Público terão acesso, exclusivamente, aos
dados cadastrais do investigado que informam
qualificação pessoal, filiação e endereço,
independentemente de autorização judicial,
mantidos pela Justiça Eleitoral, pelas empresas
telefônicas, pelas instituições financeiras, pelos
provedores de internet e pelas administradoras
de cartão de crédito. (Incluído pela
Lei nº 12.683, de 2012)
Art. 17-C. Os encaminhamentos das

instituições financeiras e tributárias em resposta
às ordens judiciais de quebra ou transferência
de sigilo deverão ser, sempre que determinado,
em meio informático, e apresentados em
arquivos que possibilitem a migração de
informações para os autos do processo sem
redigitação. (Incluído pela Lei nº
12.683, de 2012)
Art. 17-D. Em caso de indiciamento de servidor

público, este será afastado, sem prejuízo de
remuneração e demais direitos previstos em lei,
até que o juiz competente autorize, em decisão
fundamentada, o seu retorno. (Incluído
pela Lei nº 12.683, de 2012) (Vide ADIN
4911)
11
CIRCULAR Nº 3.978, DE 23 DE JANEIRO DE RESOLVE:

2020
CAPÍTULO I
Dispõe sobre a política, os procedimentos e os
DO OBJETO E DO ÂMBITO DE APLICAÇÃO
controles internos a serem adotados pelas
Art. 1º Esta Circular dispõe sobre a política, os
instituições autorizadas a funcionar pelo Banco procedimentos e os controles internos a serem
adotados pelas instituições autorizadas a
Central do Brasil visando à prevenção da funcionar pelo Banco Central do Brasil visando
utilização à prevenção da utilização do sistema financeiro
para a prática dos crimes de “lavagem” ou
do sistema financeiro para a prática dos crimes
ocultação de bens, direitos e valores, de que
de
trata a Lei nº 9.613, de 3 de março de 1998, e
“lavagem” ou ocultação de bens, direitos e de financiamento do terrorismo, previsto na Lei
valores, nº 13.260, de 16 de março de 2016.
de que trata a Lei nº 9.613, de 3 de março de Parágrafo único. Para os fins desta Circular, os
1998, crimes referidos no caput serão denominados
genericamente “lavagem de dinheiro” e
e de financiamento do terrorismo, previsto na “financiamento do terrorismo”.
Lei nº
CAPÍTULO II
13.260, de 16 de março de 2016.
DA POLÍTICA DE PREVENÇÃO À LAVAGEM
A Diretoria Colegiada do Banco Central do DE DINHEIRO E AO FINANCIAMENTO DO
Brasil, em sessão realizada em 22 de janeiro TERRORISMO
de 2020, com base nos arts. 9º da Lei nº 4.595,
Art. 2º As instituições mencionadas no art. 1º
de 31 de dezembro de 1964, 10, 11 e 11- A da
Lei nº 9.613, de 3 de março de 1998, 6º e 7º, devem implementar e manter política formulada
inciso III, da Lei nº 11.795, de 8 de outubro de com base em princípios e diretrizes que
2008, e 15 da Lei nº 12.865, de 9 de outubro de busquem prevenir a sua utilização para as
2013, e tendo em vista o disposto na Lei nº práticas de lavagem de dinheiro e de
13.260, de 16 de março de 2016, na Convenção financiamento do terrorismo.
contra o Tráfico Ilícito de Entorpecentes e
Parágrafo único. A política de que trata o caput
Substâncias Psicotrópicas, promulgada pelo
deve ser compatível com os perfis de risco:
Decreto nº 154, de 26 de junho de 1991, na
Convenção das Nações Unidas contra o Crime I - dos clientes;
Organizado Transnacional, promulgada pelo
Decreto nº 5.015, de 12 de março de 2004, na II - da instituição;
Convenção Interamericana contra o Terrorismo,
promulgada pelo Decreto nº 5.639, de 26 de III - das operações, transações, produtos e
dezembro de 2005, na Convenção Internacional serviços; e
para Supressão do Financiamento do
IV - dos funcionários, parceiros e prestadores de
Terrorismo, promulgada pelo Decreto nº 5.640,
serviços terceirizados.
de 26 de dezembro de 2005, e na Convenção
das Nações Unidas contra a Corrupção, Art. 3º A política referida no art. 2º deve
promulgada pelo Decreto nº 5.687, de 31 de contemplar, no mínimo:
janeiro de 2006,
12
I - as diretrizes para: d) de comunicação de operações ao Conselho

de Controle de Atividades Financeiras (Coaf); e
a) a definição de papéis e responsabilidades
para o cumprimento das obrigações de que III - o comprometimento da alta administração
trata esta Circular; com a efetividade e a melhoria contínua da
política, dos procedimentos e dos controles
b) a definição de procedimentos voltados à internos relacionados com a prevenção à
avaliação e à análise prévia de novos produtos lavagem de dinheiro e ao financiamento do
e serviços, bem como da utilização de novas terrorismo.
tecnologias, tendo em vista o risco de lavagem
de dinheiro e de financiamento do terrorismo; Art. 4º Admite-se a adoção de política de
prevenção à lavagem de dinheiro e ao
c) a avaliação interna de risco e a avaliação de financiamento do terrorismo única por
efetividade de que tratam os arts. 10 e 62; conglomerado prudencial e por sistema
cooperativo de crédito.
d) a verificação do cumprimento da política, dos
procedimentos e dos controles internos de que Parágrafo único. As instituições que não
trata esta Circular, bem como a identificação e a constituírem política própria, em decorrência do
correção das deficiências verificadas; disposto no caput, devem formalizar a opção
por essa faculdade em reunião do conselho de
e) a promoção de cultura organizacional de
administração ou, se inexistente, da diretoria da
instituição.
financiamento do terrorismo, contemplando,
inclusive, os funcionários, os parceiros e os Art. 5º As instituições mencionadas no art. 1º
prestadores de serviços terceirizados; devem assegurar a aplicação da política
referida no art. 2º em suas unidades situadas no
f) a seleção e a contratação de funcionários e
exterior.
de prestadores de serviços terceirizados, tendo
em vista o risco de lavagem de dinheiro e de Parágrafo único. Na hipótese de impedimento
financiamento do terrorismo; e ou limitação legal à aplicação da política
referida no caput à unidade da instituição
g) a capacitação dos funcionários sobre o tema
situada no exterior, deverá ser elaborado
da prevenção à lavagem de dinheiro e ao
relatório justificando o impedimento ou a
financiamento do terrorismo, incluindo os
limitação.
funcionários dos correspondentes no País que
prestem atendimento em nome das instituições Art. 6º A política referida no art. 2º deve ser
mencionadas no art. 1º; divulgada aos funcionários da instituição,
parceiros e prestadores de serviços
II - as diretrizes para implementação de
terceirizados, mediante linguagem clara e
procedimentos:
acessível, em nível de detalhamento compatível
a) de coleta, verificação, validação e atualização com as funções desempenhadas e com a
de informações cadastrais, visando a conhecer sensibilidade das informações.
os clientes, os funcionários, os parceiros e os
Art. 7º A política referida no art. 2º deve ser:
prestadores de serviços terceirizados;
I - documentada;
b) de registro de operações e de serviços
financeiros; II - aprovada pelo conselho de administração
ou, se inexistente, pela diretoria da instituição;
c) de monitoramento, seleção e análise de
e
operações e situações suspeitas; e
13
distribuição e a utilização de novas tecnologias;

III - mantida atualizada. e
CAPÍTULO III IV - das atividades exercidas pelos funcionários,

DA GOVERNANÇA DA POLÍTICA DE
terceirizados.
PREVENÇÃO À LAVAGEM DE DINHEIRO E
AO FINANCIAMENTO DO TERRORISMO § 2º O risco identificado deve ser avaliado
quanto à sua probabilidade de ocorrência e à
Art. 8º As instituições mencionadas no art. 1º
magnitude dos impactos financeiro, jurídico,
devem dispor de estrutura de governança
reputacional e socioambiental para a
visando a assegurar o cumprimento da política
instituição.
referida no art. 2º e dos procedimentos e
controles internos de prevenção à lavagem de § 3º Devem ser definidas categorias de risco
dinheiro e ao financiamento do terrorismo que possibilitem a adoção de controles de
previstos nesta Circular. gerenciamento e de mitigação reforçados para
as situações de maior risco e a adoção de
Art. 9º As instituições referidas no art. 1º devem
controles simplificados nas situações de menor
indicar formalmente ao Banco Central do Brasil
risco.
diretor responsável pelo cumprimento das
obrigações previstas nesta Circular. § 4º Devem ser utilizadas como subsídio à
avaliação interna de risco, quando disponíveis,
§ 1º O diretor mencionado no caput pode
avaliações realizadas por entidades públicas do
desempenhar outras funções na instituição,
País relativas ao risco de lavagem de dinheiro e
desde que não haja conflito de interesses.
de financiamento do terrorismo.
§ 2º A responsabilidade mencionada no caput
Art. 11. A avaliação interna de risco pode ser
deve ser observada em cada instituição,
realizada de forma centralizada em instituição
mesmo no caso de opção pela faculdade
do conglomerado prudencial e do sistema
estabelecida nos arts. 4º, 11, 42, 46 e 52.
cooperativo de crédito.
CAPÍTULO IV
Parágrafo único. As instituições que optarem
DA AVALIAÇÃO INTERNA DE RISCO por realizar a avaliação interna de risco na
forma do caput devem formalizar essa opção
Art. 10. As instituições referidas no art. 1º em reunião do conselho de administração ou,
devem realizar avaliação interna com o objetivo se inexistente, da diretoria da instituição.
de identificar e mensurar o risco de utilização de
Art. 12. A avaliação interna de risco deve ser:
seus produtos e serviços na prática da lavagem
de dinheiro e do financiamento do terrorismo.
I - documentada e aprovada pelo diretor referido
§ 1º Para identificação do risco de que trata o no art. 9º;
caput, a avaliação interna deve considerar, no
II - encaminhada para ciência:
mínimo, os perfis de risco:
a) ao comitê de risco, quando houver;
I - dos clientes;
b) ao comitê de auditoria, quando houver; e
II - da instituição, incluindo o modelo de negócio
e a área geográfica de atuação; c) ao conselho de administração ou, se
inexistente, à diretoria da instituição; e
III - das operações, transações, produtos e
serviços, abrangendo todos os canais de
14
III - revisada a cada dois anos, bem como Seção II

quando ocorrerem alterações significativas nos
perfis de risco mencionados no art. 10, § 1º. Da Identificação dos Clientes
CAPÍTULO V Art. 16. As instituições referidas no art. 1º

devem adotar procedimentos de identificação
DOS PROCEDIMENTOS DESTINADOS A que permitam verificar e validar a identidade do
CONHECER OS CLIENTES cliente.
Seção I § 1º Os procedimentos referidos no caput

devem incluir a obtenção, a verificação e a
Dos Procedimentos validação da autenticidade de informações de
identificação do cliente, inclusive, se
Art. 13. As instituições mencionadas no art. 1º
necessário, mediante confrontação
devem implementar procedimentos destinados a
dessasinformações com as disponíveis em
conhecer seus clientes, incluindo procedimentos
bancos de dados de caráter público e privado.
que assegurem a devida diligência na sua
identificação, qualificação e classificação. § 2º No processo de identificação do cliente
devem ser coletados, no mínimo:
§ 1º Os procedimentos referidos no caput
devem ser compatíveis com: I - o nome completo e o número de registro no
Cadastro de Pessoas Físicas (CPF), no caso
I - o perfil de risco do cliente, contemplando
de pessoa natural; e (Redação dada, a partir de
medidas reforçadas para clientes classificados
1º/9/2021, pela Resolução BCB nº 119, de
em categorias de maior risco, de acordo com a
27/7/2021.)
avaliação interna de risco referida no art. 10;
II - a firma ou denominação social e o número
II - a política de prevenção à lavagem de
de registro no Cadastro Nacional da Pessoa
dinheiro e ao financiamento do terrorismo de
Jurídica (CNPJ), no caso de pessoa jurídica.
que trata o art. 2º; e
(Redação dada, a partir de 1º/9/2021, pela
III - a avaliação interna de risco de que trata o Resolução BCB nº 119, de 27/7/2021.)
art. 10.
§ 3º No caso de cliente pessoa natural residente
§ 2º Os procedimentos mencionados no caput no exterior desobrigada de inscrição no CPF,
devem ser formalizados em manual específico. na forma definida pela Secretaria da Receita
Federal do Brasil, admite -se a utilização de
§ 3º O manual referido no § 2º deve ser documento de viagem na forma da Lei, devendo
aprovado pela diretoria da instituição e mantido ser coletados, no mínimo, o país emissor, o
atualizado. número e o tipo do documento.
Art. 14. As informações obtidas e utilizadas nos § 4º No caso de cliente pessoa jurídica com
procedimentos referidos no art. 13 devem ser domicílio ou sede no exterior desobrigada de
armazenadas em sistemas informatizados e inscrição no CNPJ, na forma definida pela
utilizadas nos procedimentos de que trata o Secretaria da Receita Federal do Brasil, as
Capítulo VII. instituições devem coletar, no mínimo, o nome
da empresa, o endereço da sede e o número
Art. 15. Os procedimentos previstos neste de identificação ou de registro da empresa no
Capítulo devem ser observados sem prejuízo respectivo país de origem.
do disposto na regulamentação que disciplina
produtos e serviços específicos.
15
com a evolução da relação de negócio e do

Art. 17. As informações referidas no art. 16 perfil de risco.
devem ser mantidas atualizadas.
§ 5º As informações coletadas na qualificação
Seção III do cliente devem ser mantidas atualizadas.
Da Qualificação dos Clientes § 6º O Banco Central do Brasil poderá divulgar

rol de informações a serem coletadas,
Art. 18. As instituições mencionadas no art. 1º
verificadas e validadas em procedimentos
devem adotar procedimentos que permitam
específicos de qualificação de clientes.
qualificar seus clientes por meio da coleta,
verificação e validação de informações, Art. 19. Os procedimentos de qualificação
compatíveis com o perfil de risco do cliente e referidos no art. 18 devem incluir a verificação
com a natureza da relação de negócio. da condição do cliente como pessoa exposta
politicamente, nos termos do art. 27, bem como
§ 1º Os procedimentos de qualificação referidos
a verificação da condição de representante,
no caput devem incluir a coleta de informações
familiar ou estreito colaborador dessas pessoas.
que permitam: (Redação dada, a partir de
1º/9/2021, pela Resolução BCB nº 119, de § 1º Para os fins desta Circular, considera-se:
27/7/2021.)
I - familiar, os parentes, na linha reta ou
I - identificar o local de residência, no caso de colateral, até o segundo grau, o cônjuge, o
pessoa natural; (Incluído, a partir de 1º/9/2021, companheiro, a companheira, o enteado e a
pela Resolução BCB nº 119, de 27/7/2021.) enteada; e
II - identificar o local da sede ou filial, no caso de II - estreito colaborador:

pessoa jurídica; e (Incluído, a partir de
1º/9/2021, pela Resolução BCB nº 119, de a) pessoa natural conhecida por ter qualquer
27/7/2021.) tipo de estreita relação com pessoa exposta
politicamente, inclusive por:
III - avaliar a capacidade financeira do cliente,
incluindo a renda, no caso de pessoa natural, 1. ter participação conjunta em pessoa jurídica
ou o faturamento, no caso de pessoa jurídica. de direito privado;
(Incluído, a partir de 1º/9/2021, pela Resolução
BCB nº 119, de 27/7/2021.) 2. figurar como mandatária, ainda que por
instrumento particular da pessoa mencionada
§ 2º A necessidade de verificação e de no item 1; ou
validação das informações referidas no § 1º
deve ser avaliada pelas instituições de acordo 3. ter participação conjunta em arranjos sem
com o perfil de risco do cliente e com a natureza personalidade jurídica; e
da relação de negócio.
b) pessoa natural que tem o controle de
§ 3º Nos procedimentos de que trata o caput, pessoas jurídicas ou de arranjos sem
devem ser coletadas informações adicionais do personalidade jurídica, conhecidos por terem
cliente compatíveis com o risco de utilização de sido criados para o benefício de pessoa exposta
produtos e serviços na prática da lavagem de politicamente.
dinheiro e do financiamento do terrorismo.
§ 2º Para os clientes qualificados como pessoa
§ 4º A qualificação do cliente deve ser exposta politicamente ou como representante,
reavaliada de forma permanente, de acordo familiar ou estreito colaborador dessas pessoas,
as instituições mencionadas no art. 1º devem:
16
exercida pelo administrador e com a

I - adotar procedimentos e controles internos abrangência da representação.
compatíveis com essa qualificação;
Art. 22. Os critérios utilizados para a definição
II - considerar essa qualificação na classificação das informações necessárias e dos
do cliente nas categorias de risco referidas no procedimentos de verificação, validação e
art. 20; e atualização das informações para cada
categoria de risco devemser previstos no
III - avaliar o interesse no início ou na
manual de que trata o art. 13, § 2º.
manutenção do relacionamento com o cliente.
Art. 23. É vedado às instituições referidas no art.
§ 3º A avaliação mencionada no § 2º, inciso III,
1º iniciar relação de negócios sem que os
deve ser realizada por detentor de cargo ou
procedimentos de identificação e de qualificação
função de nível hierárquico superior ao do
do cliente estejamconcluídos.
responsável pela autorização do
relacionamento com o cliente. Parágrafo único. Admite-se, por um período
máximo de trinta dias, o início da relação de
Seção IV
negócios em caso de insuficiência de
Da Classificação dos Clientes informações relativas à qualificação do cliente,
desde que não haja prejuízo aos procedimentos
Art. 20. As instituições mencionadas no art. 1º de monitoramento e seleção de que trata o art.
devem classificar seus clientes nas categorias 39.
de risco definidas na avaliação interna de risco
Seção VI
mencionada no art. 10, com base nas
informações obtidas nos procedimentos de
Da Identificação e da Qualificação do
qualificação do cliente referidos no art. 18.
Beneficiário Final
Parágrafo único. A classificação mencionada no
Art. 24. Os procedimentos de qualificação do
caput deve ser:
cliente pessoa jurídica devem incluir a análise
I - realizada com base no perfil de risco do da cadeia de participação societária até a
cliente e na natureza da relação de negócio; e identificação da pessoa natural caracterizada
como seu beneficiário final, observado o
II - revista sempre que houver alterações no disposto no art. 25.
perfil de risco do cliente e na natureza da
§ 1º Devem ser aplicados à pessoa natural
relação de negócio.
referida no caput, no mínimo, os procedimentos
Seção V de qualificação definidos para a categoria de
risco do cliente pessoa jurídica na qual o
Disposições Comuns à Identificação, à beneficiário final detenha participação
Qualificação e à Classificação dos Clientes societária.
Art. 21. As instituições referidas no art. 1º § 2º É também considerado beneficiário final o

devem adotar os procedimentos de representante, inclusive o procurador e o
identificação, de qualificação e de classificação preposto, que exerça o comando de fato sobre
previstos neste Capítulo para os as atividades da pessoa jurídica.
administradores de clientes pessoas jurídicas e
para os representantes de clientes. § 3º Excetuam-se do disposto no caput:
(Redação dada, a partir de 1º/9/2021, pela
Parágrafo único. Os procedimentos referidos no Resolução BCB nº 119, de 27/7/2021.)
caput devem ser compatíveis com a função
17

I - as pessoas jurídicas caracterizadas como BCB nº 119, de 27/7/2021.)
companhia aberta; (Incluído, a partir de
1º/9/2021, pela Resolução BCB nº 119, de VI - os investidores não residentes classificados
27/7/2021.) como: (Incluído, a partir de 1º/9/2021, pela
Resolução BCB nº 119, de 27/7/2021.)
II - as entidade sem fins lucrativos; (Incluído, a
partir de 1º/9/2021, pela Resolução BCB nº a) governos, entidades governamentais e
119, de 27/7/2021.) bancos centrais, assim como fundos soberanos
ou companhias de investimento controladas por
III - as cooperativas; (Incluído, a partir de fundos soberanos e similares; (Incluída, a partir
1º/9/2021, pela Resolução BCB nº 119, de de 1º/9/2021, pela Resolução BCB nº 119, de
27/7/2021.) 27/7/2021.)
IV - os fundos e clubes de investimento b) organismos multilaterais; (Incluída, a partir de

registrados na Comissão de Valores 1º/9/2021, pela Resolução BCB nº 119, de
Mobiliários, desde que, cumulativamente: 27/7/2021.)
BCB nº 119, de 27/7/2021.) c) companhias abertas ou equivalentes;
(Incluída, a partir de 1º/9/2021, pela Resolução
a) não sejam fundos exclusivos; (Incluída, a BCB nº 119, de 27/7/2021.)
partir de 1º/9/2021, pela Resolução BCB nº
119, de 27/7/2021.) d) instituições financeiras ou similares,
operando por conta própria; (Incluída, a partir
b) obtenham recursos de investidores com o de 1º/9/2021, pela Resolução BCB nº 119, de
propósito de atribuir o desenvolvimento e a 27/7/2021.)
gestão de uma carteira de investimento a um
gestor qualificado que deve ter plena e) administradores de carteiras, operando por
discricionariedade na representação e na conta própria; (Incluída, a partir de 1º/9/2021,
tomada de decisão perante as entidades pela Resolução BCB nº 119, de 27/7/2021.)
investidas, não sendo obrigado a consultar os
cotistas para essas decisões e tampouco indicar f) sociedades seguradoras e entidades de
os cotistas ou partes a eles ligadas para atuar previdência privada; e (Incluída, a partir de
nas entidades investidas; e (Incluída, a partir de 1º/9/2021, pela Resolução BCB nº 119, de
1º/9/2021, pela Resolução BCB nº 119, de 27/7/2021.)
27/7/2021.)
g) fundos de investimento, desde que,
c) seja informado o número de registro no CPF, cumulativamente: (Incluída, a partir de
no caso de pessoa natural, ou do número de 1º/9/2021, pela Resolução BCB nº 119, de
registro no CNPJ, no caso de pessoa jurídica, 27/7/2021.)
de todos os cotistas para a Secretaria Especial
1. o número de cotistas seja igual ou superior a
da Receita Federal do Brasil (RFB), na forma
cem e nenhum deles detenha mais de 25%
por esta definida em regulamentação
(vinte e cinco por cento) das cotas; e (Incluído, a
específica; (Incluída, a partir de 1º/9/2021, pela
partir de 1º/9/2021, pela Resolução BCB nº
Resolução BCB nº 119, de 27/7/2021.)
119, de 27/7/2021.)
V - os fundos de investimento registrados na
2. a administração da carteira de ativos seja
Comissão de Valores Mobiliários, constituídos
feita de forma discricionária por administrador
na forma de condomínio fechado, cujas cotas
profissional sujeito à fiscalização de autoridade
sejam negociadas em mercado organizado; e
supervisora com a qual o Banco
18
Central do Brasil mantenha convênio para a Art. 27. As instituições mencionadas no art. 1º
troca de informações relativas à prevenção da devem implementar procedimentos que
utilização do sistema financeiro para a prática permitam qualificar seus clientes como pessoa
dos crimes de lavagem de dinheiro e de exposta politicamente.
financiamento do terrorismo. (Incluído, a partir
de 1º/9/2021, pela Resolução BCB nº 119, de § 1º Consideram-se pessoas expostas
27/7/2021.) politicamente:
§ 4º No caso das entidades relacionadas no § I - os detentores de mandatos eletivos dos

3º, as informações coletadas devem abranger Poderes Executivo e Legislativo da União;
as das pessoas naturais autorizadas a
II - os ocupantes de cargo, no Poder Executivo
representá-las, bem como as de seus
da União, de:
controladores, administradores ou gestores, e
diretores, se houver. (Incluído, a partir de a) Ministro de Estado ou equiparado;
1º/9/2021, pela Resolução BCB nº 119, de
27/7/2021.) b) Natureza Especial ou equivalente;
Art. 25. As instituições mencionadas no art. 1º c) presidente, vice-presidente e diretor, ou

devem estabelecer valor mínimo de referência equivalentes, de entidades da administração
de participação societária para a identificação pública indireta; e
de beneficiário final.
d) Grupo Direção e Assessoramento Superiores
§ 1º O valor mínimo de referência de (DAS), nível 6, ou equivalente;
participação societária de que trata o caput deve
ser estabelecido com base no risco e não pode III - os membros do Conselho Nacional de
ser superior a 25% (vinte e cinco por cento), Justiça, do Supremo Tribunal Federal, dos
considerada, em qualquer caso, a participação Tribunais Superiores, dos Tribunais Regionais
direta e a indireta. Federais, dos Tribunais Regionais do Trabalho,
dos Tribunais Regionais Eleitorais, do Conselho
§ 2º O valor de referência de que trata o caput Superior da Justiça do Trabalho e do Conselho
deve ser justificado e documentado no manual da Justiça Federal;
de procedimentos referido no art. 13, § 2º.
IV - os membros do Conselho Nacional do
Art. 26. No caso de relação de negócio com Ministério Público, o Procurador-Geral da
cliente residente no exterior, que também seja República, o Vice-Procurador-Geral da
cliente de instituição do mesmo grupo no República, o Procurador-Geral do Trabalho, o
exterior, fiscalizada por autoridade supervisora Procurador-Geral da Justiça Militar, os
com a qual o Banco Central do Brasil mantenha Subprocuradores-Gerais da República e os
convênio para a troca de informações, Procuradores Gerais de Justiça dos Estados e
admite-se que as informações relativas ao do Distrito Federal;
beneficiário final sejam obtidas da instituição no
exterior, desde que assegurado ao Banco V - os membros do Tribunal de Contas da
Central do Brasil o acesso às informações e União, o Procurador-Geral e os
aos procedimentos adotados. Subprocuradores-Gerais do Ministério Público
junto ao Tribunal de Contas da União;
Seção VII
VI - os presidentes e os tesoureiros nacionais,
Da Qualificação como Pessoa Exposta ou equivalentes, de partidos políticos;
Politicamente
19
VII - os Governadores e os Secretários de III - consultar bases de dados públicas ou

Estado e do Distrito Federal, os Deputados privadas sobre pessoas expostas politicamente.
Estaduais e Distritais, os presidentes, ou
equivalentes, de entidades da administração § 5º A condição de pessoa exposta
pública indireta estadual e distrital e os politicamente deve ser aplicada pelos cinco
presidentes de Tribunais de Justiça, Tribunais anos seguintes à data em que a pessoa deixou
Militares, Tribunais de Contas ou equivalentes de se enquadrar nas categorias previstas nos
dos Estados e do Distrito Federal; e §§ 1º, 2º, e 3º.
VIII - os Prefeitos, os Vereadores, os § 6º No caso de relação de negócio com cliente

Secretários Municipais, os presidentes, ou residente no exterior que também seja cliente
equivalentes, de entidades da administração de instituição do mesmo grupo no exterior,
pública indireta municipal e os Presidentes de fiscalizada por autoridade supervisora com a
Tribunais de Contas ou equivalentes dos qual o Banco Central do Brasil mantenha
Municípios. convênio para troca de informações, admite -se
que as informações de qualificação de pessoa
§ 2º São também consideradas expostas exposta politicamente sejam obtidas da
politicamente as pessoas que, no exterior, instituição
sejam:
no exterior, desde que assegurado ao Banco
I - chefes de estado ou de governo; Central do Brasil o acesso aos respectivos
dados e procedimentos adotados.
II - políticos de escalões superiores;
CAPÍTULO VI
III - ocupantes de cargos governamentais de
escalões superiores; DO REGISTRO DE OPERAÇÕES
IV - oficiais-generais e membros de escalões Seção I

superiores do Poder Judiciário; V - executivos
de escalões superiores de empresas públicas; Disposições Gerais
ou
Art. 28. As instituições referidas no art. 1º
VI - dirigentes de partidos políticos. devem manter registros de todas as operações
realizadas, produtos e serviços contratados,
§ 3º São também consideradas pessoas inclusive saques, depósitos, aportes,
expostas politicamente os dirigentes de pagamentos, recebimentos e transferências de
escalões superiores de entidades de direito recursos.
internacional público ou privado.
§ 1º Os registros referidos no caput devem
§ 4º No caso de clientes residentes no exterior, conter, no mínimo, as seguintes informações
para fins do disposto no caput, as instituições sobre cada operação:
mencionadas no art. 1º devem adotar pelo
menos duas das seguintes providências: I - tipo;
I - solicitar declaração expressa do cliente a II - valor, quando aplicável;

respeito da sua qualificação;
III - data de realização;
II - recorrer a informações públicas disponíveis;
IV - nome e número de inscrição no CPF ou no
e
CNPJ do titular e do beneficiário da operação,
20
no caso de pessoa residente ou sediada no

País; e § 1º A origem mencionada no caput refere-se à
instituição pagadora, sacada ou remetente e à
V - canal utilizado. pessoa sacada ou remetente dos recursos, bem
como ao instrumento de transferência ou de
§ 2º No caso de operações envolvendo pessoa pagamento utilizado na transação.
natural residente no exterior desobrigada de
inscrição no CPF, na forma definida pela § 2º O destino mencionado no caput refere-se à
Secretaria da Receita Federal do Brasil, as instituição recebedora ou destinatária e à
instituições devem incluir no registro as pessoa recebedora ou destinatária dos
seguintes informações: recursos, bem como ao instrumento de
transferência ou de pagamento utilizado na
I - nome; transação.
II - tipo e número do documento de viagem e § 3º Para fins do cumprimento do disposto no

respectivo país emissor; e caput, devem ser incluídas no registro das
operações, no mínimo, as seguintes
III - organismo internacional de que seja
informações, quando couber:
representante para o exercício de funções
específicas no País, quando for o caso. I - nome e número de inscrição no CPF ou no
CNPJ do remetente ou sacado; II - nome e
§ 3º No caso de operações envolvendo pessoa
número de inscrição no CPF ou no CNPJ do
jurídica com domicílio ou sede no exterior
recebedor ou beneficiário;
desobrigada de inscrição no CNPJ, na forma
definida pela Secretaria da Receita Federal do III - códigos de identificação, no sistema de
Brasil, as instituições devem incluir no registro liquidação de pagamentos ou de transferência
as seguintes informações: de fundos, das instituições envolvidas na
operação; e
I - nome da empresa; e
IV - números das dependências e das contas
II - número de identificação ou de registro da
envolvidas na operação.
empresa no respectivo país de origem.
§ 4º No caso de transferência de recursos por
Art. 29. Os registros de que trata este Capítulo
meio de cheque, as instituições mencionadas
devem ser realizados inclusive nas situações
no art. 1º devem incluir no registro da operação,
em que a operação ocorrer no âmbito da
além das informações referidas no § 3º, o
mesma instituição.
número do cheque.
Seção II
Art. 31. Caso as instituições referidas no art. 1º
Do Registro de Operações de Pagamento, de estabeleçam relação de negócio com terceiros
Recebimento e de Transferência de Recursos não sujeitos a autorização para funcionar do
Banco Central do Brasil, participantes de
Art. 30. No caso de operações relativas a arranjo de pagamento do qual a instituição
pagamentos, recebimentos e transferências de também participe, deve ser estipulado em
recursos, por meio de qualquer instrumento, as contrato o acesso da instituição à identificação
instituições referidas no art. dos destinatários finais dos recursos, para fins
de prevenção à lavagem de dinheiro e do
1º devem incluir nos registros mencionados no financiamento do terrorismo.
art. 28 as informações necessárias à
identificação da origem e do destino dos Parágrafo único. O disposto no caput se aplica
recursos. inclusive no caso de relação de negócio que
21
envolva a interoperabilidade com arranjo de

pagamento não sujeito a autorização pelo II - o nome e o respectivo número de inscrição
Banco Central do Brasil, do qual as instituições no CPF do portador dos recursos; e III - a
referidas no art. 1º não participem. origem dos recursos depositados ou aportados.
Art. 32. No caso de transferência de recursos Parágrafo único. Na hipótese de recusa do

por meio da compensação interbancária de cliente ou do portador dos recursos em prestar
cheque, a instituição sacada deve informar à a informação referida no inciso III do caput, a
instituição depositária, e a instituição instituição deve registrar o fato e utilizar essa
depositária deve informar à instituição sacada, informação nos procedimentos de
os números de inscrição no CPF ou no CNPJ monitoramento, seleção e análise de que tratam
dos titulares da conta sacada e da conta os art. 38 a 47.
depositária, respectivamente.
Art. 35. No caso de operações de saque,
Seção III inclusive as realizadas por meio de cheque ou
ordem de pagamento, de valor individual igual
Do Registro das Operações em Espécie ou superior a R$50.000,00 (cinquenta mil
reais), as instituições referidas no art. 1º devem
Art. 33. No caso de operações com utilização de incluir no registro, além das informações
recursos em espécie de valor individual previstas nos arts. 28 e 30:
superior a R$2.000,00 (dois mil reais), as
instituições referidas no art. 1º devem incluir no I - o nome e o respectivo número de inscrição
registro, além das informações previstas nos no CPF ou no CNPJ, conforme o caso, do
arts. 28 e 30, o nome e o respectivo número de destinatário dos recursos;
inscrição no CPF do portador dos recursos.
II - o nome e o respectivo número de inscrição
Parágrafo único. Nas operações de que trata o no CPF do portador dos recursos; III - a
caput, realizadas por empresa de transporte de finalidade do saque; e
valores devidamente autorizada e registrada na
autoridade competente, nos termos da IV - o número do protocolo referido no art. 36, §
legislação em vigor, considera-se essa empresa 2º, inciso II.
como a portadora dos recursos, a qual
Parágrafo único. Na hipótese de recusa do
será identificada por meio do registro do número cliente ou do portador dos recursos em prestar a
de inscrição no CNPJ e da firma ou informação referida no inciso III do caput, a
denominação social. (Incluído, a partir de instituição deve registrar o fato e utilizar essa
1º/9/2021, pela Resolução BCB nº 119, de informação nos procedimentos de
27/7/2021.) monitoramento, seleção e análise de que tratam
os art. 38 a 47.
Art. 34. No caso de operações de depósito ou
aporte em espécie de valor individual igual ou Art. 36. As instituições mencionadas no art. 1º
superior a R$50.000,00 (cinquenta mil reais), as devem requerer dos sacadores clientes e não
instituições referidas no art. 1º devem incluir no clientes solicitação de provisionamento com, no
registro, além das informações previstas nos mínimo, três dias úteis de antecedência, das
arts. 28 e 30: operações de saque, inclusive as realizadas por
meio de cheque ou ordem de pagamento, de
I - o nome e o respectivo número de inscrição valor igual ou superior a R$50.000,00
no CPF ou no CNPJ, conforme o caso, do (cinquenta mil reais).
proprietário dos recursos;
§ 1º As operações de saque de que trata o
caput devem ser consideradas individualmente,
22
para efeitos de observação do limite previsto no

caput. Art. 38. As instituições referidas no art. 1º
devem implementar procedimentos de
§ 2º As instituições referidas no caput devem: monitoramento, seleção e análise de operações
e situações com o objetivo de identificar e
I - possibilitar a solicitação de provisionamento dispensar especial atenção às suspeitas de
por meio do sítio eletrônico da instituição na lavagem de dinheiro e de financiamento do
internet e das agências ou Postos de terrorismo.
Atendimento;
§ 1º Para os fins desta Circular, operações e
II - emitir protocolo de atendimento ao cliente ou situações suspeitas referem-se a qualquer
ao sacador não cliente, no qual devem ser operação ou situação que apresente indícios de
informados o valor da operação, a dependência utilização da instituição para a prática dos
na qual deverá ser efetuado o saque e a data crimes de lavagem de dinheiro e de
programada para o saque; e financiamento do terrorismo.
III - registrar, no ato da solicitação de § 2º Os procedimentos de que trata o caput

provisionamento, as informações indicadas no devem ser aplicados, inclusive, às propostas de
art. 35, conforme o caso. operações.
§ 3º No caso de saque em espécie a ser § 3º Os procedimentos mencionados no caput

realizado por meio de cheque por sacador não devem:
cliente, a solicitação de provisionamento de que
trata o caput deve ser realizada exclusivamente I - ser compatíveis com a política de prevenção
em agências ou em Postos de Atendimento. à lavagem de dinheiro e ao financiamento do
terrorismo de que trata o art. 2º;
§ 4º O disposto neste artigo deve ser observado
sem prejuízo do art. 2º da Resolução nº 3.695, II - ser definidos com base na avaliação interna
de 26 de março de 2009. de risco de que trata o art. 10;
Art. 37. As instituições referidas no art. 1º III - considerar a condição de pessoa exposta
devem manter registro específico de politicamente, nos termos do art. 27, bem como
recebimentos de boleto de pagamento pagos a condição de representante, familiar ou estreito
com recursos em espécie. colaborador da pessoa exposta politicamente,
nos termos do art. 19; e
Parágrafo único. A instituição que receber
boleto de pagamento que não seja de sua IV - estar descritos em manual específico,
emissão deve remeter à instituição emissora a aprovado pela diretoria da instituição.
informação de que o boleto foi pago em
espécie. Seção II
CAPÍTULO VII Do Monitoramento e da Seleção de Operações

e Situações Suspeitas
DO MONITORAMENTO, DA SELEÇÃO E DA
ANÁLISE DE OPERAÇÕES E SITUAÇÕES Art. 39. As instituições referidas no art. 1º
SUSPEITAS devem implementar procedimentos de
monitoramento e seleção que permitam
Seção I identificar operações e situações que possam
indicar suspeitas de lavagem de dinheiro e de
Dos Procedimentos de Monitoramento, Seleção financiamento do terrorismo, especialmente:
e Análise de Operações e Situações Suspeitas
23
I - as operações realizadas e os produtos e h) as situações em que não seja possível

serviços contratados que, considerando as manter atualizadas as informações cadastrais
partes envolvidas, os valores, as formas de de seus clientes; e
realização, os instrumentos utilizados ou a falta
de fundamento econômico ou legal, possam II - as operações e situações que possam
configurar a existência de indícios de lavagem indicar suspeitas de financiamento do
de dinheiro ou de financiamento do terrorismo, terrorismo.
inclusive:
Parágrafo único. O período para a execução
a) as operações realizadas ou os serviços dos procedimentos de monitoramento e de
prestados que, por sua habitualidade, valor ou seleção das operações e situações suspeitas
forma, configurem artifício que objetive burlar os não pode exceder o prazo de quarenta e cinco
procedimentos de identificação, qualificação, dias, contados a partir da data de ocorrência da
registro, monitoramento e seleção previstos operação ou da situação.
nesta Circular;
b) as operações de depósito ou aporte em devem assegurar que os sistemas utilizados no
espécie, saque em espécie, ou pedido de monitoramento e na seleção de operações e
provisionamento para saque que apresentem situações suspeitas contenham informações
indícios de ocultação ou dissimulação da detalhadas das operações realizadas e das
natureza, da origem, da localização, da situações ocorridas, inclusive informações sobre
disposição, da movimentação ou da propriedade a identificação e a qualificação dos envolvidos.
de bens, direitos e valores;
§ 1º As instituições devem manter
c) as operações realizadas e os produtos e documentação detalhada dos parâmetros,
serviços contratados que, considerando as variáveis, regras e cenários utilizados no
partes e os valores envolvidos, apresentem monitoramento e seleção de operações e
incompatibilidade com a capacidade financeira situações que possam indicar suspeitas de
do cliente, incluindo a renda, no caso de lavagem de dinheiro e de financiamento do
pessoa natural, ou o faturamento, no caso de terrorismo.
pessoa jurídica, e o patrimônio;
§ 2º Os sistemas e os procedimentos utilizados
d) as operações com pessoas expostas no monitoramento e na seleção de operações e
politicamente de nacionalidade brasileira e com situações suspeitas devem ser passíveis de
representantes, familiares ou estreitos verificação quanto à sua adequação e
colaboradores de pessoas expostas efetividade.
politicamente;
Art. 41. Devem ser incluídos no manual referido
e) as operações com pessoas expostas no art. 38, § 3º, inciso IV:
politicamente estrangeiras;
I - os critérios de definição da periodicidade de
f) os clientes e as operações em relação aos execução dos procedimentos de
quais não seja possível identificar o beneficiário monitoramento e seleção para os diferentes
final; tipos de operações e situações monitoradas; e
g) as operações oriundas ou destinadas a II - os parâmetros, as variáveis, as regras e os

países ou territórios com deficiências cenários utilizados no monitoramento e seleção
estratégicas na implementação das para os diferentes tipos de operações e
recomendações do Grupo de Ação Financeira situações.
(Gafi); e
24
Art. 42. Os procedimentos de monitoramento e Art. 45. As instituições referidas no art. 1º

seleção referidos no art. 39 podem ser devem dispor, no País, de recursos e
realizados de forma centralizada em instituição competências necessários à análise de
do conglomerado prudencial e do sistema operações e situações suspeitas referida no art.
cooperativo de crédito. 43.
Parágrafo único. As instituições que optarem Art. 46. Os procedimentos de análise referidos
por realizar os procedimentos de no art. 43 podem ser realizados de forma
monitoramento e seleção na forma do caput centralizada em instituição do conglomerado
devem formalizar essa opção em reunião do prudencial e do sistema cooperativo de crédito.
conselho de administração ou, se inexistente,
da diretoria da instituição. Parágrafo único. As instituições que optarem
por realizar os procedimentos de análise na
Seção III forma do caput devem formalizar a opção em
reunião do conselho de administração ou, se
Dos Procedimentos de Análise de Operações e inexistente, da diretoria da instituição.
Situações Suspeitas
Seção IV
devem implementar procedimentos de análise Disposições Gerais
das operações e situações selecionadas por
meio dos procedimentos de monitoramento e Art. 47. No caso de contratação de serviços de
seleção de que trata o art. 39, com o objetivo de processamento e armazenamento de dados e
caracterizá-las ou não como suspeitas de de computação em nuvem utilizados para
lavagem de dinheiro e de financiamento do monitoramento e seleção de operações e
terrorismo.
situações suspeitas, bem como de serviços
§ 1º O período para a execução dos auxiliares à análise dessas operações e
procedimentos de análise das operações e situações, as instituições referidas no art. 1º
situações selecionadas não pode exceder o devem observar:
prazo de quarenta e cinco dias, contados a
I - o disposto no Capítulo III da Circular nº 3.909,
partir da data da seleção da operação ou
de 16 de agosto de 2018, e, no que couber, nos
situação.
Capítulos IV e V da referida Circular, no caso de
§ 2º A análise mencionada no caput deve ser instituições de pagamento; e
formalizada em dossiê, independentemente da
II - o disposto no Capítulo III da Resolução nº
comunicação ao Coaf referida no art. 48.
4.658, de 26 de abril de 2018, e, no que couber,
Art. 44. É vedada: nos Capítulos IV e V da referida Resolução, no
caso de instituições financeiras e demais
I - a contratação de terceiros para a realização instituições autorizadas a funcionar pelo Banco
da análise referida no art. 43; e II - a realização Central do Brasil.
da análise referida no art. 43 no exterior.
CAPÍTULO VIII
Parágrafo único. A vedação mencionada no
caput não inclui a contratação de terceiros para DOS PROCEDIMENTOS DE COMUNICAÇÃO
a prestação de serviços auxiliares à análise AO COAF
referida no art. 43.
Seção I
25
Da Comunicação de Operações e Situações Disposições Gerais

Suspeitas
Art. 48. As instituições referidas no art. 1º devem realizar as comunicações mencionadas
devem comunicar ao Coaf as operações ou nos arts. 48 e 49 sem dar ciência aos
situações suspeitas de lavagem de dinheiro e envolvidos ou a terceiros.
de financiamento do terrorismo.
Art. 51. As comunicações alteradas ou
§ 1º A decisão de comunicação da operação ou canceladas após o quinto dia útil seguinte ao
situação ao Coaf deve: da sua realização devem ser acompanhadas de
justificativa da ocorrência.
I - ser fundamentada com base nas informações
contidas no dossiê mencionado no art. 43, § 2º; Art. 52. As comunicações podem ser realizadas
de forma centralizada por meio de instituição do
II - ser registrada de forma detalhada no dossiê conglomerado prudencial e de sistema
mencionado no art. 43, § 2º; e III - ocorrer até o cooperativo de crédito, em nome da instituição
final do prazo de análise referido no art. 43, § 1º. na qual ocorreu a operação ou a situação.
§ 2º A comunicação da operação ou situação Parágrafo único. As instituições que optarem

suspeita ao Coaf deve ser realizada até o dia por realizar as comunicações de forma
útil seguinte ao da decisão de comunicação. centralizada, nos termos do caput, devem
formalizar a opção em reunião do conselho de
Seção II
Da Comunicação de Operações em Espécie instituição.
Art. 49. As instituições mencionadas no art. 1º Art. 53. As comunicações referidas nos arts. 48
devem comunicar ao Coaf: e 49 devem especificar, quando for o caso, se a
pessoa objeto da comunicação:
I - as operações de depósito ou aporte em
I - é pessoa exposta politicamente ou
espécie ou saque em espécie de valor igual ou
superior a R$50.000,00 (cinquenta mil reais); representante, familiar ou estreito colaborador
dessa pessoa;
II - as operações relativas a pagamentos,
II - é pessoa que, reconhecidamente, praticou
recebimentos e transferências de recursos, por
meio de qualquer instrumento, contra ou tenha intentado praticar atos terroristas ou
pagamento em espécie, de valor igual ou deles participado ou facilitado o seu
superior a R$50.000,00 (cinquenta mil reais); e cometimento; e
III - a solicitação de provisionamento de saques III - é pessoa que possui ou controla, direta ou
em espécie de valor igual ou superior a indiretamente, recursos na instituição, no caso
R$50.000,00 (cinquenta mil reais) de que trata o do inciso II.
art. 36.
Art. 54. As instituições de que trata o art. 1º que
Parágrafo único. A comunicação mencionada no não tiverem efetuado comunicações ao Coaf
caput deve ser realizada até o dia útil seguinte em cada ano civil deverão prestar declaração,
ao da ocorrência da operação ou do até dez dias úteis após o encerramento do
provisionamento. referido ano, atestando a não ocorrência de
operações ou situações passíveis de
Seção III comunicação.
26
terceirizados devem ser mantidas atualizadas,

Art. 55. As instituições referidas no art. 1º considerando inclusive eventuais alterações que
devem se habilitar para realizar as impliquem mudança de classificação nas
comunicações no Sistema de Controle de categorias de risco.
Atividades Financeiras (Siscoaf), do Coaf.
Art. 59. As instituições referidas no art. 1º, na
CAPÍTULO IX celebração de contratos com instituições
financeiras sediadas no exterior, devem:
DOS PROCEDIMENTOS DESTINADOS A
CONHECER FUNCIONÁRIOS, PARCEIROS E I - obter informações sobre o contratado que
PRESTADORES DE SERVIÇOS permitam compreender a natureza de sua
TERCEIRIZADOS atividade e a sua reputação;
Art. 56. As instituições mencionadas no art. 1º II - verificar se o contratado foi objeto de

devem implementar procedimentos destinados investigação ou de ação de autoridade
a conhecer seus funcionários, parceiros e supervisora relacionada com lavagem de
prestadores de serviços terceirizados, incluindo dinheiro ou com financiamento do terrorismo;
procedimentos de identificação e qualificação.
III - certificar que o contratado tem presença
Parágrafo único. Os procedimentos referidos no física no país onde está constituído ou
caput devem ser compatíveis com a política de licenciado;
financiamento do terrorismo de que trata o art. IV - conhecer os controles adotados pelo
2º e com a avaliação interna de risco de que contratado relativos à prevenção à lavagem de
trata o art. 10. dinheiro e ao financiamento do terrorismo;
Art. 57. Os procedimentos referidos no art. 56 V - obter a aprovação do detentor de cargo ou

devem ser formalizados em documento função de nível hierárquico superior ao do
específico aprovado pela diretoria da instituição. responsável pela contratação; e
Parágrafo único. O documento mencionado no VI - dar ciência do contrato de parceria ao

caput deve ser mantido atualizado. diretor mencionado no art. 9º.
Art. 58. As instituições referidas no art. 1º Parágrafo único. O disposto no caput aplica-se
devem classificar as atividades exercidas por inclusive às relações de parceria estabelecidas
seus funcionários, parceiros e prestadores de com bancos correspondentes no exterior.
serviços terceirizados nas categorias de risco
definidas na avaliação interna de risco, nos Art. 60. As instituições referidas no art. 1º, na
termos do art. 10. celebração de contratos com terceiros não
sujeitos a autorização para funcionar do Banco
§ 1º A classificação em categorias de risco Central do Brasil, participantes de arranjo de
mencionada no caput deve ser mantida pagamento do qual a instituição também
atualizada. participe, devem:
§ 2º Os critérios para a classificação em I - obter informações sobre o terceiro que

categorias de risco referida no caput devem permitam compreender a natureza de sua
estar previstos no documento mencionado no atividade e a sua reputação;
art. 57.
II - verificar se o terceiro foi objeto de
§ 3º As informações relativas aos funcionários, investigação ou de ação de autoridade
27
supervisora relacionada com lavagem de

dinheiro ou com financiamento do terrorismo; § 1º A avaliação referida no caput deve ser
documentada em relatório específico. § 2º O
III - certificar que o terceiro tem licença do relatório de que trata o § 1º deve ser:
instituidor do arranjo para operar, quando for o
caso; I - elaborado anualmente, com data-base de 31
de dezembro; e
IV - conhecer os controles adotados pelo
terceiro relativos à prevenção à lavagem de II - encaminhado, para ciência, até 31 de março
dinheiro e ao financiamento do terrorismo; e do ano seguinte ao da data-base: a) ao comitê
de auditoria, quando houver; e
V - dar ciência do contrato ao diretor
mencionado no art. 9º. b) ao conselho de administração ou, se
inexistente, à diretoria da instituição. Art. 63. O
CAPÍTULO X relatório referido no art. 62, § 1º, deve:
DOS MECANISMOS DE ACOMPANHAMENTO I - conter informações que descrevam:

E DE CONTROLE
a) a metodologia adotada na avaliação de
Art. 61. As instituições mencionadas no art. 1º efetividade;
devem instituir mecanismos de
acompanhamento e de controle de modo a b) os testes aplicados;
assegurar a implementação e a adequação da
c) a qualificação dos avaliadores; e
política, dos procedimentos e dos controles
internos de que trata esta Circular, incluindo: d) as deficiências identificadas; e
I - a definição de processos, testes e trilhas de II - conter, no mínimo, a avaliação:
auditoria;
a) dos procedimentos destinados a conhecer
II - a definição de métricas e indicadores
clientes, incluindo a verificação e a validação
adequados; e das informações dos clientes e a adequação
dos dados cadastrais;
III - a identificação e a correção de eventuais
deficiências. b) dos procedimentos de monitoramento,
seleção, análise e comunicação ao Coaf,
Parágrafo único. Os mecanismos de que trata o
incluindo a avaliação de efetividade dos
caput devem ser submetidos a testes
parâmetros de seleção de operações e de
periódicos pela auditoria interna, quando
situações suspeitas;
aplicáveis, compatíveis com os controles
internos da instituição. c) da governança da política de prevenção à
lavagem de dinheiro e ao financiamento do
CAPÍTULO XI
terrorismo;
DA AVALIAÇÃO DE EFETIVIDADE
d) das medidas de desenvolvimento da cultura
Art. 62. As instituições referidas no art. 1º organizacional voltadas à prevenção da
devem avaliar a efetividade da política, dos lavagem de dinheiro e ao financiamento do
procedimentos e dos controles internos de que terrorismo;
trata esta Circular.
e) dos programas de capacitação periódica de
pessoal;
28
f) dos procedimentos destinados a conhecer os I - o documento de que trata o art. 7º, inciso I,
funcionários, parceiros e prestadores de relativo à política de prevenção à lavagem de
serviços terceirizados; e dinheiro e ao financiamento do terrorismo de
que trata o art. 2º;
g) das ações de regularização dos
apontamentos oriundos da auditoria interna e II - a ata de reunião do conselho de
da supervisão do Banco Central do Brasil. administração ou, na sua inexistência, da
diretoria da instituição, no caso de ser
Art. 64. Admite-se a elaboração de um único formalizada a opção de que trata o caput do art.
relatório de avaliação de efetividade nos termos 4º;
do art. 62, § 1º, relativo às instituições do
conglomerado prudencial e do sistema III - o relatório de que trata o art. 5º, parágrafo
cooperativo de crédito. único, se existente;
Parágrafo único. As instituições que optarem IV - o documento relativo à avaliação interna de

por realizar o relatório de avaliação de risco de que trata o art. 12, inciso I, juntamente
efetividade na forma do caput devem formalizar com a documentação de suporte à sua
a opção em reunião do conselho de elaboração;
instituição. V - o contrato referido no art. 31;
Art. 65. As instituições referidas no art. 1º VI - a ata de reunião do conselho de

devem elaborar plano de ação destinado a administração ou, na sua inexistência, da
solucionar as deficiências identificadas por meio diretoria da instituição, no caso de serem
da avaliação de efetividade de que trata o art. formalizadas as opções mencionadas nos arts.
62. 11, 42, 46, 52 e 64;
§ 1º O acompanhamento da implementação do VII- o relatório de avaliação de efetividade de

plano de ação referido no caput deve ser que trata o art. 62, § 1º;
documentado por meio de relatório de
VIII- as versões anteriores da avaliação interna
acompanhamento.
de risco de que trata o art. 10;
§ 2º O plano de ação e o respectivo relatório de
IX - o manual relativo aos procedimentos
acompanhamento devem ser encaminhados
destinados a conhecer os clientes referido no
para ciência e avaliação, até 30 de junho do ano
art. 13, § 2º;
seguinte ao da data-base do relatório de que
trata o art. 62, § 1º: X - o manual relativo aos procedimentos de
monitoramento, seleção e análise de operações
I - do comitê de auditoria, quando houver;
e situações suspeitas mencionado no art. 38, §
II - da diretoria da instituição; e 3º, inciso IV;
III - do conselho de administração, quando XI - o documento relativo aos procedimentos

existente. destinados a conhecer os funcionários,
CAPÍTULO XII terceirizados mencionado no art. 57;
DISPOSIÇÕES FINAIS XII - as versões anteriores do relatório de

avaliação de efetividade de que trata o art. 62,
Art. 66. Devem permanecer à disposição do § 1º;
Banco Central do Brasil:
29
XIII - os dados, os registros e as informações “Art. 18. Os agentes autorizados a operar no

relativas aos mecanismos de acompanhamento mercado de câmbio devem verificar a
e de controle de que trata o art. 61; e legalidade das operações, as responsabilidades
das partes envolvidas, bem como identificar
XIV - os documentos relativos ao plano de ação seus clientes previamente à realização das
e ao respectivo relatório de acompanhamento
mencionados no art. 65. operações no mercado de câmbio na forma
prevista pela regulamentação sobre a política,
§ 1º O contrato referido no inciso V do caput os procedimentos e os controles internos na
deve permanecer à disposição do Banco prevenção à prática dos crimes de ‘lavagem’ ou
Central do Brasil pelo prazo mínimo de cinco ocultação de bens, direitos e valores, previstos
anos após o encerramento da relação na Lei nº 9.613, de 3 de março de 1998, e de
contratual. financiamento do terrorismo, de que trata a Lei
nº 13.260, de 16 de março de 2016.” (NR)
§ 2º Os documentos e informações referidos
nos incisos VIII a XIV do caput devem “Art. 135. As instituições autorizadas a operar
permanecer à disposição do Banco Central do no mercado de câmbio devem desenvolver
Brasil pelo prazo mínimo de cinco anos. mecanismos que permitam evitar a prática de
operações que visem a burlar os limites e
outros requerimentos estabelecidos nesta
devem manter à disposição do Banco Central
Circular.” (NR)
do Brasil e conservar pelo período mínimo de
dez anos: “Art. 139. As instituições autorizadas a operar
no mercado de câmbio devem certificar-se da
I - as informações coletadas nos procedimentos
qualificação de seus clientes, mediante
destinados a conhecer os clientes de que
documentação em meio físico ou eletrônico e
tratam os arts. 13, 16 e 18, contado o prazo
mediante a realização, entre outras providências
referido no caput a partir do primeiro dia do ano
pertinentes, de avaliação de desempenho, de
seguinte ao término do relacionamento com o
procedimentos comerciais e de capacidade
cliente;
financeira.” (NR)
II - as informações coletadas nos procedimentos
Art. 69. Ficam revogados:
destinados a conhecer os funcionários,
parceiros e prestadores de serviços I - a Circular nº 3.461, de 24 de julho de 2009;
terceirizados de que trata o art. 56, contado o
prazo referido no caput a partir da data de II - a Circular nº 3.517, de 7 de dezembro de
encerramento da relação contratual; 2010;
III - as informações e registros de que tratam os III - a Circular nº 3.583, de 12 de março de

arts. 28 a 37, contado o prazo referido no caput 2012;
a partir do primeiro dia do ano seguinte ao da
realização da operação; e IV - a Circular nº 3.654, de 27 de março de
2013;
IV - o dossiê referido no art. 43, § 2º.
V - a Circular nº 3.839, de 28 de junho de 2017;
Art. 68. A Circular nº 3.691, de 16 de dezembro
de 2013, passa a vigorar com as seguintes VI - a Circular nº 3.889, de 28 de março de
alterações: 2018;
30
VII- os arts. 6º, 6º-A e 6º-B da Circular nº 3.680,

de 4 de novembro de 2013; VIII- o § 2º do art. Carta-Circular BACEN/DC Nº 4001 DE
11 da Circular nº 3.691, de 2013; 29/01/2020
IX - o parágrafo único do art. 19 da Circular nº Divulga relação de operações e situações que

3.691, de 2013; podem configurar indícios de ocorrência dos
crimes de "lavagem" ou ocultação de bens,
X - o art. 32 da Circular nº 3.691, de 2013;
direitos e valores, de que trata a Lei nº 9.613, de
3 de março de 1998, e de financiamento ao
XI - o inciso IV do art. 32-A da Circular nº 3.691,
terrorismo, previstos na Lei nº 13.260, de 16 de
de 2013;
março de 2016, passíveis de comunicação ao
XII - os incisos I e II do art. 139 da Circular nº Conselho de Controle de Atividades Financeiras
3.691, de 2013; (Coaf).
XIII - o art. 166 da Circular nº 3.691, de 2013; A Chefe do Departamento de Supervisão de

Conduta (Decon), no uso da atribuição que lhe
XIV - o art. 170 da Circular nº 3.691, de 2013; confere o art. 23, inciso I, alínea "a", do
Regimento Interno do Banco Central do Brasil,
XV - o art. 213 da Circular nº 3.691, de 2013; anexo à Portaria nº 105.173, de 24 de outubro
de 2019,
XVI- o art. 2º da Circular nº 3.727, de 6 de
novembro de 2014; Resolve:
XVII - o art. 3º da Circular nº 3.780, de 21 de Art. 1º As operações ou as situações descritas a

janeiro de 2016; e (Vide Circular nº 3.942, de seguir exemplificam a ocorrência de indícios de
21/5/2019.) suspeita para fins dos procedimentos de
monitoramento e seleção previstos na Circular
XVIII- o art. 18 da Circular nº 3.858, de 14 de
nº 3.978, de 23 de janeiro de 2020:
novembro de 2017.
I - Situações relacionadas com operações em
Art. 70. Esta Circular entra em vigor em 1º de
espécie em moeda nacional com a utilização de
outubro de 2020. (Redação dada, a partir de
contas de depósitos ou de contas de
1º/6/2020, pela Circular nº 4.005, de 16/4/2020.)
pagamento:
a) depósitos, aportes, saques, pedidos de

provisionamento para saque ou qualquer outro
instrumento de transferência de recursos em
espécie, que apresentem atipicidade em relação
à atividade econômica do cliente ou
incompatibilidade com a sua capacidade
financeira;
b) movimentações em espécie realizadas por

clientes cujas atividades possuam como
característica a utilização de outros
instrumentos de transferência de recursos, tais
como cheques, cartões de débito ou crédito;
c) aumentos substanciais no volume de

depósitos ou aportes em espécie de qualquer
31
pessoa natural ou jurídica, sem causa aparente,

nos casos em que tais depósitos ou aportes l) dois ou mais saques em espécie no caixa no
forem posteriormente transferidos, dentro de mesmo dia, com indícios de tentativa de burla
curto período de tempo, a destino não para evitar a identificação do sacador;
relacionado com o cliente;
m) dois ou mais depósitos em terminais de
d) fragmentação de depósitos ou outro autoatendimento em espécie, no período de
instrumento de transferência de recurso em cinco dias úteis, com indícios de tentativa de
espécie, inclusive boleto de pagamento, de burla para evitar a identificação do depositante;
forma a dissimular o valor total da
n) depósitos em espécie relevantes em contas
movimentação;
de servidores públicos e de qualquer tipo de
e) fragmentação de saques em espécie, a fim Pessoas Expostas Politicamente (PEP),
de burlar limites regulatórios de reportes; conforme elencados no art. 27 da Circular nº
3.978, de 2020, bem como seu representante,
f) depósitos ou aportes de grandes valores em familiar ou estreito colaborador.
espécie, de forma parcelada, principalmente nos
mesmos caixas ou terminais de II - Situações relacionadas com operações em
autoatendimento próximos, destinados a uma espécie e cartões pré-pagos em moeda
única conta ou a várias contas em municípios estrangeira e cheques de viagem:
ou agências distintas;
a) movimentações de moeda estrangeira em
g) depósitos ou aportes em espécie em contas espécie ou de cheques de viagem denominados
de clientes que exerçam atividade comercial em moeda estrangeira, que apresentem
relacionada com negociação de bens de luxo ou atipicidade em relação à atividade econômica
de alto valor, tais como obras de arte, imóveis, do cliente ou incompatibilidade com a sua
barcos, jóias, automóveis ou aeronaves; capacidade financeira;
h) saques em espécie de conta que receba b) negociações de moeda estrangeira em

diversos depósitos por transferência eletrônica espécie ou de cheques de viagem denominados
de várias origens em curto período de tempo; em moeda estrangeira, que não apresentem
compatibilidade com a natureza declarada da
i) depósitos ou aportes em espécie com cédulas operação;
úmidas, malcheirosas, mofadas, ou com
aspecto de que foram armazenadas em local c) negociações de moeda estrangeira em
impróprio ou ainda que apresentem marcas, espécie ou de cheques de viagem denominados
símbolos ou selos desconhecidos, empacotadas em moeda estrangeira, realizadas por diferentes
em maços desorganizados e não uniformes; pessoas naturais, não relacionadas entre si, que
informem o mesmo endereço residencial,
j) depósitos, aportes ou troca de grandes telefone de contato ou possuam o mesmo
quantidades de cédulas de pequeno valor, por representante legal;
pessoa natural ou jurídica, cuja atividade ou
negócio não tenha como característica d) negociações envolvendo taxas de câmbio
recebimentos de grandes quantias de recursos com variação significativa em relação às
em espécie; praticadas pelo mercado;
k) saques no período de cinco dias úteis em e) negociações de moeda estrangeira em

valores inferiores aos limites estabelecidos, de espécie envolvendo cédulas úmidas,
forma a dissimular o valor total da operação e malcheirosas, mofadas, ou com aspecto de
evitar comunicações de operações em espécie; terem sido armazenadas em local impróprio, ou
ainda que apresentem marcas, símbolos ou
32
selos desconhecidos, empacotadas em maços

desorganizados e não uniformes; g) operações em que não seja possível
identificar o beneficiário final, observados os
f) negociações de moeda estrangeira em procedimentos definidos na regulamentação
espécie ou troca de grandes quantidades de vigente;
cédulas de pequeno valor, realizadas por
pessoa natural ou jurídica, cuja atividade ou h) representação de diferentes pessoas
negócio não tenha como característica o jurídicas ou organizações pelos mesmos
recebimento desse tipo de recurso; procuradores ou representantes legais, sem
justificativa razoável para tal ocorrência;
g) utilização, carga ou recarga de cartão
pré-pago em valor não compatível com a i) informação de mesmo endereço residencial
capacidade financeira, atividade ou perfil do ou comercial por pessoas naturais, sem
cliente; demonstração da existência de relação familiar
ou comercial;
h) utilização de diversas fontes de recursos para
carga e recarga de cartões pré-pagos; j) incompatibilidade da atividade econômica ou
faturamento informados com o padrão
i) carga e recarga de cartões pré-pagos apresentado por clientes com o mesmo perfil;
seguidas imediatamente por saques em caixas
eletrônicos. k) registro de mesmo endereço de e-mail ou de
Internet Protocol (IP) por diferentes pessoas
III - Situações relacionadas com a identificação jurídicas ou organizações, sem justificativa
e qualificação de clientes: razoável para tal ocorrência;
a) resistência ao fornecimento de informações l) registro de mesmo endereço de e-mail ou

necessárias para o início de relacionamento ou Internet Protocol (IP) por pessoas naturais, sem
para a atualização cadastral; justificativa razoável para tal ocorrência;
b) oferecimento de informação falsa; m) informações e documentos apresentados

pelo cliente conflitantes com as informações
c) prestação de informação de difícil ou onerosa públicas disponíveis;
verificação;
n) sócios de empresas sem aparente
d) abertura, movimentação de contas ou capacidade financeira para o porte da atividade
realização de operações por detentor de empresarial declarada.
procuração ou de qualquer outro tipo de
mandato; IV - Situações relacionadas com a
movimentação de contas de depósito e de
e) ocorrência de irregularidades relacionadas contas de pagamento em moeda nacional, que
aos procedimentos de identificação e registro digam respeito a:
das operações exigidos pela regulamentação
vigente; a) movimentação de recursos incompatível com
o patrimônio, a atividade econômica ou a
f) cadastramento de várias contas em uma ocupação profissional e a capacidade financeira
mesma data, ou em curto período, com do cliente;
depósitos de valores idênticos ou aproximados,
ou com outros elementos em comum, tais como b) transferências de valores arredondados na
origem dos recursos, titulares, procuradores, unidade de milhar ou que estejam um pouco
sócios, endereço, número de telefone, etc; abaixo do limite para notificação de operações;
33
c) movimentação de recursos de alto valor, de n) recebimento de depósitos provenientes de

forma contumaz, em benefício de terceiros; diversas origens, sem fundamentação
econômico-financeira, especialmente
d) manutenção de numerosas contas provenientes de regiões distantes do local de
destinadas ao acolhimento de depósitos em atuação da pessoa jurídica ou distantes do
nome de um mesmo cliente, cujos valores, domicílio da pessoa natural;
somados, resultem em quantia significativa;
o) pagamentos habituais a fornecedores ou
e) movimentação de quantia significativa por beneficiários que não apresentem ligação com a
meio de conta até então pouco movimentada ou atividade ou ramo de negócio da pessoa
de conta que acolha depósito inusitado; jurídica;
f) ausência repentina de movimentação p) pagamentos ou transferências por pessoa

financeira em conta que anteriormente jurídica para fornecedor distante de seu local de
apresentava grande movimentação; atuação, sem fundamentação
econômico-financeira;
g) utilização de cofres de aluguel de forma
atípica em relação ao perfil do cliente; q) depósitos de cheques endossados
totalizando valores significativos;
h) dispensa da faculdade de utilização de
prerrogativas como recebimento de crédito, de r) existência de conta de depósitos à vista ou de
juros remuneratórios para grandes saldos ou, conta de pagamento de organizações sem fins
ainda, de outros serviços bancários especiais lucrativos cujos saldos ou movimentações
que, em circunstâncias normais, sejam valiosas financeiras não apresentem fundamentação
para qualquer cliente; econômica ou legal ou nas quais pareça não
haver vinculação entre a atividade declarada da
i) mudança repentina e injustificada na forma de
organização e as outras partes envolvidas nas
movimentação de recursos ou nos tipos de
transações;
transação utilizados;
s) movimentação habitual de recursos
j) solicitação de não observância ou atuação no
financeiros de ou para qualquer tipo de PEP,
sentido de induzir funcionários da instituição a
conforme elencados no art. 27 da Circular nº
não seguirem os procedimentos regulamentares
3.978, de 2020, bem como seu representante,
ou formais para a realização de uma operação;
familiar ou estreito colaborador, não justificada
k) recebimento de recursos com imediata por eventos econômicos;
compra de instrumentos para a realização de
t) existência de contas em nome de menores ou
pagamentos ou de transferências a terceiros,
incapazes, cujos representantes realizem
sem justificativa;
grande número de operações e/ou operações
l) operações que, por sua habitualidade, valor e de valores relevantes;
forma, configurem artifício para burla da
u) transações significativas e incomuns por meio
identificação da origem, do destino, dos
de contas de depósitos ou de contas de
responsáveis ou dos destinatários finais;
pagamento de investidores não residentes
m) existência de contas que apresentem constituídos sob a forma de trust;
créditos e débitos com a utilização de
v) recebimentos de valores relevantes no
instrumentos de transferência de recursos não
mesmo terminal de pagamento (Point of Sale -
característicos para a ocupação ou o ramo de
POS), que apresentem indícios de atipicidade
atividade desenvolvida pelo cliente;
ou de incompatibilidade com a capacidade
34
financeira do estabelecimento comercial preços incompatíveis com os praticados no

credenciado; mercado ou quando realizadas por pessoa
natural ou jurídica cuja atividade declarada e
w) recebimentos de valores relevantes no perfil não se coadunem ao tipo de negociação
mesmo terminal de pagamento (Point of sale - realizada;
POS), que apresentem indícios de atipicidade
ou de incompatibilidade com o perfil do b) operações atípicas que resultem em elevados
estabelecimento comercial credenciado; ganhos para os agentes intermediários, em
desproporção com a natureza dos serviços
x) desvios frequentes em padrões adotados por efetivamente prestados;
cada administradora de cartões de
credenciamento ou de cartões de crédito, c) investimentos significativos em produtos de
verificados no monitoramento das compras de baixa rentabilidade e liquidez;
seus titulares;
d) investimentos significativos não proporcionais
y) transações em horário considerado à capacidade financeira do cliente, ou cuja
incompatível com a atividade do origem não seja claramente conhecida;
estabelecimento comercial credenciado;
e) resgates de investimentos no curtíssimo
z) transações em terminal (Point of sale - POS) prazo, independentemente do resultado
realizadas em localização geográfica distante do auferido.
local de atuação do estabelecimento comercial
credenciado; VI - Situações relacionadas com operações de
crédito no País:
aa) operações atípicas em contas de clientes
que exerçam atividade comercial relacionada a) operações de crédito no País liquidadas com
com negociação de bens de luxo ou de alto recursos aparentemente incompatíveis com a
valor, tais como obras de arte, imóveis, barcos, situação financeira do cliente;
joias, automóveis ou aeronaves;
b) solicitação de concessão de crédito no País
ab) utilização de instrumento financeiro de incompatível com a atividade econômica ou com
forma a ocultar patrimônio e/ou evitar a a capacidade financeira do cliente;
realização de bloqueios judiciais, inclusive
c) operação de crédito no País seguida de
cheque administrativo;
remessa de recursos ao exterior, sem
ac) movimentação de valores incompatíveis fundamento econômico ou legal, e sem
com o faturamento mensal das pessoas relacionamento com a operação de crédito;
jurídicas;
d) operações de crédito no País, simultâneas ou
ad) recebimento de créditos com o imediato consecutivas, liquidadas antecipadamente ou
débito dos valores; em prazo muito curto;
ae) movimentações de valores com empresas e) liquidação de operações de crédito ou

sem atividade regulamentada pelos órgãos assunção de dívida no País por terceiros, sem
competentes. justificativa aparente;
V - Situações relacionadas com operações de f) concessão de garantias de operações de

investimento no País: crédito no País por terceiros não relacionados
ao tomador;
a) operações ou conjunto de operações de
compra ou de venda de ativos financeiros a g) operação de crédito no País com
oferecimento de garantia no exterior por cliente
35
sem tradição de realização de operações no

exterior; g) utilização de documentos falsificados na
adesão ou tentativa de adesão a grupo de
h) aquisição de bens ou serviços incompatíveis consórcio;
com o objeto da pessoa jurídica, especialmente
quando os recursos forem originados de crédito h) pagamentos realizados em localidades
no País. diferentes ao do endereço do cadastro;
VII - Situações relacionadas com a i) informe de conta de depósito à vista ou de

movimentação de recursos oriundos de poupança para pagamento de crédito em
contratos com o setor público: espécie, em agência/localidade diferente da
inicialmente fornecida ou remessa de eventual
a) movimentações atípicas de recursos por Ordem de Pagamento (OP) para conta de
agentes públicos, conforme definidos no art. 2º depósito à vista ou de poupança divergente da
da Lei nº 8.429, de 2 de junho de 1992; inicialmente fornecida.
b) movimentações atípicas de recursos por IX - Situações relacionadas a pessoas ou

pessoa natural ou jurídica relacionadas a entidades suspeitas de envolvimento com
patrocínio, propaganda, marketing, consultorias, financiamento ao terrorismo e a proliferação de
assessorias e capacitação; armas de destruição em massa:
c) movimentações atípicas de recursos por a) movimentações financeiras envolvendo

organizações sem fins lucrativos; pessoas ou entidades relacionadas a atividades
terroristas listadas pelo Conselho de Segurança
d) movimentações atípicas de recursos por das Nações Unidas (CSNU);
pessoa natural ou jurídica relacionadas a
licitações. b) operações ou prestação de serviços, de
qualquer valor, a pessoas ou entidades que
VIII - Situações relacionadas a consórcios: reconhecidamente tenham cometido ou
intentado cometer atos terroristas, ou deles
a) existência de consorciados detentores de
participado ou facilitado o seu cometimento;
elevado número de cotas, incompatível com sua
capacidade financeira ou com o objeto da c) existência de recursos pertencentes ou
pessoa jurídica; controlados, direta ou indiretamente, por
pessoas ou entidades que reconhecidamente
b) aumento expressivo do número de cotas
tenham cometido ou intentado cometer atos
pertencentes a um mesmo consorciado;
terroristas, ou deles participado ou facilitado o
c) oferecimento de lances incompatíveis com a seu cometimento;
capacidade financeira do consorciado;
d) movimentações com indícios de
d) oferecimento de lances muito próximos ao financiamento ao terrorismo;
valor do bem;
e) movimentações financeiras envolvendo
e) pagamento antecipado de quantidade pessoas ou entidades relacionadas à
expressiva de prestações vincendas, não proliferação de armas de destruição em massa
condizente com a capacidade financeira do listadas pelo CSNU;
consorciado;
f) operações ou prestação de serviços, de
f) aquisição de cotas previamente qualquer valor, a pessoas ou entidades que
contempladas, seguida de quitação das reconhecidamente tenham cometido ou
prestações vincendas; intentado cometer crimes de proliferação de
36
armas de destruição em massa, ou deles

participado ou facilitado o seu cometimento; f) transferências internacionais, inclusive a título
de disponibilidade no exterior, nas quais não se
g) existência de recursos pertencentes ou justifique a origem dos fundos envolvidos ou
controlados, direta ou indiretamente, por que se mostrem incompatíveis com a
pessoas ou entidades que reconhecidamente capacidade financeira ou com o perfil do cliente;
tenham cometido ou intentado cometer crimes
de proliferação de armas de destruição em g) exportações ou importações aparentemente
massa, ou deles participado ou facilitado o seu fictícias ou com indícios de superfaturamento ou
cometimento; subfaturamento, ou ainda em situações que não
seja possível obter informações sobre o
h) movimentações com indícios de desembaraço aduaneiro das mercadorias;
financiamento da proliferação de armas de
destruição em massa. h) existência de informações na carta de crédito
com discrepâncias em relação a outros
X - Situações relacionadas com atividades documentos da operação de comércio
internacionais: internacional;
a) operação com pessoas naturais ou jurídicas, i) pagamentos ao exterior após créditos em

inclusive sociedades e instituições financeiras, reais efetuados nas contas de depósitos dos
situadas em países que não apliquem ou titulares das operações de câmbio por pessoas
apliquem insuficientemente as recomendações naturais ou jurídicas que não demonstrem a
do Grupo de Ação contra a Lavagem de existência de vínculo comercial ou econômico;
Dinheiro e o Financiamento do Terrorismo
(Gafi), ou que tenham sede em países ou j) movimentações decorrentes de programa de
dependências com tributação favorecida ou repatriação de recursos que apresentem
regimes fiscais privilegiados, ou em locais onde inconsistências relacionadas à identificação do
seja observada a prática contumaz dos crimes titular ou do beneficiário final, bem como
previstos na Lei nº 9.613, de 3 de março de ausência de informações confiáveis sobre a
1998, não claramente caracterizadas em sua origem e a fundamentação econômica ou legal;
legalidade e fundamentação econômica;
k) pagamentos de frete ou de outros serviços
b) operações complexas e com custos mais que apresentem indícios de atipicidade ou de
elevados que visem a dificultar o rastreamento incompatibilidade com a atividade ou
dos recursos ou a identificação da natureza da capacidade econômico-financeira do cliente;
operação;
l) transferências internacionais por uma ou mais
c) pagamentos de importação e recebimentos pessoas naturais ou jurídicas com indícios de
de exportação, antecipados ou não, por fragmentação, como forma de ocultar a real
empresa sem tradição ou cuja capacidade origem ou destino dos recursos;
financeira seja incompatível com o montante
m) transações em uma mesma data, ou em
negociado;
curto período, de valores idênticos ou
d) pagamentos a terceiros não relacionados a aproximados, ou com outros elementos em
operações de importação ou de exportação; comum, tais como origem ou destino dos
recursos, titulares, procuradores, endereço,
e) transferências unilaterais que, pela número de telefone, que configurem artificio de
habitualidade, valor ou forma, não se justifiquem burla do limite máximo de operação;
ou apresentem atipicidade;
n) transferência via facilitadora de pagamentos
ou com a utilização do cartão de crédito de uso
37
internacional, que, pela habitualidade, valor ou

forma, não se justifiquem ou apresentem a) recebimento de investimento externo direto,
atipicidade; cujos recursos retornem imediatamente a título
de disponibilidade no exterior;
o) transferências relacionadas a investimentos
não convencionais que, pela habitualidade, b) recebimento de investimento externo direto,
valor ou forma, não se justifiquem ou com realização quase imediata de remessas de
apresentem atipicidade; recursos para o exterior a título de lucros e
dividendos;
p) pagamento de frete internacional sem
amparo em documentação que evidencie c) remessas de lucros e dividendos ao exterior
vínculo com operação comercial. em valores incompatíveis com o valor investido;
XI - Situações relacionadas com operações de d) remessas ao exterior a título de investimento

crédito contratadas no exterior: em montantes incompatíveis com a capacidade
financeira do cliente;
a) contratação de operações de crédito no
exterior com cláusulas que estabeleçam e) remessas de recursos de um mesmo
condições incompatíveis com as praticadas no investidor situado no exterior para várias
mercado, como juros destoantes da prática ou empresas no País;
prazo muito longo;
f) remessas de recursos de vários investidores
b) contratação, no exterior, de várias operações situados no exterior para uma mesma empresa
de crédito consecutivas, sem que a instituição no País;
tome conhecimento da quitação das anteriores;
g) recebimento de aporte de capital
c) contratação, no exterior, de operações de desproporcional ao porte ou à natureza
crédito que não sejam quitadas por intermédio empresarial do cliente, ou em valores
de operações na mesma instituição; incompatíveis com a capacidade financeira dos
sócios;
d) contratação, no exterior, de operações de
crédito, quitadas sem explicação aparente para h) retorno de investimento feito no exterior sem
a origem dos recursos; comprovação da remessa que lhe tenha dado
origem.
e) contratação de empréstimos ou
financiamentos no exterior, oferecendo XIII - Situações relacionadas com funcionários,
garantias em valores ou formas incompatíveis parceiros e prestadores de serviços
com a atividade ou capacidade financeira do terceirizados:
cliente ou em valores muito superiores ao valor
a) alteração inusitada nos padrões de vida e de
das operações contratadas ou cuja origem não
comportamento do empregado, do parceiro ou
seja claramente conhecida;
de prestador de serviços terceirizados, sem
f) contratação de operações de crédito no causa aparente;
exterior, cujo credor seja de difícil identificação e
b) modificação inusitada do resultado
sem que exista relação ou fundamentação para
operacional da pessoa jurídica do parceiro,
a operação entre as partes.
incluído correspondente no País, sem causa
XII - Situações relacionadas com operações de aparente;
investimento externo:
c) qualquer negócio realizado de modo diverso
ao procedimento formal da instituição por
38
funcionário, parceiro, incluído correspondente

no País, ou prestador de serviços terceirizados; d) negociação de outro ativo não financeiro em
benefício de terceiros.
d) fornecimento de auxílio ou informações,
remunerados ou não, a cliente em prejuízo do XVI - Situações relacionadas com a
programa de prevenção à lavagem de dinheiro e movimentação de contas correntes em moeda
ao financiamento do terrorismo da instituição, ou estrangeira (CCME):
de auxílio para estruturar ou fracionar
a) movimentação de recursos incompatível com
operações, burlar limites regulamentares ou
a atividade econômica e a capacidade
operacionais.
financeira do cliente;
XIV - Situações relacionadas a campanhas
b) recebimentos ou pagamentos de/para
eleitorais:
terceiros cujas movimentações financeiras não
a) recebimento de doações, em contas apresentem fundamentação econômica ou legal
(eleitorais ou não) de candidatos, contas de ou nas quais pareça não haver vinculação entre
estreito colaborador dessas pessoas ou em a atividade declarada do titular da CCME e as
contas de partidos políticos, de valores que outras partes envolvidas nas transações;
desrespeitem as vedações ou extrapolem os
c) movimentação de recursos, em especial nas
limites definidos na legislação em vigor;
contas tituladas por agentes autorizados a
b) uso incompatível com as exigências operar no mercado de câmbio, que denotem
regulatórias do fundo de caixa do partido inobservância a limites por operação cambial ou
eleitoral; qualquer outra situação em que não se
justifiquem ou apresentem atipicidade, pela
c) recebimento de doações, em contas de habitualidade, valor, forma ou ausência de
candidatos, de valores que desrespeitem as aderência às normas cambiais;
vedações ou extrapolem os limites definidos na
legislação em vigor, inclusive mediante uso de d) transações atípicas em CCME de
terceiros e/ou de contas de terceiros; movimentação restrita. Exemplos: contas de
agências de turismo e contas de
d) transferências, a partir das contas de administradoras de cartão de crédito.
candidatos, para pessoas naturais ou jurídicas
cuja atividade não guarde aparente relação com XVII - Situações relacionadas com operações
contas de campanha. realizadas em municípios localizados em
regiões de risco:
XV - Situações relacionadas a BNDU e outros
ativos não financeiros: a) operação atípica em municípios localizados
em regiões de fronteira;
a) negociação de BNDU ou outro ativo não
financeiro para pessoas naturais ou jurídicas b) operação atípica em municípios localizados
sem capacidade financeira; em regiões de extração mineral;
b) negociação de BNDU ou outro ativo não c) operação atípica em municípios localizados

financeiro mediante pagamento em espécie; em outras regiões de risco.
c) negociação de BNDU ou outro ativo não § 1º As operações ou as situações referidas no

financeiro por preço significativamente superior caput devem ser comunicadas, nos termos da
ao de avaliação; referida Circular, somente nos casos em que os
indícios forem confirmados ao término da
39
execução dos procedimentos de análise de

operações e situações suspeitas. LEI COMPLEMENTAR Nº 105, DE 10 DE
JANEIRO DE 2001.
§ 2º Os procedimentos referidos no § 1º devem
considerar todas as informações disponíveis,
Dispõe sobre o sigilo das
inclusive aquelas obtidas por meio dos
operações de instituições
procedimentos destinados a conhecer clientes,
financeiras e dá outras
funcionários, parceiros e prestadores de
providências.
serviços terceirizados.
Art. 2º. Esta Carta-Circular entra em vigor em 1º O PRESIDENTE DA REPÚBLICA Faço

de outubro de 2020, quando fica revogada a saber que o Congresso Nacional decreta e eu
Carta-Circular nº 3.542, de 12 de março de sanciono a seguinte Lei Complementar:
2012. (Redação do artigo dada pela
Carta-Circular DC/BACEN Nº 4037 DE Art. 1o As instituições financeiras
27/04/2020). conservarão sigilo em suas operações ativas e
passivas e serviços prestados.
§ 1o São consideradas instituições

financeiras, para os efeitos desta Lei
Complementar:
I – os bancos de qualquer espécie;
II – distribuidoras de valores mobiliários;
III – corretoras de câmbio e de valores

mobiliários;
IV – sociedades de crédito, financiamento

e investimentos;
V – sociedades de crédito imobiliário;
VI – administradoras de cartões de
crédito;
VII – sociedades de arrendamento

mercantil;
VIII – administradoras de mercado de

balcão organizado;
IX – cooperativas de crédito;
X – associações de poupança e
empréstimo;
XI – bolsas de valores e de mercadorias e

futuros;
40
XII – entidades de liquidação e VI – a prestação de informações nos

compensação; termos e condições estabelecidos nos artigos
2o, 3o, 4o, 5o, 6o, 7o e 9 desta Lei Complementar.
XIII – outras sociedades que, em razão da
natureza de suas operações, assim venham a VII - o fornecimento de dados financeiros
ser consideradas pelo Conselho Monetário e de pagamentos, relativos a operações de
Nacional. crédito e obrigações de pagamento adimplidas
ou em andamento de pessoas naturais ou
§ 2o As empresas de fomento comercial jurídicas, a gestores de bancos de dados, para
ou factoring, para os efeitos desta Lei formação de histórico de crédito, nos termos de
Complementar, obedecerão às normas lei específica. (Incluído pela Lei
aplicáveis às instituições financeiras previstas Complementar nº 166, de 2019)
no § 1o. (Vigência)
§ 3o Não constitui violação do dever de § 4o A quebra de sigilo poderá ser

sigilo: decretada, quando necessária para apuração de
ocorrência de qualquer ilícito, em qualquer fase
I – a troca de informações entre do inquérito ou do processo judicial, e
instituições financeiras, para fins cadastrais, especialmente nos seguintes crimes:
inclusive por intermédio de centrais de risco,
observadas as normas baixadas pelo Conselho I – de terrorismo;
Monetário Nacional e pelo Banco Central do
Brasil; II – de tráfico ilícito de substâncias
entorpecentes ou drogas afins;
II - o fornecimento de informações
constantes de cadastro de emitentes de III – de contrabando ou tráfico de armas,
cheques sem provisão de fundos e de munições ou material destinado a sua produção;
devedores inadimplentes, a entidades de
proteção ao crédito, observadas as normas IV – de extorsão mediante seqüestro;
baixadas pelo Conselho Monetário Nacional e
pelo Banco Central do Brasil; V – contra o sistema financeiro nacional;
III – o fornecimento das informações de VI – contra a Administração Pública;

que trata o § 2o do art. 11 da Lei no 9.311, de 24
de outubro de 1996; VII – contra a ordem tributária e a
previdência social;
IV – a comunicação, às autoridades
competentes, da prática de ilícitos penais ou VIII – lavagem de dinheiro ou ocultação de
administrativos, abrangendo o fornecimento de bens, direitos e valores;
informações sobre operações que envolvam
IX – praticado por organização criminosa.
recursos provenientes de qualquer prática
criminosa;
Art. 2o O dever de sigilo é extensivo ao
Banco Central do Brasil, em relação às
V – a revelação de informações sigilosas
operações que realizar e às informações que
com o consentimento expresso dos
obtiver no exercício de suas atribuições.
interessados;
§ 1o O sigilo, inclusive quanto a contas de
depósitos, aplicações e investimentos mantidos
41
em instituições financeiras, não pode ser oposto b) a cooperação mútua e o intercâmbio de

ao Banco Central do Brasil: informações para a investigação de atividades
ou operações que impliquem aplicação,
I – no desempenho de suas funções de negociação, ocultação ou transferência de
fiscalização, compreendendo a apuração, a ativos financeiros e de valores mobiliários
qualquer tempo, de ilícitos praticados por relacionados com a prática de condutas ilícitas.
controladores, administradores, membros de
conselhos estatutários, gerentes, mandatários e § 5o O dever de sigilo de que trata esta Lei
prepostos de instituições financeiras; Complementar estende-se aos órgãos
o
fiscalizadores mencionados no § 4 e a seus
II – ao proceder a inquérito em instituição agentes.
financeira submetida a regime especial.
§ 6o O Banco Central do Brasil, a
o
§ 2 As comissões encarregadas dos Comissão de Valores Mobiliários e os demais
inquéritos a que se refere o inciso II do § 1o órgãos de fiscalização, nas áreas de suas
poderão examinar quaisquer documentos atribuições, fornecerão ao Conselho de Controle
relativos a bens, direitos e obrigações das de Atividades Financeiras – COAF, de que trata
instituições financeiras, de seus controladores, o art. 14 da Lei no 9.613, de 3 de março de
administradores, membros de conselhos 1998, as informações cadastrais e de
estatutários, gerentes, mandatários e prepostos, movimento de valores relativos às operações
inclusive contas correntes e operações com previstas no inciso I do art. 11 da referida Lei.
outras instituições financeiras.
Art. 3o Serão prestadas pelo Banco
o
§ 3 O disposto neste artigo aplica-se à Central do Brasil, pela Comissão de Valores
Comissão de Valores Mobiliários, quando se Mobiliários e pelas instituições financeiras as
tratar de fiscalização de operações e serviços informações ordenadas pelo Poder Judiciário,
no mercado de valores mobiliários, inclusive nas preservado o seu caráter sigiloso mediante
instituições financeiras que sejam companhias acesso restrito às partes, que delas não
abertas. poderão servir-se para fins estranhos à lide.
§ 4o O Banco Central do Brasil e a § 1o Dependem de prévia autorização do

Comissão de Valores Mobiliários, em suas áreas Poder Judiciário a prestação de informações e o
de competência, poderão firmar convênios: fornecimento de documentos sigilosos
solicitados por comissão de inquérito
I - com outros órgãos públicos administrativo destinada a apurar
fiscalizadores de instituições financeiras, responsabilidade de servidor público por
objetivando a realização de fiscalizações infração praticada no exercício de suas
conjuntas, observadas as respectivas atribuições, ou que tenha relação com as
competências; atribuições do cargo em que se encontre
investido.
II - com bancos centrais ou entidades
fiscalizadoras de outros países, objetivando: § 2o Nas hipóteses do § 1o, o
requerimento de quebra de sigilo independe da
a) a fiscalização de filiais e subsidiárias de existência de processo judicial em curso.
instituições financeiras estrangeiras, em
funcionamento no Brasil e de filiais e § 3o Além dos casos previstos neste artigo
subsidiárias, no exterior, de instituições o Banco Central do Brasil e a Comissão de
financeiras brasileiras; Valores Mobiliários fornecerão à
Advocacia-Geral da União as informações e os
42
documentos necessários à defesa da União nas V – contratos de mútuo;

ações em que seja parte.
VI – descontos de duplicatas, notas
Art. 4o O Banco Central do Brasil e a promissórias e outros títulos de crédito;
Comissão de Valores Mobiliários, nas áreas de
suas atribuições, e as instituições financeiras VII – aquisições e vendas de títulos de
fornecerão ao Poder Legislativo Federal as renda fixa ou variável;
informações e os documentos sigilosos que,
fundamentadamente, se fizerem necessários ao VIII – aplicações em fundos de
exercício de suas respectivas competências investimentos;
constitucionais e legais.
IX – aquisições de moeda estrangeira;
o
§ 1 As comissões parlamentares de
inquérito, no exercício de sua competência X – conversões de moeda estrangeira em
constitucional e legal de ampla investigação, moeda nacional;
obterão as informações e documentos sigilosos
XI – transferências de moeda e outros
de que necessitarem, diretamente das
valores para o exterior;
instituições financeiras, ou por intermédio do
Banco Central do Brasil ou da Comissão de
XII – operações com ouro, ativo
Valores Mobiliários.
financeiro;
§ 2o As solicitações de que trata este
XIII - operações com cartão de crédito;
artigo deverão ser previamente aprovadas pelo
Plenário da Câmara dos Deputados, do Senado XIV - operações de arrendamento
Federal, ou do plenário de suas respectivas mercantil; e
comissões parlamentares de inquérito.
XV – quaisquer outras operações de
Art. 5o O Poder Executivo disciplinará, natureza semelhante que venham a ser
inclusive quanto à periodicidade e aos limites de autorizadas pelo Banco Central do Brasil,
valor, os critérios segundo os quais as Comissão de Valores Mobiliários ou outro órgão
instituições financeiras informarão à competente.
administração tributária da União, as operações
financeiras efetuadas pelos usuários de seus § 2o As informações transferidas na forma
serviços. (Regulamento) do caput deste artigo restringir-se-ão a informes
relacionados com a identificação dos titulares
§ 1o Consideram-se operações das operações e os montantes globais
financeiras, para os efeitos deste artigo: mensalmente movimentados, vedada a inserção
de qualquer elemento que permita identificar a
I – depósitos à vista e a prazo, inclusive
sua origem ou a natureza dos gastos a partir
em conta de poupança;
deles efetuados.
II – pagamentos efetuados em moeda
§ 3o Não se incluem entre as informações
corrente ou em cheques;
de que trata este artigo as operações
financeiras efetuadas pelas administrações
III – emissão de ordens de crédito ou
direta e indireta da União, dos Estados, do
documentos assemelhados;
Distrito Federal e dos Municípios.
IV – resgates em contas de depósitos à
§ 4o Recebidas as informações de que
vista ou a prazo, inclusive de poupança;
trata este artigo, se detectados indícios de
43
falhas, incorreções ou omissões, ou de autoridades competentes nas solicitações

cometimento de ilícito fiscal, a autoridade dirigidas ao Banco Central do Brasil, à
interessada poderá requisitar as informações e Comissão de Valores Mobiliários ou às
os documentos de que necessitar, bem como instituições financeiras.
realizar fiscalização ou auditoria para a
adequada apuração dos fatos. Art. 9o Quando, no exercício de suas
atribuições, o Banco Central do Brasil e a
§ 5o As informações a que refere este Comissão de Valores Mobiliários verificarem a
artigo serão conservadas sob sigilo fiscal, na ocorrência de crime definido em lei como de
forma da legislação em vigor. ação pública, ou indícios da prática de tais
crimes, informarão ao Ministério Público,
Art. 6o As autoridades e os agentes fiscais juntando à comunicação os documentos
tributários da União, dos Estados, do Distrito necessários à apuração ou comprovação dos
Federal e dos Municípios somente poderão fatos.
examinar documentos, livros e registros de
instituições financeiras, inclusive os referentes a § 1o A comunicação de que trata este
contas de depósitos e aplicações financeiras, artigo será efetuada pelos Presidentes do
quando houver processo administrativo Banco Central do Brasil e da Comissão de
instaurado ou procedimento fiscal em curso e Valores Mobiliários, admitida delegação de
tais exames sejam considerados indispensáveis competência, no prazo máximo de quinze dias,
pela autoridade administrativa competente. a contar do recebimento do processo, com
(Regulamento) manifestação dos respectivos serviços jurídicos.
Parágrafo único. O resultado dos exames, § 2o Independentemente do disposto no

as informações e os documentos a que se caput deste artigo, o Banco Central do Brasil e a
refere este artigo serão conservados em sigilo, Comissão de Valores Mobiliários comunicarão
observada a legislação tributária. aos órgãos públicos competentes as
irregularidades e os ilícitos administrativos de
Art. 7o Sem prejuízo do disposto no § 3o que tenham conhecimento, ou indícios de sua
do art. 2o, a Comissão de Valores Mobiliários, prática, anexando os documentos pertinentes.
instaurado inquérito administrativo, poderá
solicitar à autoridade judiciária competente o Art. 10. A quebra de sigilo, fora das
levantamento do sigilo junto às instituições hipóteses autorizadas nesta Lei Complementar,
financeiras de informações e documentos constitui crime e sujeita os responsáveis à pena
relativos a bens, direitos e obrigações de de reclusão, de um a quatro anos, e multa,
pessoa física ou jurídica submetida ao seu aplicando-se, no que couber, o Código Penal,
poder disciplinar. sem prejuízo de outras sanções cabíveis.
Parágrafo único. O Banco Central do Parágrafo único. Incorre nas mesmas

Brasil e a Comissão de Valores Mobiliários, penas quem omitir, retardar injustificadamente
manterão permanente intercâmbio de ou prestar falsamente as informações
informações acerca dos resultados das requeridas nos termos desta Lei Complementar.
inspeções que realizarem, dos inquéritos que
instaurarem e das penalidades que aplicarem, Art. 11. O servidor público que utilizar ou
sempre que as informações forem necessárias viabilizar a utilização de qualquer informação
ao desempenho de suas atividades. obtida em decorrência da quebra de sigilo de
que trata esta Lei Complementar responde
Art. 8o O cumprimento das exigências e pessoal e diretamente pelos danos decorrentes,
formalidades previstas nos artigos 4o, 6o e 7o, sem prejuízo da responsabilidade objetiva da
será expressamente declarado pelas
44
entidade pública, quando comprovado que o

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
servidor agiu de acordo com orientação oficial.
Art. 12. Esta Lei Complementar entra em Lei Geral de Proteção de Dados Pessoais
vigor na data de sua publicação. (LGPD). (Redação dada pela Lei nº 13.853,
de 2019) Vigência
Art. 13. Revoga-se o art. 38 da Lei no
4.595, de 31 de dezembro de 1964. O PRESIDENTE DA REPÚBLICA Faço
saber que o Congresso Nacional decreta e eu
sanciono a seguinte Lei:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Lei dispõe sobre o tratamento

de dados pessoais, inclusive nos meios digitais,
por pessoa natural ou por pessoa jurídica de
direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e
de privacidade e o livre desenvolvimento da
personalidade da pessoa natural.
Parágrafo único. As normas gerais

contidas nesta Lei são de interesse nacional e
devem ser observadas pela União, Estados,
Distrito Federal e Municípios. (Incluído pela
Lei nº 13.853, de 2019) Vigência
Art. 2º A disciplina da proteção de dados

pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de

informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da
honra e da imagem;
V - o desenvolvimento econômico e
tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e

a defesa do consumidor; e
VII - os direitos humanos, o livre

desenvolvimento da personalidade, a dignidade
45
e o exercício da cidadania pelas pessoas c) segurança do Estado; ou

naturais.
d) atividades de investigação e repressão
Art. 3º Esta Lei aplica-se a qualquer de infrações penais; ou
operação de tratamento realizada por pessoa
natural ou por pessoa jurídica de direito público IV - provenientes de fora do território
ou privado, independentemente do meio, do nacional e que não sejam objeto de
país de sua sede ou do país onde estejam comunicação, uso compartilhado de dados com
localizados os dados, desde que: agentes de tratamento brasileiros ou objeto de
transferência internacional de dados com outro
I - a operação de tratamento seja país que não o de proveniência, desde que o
realizada no território nacional; país de proveniência proporcione grau de
proteção de dados pessoais adequado ao
II - a atividade de tratamento tenha por previsto nesta Lei.
objetivo a oferta ou o fornecimento de bens ou
serviços ou o tratamento de dados de indivíduos § 1º O tratamento de dados pessoais
localizados no território nacional; ou previsto no inciso III será regido por legislação
(Redação dada pela Lei nº 13.853, de 2019) específica, que deverá prever medidas
Vigência proporcionais e estritamente necessárias ao
atendimento do interesse público, observados o
III - os dados pessoais objeto do devido processo legal, os princípios gerais de
tratamento tenham sido coletados no território proteção e os direitos do titular previstos nesta
nacional. Lei.
§ 1º Consideram-se coletados no território § 2º É vedado o tratamento dos dados a

nacional os dados pessoais cujo titular nele se que se refere o inciso III do caput deste artigo
encontre no momento da coleta. por pessoa de direito privado, exceto em
procedimentos sob tutela de pessoa jurídica de
§ 2º Excetua-se do disposto no inciso I
direito público, que serão objeto de informe
deste artigo o tratamento de dados previsto no
específico à autoridade nacional e que deverão
inciso IV do caput do art. 4º desta Lei.
observar a limitação imposta no § 4º deste
Art. 4º Esta Lei não se aplica ao artigo.
tratamento de dados pessoais:
§ 3º A autoridade nacional emitirá
I - realizado por pessoa natural para fins opiniões técnicas ou recomendações referentes
exclusivamente particulares e não econômicos; às exceções previstas no inciso III do caput
deste artigo e deverá solicitar aos responsáveis
II - realizado para fins exclusivamente: relatórios de impacto à proteção de dados
pessoais.
a) jornalístico e artísticos; ou
§ 4º Em nenhum caso a totalidade dos
b) acadêmicos, aplicando-se a esta dados pessoais de banco de dados de que trata
hipótese os arts. 7º e 11 desta Lei; o inciso III do caput deste artigo poderá ser
tratada por pessoa de direito privado, salvo por
III - realizado para fins exclusivos de: aquela que possua capital integralmente
constituído pelo poder público. (Redação
a) segurança pública;
dada pela Lei nº 13.853, de 2019) Vigência
b) defesa nacional;
Art. 5º Para os fins desta Lei,
considera-se:
46
I - dado pessoal: informação relacionada a controle da informação, modificação,

pessoa natural identificada ou identificável; comunicação, transferência, difusão ou
extração;
II - dado pessoal sensível: dado pessoal
sobre origem racial ou étnica, convicção XI - anonimização: utilização de meios
religiosa, opinião política, filiação a sindicato ou técnicos razoáveis e disponíveis no momento do
a organização de caráter religioso, filosófico ou tratamento, por meio dos quais um dado perde
político, dado referente à saúde ou à vida a possibilidade de associação, direta ou indireta,
sexual, dado genético ou biométrico, quando a um indivíduo;
vinculado a uma pessoa natural;
XII - consentimento: manifestação livre,
III - dado anonimizado: dado relativo a informada e inequívoca pela qual o titular
titular que não possa ser identificado, concorda com o tratamento de seus dados
considerando a utilização de meios técnicos pessoais para uma finalidade determinada;
razoáveis e disponíveis na ocasião de seu
tratamento; XIII - bloqueio: suspensão temporária de
qualquer operação de tratamento, mediante
IV - banco de dados: conjunto estruturado guarda do dado pessoal ou do banco de dados;
de dados pessoais, estabelecido em um ou em
vários locais, em suporte eletrônico ou físico; XIV - eliminação: exclusão de dado ou de
conjunto de dados armazenados em banco de
V - titular: pessoa natural a quem se dados, independentemente do procedimento
referem os dados pessoais que são objeto de empregado;
tratamento;
XV - transferência internacional de dados:
VI - controlador: pessoa natural ou transferência de dados pessoais para país
jurídica, de direito público ou privado, a quem estrangeiro ou organismo internacional do qual
competem as decisões referentes ao tratamento o país seja membro;
de dados pessoais;
XVI - uso compartilhado de dados:
VII - operador: pessoa natural ou jurídica, comunicação, difusão, transferência
de direito público ou privado, que realiza o internacional, interconexão de dados pessoais
tratamento de dados pessoais em nome do ou tratamento compartilhado de bancos de
controlador; dados pessoais por órgãos e entidades públicos
no cumprimento de suas competências legais,
VIII - encarregado: pessoa indicada pelo ou entre esses e entes privados,
controlador e operador para atuar como canal reciprocamente, com autorização específica,
de comunicação entre o controlador, os titulares para uma ou mais modalidades de tratamento
dos dados e a Autoridade Nacional de Proteção permitidas por esses entes públicos, ou entre
de Dados (ANPD); (Redação dada pela Lei nº entes privados;
13.853, de 2019) Vigência
XVII - relatório de impacto à proteção de
IX - agentes de tratamento: o controlador dados pessoais: documentação do controlador
e o operador; que contém a descrição dos processos de
tratamento de dados pessoais que podem gerar
X - tratamento: toda operação realizada
riscos às liberdades civis e aos direitos
com dados pessoais, como as que se referem a
fundamentais, bem como medidas,
coleta, produção, recepção, classificação,
salvaguardas e mecanismos de mitigação de
utilização, acesso, reprodução, transmissão,
risco;
distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou
47
XVIII - órgão de pesquisa: órgão ou os respectivos agentes de tratamento,

entidade da administração pública direta ou observados os segredos comercial e industrial;
indireta ou pessoa jurídica de direito privado
sem fins lucrativos legalmente constituída sob VII - segurança: utilização de medidas
as leis brasileiras, com sede e foro no País, que técnicas e administrativas aptas a proteger os
inclua em sua missão institucional ou em seu dados pessoais de acessos não autorizados e
objetivo social ou estatutário a pesquisa básica de situações acidentais ou ilícitas de destruição,
ou aplicada de caráter histórico, científico, perda, alteração, comunicação ou difusão;
tecnológico ou estatístico; e (Redação dada
VIII - prevenção: adoção de medidas para
pela Lei nº 13.853, de 2019) Vigência
prevenir a ocorrência de danos em virtude do
XIX - autoridade nacional: órgão da tratamento de dados pessoais;
administração pública responsável por zelar,
IX - não discriminação: impossibilidade de
implementar e fiscalizar o cumprimento desta
realização do tratamento para fins
Lei em todo o território nacional. (Redação
discriminatórios ilícitos ou abusivos;
dada pela Lei nº 13.853, de 2019) Vigência
X - responsabilização e prestação de
Art. 6º As atividades de tratamento de
contas: demonstração, pelo agente, da adoção
dados pessoais deverão observar a boa-fé e os
de medidas eficazes e capazes de comprovar a
seguintes princípios:
observância e o cumprimento das normas de
I - finalidade: realização do tratamento proteção de dados pessoais e, inclusive, da
para propósitos legítimos, específicos, explícitos eficácia dessas medidas.
e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com CAPÍTULO II
essas finalidades;
DO TRATAMENTO DE DADOS PESSOAIS
II - adequação: compatibilidade do
tratamento com as finalidades informadas ao
Seção I
titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento Dos Requisitos para o Tratamento de Dados

ao mínimo necessário para a realização de suas Pessoais
finalidades, com abrangência dos dados
pertinentes, proporcionais e não excessivos em Art. 7º O tratamento de dados pessoais
relação às finalidades do tratamento de dados; somente poderá ser realizado nas seguintes
hipóteses:
IV - livre acesso: garantia, aos titulares, de
consulta facilitada e gratuita sobre a forma e a I - mediante o fornecimento de
duração do tratamento, bem como sobre a consentimento pelo titular;
integralidade de seus dados pessoais;
II - para o cumprimento de obrigação legal
V - qualidade dos dados: garantia, aos ou regulatória pelo controlador;
titulares, de exatidão, clareza, relevância e
III - pela administração pública, para o
atualização dos dados, de acordo com a
tratamento e uso compartilhado de dados
necessidade e para o cumprimento da finalidade
necessários à execução de políticas públicas
de seu tratamento;
previstas em leis e regulamentos ou
VI - transparência: garantia, aos titulares, respaldadas em contratos, convênios ou
de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e
48
instrumentos congêneres, observadas as § 5º O controlador que obteve o

disposições do Capítulo IV desta Lei; consentimento referido no inciso I do caput
deste artigo que necessitar comunicar ou
IV - para a realização de estudos por compartilhar dados pessoais com outros
órgão de pesquisa, garantida, sempre que controladores deverá obter consentimento
possível, a anonimização dos dados pessoais; específico do titular para esse fim, ressalvadas
as hipóteses de dispensa do consentimento
V - quando necessário para a execução
previstas nesta Lei.
de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o § 6º A eventual dispensa da exigência do
titular, a pedido do titular dos dados; consentimento não desobriga os agentes de
tratamento das demais obrigações previstas
VI - para o exercício regular de direitos em
nesta Lei, especialmente da observância dos
processo judicial, administrativo ou arbitral, esse
princípios gerais e da garantia dos direitos do
último nos termos da Lei nº 9.307, de 23 de
titular.
setembro de 1996 (Lei de Arbitragem) ;
§ 7º O tratamento posterior dos dados
VII - para a proteção da vida ou da
pessoais a que se referem os §§ 3º e 4º deste
incolumidade física do titular ou de terceiro;
artigo poderá ser realizado para novas
VIII - para a tutela da saúde, finalidades, desde que observados os
exclusivamente, em procedimento realizado por propósitos legítimos e específicos para o novo
profissionais de saúde, serviços de saúde ou tratamento e a preservação dos direitos do
autoridade sanitária; (Redação dada pela Lei titular, assim como os fundamentos e os
nº 13.853, de 2019) Vigência princípios previstos nesta Lei. (Incluído pela
IX - quando necessário para atender aos
interesses legítimos do controlador ou de Art. 8º O consentimento previsto no inciso
terceiro, exceto no caso de prevalecerem I do art. 7º desta Lei deverá ser fornecido por
direitos e liberdades fundamentais do titular que escrito ou por outro meio que demonstre a
exijam a proteção dos dados pessoais; ou manifestação de vontade do titular.
X - para a proteção do crédito, inclusive § 1º Caso o consentimento seja fornecido

quanto ao disposto na legislação pertinente. por escrito, esse deverá constar de cláusula
destacada das demais cláusulas contratuais.
§ 1º (Revogado). (Redação
dada pela Lei nº 13.853, de 2019) § 2º Cabe ao controlador o ônus da prova
de que o consentimento foi obtido em
§ 2º (Revogado). (Redação dada pela conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados
§ 3º O tratamento de dados pessoais cujo pessoais mediante vício de consentimento.
acesso é público deve considerar a finalidade, a
boa-fé e o interesse público que justificaram sua § 4º O consentimento deverá referir-se a
disponibilização. finalidades determinadas, e as autorizações
genéricas para o tratamento de dados pessoais
§ 4º É dispensada a exigência do serão nulas.
consentimento previsto no caput deste artigo
para os dados tornados manifestamente § 5º O consentimento pode ser revogado
públicos pelo titular, resguardados os direitos do a qualquer momento mediante manifestação
titular e os princípios previstos nesta Lei. expressa do titular, por procedimento gratuito e
facilitado, ratificados os tratamentos realizados
49
sob amparo do consentimento anteriormente para o tratamento de dados pessoais não

manifestado enquanto não houver requerimento compatíveis com o consentimento original, o
de eliminação, nos termos do inciso VI do caput controlador deverá informar previamente o
do art. 18 desta Lei. titular sobre as mudanças de finalidade,
podendo o titular revogar o consentimento, caso
§ 6º Em caso de alteração de informação discorde das alterações.
referida nos incisos I, II, III ou V do art. 9º desta
Lei, o controlador deverá informar ao titular, com § 3º Quando o tratamento de dados
destaque de forma específica do teor das pessoais for condição para o fornecimento de
alterações, podendo o titular, nos casos em que produto ou de serviço ou para o exercício de
o seu consentimento é exigido, revogá-lo caso direito, o titular será informado com destaque
discorde da alteração. sobre esse fato e sobre os meios pelos quais
poderá exercer os direitos do titular elencados
Art. 9º O titular tem direito ao acesso no art. 18 desta Lei.
facilitado às informações sobre o tratamento de
seus dados, que deverão ser disponibilizadas Art. 10. O legítimo interesse do
de forma clara, adequada e ostensiva acerca controlador somente poderá fundamentar
de, entre outras características previstas em tratamento de dados pessoais para finalidades
regulamentação para o atendimento do princípio legítimas, consideradas a partir de situações
do livre acesso: concretas, que incluem, mas não se limitam a:
I - finalidade específica do tratamento; I - apoio e promoção de atividades do

controlador; e
II - forma e duração do tratamento,
observados os segredos comercial e industrial; II - proteção, em relação ao titular, do
exercício regular de seus direitos ou prestação
III - identificação do controlador; de serviços que o beneficiem, respeitadas as
legítimas expectativas dele e os direitos e
IV - informações de contato do
liberdades fundamentais, nos termos desta Lei.
controlador;
§ 1º Quando o tratamento for baseado no
V - informações acerca do uso
legítimo interesse do controlador, somente os
compartilhado de dados pelo controlador e a
dados pessoais estritamente necessários para a
finalidade;
finalidade pretendida poderão ser tratados.
VI - responsabilidades dos agentes que
§ 2º O controlador deverá adotar medidas
realizarão o tratamento; e
para garantir a transparência do tratamento de
VII - direitos do titular, com menção dados baseado em seu legítimo interesse.
explícita aos direitos contidos no art. 18 desta
§ 3º A autoridade nacional poderá solicitar
Lei.
ao controlador relatório de impacto à proteção
§ 1º Na hipótese em que o consentimento de dados pessoais, quando o tratamento tiver
é requerido, esse será considerado nulo caso as como fundamento seu interesse legítimo,
informações fornecidas ao titular tenham observados os segredos comercial e industrial.
conteúdo enganoso ou abusivo ou não tenham
sido apresentadas previamente com Seção II
transparência, de forma clara e inequívoca.
Do Tratamento de Dados Pessoais Sensíveis
§ 2º Na hipótese em que o consentimento
é requerido, se houver mudanças da finalidade
50
Art. 11. O tratamento de dados pessoais causar dano ao titular, ressalvado o disposto em
sensíveis somente poderá ocorrer nas seguintes legislação específica.
hipóteses:
§ 2º Nos casos de aplicação do disposto
I - quando o titular ou seu responsável nas alíneas “a” e “b” do inciso II do caput deste
legal consentir, de forma específica e artigo pelos órgãos e pelas entidades públicas,
destacada, para finalidades específicas; será dada publicidade à referida dispensa de
consentimento, nos termos do inciso I do caput
II - sem fornecimento de consentimento do do art. 23 desta Lei.
titular, nas hipóteses em que for indispensável
para: § 3º A comunicação ou o uso
compartilhado de dados pessoais sensíveis
a) cumprimento de obrigação legal ou entre controladores com objetivo de obter
regulatória pelo controlador; vantagem econômica poderá ser objeto de
vedação ou de regulamentação por parte da
b) tratamento compartilhado de dados
autoridade nacional, ouvidos os órgãos setoriais
necessários à execução, pela administração
do Poder Público, no âmbito de suas
pública, de políticas públicas previstas em leis
competências.
ou regulamentos;
§ 4º É vedada a comunicação ou o uso
c) realização de estudos por órgão de
compartilhado entre controladores de dados
pesquisa, garantida, sempre que possível, a
pessoais sensíveis referentes à saúde com
anonimização dos dados pessoais sensíveis;
objetivo de obter vantagem econômica, exceto
d) exercício regular de direitos, inclusive nas hipóteses relativas a prestação de serviços
em contrato e em processo judicial, de saúde, de assistência farmacêutica e de
administrativo e arbitral, este último nos termos assistência à saúde, desde que observado o §
da Lei nº 9.307, de 23 de setembro de 1996 (Lei 5º deste artigo, incluídos os serviços auxiliares
de Arbitragem) ; de diagnose e terapia, em benefício dos
interesses dos titulares de dados, e para
e) proteção da vida ou da incolumidade permitir: (Redação dada pela Lei nº 13.853,
física do titular ou de terceiro; de 2019) Vigência
f) tutela da saúde, exclusivamente, em I - a portabilidade de dados quando

procedimento realizado por profissionais de solicitada pelo titular; ou (Incluído pela
saúde, serviços de saúde ou autoridade Lei nº 13.853, de 2019) Vigência
sanitária; ou (Redação dada pela Lei nº
13.853, de 2019) Vigência II - as transações financeiras e
administrativas resultantes do uso e da
g) garantia da prevenção à fraude e à prestação dos serviços de que trata este
segurança do titular, nos processos de parágrafo. (Incluído pela Lei nº 13.853,
identificação e autenticação de cadastro em de 2019) Vigência
sistemas eletrônicos, resguardados os direitos
mencionados no art. 9º desta Lei e exceto no § 5º É vedado às operadoras de planos
caso de prevalecerem direitos e liberdades privados de assistência à saúde o tratamento de
fundamentais do titular que exijam a proteção dados de saúde para a prática de seleção de
dos dados pessoais. riscos na contratação de qualquer modalidade,
assim como na contratação e exclusão de
§ 1º Aplica-se o disposto neste artigo a beneficiários. (Incluído pela Lei nº
qualquer tratamento de dados pessoais que 13.853, de 2019) Vigência
revele dados pessoais sensíveis e que possa
51
Art. 12. Os dados anonimizados não serão em circunstância alguma, a transferência dos
considerados dados pessoais para os fins desta dados a terceiro.
Lei, salvo quando o processo de anonimização
ao qual foram submetidos for revertido, § 3º O acesso aos dados de que trata este
utilizando exclusivamente meios próprios, ou artigo será objeto de regulamentação por parte
quando, com esforços razoáveis, puder ser da autoridade nacional e das autoridades da
revertido. área de saúde e sanitárias, no âmbito de suas
competências.
§ 1º A determinação do que seja razoável
deve levar em consideração fatores objetivos, § 4º Para os efeitos deste artigo, a
tais como custo e tempo necessários para pseudonimização é o tratamento por meio do
reverter o processo de anonimização, de acordo qual um dado perde a possibilidade de
com as tecnologias disponíveis, e a utilização associação, direta ou indireta, a um indivíduo,
exclusiva de meios próprios. senão pelo uso de informação adicional mantida
separadamente pelo controlador em ambiente
§ 2º Poderão ser igualmente considerados controlado e seguro.
como dados pessoais, para os fins desta Lei,
aqueles utilizados para formação do perfil Seção III
comportamental de determinada pessoa natural,
se identificada. Do Tratamento de Dados Pessoais de Crianças
e de Adolescentes
§ 3º A autoridade nacional poderá dispor
sobre padrões e técnicas utilizados em
Art. 14. O tratamento de dados pessoais
processos de anonimização e realizar
de crianças e de adolescentes deverá ser
verificações acerca de sua segurança, ouvido o
realizado em seu melhor interesse, nos termos
Conselho Nacional de Proteção de Dados
deste artigo e da legislação pertinente.
Pessoais.
§ 1º O tratamento de dados pessoais de
Art. 13. Na realização de estudos em
crianças deverá ser realizado com o
saúde pública, os órgãos de pesquisa poderão
consentimento específico e em destaque dado
ter acesso a bases de dados pessoais, que
por pelo menos um dos pais ou pelo
serão tratados exclusivamente dentro do órgão
responsável legal.
e estritamente para a finalidade de realização
de estudos e pesquisas e mantidos em
§ 2º No tratamento de dados de que trata
ambiente controlado e seguro, conforme
o § 1º deste artigo, os controladores deverão
práticas de segurança previstas em
manter pública a informação sobre os tipos de
regulamento específico e que incluam, sempre
dados coletados, a forma de sua utilização e os
que possível, a anonimização ou
procedimentos para o exercício dos direitos a
pseudonimização dos dados, bem como
que se refere o art. 18 desta Lei.
considerem os devidos padrões éticos
relacionados a estudos e pesquisas. § 3º Poderão ser coletados dados
pessoais de crianças sem o consentimento a
§ 1º A divulgação dos resultados ou de
que se refere o § 1º deste artigo quando a
qualquer excerto do estudo ou da pesquisa de
coleta for necessária para contatar os pais ou o
que trata o caput deste artigo em nenhuma
responsável legal, utilizados uma única vez e
hipótese poderá revelar dados pessoais.
sem armazenamento, ou para sua proteção, e
em nenhum caso poderão ser repassados a
§ 2º O órgão de pesquisa será o
terceiro sem o consentimento de que trata o § 1º
responsável pela segurança da informação
deste artigo.
prevista no caput deste artigo, não permitida,
52
§ 4º Os controladores não deverão autorizada a conservação para as seguintes

condicionar a participação dos titulares de que finalidades:
trata o § 1º deste artigo em jogos, aplicações de
internet ou outras atividades ao fornecimento de I - cumprimento de obrigação legal ou
informações pessoais além das estritamente regulatória pelo controlador;
necessárias à atividade.
II - estudo por órgão de pesquisa,
§ 5º O controlador deve realizar todos os garantida, sempre que possível, a anonimização
esforços razoáveis para verificar que o dos dados pessoais;
consentimento a que se refere o § 1º deste
III - transferência a terceiro, desde que
artigo foi dado pelo responsável pela criança,
respeitados os requisitos de tratamento de
consideradas as tecnologias disponíveis.
dados dispostos nesta Lei; ou
§ 6º As informações sobre o tratamento
IV - uso exclusivo do controlador, vedado
de dados referidas neste artigo deverão ser
seu acesso por terceiro, e desde que
fornecidas de maneira simples, clara e
anonimizados os dados.
acessível, consideradas as características
físico-motoras, perceptivas, sensoriais,
intelectuais e mentais do usuário, com uso de CAPÍTULO III
recursos audiovisuais quando adequado, de
forma a proporcionar a informação necessária DOS DIREITOS DO TITULAR
aos pais ou ao responsável legal e adequada ao
entendimento da criança. Art. 17. Toda pessoa natural tem
assegurada a titularidade de seus dados
Seção IV pessoais e garantidos os direitos fundamentais
de liberdade, de intimidade e de privacidade,
Do Término do Tratamento de Dados nos termos desta Lei.
Art. 18. O titular dos dados pessoais tem

Art. 15. O término do tratamento de dados direito a obter do controlador, em relação aos
pessoais ocorrerá nas seguintes hipóteses: dados do titular por ele tratados, a qualquer
momento e mediante requisição:
I - verificação de que a finalidade foi
alcançada ou de que os dados deixaram de ser I - confirmação da existência de
necessários ou pertinentes ao alcance da tratamento;
finalidade específica almejada;
II - acesso aos dados;
II - fim do período de tratamento;
III - correção de dados incompletos,
III - comunicação do titular, inclusive no inexatos ou desatualizados;
exercício de seu direito de revogação do
consentimento conforme disposto no § 5º do art. IV - anonimização, bloqueio ou eliminação
8º desta Lei, resguardado o interesse público; de dados desnecessários, excessivos ou
ou tratados em desconformidade com o disposto
nesta Lei;
IV - determinação da autoridade nacional,
quando houver violação ao disposto nesta Lei. V - portabilidade dos dados a outro
fornecedor de serviço ou produto, mediante
Art. 16. Os dados pessoais serão requisição expressa, de acordo com a
eliminados após o término de seu tratamento, regulamentação da autoridade nacional,
no âmbito e nos limites técnicos das atividades, observados os segredos comercial e industrial;
53
(Redação dada pela Lei nº 13.853, de 2019) com os quais tenha realizado uso compartilhado
Vigência de dados a correção, a eliminação, a
anonimização ou o bloqueio dos dados, para
VI - eliminação dos dados pessoais que repitam idêntico procedimento, exceto nos
tratados com o consentimento do titular, exceto casos em que esta comunicação seja
nas hipóteses previstas no art. 16 desta Lei; comprovadamente impossível ou implique
esforço desproporcional. (Redação dada
VII - informação das entidades públicas e
privadas com as quais o controlador realizou
uso compartilhado de dados; § 7º A portabilidade dos dados pessoais a
que se refere o inciso V do caput deste artigo
VIII - informação sobre a possibilidade de
não inclui dados que já tenham sido
não fornecer consentimento e sobre as
anonimizados pelo controlador.
consequências da negativa;
§ 8º O direito a que se refere o § 1º deste
IX - revogação do consentimento, nos
artigo também poderá ser exercido perante os
termos do § 5º do art. 8º desta Lei.
organismos de defesa do consumidor.
§ 1º O titular dos dados pessoais tem o
Art. 19. A confirmação de existência ou o
direito de peticionar em relação aos seus dados
acesso a dados pessoais serão providenciados,
contra o controlador perante a autoridade
mediante requisição do titular:
nacional.
I - em formato simplificado,
§ 2º O titular pode opor-se a tratamento
imediatamente; ou
realizado com fundamento em uma das
hipóteses de dispensa de consentimento, em II - por meio de declaração clara e
caso de descumprimento ao disposto nesta Lei. completa, que indique a origem dos dados, a
inexistência de registro, os critérios utilizados e
§ 3º Os direitos previstos neste artigo
a finalidade do tratamento, observados os
serão exercidos mediante requerimento
segredos comercial e industrial, fornecida no
expresso do titular ou de representante
prazo de até 15 (quinze) dias, contado da data
legalmente constituído, a agente de tratamento.
do requerimento do titular.
§ 4º Em caso de impossibilidade de
§ 1º Os dados pessoais serão
adoção imediata da providência de que trata o §
armazenados em formato que favoreça o
3º deste artigo, o controlador enviará ao titular
exercício do direito de acesso.
resposta em que poderá:
§ 2º As informações e os dados poderão
I - comunicar que não é agente de
ser fornecidos, a critério do titular:
tratamento dos dados e indicar, sempre que
possível, o agente; ou I - por meio eletrônico, seguro e idôneo
para esse fim; ou
II - indicar as razões de fato ou de direito
que impedem a adoção imediata da providência. II - sob forma impressa.
§ 5º O requerimento referido no § 3º deste § 3º Quando o tratamento tiver origem no

artigo será atendido sem custos para o titular, consentimento do titular ou em contrato, o titular
nos prazos e nos termos previstos em poderá solicitar cópia eletrônica integral de seus
regulamento. dados pessoais, observados os segredos
comercial e industrial, nos termos de
§ 6º O responsável deverá informar, de
regulamentação da autoridade nacional, em
maneira imediata, aos agentes de tratamento
54
formato que permita a sua utilização DO TRATAMENTO DE DADOS PESSOAIS

subsequente, inclusive em outras operações de PELO PODER PÚBLICO
tratamento.
Seção I
de forma diferenciada acerca dos prazos
Das Regras
previstos nos incisos I e II do caput deste artigo
para os setores específicos.
Art. 23. O tratamento de dados pessoais
Art. 20. O titular dos dados tem direito a pelas pessoas jurídicas de direito público
solicitar a revisão de decisões tomadas referidas no parágrafo único do art. 1º da Lei nº
unicamente com base em tratamento 12.527, de 18 de novembro de 2011 (Lei de
automatizado de dados pessoais que afetem Acesso à Informação) , deverá ser realizado
seus interesses, incluídas as decisões para o atendimento de sua finalidade pública, na
destinadas a definir o seu perfil pessoal, persecução do interesse público, com o objetivo
profissional, de consumo e de crédito ou os de executar as competências legais ou cumprir
aspectos de sua personalidade. (Redação as atribuições legais do serviço público, desde
dada pela Lei nº 13.853, de 2019) Vigência que:
§ 1º O controlador deverá fornecer, I - sejam informadas as hipóteses em que,

sempre que solicitadas, informações claras e no exercício de suas competências, realizam o
adequadas a respeito dos critérios e dos tratamento de dados pessoais, fornecendo
procedimentos utilizados para a decisão informações claras e atualizadas sobre a
automatizada, observados os segredos previsão legal, a finalidade, os procedimentos e
comercial e industrial. as práticas utilizadas para a execução dessas
atividades, em veículos de fácil acesso,
§ 2º Em caso de não oferecimento de preferencialmente em seus sítios eletrônicos;
informações de que trata o § 1º deste artigo
baseado na observância de segredo comercial e II - (VETADO); e
industrial, a autoridade nacional poderá realizar
III - seja indicado um encarregado quando
auditoria para verificação de aspectos
realizarem operações de tratamento de dados
discriminatórios em tratamento automatizado de
pessoais, nos termos do art. 39 desta Lei; e
dados pessoais.
§ 3º (VETADO). (Incluído pela Lei nº Vigência
13.853, de 2019) Vigência
IV - (VETADO). (Incluído pela Lei nº
Art. 21. Os dados pessoais referentes ao 13.853, de 2019) Vigência
exercício regular de direitos pelo titular não
podem ser utilizados em seu prejuízo.
sobre as formas de publicidade das operações
Art. 22. A defesa dos interesses e dos de tratamento.
direitos dos titulares de dados poderá ser
§ 2º O disposto nesta Lei não dispensa as
exercida em juízo, individual ou coletivamente,
pessoas jurídicas mencionadas no caput deste
na forma do disposto na legislação pertinente,
artigo de instituir as autoridades de que trata a
acerca dos instrumentos de tutela individual e
Lei nº 12.527, de 18 de novembro de 2011 (Lei
coletiva.
de Acesso à Informação) .
CAPÍTULO IV § 3º Os prazos e procedimentos para

exercício dos direitos do titular perante o Poder
55
Público observarão o disposto em legislação proteção de dados pessoais elencados no art.

específica, em especial as disposições 6º desta Lei.
constantes da Lei nº 9.507, de 12 de novembro
de 1997 (Lei do Habeas Data) , da Lei nº 9.784, § 1º É vedado ao Poder Público transferir
de 29 de janeiro de 1999 (Lei Geral do Processo a entidades privadas dados pessoais constantes
Administrativo) , e da Lei nº 12.527, de 18 de de bases de dados a que tenha acesso, exceto:
novembro de 2011 (Lei de Acesso à Informação)
I - em casos de execução descentralizada
.
de atividade pública que exija a transferência,
§ 4º Os serviços notariais e de registro exclusivamente para esse fim específico e
exercidos em caráter privado, por delegação do determinado, observado o disposto na Lei nº
Poder Público, terão o mesmo tratamento 12.527, de 18 de novembro de 2011 (Lei de
dispensado às pessoas jurídicas referidas no Acesso à Informação) ;
caput deste artigo, nos termos desta Lei.
II - (VETADO);
§ 5º Os órgãos notariais e de registro
IV - quando houver previsão legal ou a
devem fornecer acesso aos dados por meio
transferência for respaldada em contratos,
eletrônico para a administração pública, tendo
convênios ou instrumentos congêneres; ou
em vista as finalidades de que trata o caput
deste artigo.
V - na hipótese de a transferência dos
Art. 24. As empresas públicas e as
dados objetivar exclusivamente a prevenção de
sociedades de economia mista que atuam em
fraudes e irregularidades, ou proteger e
regime de concorrência, sujeitas ao disposto no
resguardar a segurança e a integridade do
art. 173 da Constituição Federal , terão o
titular dos dados, desde que vedado o
mesmo tratamento dispensado às pessoas
tratamento para outras finalidades. (Incluído
jurídicas de direito privado particulares, nos
termos desta Lei.
§ 2º Os contratos e convênios de que trata
Parágrafo único. As empresas públicas e
o § 1º deste artigo deverão ser comunicados à
as sociedades de economia mista, quando
autoridade nacional.
estiverem operacionalizando políticas públicas e
no âmbito da execução delas, terão o mesmo Art. 27. A comunicação ou o uso
tratamento dispensado aos órgãos e às compartilhado de dados pessoais de pessoa
entidades do Poder Público, nos termos deste jurídica de direito público a pessoa de direito
Capítulo. privado será informado à autoridade nacional e
dependerá de consentimento do titular, exceto:
Art. 25. Os dados deverão ser mantidos
em formato interoperável e estruturado para o I - nas hipóteses de dispensa de
uso compartilhado, com vistas à execução de consentimento previstas nesta Lei;
políticas públicas, à prestação de serviços
públicos, à descentralização da atividade II - nos casos de uso compartilhado de
pública e à disseminação e ao acesso das dados, em que será dada publicidade nos
informações pelo público em geral. termos do inciso I do caput do art. 23 desta Lei;
ou
Art. 26. O uso compartilhado de dados
pessoais pelo Poder Público deve atender a III - nas exceções constantes do § 1º do
finalidades específicas de execução de políticas art. 26 desta Lei.
públicas e atribuição legal pelos órgãos e pelas
entidades públicas, respeitados os princípios de
56
Parágrafo único. A informação à Art. 33. A transferência internacional de

autoridade nacional de que trata o caput deste dados pessoais somente é permitida nos
artigo será objeto de regulamentação. seguintes casos:
Vigência I - para países ou organismos
internacionais que proporcionem grau de
Art. 28. (VETADO). proteção de dados pessoais adequado ao
previsto nesta Lei;
Art. 29. A autoridade nacional poderá
solicitar, a qualquer momento, aos órgãos e às II - quando o controlador oferecer e
entidades do poder público a realização de comprovar garantias de cumprimento dos
operações de tratamento de dados pessoais, princípios, dos direitos do titular e do regime de
informações específicas sobre o âmbito e a proteção de dados previstos nesta Lei, na forma
natureza dos dados e outros detalhes do de:
tratamento realizado e poderá emitir parecer
técnico complementar para garantir o a) cláusulas contratuais específicas para
cumprimento desta Lei. (Redação dada determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
estabelecer normas complementares para as
atividades de comunicação e de uso d) selos, certificados e códigos de conduta
compartilhado de dados pessoais. regularmente emitidos;
Seção II III - quando a transferência for necessária

para a cooperação jurídica internacional entre
Da Responsabilidade órgãos públicos de inteligência, de investigação
e de persecução, de acordo com os
Art. 31. Quando houver infração a esta Lei instrumentos de direito internacional;
em decorrência do tratamento de dados
IV - quando a transferência for necessária
pessoais por órgãos públicos, a autoridade
para a proteção da vida ou da incolumidade
nacional poderá enviar informe com medidas
física do titular ou de terceiro;
cabíveis para fazer cessar a violação.
V - quando a autoridade nacional autorizar
a transferência;
solicitar a agentes do Poder Público a
publicação de relatórios de impacto à proteção VI - quando a transferência resultar em
de dados pessoais e sugerir a adoção de compromisso assumido em acordo de
padrões e de boas práticas para os tratamentos cooperação internacional;
de dados pessoais pelo Poder Público.
VII - quando a transferência for necessária
CAPÍTULO V para a execução de política pública ou
atribuição legal do serviço público, sendo dada
DA TRANSFERÊNCIA INTERNACIONAL DE publicidade nos termos do inciso I do caput do
DADOS art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu

consentimento específico e em destaque para a
transferência, com informação prévia sobre o
57
caráter internacional da operação, distinguindo do caput do art. 33 desta Lei, será realizada
claramente esta de outras finalidades; ou pela autoridade nacional.
IX - quando necessário para atender as § 1º Para a verificação do disposto no

hipóteses previstas nos incisos II, V e VI do art. caput deste artigo, deverão ser considerados os
7º desta Lei. requisitos, as condições e as garantias mínimas
para a transferência que observem os direitos,
Parágrafo único. Para os fins do inciso I as garantias e os princípios desta Lei.
deste artigo, as pessoas jurídicas de direito
público referidas no parágrafo único do art. 1º § 2º Na análise de cláusulas contratuais,
da Lei nº 12.527, de 18 de novembro de 2011 de documentos ou de normas corporativas
(Lei de Acesso à Informação) , no âmbito de globais submetidas à aprovação da autoridade
suas competências legais, e responsáveis, no nacional, poderão ser requeridas informações
âmbito de suas atividades, poderão requerer à suplementares ou realizadas diligências de
autoridade nacional a avaliação do nível de verificação quanto às operações de tratamento,
proteção a dados pessoais conferido por país quando necessário.
ou organismo internacional.
§ 3º A autoridade nacional poderá
Art. 34. O nível de proteção de dados do designar organismos de certificação para a
país estrangeiro ou do organismo internacional realização do previsto no caput deste artigo, que
mencionado no inciso I do caput do art. 33 desta permanecerão sob sua fiscalização nos termos
Lei será avaliado pela autoridade nacional, que definidos em regulamento.
levará em consideração:
§ 4º Os atos realizados por organismo de
I - as normas gerais e setoriais da certificação poderão ser revistos pela autoridade
legislação em vigor no país de destino ou no nacional e, caso em desconformidade com esta
organismo internacional; Lei, submetidos a revisão ou anulados.
II - a natureza dos dados; § 5º As garantias suficientes de

observância dos princípios gerais de proteção e
III - a observância dos princípios gerais de dos direitos do titular referidas no caput deste
proteção de dados pessoais e direitos dos artigo serão também analisadas de acordo com
titulares previstos nesta Lei; as medidas técnicas e organizacionais adotadas
pelo operador, de acordo com o previsto nos §§
IV - a adoção de medidas de segurança
1º e 2º do art. 46 desta Lei.
previstas em regulamento;
Art. 36. As alterações nas garantias
V - a existência de garantias judiciais e
apresentadas como suficientes de observância
institucionais para o respeito aos direitos de
dos princípios gerais de proteção e dos direitos
proteção de dados pessoais; e
do titular referidas no inciso II do art. 33 desta
VI - outras circunstâncias específicas Lei deverão ser comunicadas à autoridade
relativas à transferência. nacional.
Art. 35. A definição do conteúdo de CAPÍTULO VI

cláusulas-padrão contratuais, bem como a
verificação de cláusulas contratuais específicas DOS AGENTES DE TRATAMENTO DE DADOS
para uma determinada transferência, normas PESSOAIS
corporativas globais ou selos, certificados e
códigos de conduta, a que se refere o inciso II Seção I
58
Do Controlador e do Operador preferencialmente no sítio eletrônico do

controlador.
Art. 37. O controlador e o operador devem
manter registro das operações de tratamento de § 2º As atividades do encarregado
dados pessoais que realizarem, especialmente consistem em:
quando baseado no legítimo interesse.
I - aceitar reclamações e comunicações
Art. 38. A autoridade nacional poderá dos titulares, prestar esclarecimentos e adotar
determinar ao controlador que elabore relatório providências;
de impacto à proteção de dados pessoais,
II - receber comunicações da autoridade
inclusive de dados sensíveis, referente a suas
nacional e adotar providências;
operações de tratamento de dados, nos termos
de regulamento, observados os segredos III - orientar os funcionários e os
comercial e industrial. contratados da entidade a respeito das práticas
a serem tomadas em relação à proteção de
Parágrafo único. Observado o disposto no
dados pessoais; e
caput deste artigo, o relatório deverá conter, no
mínimo, a descrição dos tipos de dados IV - executar as demais atribuições
coletados, a metodologia utilizada para a coleta determinadas pelo controlador ou estabelecidas
e para a garantia da segurança das informações em normas complementares.
e a análise do controlador com relação a
medidas, salvaguardas e mecanismos de § 3º A autoridade nacional poderá
mitigação de risco adotados. estabelecer normas complementares sobre a
definição e as atribuições do encarregado,
Art. 39. O operador deverá realizar o inclusive hipóteses de dispensa da necessidade
tratamento segundo as instruções fornecidas de sua indicação, conforme a natureza e o porte
pelo controlador, que verificará a observância da entidade ou o volume de operações de
das próprias instruções e das normas sobre a tratamento de dados.
matéria.
§ 4º (VETADO). (Incluído pela Lei nº
Art. 40. A autoridade nacional poderá 13.853, de 2019) Vigência
dispor sobre padrões de interoperabilidade para
fins de portabilidade, livre acesso aos dados e
Seção III
segurança, assim como sobre o tempo de
guarda dos registros, tendo em vista
Da Responsabilidade e do Ressarcimento de
especialmente a necessidade e a transparência.
Danos
Seção II
Art. 42. O controlador ou o operador que,
em razão do exercício de atividade de
Do Encarregado pelo Tratamento de Dados tratamento de dados pessoais, causar a outrem
Pessoais dano patrimonial, moral, individual ou coletivo,
em violação à legislação de proteção de dados
Art. 41. O controlador deverá indicar pessoais, é obrigado a repará-lo.
encarregado pelo tratamento de dados
pessoais. § 1º A fim de assegurar a efetiva
indenização ao titular dos dados:
§ 1º A identidade e as informações de
contato do encarregado deverão ser divulgadas I - o operador responde solidariamente
publicamente, de forma clara e objetiva, pelos danos causados pelo tratamento quando
descumprir as obrigações da legislação de
59
proteção de dados ou quando não tiver seguido que o titular dele pode esperar, consideradas as
as instruções lícitas do controlador, hipótese em circunstâncias relevantes, entre as quais:
que o operador equipara-se ao controlador,
salvo nos casos de exclusão previstos no art. 43 I - o modo pelo qual é realizado;
desta Lei;
II - o resultado e os riscos que
II - os controladores que estiverem razoavelmente dele se esperam;
diretamente envolvidos no tratamento do qual
III - as técnicas de tratamento de dados
decorreram danos ao titular dos dados
pessoais disponíveis à época em que foi
respondem solidariamente, salvo nos casos de
realizado.
exclusão previstos no art. 43 desta Lei.
Parágrafo único. Responde pelos danos
§ 2º O juiz, no processo civil, poderá
decorrentes da violação da segurança dos
inverter o ônus da prova a favor do titular dos
dados o controlador ou o operador que, ao
dados quando, a seu juízo, for verossímil a
deixar de adotar as medidas de segurança
alegação, houver hipossuficiência para fins de
previstas no art. 46 desta Lei, der causa ao
produção de prova ou quando a produção de
dano.
prova pelo titular resultar-lhe excessivamente
onerosa. Art. 45. As hipóteses de violação do direito
do titular no âmbito das relações de consumo
§ 3º As ações de reparação por danos
permanecem sujeitas às regras de
coletivos que tenham por objeto a
responsabilidade previstas na legislação
responsabilização nos termos do caput deste
pertinente.
artigo podem ser exercidas coletivamente em
juízo, observado o disposto na legislação
pertinente. CAPÍTULO VII
§ 4º Aquele que reparar o dano ao titular DA SEGURANÇA E DAS BOAS PRÁTICAS

tem direito de regresso contra os demais
responsáveis, na medida de sua participação no Seção I
evento danoso.
Da Segurança e do Sigilo de Dados
Art. 43. Os agentes de tratamento só não
serão responsabilizados quando provarem:
Art. 46. Os agentes de tratamento devem
I - que não realizaram o tratamento de adotar medidas de segurança, técnicas e
dados pessoais que lhes é atribuído; administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de
II - que, embora tenham realizado o situações acidentais ou ilícitas de destruição,
tratamento de dados pessoais que lhes é perda, alteração, comunicação ou qualquer
atribuído, não houve violação à legislação de forma de tratamento inadequado ou ilícito.
proteção de dados; ou
III - que o dano é decorrente de culpa sobre padrões técnicos mínimos para tornar
exclusiva do titular dos dados ou de terceiro. aplicável o disposto no caput deste artigo,
considerados a natureza das informações
Art. 44. O tratamento de dados pessoais tratadas, as características específicas do
será irregular quando deixar de observar a tratamento e o estado atual da tecnologia,
legislação ou quando não fornecer a segurança especialmente no caso de dados pessoais
60
sensíveis, assim como os princípios previstos II - medidas para reverter ou mitigar os

no caput do art. 6º desta Lei. efeitos do incidente.
§ 2º As medidas de que trata o caput § 3º No juízo de gravidade do incidente,

deste artigo deverão ser observadas desde a será avaliada eventual comprovação de que
fase de concepção do produto ou do serviço até foram adotadas medidas técnicas adequadas
a sua execução. que tornem os dados pessoais afetados
ininteligíveis, no âmbito e nos limites técnicos de
Art. 47. Os agentes de tratamento ou seus serviços, para terceiros não autorizados a
qualquer outra pessoa que intervenha em uma acessá-los.
das fases do tratamento obriga-se a garantir a
segurança da informação prevista nesta Lei em Art. 49. Os sistemas utilizados para o
relação aos dados pessoais, mesmo após o seu tratamento de dados pessoais devem ser
término. estruturados de forma a atender aos requisitos
de segurança, aos padrões de boas práticas e
Art. 48. O controlador deverá comunicar à de governança e aos princípios gerais previstos
autoridade nacional e ao titular a ocorrência de nesta Lei e às demais normas regulamentares.
incidente de segurança que possa acarretar
risco ou dano relevante aos titulares.
Seção II
§ 1º A comunicação será feita em prazo
razoável, conforme definido pela autoridade Das Boas Práticas e da Governança
nacional, e deverá mencionar, no mínimo:
Art. 50. Os controladores e operadores, no
I - a descrição da natureza dos dados âmbito de suas competências, pelo tratamento
pessoais afetados; de dados pessoais, individualmente ou por meio
de associações, poderão formular regras de
II - as informações sobre os titulares boas práticas e de governança que estabeleçam
envolvidos; as condições de organização, o regime de
funcionamento, os procedimentos, incluindo
III - a indicação das medidas técnicas e de
reclamações e petições de titulares, as normas
segurança utilizadas para a proteção dos dados,
de segurança, os padrões técnicos, as
observados os segredos comercial e industrial;
obrigações específicas para os diversos
IV - os riscos relacionados ao incidente; envolvidos no tratamento, as ações educativas,
os mecanismos internos de supervisão e de
V - os motivos da demora, no caso de a mitigação de riscos e outros aspectos
comunicação não ter sido imediata; e relacionados ao tratamento de dados pessoais.
VI - as medidas que foram ou que serão § 1º Ao estabelecer regras de boas

adotadas para reverter ou mitigar os efeitos do práticas, o controlador e o operador levarão em
prejuízo. consideração, em relação ao tratamento e aos
dados, a natureza, o escopo, a finalidade e a
§ 2º A autoridade nacional verificará a probabilidade e a gravidade dos riscos e dos
gravidade do incidente e poderá, caso benefícios decorrentes de tratamento de dados
necessário para a salvaguarda dos direitos dos do titular.
titulares, determinar ao controlador a adoção de
providências, tais como: § 2º Na aplicação dos princípios indicados
nos incisos VII e VIII do caput do art. 6º desta
I - ampla divulgação do fato em meios de Lei, o controlador, observados a estrutura, a
comunicação; e escala e o volume de suas operações, bem
61
como a sensibilidade dos dados tratados e a de forma independente, promovam o

probabilidade e a gravidade dos danos para os cumprimento desta Lei.
titulares dos dados, poderá:
§ 3º As regras de boas práticas e de
I - implementar programa de governança governança deverão ser publicadas e
em privacidade que, no mínimo: atualizadas periodicamente e poderão ser
reconhecidas e divulgadas pela autoridade
a) demonstre o comprometimento do nacional.
controlador em adotar processos e políticas
internas que assegurem o cumprimento, de Art. 51. A autoridade nacional estimulará a
forma abrangente, de normas e boas práticas adoção de padrões técnicos que facilitem o
relativas à proteção de dados pessoais; controle pelos titulares dos seus dados
pessoais.
b) seja aplicável a todo o conjunto de
dados pessoais que estejam sob seu controle,
CAPÍTULO VIII
independentemente do modo como se realizou
sua coleta;
DA FISCALIZAÇÃO
c) seja adaptado à estrutura, à escala e ao
volume de suas operações, bem como à Seção I
sensibilidade dos dados tratados;
Das Sanções Administrativas
d) estabeleça políticas e salvaguardas
adequadas com base em processo de avaliação Art. 52. Os agentes de tratamento de
sistemática de impactos e riscos à privacidade; dados, em razão das infrações cometidas às
normas previstas nesta Lei, ficam sujeitos às
e) tenha o objetivo de estabelecer relação
seguintes sanções administrativas aplicáveis
de confiança com o titular, por meio de atuação
pela autoridade nacional: (Vigência)
transparente e que assegure mecanismos de
participação do titular;
I - advertência, com indicação de prazo
f) esteja integrado a sua estrutura geral de para adoção de medidas corretivas;
governança e estabeleça e aplique mecanismos
II - multa simples, de até 2% (dois por
de supervisão internos e externos;
cento) do faturamento da pessoa jurídica de
g) conte com planos de resposta a direito privado, grupo ou conglomerado no Brasil
incidentes e remediação; e no seu último exercício, excluídos os tributos,
limitada, no total, a R$ 50.000.000,00 (cinquenta
h) seja atualizado constantemente com milhões de reais) por infração;
base em informações obtidas a partir de
monitoramento contínuo e avaliações III - multa diária, observado o limite total a
periódicas; que se refere o inciso II;
II - demonstrar a efetividade de seu IV - publicização da infração após

programa de governança em privacidade devidamente apurada e confirmada a sua
quando apropriado e, em especial, a pedido da ocorrência;
autoridade nacional ou de outra entidade
V - bloqueio dos dados pessoais a que se
responsável por promover o cumprimento de
refere a infração até a sua regularização;
boas práticas ou códigos de conduta, os quais,
62
VI - eliminação dos dados pessoais a que VIII - a adoção reiterada e demonstrada

se refere a infração; de mecanismos e procedimentos internos
capazes de minimizar o dano, voltados ao
VII - (VETADO); tratamento seguro e adequado de dados, em
consonância com o disposto no inciso II do § 2º
VIII - (VETADO);
do art. 48 desta Lei;
IX - (VETADO).
IX - a adoção de política de boas práticas
X - suspensão parcial do funcionamento e governança;
do banco de dados a que se refere a infração
X - a pronta adoção de medidas
pelo período máximo de 6 (seis) meses,
corretivas; e
prorrogável por igual período, até a
regularização da atividade de tratamento pelo XI - a proporcionalidade entre a gravidade
controlador; (Incluído pela Lei nº 13.853, de da falta e a intensidade da sanção.
2019)
§ 2º O disposto neste artigo não substitui
XI - suspensão do exercício da atividade a aplicação de sanções administrativas, civis ou
de tratamento dos dados pessoais a que se penais definidas na Lei nº 8.078, de 11 de
refere a infração pelo período máximo de 6 setembro de 1990, e em legislação específica.
(seis) meses, prorrogável por igual período; (Redação dada pela Lei nº 13.853, de 2019)
(Incluído pela Lei nº 13.853, de 2019) Vigência
XII - proibição parcial ou total do exercício § 3º O disposto nos incisos I, IV, V, VI, X,
de atividades relacionadas a tratamento de XI e XII do caput deste artigo poderá ser
dados. (Incluído pela Lei nº 13.853, de 2019) aplicado às entidades e aos órgãos públicos,
sem prejuízo do disposto na Lei nº 8.112, de 11
§ 1º As sanções serão aplicadas após
de dezembro de 1990, na Lei nº 8.429, de 2 de
procedimento administrativo que possibilite a
junho de 1992, e na Lei nº 12.527, de 18 de
oportunidade da ampla defesa, de forma
novembro de 2011. (Redação dada pela
gradativa, isolada ou cumulativa, de acordo com
Lei nº 13.853, de 2019)
as peculiaridades do caso concreto e
considerados os seguintes parâmetros e § 4º No cálculo do valor da multa de que
critérios: trata o inciso II do caput deste artigo, a
autoridade nacional poderá considerar o
I - a gravidade e a natureza das infrações
faturamento total da empresa ou grupo de
e dos direitos pessoais afetados;
empresas, quando não dispuser do valor do
II - a boa-fé do infrator; faturamento no ramo de atividade empresarial
em que ocorreu a infração, definido pela
III - a vantagem auferida ou pretendida autoridade nacional, ou quando o valor for
pelo infrator; apresentado de forma incompleta ou não for
demonstrado de forma inequívoca e idônea.
IV - a condição econômica do infrator;
§ 5º O produto da arrecadação das multas
V - a reincidência;
aplicadas pela ANPD, inscritas ou não em
VI - o grau do dano; dívida ativa, será destinado ao Fundo de Defesa
de Direitos Difusos de que tratam o art. 13 da
VII - a cooperação do infrator; Lei nº 7.347, de 24 de julho de 1985, e a Lei nº
63
9.008, de 21 de março de 1995. (Incluído pela as circunstâncias e as condições para a adoção

Lei nº 13.853, de 2019) de multa simples ou diária.
§ 6º As sanções previstas nos incisos X, Art. 54. O valor da sanção de multa diária
XI e XII do caput deste artigo serão aplicadas: aplicável às infrações a esta Lei deve observar
(Incluído pela Lei nº 13.853, de 2019) a gravidade da falta e a extensão do dano ou
prejuízo causado e ser fundamentado pela
I - somente após já ter sido imposta ao autoridade nacional.
menos 1 (uma) das sanções de que tratam os
incisos II, III, IV, V e VI do caput deste artigo Parágrafo único. A intimação da sanção
para o mesmo caso concreto; e (Incluído pela de multa diária deverá conter, no mínimo, a
Lei nº 13.853, de 2019) descrição da obrigação imposta, o prazo
razoável e estipulado pelo órgão para o seu
II - em caso de controladores submetidos cumprimento e o valor da multa diária a ser
a outros órgãos e entidades com competências aplicada pelo seu descumprimento. (Vigência)
sancionatórias, ouvidos esses órgãos.
(Incluído pela Lei nº 13.853, de 2019) CAPÍTULO IX
§ 7º Os vazamentos individuais ou os DA AUTORIDADE NACIONAL DE PROTEÇÃO

acessos não autorizados de que trata o caput DE DADOS (ANPD) E DO CONSELHO
do art. 46 desta Lei poderão ser objeto de NACIONAL DE PROTEÇÃO DE DADOS
conciliação direta entre controlador e titular e, PESSOAIS E DA PRIVACIDADE
caso não haja acordo, o controlador estará
sujeito à aplicação das penalidades de que trata Seção I
este artigo. (Incluído pela Lei nº 13.853, de
2019) Vigência Da Autoridade Nacional de Proteção de Dados
(ANPD)
Art. 53. A autoridade nacional definirá, por
meio de regulamento próprio sobre sanções Art. 55. (VETADO).
administrativas a infrações a esta Lei, que
deverá ser objeto de consulta pública, as
Art. 55-A. Fica criada a Autoridade
metodologias que orientarão o cálculo do
Nacional de Proteção de Dados (ANPD),
valor-base das sanções de multa. (Vigência)
autarquia de natureza especial, dotada de
autonomia técnica e decisória, com patrimônio
§ 1º As metodologias a que se refere o próprio e com sede e foro no Distrito Federal.
caput deste artigo devem ser previamente (Redação dada pela Lei nº 14.460, de 2022)
publicadas, para ciência dos agentes de
tratamento, e devem apresentar objetivamente
Art. 55-C. A ANPD é composta de:
as formas e dosimetrias para o cálculo do
valor-base das sanções de multa, que deverão
conter fundamentação detalhada de todos os I - Conselho Diretor, órgão máximo de
seus elementos, demonstrando a observância direção; (Incluído pela Lei nº 13.853, de 2019)
dos critérios previstos nesta Lei.
II - Conselho Nacional de Proteção de
§ 2º O regulamento de sanções e Dados Pessoais e da Privacidade; (Incluído
metodologias correspondentes deve estabelecer pela Lei nº 13.853, de 2019)
64
III - Corregedoria; (Incluído pela Lei nº § 5º Na hipótese de vacância do cargo no

13.853, de 2019) curso do mandato de membro do Conselho
Diretor, o prazo remanescente será completado
IV - Ouvidoria; (Incluído pela Lei nº pelo sucessor. (Incluído pela Lei nº
13.853, de 2019) 13.853, de 2019)
V - (revogado); (Redação dada pela Art. 55-E. Os membros do Conselho

Lei nº 14.460, de 2022) Diretor somente perderão seus cargos em
virtude de renúncia, condenação judicial
V-A - Procuradoria; e (Incluído pela transitada em julgado ou pena de demissão
Lei nº 14.460, de 2022) decorrente de processo administrativo
disciplinar. (Incluído pela Lei nº
VI - unidades administrativas e unidades
13.853, de 2019)
especializadas necessárias à aplicação do
disposto nesta Lei. (Incluído § 1º Nos termos do caput deste artigo,
pela Lei nº 13.853, de 2019) cabe ao Ministro de Estado Chefe da Casa Civil
da Presidência da República instaurar o
Art. 55-D. O Conselho Diretor da ANPD
processo administrativo disciplinar, que será
será composto de 5 (cinco) diretores, incluído o
conduzido por comissão especial constituída por
Diretor-Presidente. (Incluído pela
servidores públicos federais estáveis. (Incluído
Lei nº 13.853, de 2019)
pela Lei nº 13.853, de 2019)
§ 1º Os membros do Conselho Diretor da
§ 2º Compete ao Presidente da República
ANPD serão escolhidos pelo Presidente da
determinar o afastamento preventivo, somente
República e por ele nomeados, após aprovação
quando assim recomendado pela comissão
pelo Senado Federal, nos termos da alínea ‘f’ do
especial de que trata o § 1º deste artigo, e
inciso III do art. 52 da Constituição Federal, e
proferir o julgamento. (Incluído pela
ocuparão cargo em comissão do Grupo-Direção
Lei nº 13.853, de 2019)
e Assessoramento Superiores - DAS, no
mínimo, de nível 5. (Incluído pela Art. 55-F. Aplica-se aos membros do
Lei nº 13.853, de 2019) Conselho Diretor, após o exercício do cargo, o
disposto no art. 6º da Lei nº 12.813, de 16 de
§ 2º Os membros do Conselho Diretor
maio de 2013. (Incluído pela Lei nº
serão escolhidos dentre brasileiros que tenham
13.853, de 2019)
reputação ilibada, nível superior de educação e
elevado conceito no campo de especialidade Parágrafo único. A infração ao disposto no
dos cargos para os quais serão nomeados. caput deste artigo caracteriza ato de
(Incluído pela Lei nº 13.853, de 2019) improbidade administrativa.
§ 3º O mandato dos membros do
Conselho Diretor será de 4 (quatro) anos. Art. 55-G. Ato do Presidente da República
(Incluído pela Lei nº 13.853, de 2019) disporá sobre a estrutura regimental da ANPD.
§ 4º Os mandatos dos primeiros membros
do Conselho Diretor nomeados serão de 2 § 1º Até a data de entrada em vigor de
(dois), de 3 (três), de 4 (quatro), de 5 (cinco) e sua estrutura regimental, a ANPD receberá o
de 6 (seis) anos, conforme estabelecido no ato apoio técnico e administrativo da Casa Civil da
de nomeação. (Incluído pela Lei nº Presidência da República para o exercício de
13.853, de 2019) suas atividades. (Incluído pela Lei nº
13.853, de 2019)
65
§ 2º O Conselho Diretor disporá sobre o VI - promover na população o

regimento interno da ANPD. conhecimento das normas e das políticas
(Incluído pela Lei nº 13.853, de 2019) públicas sobre proteção de dados pessoais e
das medidas de segurança;
Art. 55-H. Os cargos em comissão e as (Incluído pela Lei nº 13.853, de 2019)
funções de confiança da ANPD serão
remanejados de outros órgãos e entidades do VII - promover e elaborar estudos sobre
Poder Executivo federal. (Incluído pela as práticas nacionais e internacionais de
Lei nº 13.853, de 2019) proteção de dados pessoais e privacidade;
Art. 55-I. Os ocupantes dos cargos em
comissão e das funções de confiança da ANPD VIII - estimular a adoção de padrões para
serão indicados pelo Conselho Diretor e serviços e produtos que facilitem o exercício de
nomeados ou designados pelo controle dos titulares sobre seus dados
Diretor-Presidente. (Incluído pela pessoais, os quais deverão levar em
Lei nº 13.853, de 2019) consideração as especificidades das atividades
e o porte dos responsáveis;
Art. 55-J. Compete à ANPD: (Incluído pela Lei nº 13.853, de 2019)
IX - promover ações de cooperação com
I - zelar pela proteção dos dados autoridades de proteção de dados pessoais de
pessoais, nos termos da legislação; outros países, de natureza internacional ou
(Incluído pela Lei nº 13.853, de 2019) transnacional; (Incluído pela Lei nº
13.853, de 2019)
II - zelar pela observância dos segredos
comercial e industrial, observada a proteção de X - dispor sobre as formas de publicidade
dados pessoais e do sigilo das informações das operações de tratamento de dados
quando protegido por lei ou quando a quebra do pessoais, respeitados os segredos comercial e
sigilo violar os fundamentos do art. 2º desta Lei; industrial; (Incluído pela Lei nº
(Incluído pela Lei nº 13.853, de 2019) 13.853, de 2019)
III - elaborar diretrizes para a Política XI - solicitar, a qualquer momento, às

Nacional de Proteção de Dados Pessoais e da entidades do poder público que realizem
Privacidade; (Incluído pela Lei nº operações de tratamento de dados pessoais
13.853, de 2019) informe específico sobre o âmbito, a natureza
dos dados e os demais detalhes do tratamento
IV - fiscalizar e aplicar sanções em caso
realizado, com a possibilidade de emitir parecer
de tratamento de dados realizado em
técnico complementar para garantir o
descumprimento à legislação, mediante
cumprimento desta Lei; (Incluído pela
processo administrativo que assegure o
Lei nº 13.853, de 2019)
contraditório, a ampla defesa e o direito de
recurso; (Incluído pela Lei nº 13.853, de XII - elaborar relatórios de gestão anuais
2019) acerca de suas atividades;
V - apreciar petições de titular contra
controlador após comprovada pelo titular a XIII - editar regulamentos e procedimentos
apresentação de reclamação ao controlador não sobre proteção de dados pessoais e
solucionada no prazo estabelecido em privacidade, bem como sobre relatórios de
regulamentação; (Incluído pela Lei nº impacto à proteção de dados pessoais para os
13.853, de 2019) casos em que o tratamento representar alto
66
risco à garantia dos princípios gerais de Idoso); (Incluído pela Lei nº 13.853, de
proteção de dados pessoais previstos nesta Lei; 2019)
XX - deliberar, na esfera administrativa,
XIV - ouvir os agentes de tratamento e a em caráter terminativo, sobre a interpretação
sociedade em matérias de interesse relevante e desta Lei, as suas competências e os casos
prestar contas sobre suas atividades e omissos; (Incluído pela Lei nº
planejamento; (Incluído pela Lei nº 13.853, de 2019)
13.853, de 2019)
XXI - comunicar às autoridades
XV - arrecadar e aplicar suas receitas e competentes as infrações penais das quais tiver
publicar, no relatório de gestão a que se refere o conhecimento; (Incluído pela Lei nº
inciso XII do caput deste artigo, o detalhamento 13.853, de 2019)
de suas receitas e despesas;
(Incluído pela Lei nº 13.853, de 2019) XXII - comunicar aos órgãos de controle
interno o descumprimento do disposto nesta Lei
XVI - realizar auditorias, ou determinar por órgãos e entidades da administração pública
sua realização, no âmbito da atividade de federal; (Incluído pela Lei nº 13.853,
fiscalização de que trata o inciso IV e com a de 2019)
devida observância do disposto no inciso II do
caput deste artigo, sobre o tratamento de dados XXIII - articular-se com as autoridades
pessoais efetuado pelos agentes de tratamento, reguladoras públicas para exercer suas
incluído o poder público; (Incluído pela competências em setores específicos de
Lei nº 13.853, de 2019) atividades econômicas e governamentais
sujeitas à regulação; e (Incluído pela
XVII - celebrar, a qualquer momento, Lei nº 13.853, de 2019)
compromisso com agentes de tratamento para
eliminar irregularidade, incerteza jurídica ou XXIV - implementar mecanismos
situação contenciosa no âmbito de processos simplificados, inclusive por meio eletrônico, para
administrativos, de acordo com o previsto no o registro de reclamações sobre o tratamento de
Decreto-Lei nº 4.657, de 4 de setembro de dados pessoais em desconformidade com esta
1942; (Incluído pela Lei nº 13.853, Lei. (Incluído pela Lei nº 13.853,
de 2019) de 2019)
XVIII - editar normas, orientações e § 1º Ao impor condicionantes

procedimentos simplificados e diferenciados, administrativas ao tratamento de dados
inclusive quanto aos prazos, para que pessoais por agente de tratamento privado,
microempresas e empresas de pequeno porte, sejam eles limites, encargos ou sujeições, a
bem como iniciativas empresariais de caráter ANPD deve observar a exigência de mínima
incremental ou disruptivo que se autodeclarem intervenção, assegurados os fundamentos, os
startups ou empresas de inovação, possam princípios e os direitos dos titulares previstos no
adequar-se a esta Lei; (Incluído pela art. 170 da Constituição Federal e nesta Lei.
Lei nº 13.853, de 2019) (Incluído pela Lei nº 13.853, de 2019)
XIX - garantir que o tratamento de dados § 2º Os regulamentos e as normas

de idosos seja efetuado de maneira simples, editados pela ANPD devem ser precedidos de
clara, acessível e adequada ao seu consulta e audiência públicas, bem como de
entendimento, nos termos desta Lei e da Lei nº análises de impacto regulatório.
10.741, de 1º de outubro de 2003 (Estatuto do (Incluído pela Lei nº 13.853, de 2019)
67
§ 3º A ANPD e os órgãos e entidades e do estabelecimento de normas e diretrizes

públicos responsáveis pela regulação de para a sua implementação.
setores específicos da atividade econômica e (Incluído pela Lei nº 13.853, de 2019)
governamental devem coordenar suas
atividades, nas correspondentes esferas de Art. 55-L. Constituem receitas da ANPD:
atuação, com vistas a assegurar o cumprimento (Incluído pela Lei nº 13.853, de 2019)
de suas atribuições com a maior eficiência e
I - as dotações, consignadas no
promover o adequado funcionamento dos
orçamento geral da União, os créditos
setores regulados, conforme legislação
especiais, os créditos adicionais, as
específica, e o tratamento de dados pessoais,
transferências e os repasses que lhe forem
na forma desta Lei. (Incluído pela
conferidos; (Incluído pela Lei nº
Lei nº 13.853, de 2019)
13.853, de 2019)
§ 4º A ANPD manterá fórum permanente
II - as doações, os legados, as
de comunicação, inclusive por meio de
subvenções e outros recursos que lhe forem
cooperação técnica, com órgãos e entidades da
destinados; (Incluído pela Lei nº
administração pública responsáveis pela
13.853, de 2019)
regulação de setores específicos da atividade
econômica e governamental, a fim de facilitar as III - os valores apurados na venda ou
competências regulatória, fiscalizatória e aluguel de bens móveis e imóveis de sua
punitiva da ANPD. (Incluído pela propriedade; (Incluído pela Lei nº
Lei nº 13.853, de 2019) 13.853, de 2019)
§ 5º No exercício das competências de IV - os valores apurados em aplicações no
que trata o caput deste artigo, a autoridade mercado financeiro das receitas previstas neste
competente deverá zelar pela preservação do artigo; (Incluído pela Lei nº 13.853, de
segredo empresarial e do sigilo das 2019)
informações, nos termos da lei.
(Incluído pela Lei nº 13.853, de 2019) V - (VETADO); (Incluído pela
Lei nº 13.853, de 2019)
§ 6º As reclamações colhidas conforme o
disposto no inciso V do caput deste artigo VI - os recursos provenientes de acordos,
poderão ser analisadas de forma agregada, e as convênios ou contratos celebrados com
eventuais providências delas decorrentes entidades, organismos ou empresas, públicos
poderão ser adotadas de forma padronizada. ou privados, nacionais ou internacionais;
(Incluído pela Lei nº 13.853, de 2019) (Incluído pela Lei nº 13.853, de 2019)
Art. 55-K. A aplicação das sanções VII - o produto da venda de publicações,

previstas nesta Lei compete exclusivamente à material técnico, dados e informações, inclusive
ANPD, e suas competências prevalecerão, no para fins de licitação pública.
que se refere à proteção de dados pessoais, (Incluído pela Lei nº 13.853, de 2019)
sobre as competências correlatas de outras
entidades ou órgãos da administração pública. Art. 55-M. Constituem o patrimônio da
(Incluído pela Lei nº 13.853, de 2019) ANPD os bens e os direitos: (Incluído pela
Lei nº 14.460, de 2022)
Parágrafo único. A ANPD articulará sua
atuação com outros órgãos e entidades com I - que lhe forem transferidos pelos
competências sancionatórias e normativas órgãos da Presidência da República; e
afetas ao tema de proteção de dados pessoais (Incluído pela Lei nº 14.460, de 2022)
e será o órgão central de interpretação desta Lei
68
II - que venha a adquirir ou a incorporar. IX - 3 (três) de confederações sindicais

(Incluído pela Lei nº 14.460, de 2022) representativas das categorias econômicas do
setor produtivo; (Incluído pela Lei nº
Art. 56. (VETADO). 13.853, de 2019)
Art. 5 7. (VETADO). X - 2 (dois) de entidades representativas

do setor empresarial relacionado à área de
Seção II tratamento de dados pessoais; e
Do Conselho Nacional de Proteção de Dados
Pessoais e da Privacidade XI - 2 (dois) de entidades representativas
do setor laboral. (Incluído pela Lei nº
13.853, de 2019)
Art. 58. (VETADO).
§ 1º Os representantes serão designados
Art. 58-A. O Conselho Nacional de
por ato do Presidente da República, permitida a
Proteção de Dados Pessoais e da Privacidade
delegação. (Incluído pela Lei nº
será composto de 23 (vinte e três)
13.853, de 2019)
representantes, titulares e suplentes, dos
seguintes órgãos: (Incluído pela Lei § 2º Os representantes de que tratam os
nº 13.853, de 2019) incisos I, II, III, IV, V e VI do caput deste artigo e
seus suplentes serão indicados pelos titulares
I - 5 (cinco) do Poder Executivo federal;
dos respectivos órgãos e entidades da
administração pública. (Incluído pela
II - 1 (um) do Senado Federal; Lei nº 13.853, de 2019)
§ 3º Os representantes de que tratam os
III - 1 (um) da Câmara dos Deputados; incisos VII, VIII, IX, X e XI do caput deste artigo
(Incluído pela Lei nº 13.853, de 2019) e seus suplentes: (Incluído pela
Lei nº 13.853, de 2019)
IV - 1 (um) do Conselho Nacional de
Justiça; (Incluído pela Lei nº 13.853, de I - serão indicados na forma de
2019) regulamento; (Incluído pela Lei nº
13.853, de 2019)
V - 1 (um) do Conselho Nacional do
Ministério Público; (Incluído pela II - não poderão ser membros do Comitê
Lei nº 13.853, de 2019) Gestor da Internet no Brasil;
VI - 1 (um) do Comitê Gestor da Internet
no Brasil; (Incluído pela Lei nº 13.853, III - terão mandato de 2 (dois) anos,
de 2019) permitida 1 (uma) recondução.
VII - 3 (três) de entidades da sociedade
civil com atuação relacionada a proteção de § 4º A participação no Conselho Nacional
dados pessoais; (Incluído pela Lei nº de Proteção de Dados Pessoais e da
13.853, de 2019) Privacidade será considerada prestação de
serviço público relevante, não remunerada.
VIII - 3 (três) de instituições científicas, (Incluído pela Lei nº 13.853, de 2019)
tecnológicas e de inovação;
(Incluído pela Lei nº 13.853, de 2019) Art. 58-B. Compete ao Conselho Nacional
de Proteção de Dados Pessoais e da
69
Privacidade: (Incluído pela Lei nº previstas nesta Lei e na que dispõe sobre a
13.853, de 2019) proteção de dados pessoais;
I - propor diretrizes estratégicas e fornecer .............................................................................

subsídios para a elaboração da Política .” (NR)
Nacional de Proteção de Dados Pessoais e da
“Art. 16.
Privacidade e para a atuação da ANPD;
.................................................................
.............................................................................
II - elaborar relatórios anuais de avaliação ..........
da execução das ações da Política Nacional de
Proteção de Dados Pessoais e da Privacidade; II - de dados pessoais que sejam excessivos em
(Incluído pela Lei nº 13.853, de 2019) relação à finalidade para a qual foi dado
consentimento pelo seu titular, exceto nas
III - sugerir ações a serem realizadas pela hipóteses previstas na Lei que dispõe sobre a
ANPD; (Incluído pela Lei nº 13.853, de proteção de dados pessoais.” (NR)
2019)
Art. 61. A empresa estrangeira será
IV - elaborar estudos e realizar debates e notificada e intimada de todos os atos
audiências públicas sobre a proteção de dados processuais previstos nesta Lei,
pessoais e da privacidade; e independentemente de procuração ou de
(Incluído pela Lei nº 13.853, de 2019) disposição contratual ou estatutária, na pessoa
do agente ou representante ou pessoa
V - disseminar o conhecimento sobre a responsável por sua filial, agência, sucursal,
proteção de dados pessoais e da privacidade à estabelecimento ou escritório instalado no
população. (Incluído pela Lei nº Brasil.
13.853, de 2019)
Art. 62. A autoridade nacional e o Instituto
Art. 59. (VETADO). Nacional de Estudos e Pesquisas Educacionais
Anísio Teixeira (Inep), no âmbito de suas
CAPÍTULO X competências, editarão regulamentos
específicos para o acesso a dados tratados pela
DISPOSIÇÕES FINAIS E TRANSITÓRIAS União para o cumprimento do disposto no § 2º
do art. 9º da Lei nº 9.394, de 20 de dezembro de
Art. 60. A Lei nº 12.965, de 23 de abril de 2014 1996 (Lei de Diretrizes e Bases da Educação
(Marco Civil da Internet) , passa a vigorar com Nacional) , e aos referentes ao Sistema
as seguintes alterações: Vigência Nacional de Avaliação da Educação Superior
(Sinaes), de que trata a Lei nº 10.861, de 14 de
“Art. 7º abril de 2004 .
..................................................................
Art. 63. A autoridade nacional
.............................................................................
estabelecerá normas sobre a adequação
..........
progressiva de bancos de dados constituídos
X - exclusão definitiva dos dados pessoais que até a data de entrada em vigor desta Lei,
tiver fornecido a determinada aplicação de consideradas a complexidade das operações de
internet, a seu requerimento, ao término da tratamento e a natureza dos dados.
relação entre as partes, ressalvadas as
hipóteses de guarda obrigatória de registros Art. 64. Os direitos e princípios expressos
nesta Lei não excluem outros previstos no
ordenamento jurídico pátrio relacionados à
70
matéria ou nos tratados internacionais em que a

LEI Nº 12.846, DE 1º DE AGOSTO DE
República Federativa do Brasil seja parte.
2013.
Art. 65. Esta Lei entra em vigor:
(Redação dada pela Lei nº 13.853, de 2019) Dispõe sobre a
Mensagem de veto responsabilização
I - dia 28 de dezembro de 2018, quanto administrativa e civil de
aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, Vigência
pessoas jurídicas pela
55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; prática de atos contra a
Regulamento
e (Incluído pela Lei nº 13.853, de 2019) administração pública,
Vide Decreto nº 11.129, de nacional ou estrangeira, e
I-A – dia 1º de agosto de 2021, quanto
2022 vigência dá outras providências.
aos arts. 52, 53 e 54; (Incluído pela Lei nº
14.010, de 2020)
A PRESIDENTA DA REPÚBLICA Faço
II - 24 (vinte e quatro) meses após a data saber que o Congresso Nacional decreta e eu
de sua publicação, quanto aos demais artigos. sanciono a seguinte Lei:
CAPÍTULO I
Art. 1º Esta Lei dispõe sobre a

responsabilização objetiva administrativa e civil
de pessoas jurídicas pela prática de atos contra
a administração pública, nacional ou
estrangeira.
Parágrafo único. Aplica-se o disposto

nesta Lei às sociedades empresárias e às
sociedades simples, personificadas ou não,
independentemente da forma de organização ou
modelo societário adotado, bem como a
quaisquer fundações, associações de entidades
ou pessoas, ou sociedades estrangeiras, que
tenham sede, filial ou representação no território
brasileiro, constituídas de fato ou de direito,
ainda que temporariamente.
Art. 2º As pessoas jurídicas serão

responsabilizadas objetivamente, nos âmbitos
administrativo e civil, pelos atos lesivos
previstos nesta Lei praticados em seu interesse
ou benefício, exclusivo ou não.
Art. 3º A responsabilização da pessoa

jurídica não exclui a responsabilidade individual
de seus dirigentes ou administradores ou de
71
qualquer pessoa natural, autora, coautora ou contra os compromissos internacionais

partícipe do ato ilícito. assumidos pelo Brasil, assim definidos:
§ 1º A pessoa jurídica será I - prometer, oferecer ou dar, direta ou

responsabilizada independentemente da indiretamente, vantagem indevida a agente
responsabilização individual das pessoas público, ou a terceira pessoa a ele relacionada;
naturais referidas no caput .
II - comprovadamente, financiar, custear,
§ 2º Os dirigentes ou administradores patrocinar ou de qualquer modo subvencionar a
somente serão responsabilizados por atos prática dos atos ilícitos previstos nesta Lei;
ilícitos na medida da sua culpabilidade.
III - comprovadamente, utilizar-se de
Art. 4º Subsiste a responsabilidade da interposta pessoa física ou jurídica para ocultar
pessoa jurídica na hipótese de alteração ou dissimular seus reais interesses ou a
contratual, transformação, incorporação, fusão identidade dos beneficiários dos atos
ou cisão societária. praticados;
§ 1º Nas hipóteses de fusão e IV - no tocante a licitações e contratos:

incorporação, a responsabilidade da sucessora
será restrita à obrigação de pagamento de multa a) frustrar ou fraudar, mediante ajuste,
e reparação integral do dano causado, até o combinação ou qualquer outro expediente, o
limite do patrimônio transferido, não lhe sendo caráter competitivo de procedimento licitatório
aplicáveis as demais sanções previstas nesta público;
Lei decorrentes de atos e fatos ocorridos antes
da data da fusão ou incorporação, exceto no b) impedir, perturbar ou fraudar a
caso de simulação ou evidente intuito de fraude, realização de qualquer ato de procedimento
devidamente comprovados. licitatório público;
§ 2º As sociedades controladoras, c) afastar ou procurar afastar licitante, por

controladas, coligadas ou, no âmbito do meio de fraude ou oferecimento de vantagem de
respectivo contrato, as consorciadas serão qualquer tipo;
solidariamente responsáveis pela prática dos
atos previstos nesta Lei, restringindo-se tal d) fraudar licitação pública ou contrato
responsabilidade à obrigação de pagamento de dela decorrente;
multa e reparação integral do dano causado.
e) criar, de modo fraudulento ou irregular,
CAPÍTULO II pessoa jurídica para participar de licitação
pública ou celebrar contrato administrativo;
DOS ATOS LESIVOS À ADMINISTRAÇÃO
PÚBLICA NACIONAL OU ESTRANGEIRA f) obter vantagem ou benefício indevido,
de modo fraudulento, de modificações ou
Art. 5º Constituem atos lesivos à prorrogações de contratos celebrados com a
administração pública, nacional ou estrangeira, administração pública, sem autorização em lei,
para os fins desta Lei, todos aqueles praticados no ato convocatório da licitação pública ou nos
pelas pessoas jurídicas mencionadas no respectivos instrumentos contratuais; ou
parágrafo único do art. 1º , que atentem contra o
patrimônio público nacional ou estrangeiro,
contra princípios da administração pública ou
72
g) manipular ou fraudar o equilíbrio da instauração do processo administrativo,

econômico-financeiro dos contratos celebrados excluídos os tributos, a qual nunca será inferior
com a administração pública; à vantagem auferida, quando for possível sua
estimação; e
V - dificultar atividade de investigação ou
fiscalização de órgãos, entidades ou agentes II - publicação extraordinária da decisão
públicos, ou intervir em sua atuação, inclusive condenatória.
no âmbito das agências reguladoras e dos
órgãos de fiscalização do sistema financeiro § 1º As sanções serão aplicadas
nacional. fundamentadamente, isolada ou
cumulativamente, de acordo com as
§ 1º Considera-se administração pública peculiaridades do caso concreto e com a
estrangeira os órgãos e entidades estatais ou gravidade e natureza das infrações.
representações diplomáticas de país
estrangeiro, de qualquer nível ou esfera de § 2º A aplicação das sanções previstas
governo, bem como as pessoas jurídicas neste artigo será precedida da manifestação
controladas, direta ou indiretamente, pelo poder jurídica elaborada pela Advocacia Pública ou
público de país estrangeiro. pelo órgão de assistência jurídica, ou
equivalente, do ente público.
§ 2º Para os efeitos desta Lei,
equiparam-se à administração pública § 3º A aplicação das sanções previstas
estrangeira as organizações públicas neste artigo não exclui, em qualquer hipótese, a
internacionais. obrigação da reparação integral do dano
causado.
§ 3º Considera-se agente público
estrangeiro, para os fins desta Lei, quem, ainda § 4º Na hipótese do inciso I do caput ,
que transitoriamente ou sem remuneração, caso não seja possível utilizar o critério do valor
exerça cargo, emprego ou função pública em do faturamento bruto da pessoa jurídica, a multa
órgãos, entidades estatais ou em será de R$ 6.000,00 (seis mil reais) a R$
representações diplomáticas de país 60.000.000,00 (sessenta milhões de reais).
estrangeiro, assim como em pessoas jurídicas
controladas, direta ou indiretamente, pelo poder § 5º A publicação extraordinária da
público de país estrangeiro ou em organizações decisão condenatória ocorrerá na forma de
públicas internacionais. extrato de sentença, a expensas da pessoa
jurídica, em meios de comunicação de grande
CAPÍTULO III circulação na área da prática da infração e de
atuação da pessoa jurídica ou, na sua falta, em
DA RESPONSABILIZAÇÃO publicação de circulação nacional, bem como
ADMINISTRATIVA por meio de afixação de edital, pelo prazo
mínimo de 30 (trinta) dias, no próprio
Art. 6º Na esfera administrativa, serão estabelecimento ou no local de exercício da
aplicadas às pessoas jurídicas consideradas atividade, de modo visível ao público, e no sítio
responsáveis pelos atos lesivos previstos nesta eletrônico na rede mundial de computadores.
Lei as seguintes sanções:
§ 6º (VETADO).
I - multa, no valor de 0,1% (um décimo
por cento) a 20% (vinte por cento) do
faturamento bruto do último exercício anterior ao
73
Art. 7º Serão levados em consideração dos Poderes Executivo, Legislativo e Judiciário,

na aplicação das sanções: que agirá de ofício ou mediante provocação,
observados o contraditório e a ampla defesa.
I - a gravidade da infração;
§ 1º A competência para a instauração e
II - a vantagem auferida ou pretendida o julgamento do processo administrativo de
pelo infrator; apuração de responsabilidade da pessoa
jurídica poderá ser delegada, vedada a
III - a consumação ou não da infração; subdelegação.
IV - o grau de lesão ou perigo de lesão; § 2º No âmbito do Poder Executivo

federal, a Controladoria-Geral da União - CGU
V - o efeito negativo produzido pela terá competência concorrente para instaurar
infração; processos administrativos de responsabilização
de pessoas jurídicas ou para avocar os
processos instaurados com fundamento nesta
VI - a situação econômica do infrator;
Lei, para exame de sua regularidade ou para
corrigir-lhes o andamento.
VII - a cooperação da pessoa jurídica
para a apuração das infrações;
Art. 9º Competem à Controladoria-Geral
da União - CGU a apuração, o processo e o
VIII - a existência de mecanismos e
julgamento dos atos ilícitos previstos nesta Lei,
procedimentos internos de integridade, auditoria
praticados contra a administração pública
e incentivo à denúncia de irregularidades e a
estrangeira, observado o disposto no Artigo 4 da
aplicação efetiva de códigos de ética e de
Convenção sobre o Combate da Corrupção de
conduta no âmbito da pessoa jurídica;
Funcionários Públicos Estrangeiros em
Transações Comerciais Internacionais,
IX - o valor dos contratos mantidos pela promulgada pelo Decreto nº 3.678, de 30 de
pessoa jurídica com o órgão ou entidade pública novembro de 2000.
lesados; e
Art. 10. O processo administrativo para
X - (VETADO). apuração da responsabilidade de pessoa
jurídica será conduzido por comissão designada
Parágrafo único. Os parâmetros de pela autoridade instauradora e composta por 2
avaliação de mecanismos e procedimentos (dois) ou mais servidores estáveis.
previstos no inciso VIII do caput serão
estabelecidos em regulamento do Poder § 1º O ente público, por meio do seu
Executivo federal. órgão de representação judicial, ou equivalente,
a pedido da comissão a que se refere o caput ,
CAPÍTULO IV poderá requerer as medidas judiciais
necessárias para a investigação e o
DO PROCESSO ADMINISTRATIVO DE processamento das infrações, inclusive de
RESPONSABILIZAÇÃO busca e apreensão.
Art. 8º A instauração e o julgamento de § 2º A comissão poderá, cautelarmente,

processo administrativo para apuração da propor à autoridade instauradora que suspenda
responsabilidade de pessoa jurídica cabem à
autoridade máxima de cada órgão ou entidade
74
os efeitos do ato ou processo objeto da administrativo, dará conhecimento ao Ministério

investigação. Público de sua existência, para apuração de
eventuais delitos.
§ 3º A comissão deverá concluir o
processo no prazo de 180 (cento e oitenta) dias CAPÍTULO V
contados da data da publicação do ato que a
instituir e, ao final, apresentar relatórios sobre DO ACORDO DE LENIÊNCIA
os fatos apurados e eventual responsabilidade
da pessoa jurídica, sugerindo de forma Art. 16. A autoridade máxima de cada
motivada as sanções a serem aplicadas. órgão ou entidade pública poderá celebrar
acordo de leniência com as pessoas jurídicas
§ 4º O prazo previsto no § 3º poderá ser responsáveis pela prática dos atos previstos
prorrogado, mediante ato fundamentado da nesta Lei que colaborem efetivamente com as
autoridade instauradora. investigações e o processo administrativo,
sendo que dessa colaboração resulte:
Art. 11. No processo administrativo para
apuração de responsabilidade, será concedido à I - a identificação dos demais envolvidos
pessoa jurídica prazo de 30 (trinta) dias para na infração, quando couber; e
defesa, contados a partir da intimação.
II - a obtenção célere de informações e
Art. 12. O processo administrativo, com o documentos que comprovem o ilícito sob
relatório da comissão, será remetido à apuração.
autoridade instauradora, na forma do art. 10,
para julgamento. § 1º O acordo de que trata o caput
somente poderá ser celebrado se preenchidos,
Art. 13. A instauração de processo cumulativamente, os seguintes requisitos:
administrativo específico de reparação integral
do dano não prejudica a aplicação imediata das I - a pessoa jurídica seja a primeira a se
sanções estabelecidas nesta Lei. manifestar sobre seu interesse em cooperar
para a apuração do ato ilícito;
Parágrafo único. Concluído o processo e
não havendo pagamento, o crédito apurado II - a pessoa jurídica cesse
será inscrito em dívida ativa da fazenda pública. completamente seu envolvimento na infração
investigada a partir da data de propositura do
Art. 14. A personalidade jurídica poderá acordo;
ser desconsiderada sempre que utilizada com
abuso do direito para facilitar, encobrir ou III - a pessoa jurídica admita sua participação no
dissimular a prática dos atos ilícitos previstos ilícito e coopere plena e permanentemente com
nesta Lei ou para provocar confusão as investigações e o processo administrativo,
patrimonial, sendo estendidos todos os efeitos comparecendo, sob suas expensas, sempre que
das sanções aplicadas à pessoa jurídica aos solicitada, a todos os atos processuais, até seu
seus administradores e sócios com poderes de encerramento.
administração, observados o contraditório e a
ampla defesa. §2º A celebração do acordo de leniência
isentará a pessoa jurídica das sanções previstas
Art. 15. A comissão designada para no inciso II do art. 6º e no inciso IV do art. 19 e
apuração da responsabilidade de pessoa
jurídica, após a conclusão do procedimento
75
reduzirá em até 2/3 (dois terços) o valor da pessoa jurídica responsável pela prática de
multa aplicável. ilícitos previstos na Lei nº 8.666, de 21 de junho
de 1993, com vistas à isenção ou atenuação
§ 3º O acordo de leniência não exime a das sanções administrativas estabelecidas em
pessoa jurídica da obrigação de reparar seus arts. 86 a 88.
integralmente o dano causado.
CAPÍTULO VI
§ 4º O acordo de leniência estipulará as
condições necessárias para assegurar a DA RESPONSABILIZAÇÃO JUDICIAL
efetividade da colaboração e o resultado útil do
processo. Art. 18. Na esfera administrativa, a
responsabilidade da pessoa jurídica não afasta
§ 5º Os efeitos do acordo de leniência a possibilidade de sua responsabilização na
serão estendidos às pessoas jurídicas que esfera judicial.
integram o mesmo grupo econômico, de fato e
de direito, desde que firmem o acordo em Art. 19. Em razão da prática de atos
conjunto, respeitadas as condições nele previstos no art. 5º desta Lei, a União, os
estabelecidas. Estados, o Distrito Federal e os Municípios, por
meio das respectivas Advocacias Públicas ou
§ 6º A proposta de acordo de leniência órgãos de representação judicial, ou
somente se tornará pública após a efetivação do equivalentes, e o Ministério Público, poderão
respectivo acordo, salvo no interesse das ajuizar ação com vistas à aplicação das
investigações e do processo administrativo. seguintes sanções às pessoas jurídicas
infratoras:
§ 7º Não importará em reconhecimento
da prática do ato ilícito investigado a proposta I - perdimento dos bens, direitos ou
de acordo de leniência rejeitada. valores que representem vantagem ou proveito
direta ou indiretamente obtidos da infração,
§ 8º Em caso de descumprimento do ressalvado o direito do lesado ou de terceiro de
acordo de leniência, a pessoa jurídica ficará boa-fé;
impedida de celebrar novo acordo pelo prazo de
3 (três) anos contados do conhecimento pela II - suspensão ou interdição parcial de
administração pública do referido suas atividades;
descumprimento.
III - dissolução compulsória da pessoa
§ 9º A celebração do acordo de leniência jurídica;
interrompe o prazo prescricional dos atos ilícitos
previstos nesta Lei. IV - proibição de receber incentivos,
subsídios, subvenções, doações ou
§ 10. A Controladoria-Geral da União - empréstimos de órgãos ou entidades públicas e
CGU é o órgão competente para celebrar os de instituições financeiras públicas ou
acordos de leniência no âmbito do Poder controladas pelo poder público, pelo prazo
Executivo federal, bem como no caso de atos mínimo de 1 (um) e máximo de 5 (cinco) anos.
lesivos praticados contra a administração
pública estrangeira. § 1º A dissolução compulsória da pessoa
jurídica será determinada quando comprovado:
Art. 17. A administração pública poderá
também celebrar acordo de leniência com a
76
I - ter sido a personalidade jurídica ou entidades dos Poderes Executivo, Legislativo

utilizada de forma habitual para facilitar ou e Judiciário de todas as esferas de governo com
promover a prática de atos ilícitos; ou base nesta Lei.
II - ter sido constituída para ocultar ou § 1º Os órgãos e entidades referidos no

dissimular interesses ilícitos ou a identidade dos caput deverão informar e manter atualizados, no
beneficiários dos atos praticados. Cnep, os dados relativos às sanções por eles
aplicadas.
§ 2º (VETADO).
§ 2º O Cnep conterá, entre outras, as
§ 3º As sanções poderão ser aplicadas seguintes informações acerca das sanções
de forma isolada ou cumulativa. aplicadas:
§ 4º O Ministério Público ou a Advocacia I - razão social e número de inscrição da

Pública ou órgão de representação judicial, ou pessoa jurídica ou entidade no Cadastro
equivalente, do ente público poderá requerer a Nacional da Pessoa Jurídica - CNPJ;
indisponibilidade de bens, direitos ou valores
necessários à garantia do pagamento da multa II - tipo de sanção; e
ou da reparação integral do dano causado,
conforme previsto no art. 7º , ressalvado o III - data de aplicação e data final da
direito do terceiro de boa-fé. vigência do efeito limitador ou impeditivo da
sanção, quando for o caso.
Art. 20. Nas ações ajuizadas pelo
Ministério Público, poderão ser aplicadas as § 3º As autoridades competentes, para
sanções previstas no art. 6º , sem prejuízo celebrarem acordos de leniência previstos nesta
daquelas previstas neste Capítulo, desde que Lei, também deverão prestar e manter
constatada a omissão das autoridades atualizadas no Cnep, após a efetivação do
competentes para promover a respectivo acordo, as informações acerca do
responsabilização administrativa. acordo de leniência celebrado, salvo se esse
procedimento vier a causar prejuízo às
Art. 21. Nas ações de responsabilização investigações e ao processo administrativo.
judicial, será adotado o rito previsto na Lei nº
7.347, de 24 de julho de 1985. § 4º Caso a pessoa jurídica não cumpra
os termos do acordo de leniência, além das
Parágrafo único. A condenação torna informações previstas no § 3º , deverá ser
certa a obrigação de reparar, integralmente, o incluída no Cnep referência ao respectivo
dano causado pelo ilícito, cujo valor será descumprimento.
apurado em posterior liquidação, se não constar
expressamente da sentença. § 5º Os registros das sanções e acordos
de leniência serão excluídos depois de
CAPÍTULO VII decorrido o prazo previamente estabelecido no
ato sancionador ou do cumprimento integral do
DISPOSIÇÕES FINAIS acordo de leniência e da reparação do eventual
dano causado, mediante solicitação do órgão ou
Art. 22. Fica criado no âmbito do Poder entidade sancionadora.
Executivo federal o Cadastro Nacional de
Empresas Punidas - CNEP, que reunirá e dará Art. 23. Os órgãos ou entidades dos
publicidade às sanções aplicadas pelos órgãos Poderes Executivo, Legislativo e Judiciário de
77
todas as esferas de governo deverão informar e contra a administração pública estrangeira,

manter atualizados, para fins de publicidade, no ainda que cometidos no exterior.
Cadastro Nacional de Empresas Inidôneas e
Suspensas - CEIS, de caráter público, instituído Art. 29. O disposto nesta Lei não exclui
no âmbito do Poder Executivo federal, os dados as competências do Conselho Administrativo de
relativos às sanções por eles aplicadas, nos Defesa Econômica, do Ministério da Justiça e
termos do disposto nos arts. 87 e 88 da Lei no do Ministério da Fazenda para processar e
8.666, de 21 de junho de 1993. julgar fato que constitua infração à ordem
econômica.
Art. 24. A multa e o perdimento de bens,
direitos ou valores aplicados com fundamento Art. 30. A aplicação das sanções
nesta Lei serão destinados preferencialmente previstas nesta Lei não afeta os processos de
aos órgãos ou entidades públicas lesadas. responsabilização e aplicação de penalidades
decorrentes de:
Art. 25. Prescrevem em 5 (cinco) anos as
infrações previstas nesta Lei, contados da data I - ato de improbidade administrativa nos
da ciência da infração ou, no caso de infração termos da Lei nº 8.429, de 2 de junho de 1992 ;
permanente ou continuada, do dia em que tiver e
cessado.
II - atos ilícitos alcançados pela Lei nº
Parágrafo único. Na esfera administrativa 8.666, de 21 de junho de 1993, ou outras
ou judicial, a prescrição será interrompida com a normas de licitações e contratos da
instauração de processo que tenha por objeto a administração pública, inclusive no tocante ao
apuração da infração. Regime Diferenciado de Contratações Públicas
- RDC instituído pela Lei nº 12.462, de 4 de
Art. 26. A pessoa jurídica será agosto de 2011.
representada no processo administrativo na
forma do seu estatuto ou contrato social. Art. 31. Esta Lei entra em vigor 180
(cento e oitenta) dias após a data de sua
§ 1º As sociedades sem personalidade publicação.
jurídica serão representadas pela pessoa a
quem couber a administração de seus bens.
§ 2º A pessoa jurídica estrangeira será

representada pelo gerente, representante ou
administrador de sua filial, agência ou sucursal
aberta ou instalada no Brasil.
Art. 27. A autoridade competente que,

tendo conhecimento das infrações previstas
nesta Lei, não adotar providências para a
apuração dos fatos será responsabilizada penal,
civil e administrativamente nos termos da
legislação específica aplicável.
Art. 28. Esta Lei aplica-se aos atos

lesivos praticados por pessoa jurídica brasileira
78
cibernética formulada com base em princípios e

RESOLUÇÃO CMN Nº 4.893, DE 26 DE diretrizes que busquem assegurar a
FEVEREIRO DE 2021 confidencialidade, a integridade e a
disponibilidade dos dados e dos sistemas de
Dispõe sobre a política de segurança informação utilizados.
cibernética e sobre os requisitos para a
contratação de serviços de processamento e § 1º A política mencionada no caput deve ser
armazenamento de dados e de computação em compatível com:
nuvem a serem observados pelas instituições
I - o porte, o perfil de risco e o modelo de
autorizadas a funcionar pelo Banco Central do
negócio da instituição;
Brasil.
II - a natureza das operações e a complexidade
O Banco Central do Brasil, na forma do art. 9º
dos produtos, serviços, atividades e processos
da Lei nº 4.595, de 31 de dezembro de 1964,
da instituição; e
torna público que o Conselho Monetário
Nacional, em sessão realizada em 25 de III - a sensibilidade dos dados e das
fevereiro de 2021, com base nos arts. 4º, inciso informações sob responsabilidade da instituição.
VIII, da referida Lei, 9º da Lei nº 4.728, de 14 de
julho de 1965, 7º e 23, alínea "a", da Lei nº § 2º Admite-se a adoção de política de
6.099, de 12 de setembro de 1974, 1º, inciso II, segurança cibernética única por:
da Lei nº 10.194, de 14 de fevereiro de 2001, e I - conglomerado prudencial; e
1º, § 1º, da Lei Complementar nº 130, de 17 de
abril de 2009, resolve: II - sistema cooperativo de crédito.
CAPÍTULO I § 3º As instituições que não constituírem política

de segurança cibernética própria em
DO OBJETO E DO ÂMBITO DE APLICAÇÃO decorrência do disposto no § 2º devem
Art. 1º Esta Resolução dispõe sobre a política formalizar a opção por essa faculdade em
de segurança cibernética e sobre os requisitos reunião do conselho de administração ou, na
para a contratação de serviços de sua inexistência, da diretoria da instituição.
processamento e armazenamento de dados e Art. 3º A política de segurança cibernética deve
de computação em nuvem a serem observados contemplar, no mínimo:
pelas instituições autorizadas a funcionar pelo
Banco Central do Brasil. I - os objetivos de segurança cibernética da
instituição;
Parágrafo único. O disposto nesta Resolução
não se aplica às instituições de pagamento, que II - os procedimentos e os controles adotados
devem observar a regulamentação emanada do para reduzir a vulnerabilidade da instituição a
Banco Central do Brasil, no exercício de suas incidentes e atender aos demais objetivos de
atribuições legais. segurança cibernética;
CAPÍTULO II III - os controles específicos, incluindo os

voltados para a rastreabilidade da informação,
DA POLÍTICA DE SEGURANÇA CIBERNÉTICA que busquem garantir a segurança das
Seção I informações sensíveis;
Da Implementação da Política de Segurança IV - o registro, a análise da causa e do impacto,

Cibernética bem como o controle dos efeitos de incidentes
relevantes para as atividades da instituição;
implementar e manter política de segurança V - as diretrizes para:
79
a) a elaboração de cenários de incidentes softwares maliciosos, o estabelecimento de

considerados nos testes de continuidade de mecanismos de rastreabilidade, os controles de
negócios; acesso e de segmentação da rede de
computadores e a manutenção de cópias de
b) a definição de procedimentos e de controles
segurança dos dados e das informações.
voltados à prevenção e ao tratamento dos
incidentes a serem adotados por empresas § 3º Os procedimentos e os controles citados no
prestadoras de serviços a terceiros que inciso II do caput devem ser aplicados,
manuseiem dados ou informações sensíveis ou inclusive, no desenvolvimento de sistemas de
que sejam relevantes para a condução das informação seguros e na adoção de novas
atividades operacionais da instituição; tecnologias empregadas nas atividades da
instituição.
c) a classificação dos dados e das informações
quanto à relevância; e § 4º O registro, a análise da causa e do impacto,
bem como o controle dos efeitos de incidentes,
d) a definição dos parâmetros a serem utilizados
citados no inciso IV do caput, devem abranger
na avaliação da relevância dos incidentes;
inclusive informações recebidas de empresas
VI - os mecanismos para disseminação da prestadoras de serviços a terceiros.
cultura de segurança cibernética na instituição,
§ 5º As diretrizes de que trata o inciso V, alínea
incluindo:
"b", do caput, devem contemplar procedimentos
a) a implementação de programas de e controles em níveis de complexidade,
capacitação e de avaliação periódica de abrangência e precisão compatíveis com os
pessoal; utilizados pela própria instituição.
b) a prestação de informações a clientes e Seção II

usuários sobre precauções na utilização de
Da Divulgação da Política de Segurança
produtos e serviços financeiros; e
Cibernética
c) o comprometimento da alta administração
Art. 4º A política de segurança cibernética deve
com a melhoria contínua dos procedimentos
ser divulgada aos funcionários da instituição e
relacionados com a segurança cibernética; e
às empresas prestadoras de serviços a
VII - as iniciativas para compartilhamento de terceiros, mediante linguagem clara, acessível e
informações sobre os incidentes relevantes, em nível de detalhamento compatível com as
mencionados no inciso IV, com as demais funções desempenhadas e com a sensibilidade
instituições referidas no art. 1º. das informações.
§ 1º Na definição dos objetivos de segurança Art. 5º As instituições devem divulgar ao público

cibernética referidos no inciso I do caput, deve resumo contendo as linhas gerais da política de
ser contemplada a capacidade da instituição segurança cibernética.
para prevenir, detectar e reduzir a
Seção III
vulnerabilidade a incidentes relacionados com o
ambiente cibernético. Do Plano de Ação e de Resposta a Incidentes
§ 2º Os procedimentos e os controles de que Art. 6º As instituições referidas no art. 1º devem

trata o inciso II do caput devem abranger, no estabelecer plano de ação e de resposta a
mínimo, a autenticação, a criptografia, a incidentes visando à implementação da política
prevenção e a detecção de intrusão, a de segurança cibernética.
prevenção de vazamento de informações, a
Parágrafo único. O plano mencionado no caput
realização periódica de testes e varreduras para
deve abranger, no mínimo:
detecção de vulnerabilidades, a proteção contra
80
I - as ações a serem desenvolvidas pela I - submetido ao comitê de risco, quando

instituição para adequar suas estruturas existente; e
organizacional e operacional aos princípios e às
II - apresentado ao conselho de administração
diretrizes da política de segurança cibernética;
ou, na sua inexistência, à diretoria da instituição
II - as rotinas, os procedimentos, os controles e até 31 de março do ano seguinte ao da
as tecnologias a serem utilizados na prevenção data-base.
e na resposta a incidentes, em conformidade
Art. 9º A política de segurança cibernética
com as diretrizes da política de segurança
referida no art. 2º e o plano de ação e de
cibernética; e
resposta a incidentes mencionado no art. 6º
III - a área responsável pelo registro e controle devem ser aprovados pelo conselho de
dos efeitos de incidentes relevantes. administração ou, na sua inexistência, pela
diretoria da instituição.
designar diretor responsável pela política de Art. 10. A política de segurança cibernética e o
segurança cibernética e pela execução do plano plano de ação e de resposta a incidentes devem
de ação e de resposta a incidentes. ser documentados e revisados, no mínimo,
anualmente.
Parágrafo único. O diretor mencionado no caput
pode desempenhar outras funções na CAPÍTULO III
instituição, desde que não haja conflito de
DA CONTRATAÇÃO DE SERVIÇOS DE
interesses.
PROCESSAMENTO E ARMAZENAMENTO DE
Art. 8º As instituições referidas no art. 1º devem DADOS E DE COMPUTAÇÃO EM NUVEM
elaborar relatório anual sobre a implementação
Art. 11. As instituições referidas no art. 1º devem
do plano de ação e de resposta a incidentes,
assegurar que suas políticas, estratégias e
mencionado no art. 6º, com data-base de 31 de
estruturas para gerenciamento de riscos
dezembro.
previstas na regulamentação em vigor,
§ 1º O relatório de que trata o caput deve especificamente no tocante aos critérios de
abordar, no mínimo: decisão quanto à terceirização de serviços,
contemplem a contratação de serviços
I - a efetividade da implementação das ações
relevantes de processamento e armazenamento
descritas no art. 6º, parágrafo único, inciso I;
de dados e de computação em nuvem, no País
II - o resumo dos resultados obtidos na ou no exterior.
implementação das rotinas, dos procedimentos,
Art. 12. As instituições mencionadas no art. 1º,
dos controles e das tecnologias a serem
previamente à contratação de serviços
utilizados na prevenção e na resposta a
relevantes de processamento e armazenamento
incidentes descritos no art. 6º, parágrafo único,
de dados e de computação em nuvem, devem
inciso II;
adotar procedimentos que contemplem:
III - os incidentes relevantes relacionados com o
I - a adoção de práticas de governança
ambiente cibernético ocorridos no período; e
corporativa e de gestão proporcionais à
IV - os resultados dos testes de continuidade de relevância do serviço a ser contratado e aos
negócios, considerando cenários de riscos a que estejam expostas; e
indisponibilidade ocasionada por incidentes.
II - a verificação da capacidade do potencial
§ 2º O relatório mencionado no caput deve ser: prestador de serviço de assegurar:
81
a) o cumprimento da legislação e da prestador dos serviços adote controles que

regulamentação em vigor; mitiguem os efeitos de eventuais
vulnerabilidades na liberação de novas versões
b) o acesso da instituição aos dados e às
do aplicativo.
informações a serem processados ou
armazenados pelo prestador de serviço; § 4º A instituição deve possuir recursos e
competências necessários para a adequada
c) a confidencialidade, a integridade, a
gestão dos serviços a serem contratados,
disponibilidade e a recuperação dos dados e
inclusive para análise de informações e uso de
das informações processados ou armazenados
recursos providos nos termos da alínea "f" do
pelo prestador de serviço;
inciso II do caput.
d) a sua aderência a certificações exigidas pela
Art. 13. Para os fins do disposto nesta
instituição para a prestação do serviço a ser
Resolução, os serviços de computação em
contratado;
nuvem abrangem a disponibilidade à instituição
e) o acesso da instituição contratante aos contratante, sob demanda e de maneira virtual,
relatórios elaborados por empresa de auditoria de ao menos um dos seguintes serviços:
especializada independente contratada pelo
I - processamento de dados, armazenamento de
prestador de serviço, relativos aos
dados, infraestrutura de redes e outros recursos
procedimentos e aos controles utilizados na
computacionais que permitam à instituição
prestação dos serviços a serem contratados;
contratante implantar ou executar softwares,
f) o provimento de informações e de recursos de que podem incluir sistemas operacionais e
gestão adequados ao monitoramento dos aplicativos desenvolvidos pela instituição ou por
serviços a serem prestados; ela adquiridos;
g) a identificação e a segregação dos dados dos II - implantação ou execução de aplicativos

clientes da instituição por meio de controles desenvolvidos pela instituição contratante, ou
físicos ou lógicos; e por ela adquiridos, utilizando recursos
computacionais do prestador de serviços; ou
h) a qualidade dos controles de acesso voltados
à proteção dos dados e das informações dos III - execução, por meio da internet, de
clientes da instituição. aplicativos implantados ou desenvolvidos pelo
prestador de serviço, com a utilização de
§ 1º Na avaliação da relevância do serviço a ser recursos computacionais do próprio prestador
contratado, mencionada no inciso I do caput, a de serviços.
instituição contratante deve considerar a
criticidade do serviço e a sensibilidade dos Art. 14. A instituição contratante dos serviços
dados e das informações a serem processados, mencionados no art. 12 é responsável pela
armazenados e gerenciados pelo contratado, confiabilidade, pela integridade, pela
levando em conta, inclusive, a classificação disponibilidade, pela segurança e pelo sigilo em
realizada nos termos do art. 3º, inciso V, alínea relação aos serviços contratados, bem como
"c". pelo cumprimento da legislação e da
regulamentação em vigor.
§ 2º Os procedimentos de que trata o caput,
inclusive as informações relativas à verificação Art. 15. A contratação de serviços relevantes de
mencionada no inciso II, devem ser processamento, armazenamento de dados e de
documentados. computação em nuvem deve ser comunicada
pelas instituições referidas no art. 1º ao Banco
§ 3º No caso da execução de aplicativos por Central do Brasil.
meio da internet, referidos no inciso III do art.
13, a instituição deve assegurar que o potencial
82
§ 1º A comunicação mencionada no caput deve contratante deverá solicitar autorização do

conter as seguintes informações: Banco Central do Brasil para:
I - a denominação da empresa contratada; I - a contratação do serviço, no prazo mínimo de

sessenta dias antes da contratação, observado
II - os serviços relevantes contratados; e
o disposto no art. 15, § 1º, desta Resolução; e
III - a indicação dos países e das regiões em
II - as alterações contratuais que impliquem
cada país onde os serviços poderão ser
modificação das informações de que trata o art.
prestados e os dados poderão ser
15, § 1º, observando o prazo mínimo de
armazenados, processados e gerenciados,
sessenta dias antes da alteração contratual.
definida nos termos do inciso III do art. 16, no
caso de contratação no exterior. § 2º Para atendimento aos incisos II e III do
caput, as instituições deverão assegurar que a
§ 2º A comunicação de que trata o caput deve
legislação e a regulamentação nos países e nas
ser realizada até dez dias após a contratação
regiões em cada país onde os serviços poderão
dos serviços.
ser prestados não restringem nem impedem o
§ 3º As alterações contratuais que impliquem acesso das instituições contratantes e do Banco
modificação das informações de que trata o § 1º Central do Brasil aos dados e às informações.
devem ser comunicadas ao Banco Central do
§ 3º A comprovação do atendimento aos
Brasil até dez dias após a alteração contratual.
requisitos de que tratam os incisos I a IV do
Art. 16. A contratação de serviços relevantes de caput e o cumprimento da exigência de que
processamento, armazenamento de dados e de trata o § 2º devem ser documentados.
computação em nuvem prestados no exterior
Art. 17. Os contratos para prestação de serviços
deve observar os seguintes requisitos:
relevantes de processamento, armazenamento
I - a existência de convênio para troca de de dados e computação em nuvem devem
informações entre o Banco Central do Brasil e prever:
as autoridades supervisoras dos países onde os
I - a indicação dos países e da região em cada
serviços poderão ser prestados;
país onde os serviços poderão ser prestados e
II - a instituição contratante deve assegurar que os dados poderão ser armazenados,
a prestação dos serviços referidos no caput não processados e gerenciados;
cause prejuízos ao seu regular funcionamento
II - a adoção de medidas de segurança para a
nem embaraço à atuação do Banco Central do
transmissão e armazenamento dos dados
Brasil;
citados no inciso I do caput;
III - a instituição contratante deve definir,
III - a manutenção, enquanto o contrato estiver
previamente à contratação, os países e as
vigente, da segregação dos dados e dos
regiões em cada país onde os serviços poderão
controles de acesso para proteção das
ser prestados e os dados poderão ser
informações dos clientes;
armazenados, processados e gerenciados; e
IV - a obrigatoriedade, em caso de extinção do
IV - a instituição contratante deve prever
contrato, de:
alternativas para a continuidade dos negócios,
no caso de impossibilidade de manutenção ou a) transferência dos dados citados no inciso I do
extinção do contrato de prestação de serviços. caput ao novo prestador de serviços ou à
instituição contratante; e
§ 1º No caso de inexistência de convênio nos
termos do inciso I do caput, a instituição b) exclusão dos dados citados no inciso I do
caput pela empresa contratada substituída,
83
após a transferência dos dados prevista na informações referentes aos serviços prestados,
alínea "a" e a confirmação da integridade e da aos dados armazenados e às informações
disponibilidade dos dados recebidos; sobre seus processamentos, às cópias de
segurança dos dados e das informações, bem
V - o acesso da instituição contratante a:
como aos códigos de acesso citados no inciso
a) informações fornecidas pela empresa VII do caput que estejam em poder da empresa
contratada, visando a verificar o cumprimento contratada; e
do disposto nos incisos I a III do caput;
II - a obrigação de notificação prévia do
b) informações relativas às certificações e aos responsável pelo regime de resolução sobre a
relatórios de auditoria especializada, citados no intenção de a empresa contratada interromper a
art. 12, inciso II, alíneas "d" e "e"; e prestação de serviços, com pelo menos trinta
dias de antecedência da data prevista para a
c) informações e recursos de gestão adequados interrupção, observado que:
ao monitoramento dos serviços a serem
prestados, citados no art. 12, inciso II, alínea "f"; a) a empresa contratada obriga-se a aceitar
eventual pedido de prazo adicional de trinta dias
VI - a obrigação de a empresa contratada para a interrupção do serviço, feito pelo
notificar a instituição contratante sobre a responsável pelo regime de resolução; e
subcontratação de serviços relevantes para a
instituição; b) a notificação prévia deverá ocorrer também
na situação em que a interrupção for motivada
VII - a permissão de acesso do Banco Central por inadimplência da contratante.
do Brasil aos contratos e aos acordos firmados
para a prestação de serviços, à documentação Art. 18. O disposto nos arts. 11 a 17 não se
e às informações referentes aos serviços aplica à contratação de sistemas operados por
prestados, aos dados armazenados e às câmaras, por prestadores de serviços de
informações sobre seus processamentos, às compensação e de liquidação ou por entidades
cópias de segurança dos dados e das que exerçam atividades de registro ou de
informações, bem como aos códigos de acesso depósito centralizado.
aos dados e às informações;
CAPÍTULO IV
VIII - a adoção de medidas pela instituição
contratante, em decorrência de determinação do
Banco Central do Brasil; e Art. 19. As instituições referidas no art. 1º
devem assegurar que suas políticas para
IX - a obrigação de a empresa contratada
gerenciamento de riscos previstas na
manter a instituição contratante
regulamentação em vigor disponham, no
permanentemente informada sobre eventuais
tocante à continuidade de negócios, sobre:
limitações que possam afetar a prestação dos
serviços ou o cumprimento da legislação e da I - o tratamento dos incidentes relevantes
regulamentação em vigor. relacionados com o ambiente cibernético de que
trata o art. 3º, inciso IV;
Parágrafo único. Os contratos mencionados no
caput devem prever, para o caso da decretação II - os procedimentos a serem seguidos no caso
de regime de resolução da instituição da interrupção de serviços relevantes de
contratante pelo Banco Central do Brasil: processamento e armazenamento de dados e
de computação em nuvem contratados,
I - a obrigação de a empresa contratada
abrangendo cenários que considerem a
conceder pleno e irrestrito acesso do
substituição da empresa contratada e o
responsável pelo regime de resolução aos
contratos, aos acordos, à documentação e às
84
reestabelecimento da operação normal da II - a definição de métricas e indicadores

instituição; e adequados; e
III - os cenários de incidentes considerados nos III - a identificação e a correção de eventuais

testes de continuidade de negócios de que trata deficiências.
o art. 3º, inciso V, alínea "a".
§ 1º As notificações recebidas sobre a
Art. 20. Os procedimentos adotados pelas subcontratação de serviços relevantes descritas
instituições para gerenciamento de riscos no art. 17, inciso VI, devem ser consideradas na
previstos na regulamentação em vigor devem definição dos mecanismos de que trata o caput.
contemplar, no tocante à continuidade de
§ 2º Os mecanismos de que trata o caput
negócios:
devem ser submetidos a testes periódicos pela
I - o tratamento previsto para mitigar os efeitos auditoria interna, quando aplicável, compatíveis
dos incidentes relevantes de que trata o inciso com os controles internos da instituição.
IV do art. 3º e da interrupção dos serviços
Art. 22. Sem prejuízo do dever de sigilo e da
relevantes de processamento, armazenamento
livre concorrência, as instituições mencionadas
de dados e de computação em nuvem
no art. 1º devem desenvolver iniciativas para o
contratados;
compartilhamento de informações sobre os
II - o prazo estipulado para reinício ou incidentes relevantes de que trata o art. 3º,
normalização das suas atividades ou dos inciso IV.
serviços relevantes interrompidos, citados no
§ 1º O compartilhamento de que trata o caput
inciso I do caput; e
deve abranger informações sobre incidentes
III - a comunicação tempestiva ao Banco Central relevantes recebidas de empresas prestadoras
do Brasil das ocorrências de incidentes de serviços a terceiros.
relevantes e das interrupções dos serviços
§ 2º As informações compartilhadas devem
relevantes citados no inciso I do caput que
estar disponíveis ao Banco Central do Brasil.
configurem uma situação de crise pela
instituição financeira, bem como das CAPÍTULO V
providências para o reinício das suas atividades.
DISPOSIÇÕES FINAIS
Parágrafo único. As instituições devem
estabelecer e documentar os critérios que Art. 23. Devem ficar à disposição do Banco
configurem uma situação de crise de que trata o Central do Brasil pelo prazo de cinco anos:
inciso III do caput.
I - o documento relativo à política de segurança
Art. 21. As instituições de que trata o art. 1º cibernética, de que trata o art. 2º;
devem instituir mecanismos de
II - a ata de reunião do conselho de
acompanhamento e de controle com vistas a
administração ou, na sua inexistência, da
assegurar a implementação e a efetividade da
diretoria da instituição, no caso de ser
política de segurança cibernética, do plano de
formalizada a opção de que trata o art. 2º, § 2º;
ação e de resposta a incidentes e dos requisitos
para contratação de serviços de processamento III - o documento relativo ao plano de ação e de
e armazenamento de dados e de computação resposta a incidentes, de que trata o art. 6º;
em nuvem, incluindo:
IV - o relatório anual, de que trata o art. 8º;
I - a definição de processos, testes e trilhas de
auditoria; V - a documentação sobre os procedimentos de
que trata o art. 12, § 2º;
85
VI - a documentação de que trata o art. 16, § 3º, II - ao disposto nos arts. 15, § 1º, e 17.
no caso de serviços prestados no exterior;
Parágrafo único. O prazo previsto para
VII - os contratos de que trata o art. 17, contado adequação ao disposto no caput não pode
o prazo referido no caput a partir da extinção do ultrapassar 31 de dezembro 2021.
contrato;
Art. 26. O Banco Central do Brasil poderá vetar
VIII - os dados, os registros e as informações ou impor restrições para a contratação de
relativas aos mecanismos de acompanhamento serviços de processamento e armazenamento
e de controle de que trata o art. 21, contado o de dados e de computação em nuvem quando
prazo referido no caput a partir da constatar, a qualquer tempo, a inobservância do
implementação dos citados mecanismos; e disposto nesta Resolução, bem como a
limitação à atuação do Banco Central do Brasil,
IX - a documentação com os critérios que
estabelecendo prazo para a adequação dos
configurem uma situação de crise de que trata o
referidos serviços.
art. 20, Parágrafo único.
Art. 27. Ficam revogadas:
Art. 24. O Banco Central do Brasil poderá adotar
as medidas necessárias para cumprimento do I - a Resolução nº 4.658, de 26 de abril de 2018;
disposto nesta Resolução, bem como e
estabelecer:
II - a Resolução nº 4.752, de 26 de setembro de
I - os requisitos e os procedimentos para o 2019.
compartilhamento de informações, nos termos
Art. 28. Esta Resolução entra em vigor em 1º de
do art. 22;
julho de 2021.
II - a exigência de certificações e outros
requisitos técnicos a serem requeridos das
empresas contratadas, pela instituição
financeira contratante, na prestação dos
serviços de que trata o art. 12;
III - os prazos máximos de que trata o art. 20,

inciso II para reinício ou normalização das
atividades ou dos serviços relevantes
interrompidos; e
IV - os requisitos técnicos e procedimentos

operacionais a serem observados pelas
instituições para o cumprimento desta
Resolução.
Art. 25. As instituições referidas no art. 1º que,

em 26 de abril de 2018, já tinham contratado a
prestação de serviços relevantes de
processamento, armazenamento de dados e de
computação em nuvem devem adequar o
contrato para a prestação de tais serviços:
I - ao cumprimento do disposto no art. 16,

incisos I, II, IV e § 2º, no caso de serviços
prestados no exterior; e
86

04.1 - Conhecimentos Bancar

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

04.1 - Conhecimentos Bancar

Enviado por

Direitos autorais:

Formatos disponíveis

Licenciado para: Jonatas Ferreira Silva | jonatasferreira68f@gmail.com | 15591701663 | Protegido por AlpaClass.

LEI Nº 9.613, DE 3 DE MARÇO DE 1998. 1

CIRCULAR Nº 3.978, DE 23 DE JANEIRO DE

Carta-Circular BACEN/DC Nº 4001 DE

LEI COMPLEMENTAR Nº 105, DE 10 DE

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 45

LEI Nº 12.846, DE 1º DE AGOSTO DE 2013. 71

RESOLUÇÃO CMN Nº 4.893, DE 26 DE

LEI Nº 9.613, DE 3 DE MARÇO DE 1998. V - (revogado); (Redação dada pela

I - os converte em ativos lícitos;

I - (revogado); (Redação dada pela II - participa de grupo, associação ou escritório

CAPÍTULO II Art. 4o O juiz, de ofício, a requerimento do

acusado ou de interposta pessoa a que se adotando-se a seguinte disciplina:

§ 4o Poderão ser decretadas medidas a) os depósitos serão efetuados na Caixa

I - em caso de sentença condenatória, nos dada destinação prévia; e

CAPÍTULO III Art. 8o O juiz determinará, na hipótese de

Parágrafo único. Sujeitam-se às mesmas IX - as pessoas físicas ou jurídicas, nacionais ou

II - as seguradoras, as corretoras de seguros e X - as pessoas físicas ou jurídicas que exerçam

IV - as administradoras ou empresas que se XII - as pessoas físicas ou jurídicas que

XIV - as pessoas físicas ou jurídicas que XVIII - as dependências no exterior das

físicas autorizadas a representá-la, bem como b) das operações referidas no inciso I;

§ 2º Os cadastros e registros referidos nos III - deverão comunicar ao órgão regulador ou

I - dispensarão especial atenção às operações Art. 11-A. As transferências internacionais

I - advertência; IV - descumprirem a vedação ou deixarem de

(Incluído pela Lei nº 12.683, de 2012)

Art. 17-A. Aplicam-se, subsidiariamente, as

Art. 17-B. A autoridade policial e o Ministério

Art. 17-C. Os encaminhamentos das

Art. 17-D. Em caso de indiciamento de servidor

CIRCULAR Nº 3.978, DE 23 DE JANEIRO DE RESOLVE:

I - as diretrizes para: d) de comunicação de operações ao Conselho

distribuição e a utilização de novas tecnologias;

CAPÍTULO III IV - das atividades exercidas pelos funcionários,

III - revisada a cada dois anos, bem como Seção II

CAPÍTULO V Art. 16. As instituições referidas no art. 1º

Seção I § 1º Os procedimentos referidos no caput

com a evolução da relação de negócio e do

Da Qualificação dos Clientes § 6º O Banco Central do Brasil poderá divulgar

II - identificar o local da sede ou filial, no caso de II - estreito colaborador:

exercida pelo administrador e com a

Art. 21. As instituições referidas no art. 1º § 2º É também considerado beneficiário final o

(Incluído, a partir de 1º/9/2021, pela Resolução

IV - os fundos e clubes de investimento b) organismos multilaterais; (Incluída, a partir de

§ 4º No caso das entidades relacionadas no § I - os detentores de mandatos eletivos dos

Art. 25. As instituições mencionadas no art. 1º c) presidente, vice-presidente e diretor, ou

VII - os Governadores e os Secretários de III - consultar bases de dados públicas ou

VIII - os Prefeitos, os Vereadores, os § 6º No caso de relação de negócio com cliente

IV - oficiais-generais e membros de escalões Seção I

I - solicitar declaração expressa do cliente a II - valor, quando aplicável;

no caso de pessoa residente ou sediada no

II - tipo e número do documento de viagem e § 3º Para fins do cumprimento do disposto no

envolva a interoperabilidade com arranjo de

Art. 32. No caso de transferência de recursos Parágrafo único. Na hipótese de recusa do

para efeitos de observação do limite previsto no

III - registrar, no ato da solicitação de § 2º Os procedimentos de que trata o caput

§ 3º No caso de saque em espécie a ser § 3º Os procedimentos mencionados no caput

CAPÍTULO VII Do Monitoramento e da Seleção de Operações

I - as operações realizadas e os produtos e h) as situações em que não seja possível

g) as operações oriundas ou destinadas a II - os parâmetros, as variáveis, as regras e os

Art. 42. Os procedimentos de monitoramento e Art. 45. As instituições referidas no art. 1º

Da Comunicação de Operações e Situações Disposições Gerais

§ 2º A comunicação da operação ou situação Parágrafo único. As instituições que optarem

terceirizados devem ser mantidas atualizadas,