Lei Geral de Proteção de Dados Pessoais Sistematizada

E-BOOK
LEI GERAL
DE PROTEÇÃO
DE DADOS
PESSOAIS
(sistematizada)
NACIONAL
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS | SISTEMATIZADA
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

SISTEMATIZADA
2
FICHA CATALOGRÁFICA
B273l
Barreto, Ana Amelia Menna
Lei Geral de Proteção de Dados Pessoais sistematizada / Ana Amelia Menna Barreto –
Brasília: OAB, Conselho Federal, 2020.
PDF (63 p.). il.: color.
ISBN: 978-65-5819-006-6.
1. Proteção de dados pessoais, Brasil. 2. Direito à privacidade. 3. Rede social. 4. Sociedade da

informação. I. Lei Geral de Proteção de Dados Pessoais. II. Marco Civil da Internet. III. Título.
CDD: 341.2732
CDU: 342.721:004.738.5
________________________________________
Elaborada por: CRB 1-3148.
Brasília – DF, 2020

APRESENTAÇÃO
Felipe Santa Cruz*
Com imensa satisfação, apresento à comunidade jurídica a obra “Lei Geral de Proteção de
Dados Pessoais - Sistematizada”, de autoria da ilustre Dra. Ana Amelia Menna Barreto, Advo-
gada, Mestra em Direito Empresarial e Docente em diversos cursos de pós-graduação na área
de Direito e Tecnologia. Trata-se de uma das maiores referências brasileiras em Direito Digital.
Sua consagrada e extensa atuação junto à Ordem dos Advogados do Brasil representa um le-
gado indelével para toda a Advocacia brasileira.
Desse modo, a presente obra digital apresenta uma valorosa contribuição para o estudo
sistematizado da Lei nº. 13.709/2018, que inaugura um marco legal de proteção à privacidade
e aos dados pessoais no Brasil. Sua estrutura esquematizada facilita o acesso cotidiano ao co-
nhecimento prático e objetivo sobre o tema, o qual se investe de extrema relevância para os
tempos atuais, na medida em que a referida lei propiciou alterações valorosas para a defesa
dos direitos individuais.
O período de crise pelo qual atravessamos, em razão da pandemia provocada pela COVID-19,
acelerou a demanda pela intensificação da digitalização em diferentes setores da vida. Assim,
a regulamentação do tratamento às informações dos cidadãos, obtidas sobretudo por meios
virtuais, confere maior segurança jurídica à sociedade brasileira.
Diante disso, o mérito alcançado nesta publicação reside em tornar mais acessível o estudo
ordenado desse importante dispositivo jurídico, que instaura uma cultura de respeito à privaci-
dade dos dados das pessoas em nosso País e, portanto, presta relevante serviço à Democracia.
*Advogado e Presidente Nacional da Ordem dos Advogados do Brasil.
4
SOBRE A AUTORA
ANA AMELIA MENNA BARRETO
Advogada e consultora jurídica em Direito

Digital e Proteção de Dados.
Mestre em Direito Empresarial pela Faculda-
de de Direito Milton Campos/MG.
Pós graduada pela Fundação Getulio Vargas
em Direito Empresarial e e-Lawyer.
Professora convidada da Fundação Getulio
Vargas há quinze anos onde ministra
disciplinas relativas ao Direito e tecnologia.
Docente em MBAs e Pós-Graduações em
todo o país.
Membro efetiva do Instituto dos Advogados
Brasileiros.
Palestrante e autora de trabalhos jurídi-
cos e obras coletivas sobre Direito e Tec-
nologia da Informação.
Na Seccional do Rio de Janeiro da Ordem dos
Advogados do Brasil foi Secretária Geral Ad-
junta, Diretora de Inclusão Digital e presiden-
te da Comissão de Direito e TI por 8 anos.
Membro da Comissão de Proteção de Dados
e da Coordenação de Direito e Inovação do
Conselho Federal da OAB.
5
LGPD | SUMÁRIO
Capítulo 1 - LEI GERAL DE PROTEÇÃO DE 3.2.2 Quando o consentimento é requerido

DADOS 3.2.3 Quando for condição para o forne-
cimento de produto, de serviço ou para
1.1 Apresentação o exercício de direito
1.2 Objetivos 3.2.4 Direito de opor-se a tratamento
1.3 Fundamentos realizado
1.4 Âmbito de aplicação 3.2.5 Direito de peticionar em relação aos
1.5 Condições para aplicação seus dados
1.5.1 Exceção 3.2.6 Obter do controlador a qualquer mo-
1.6 Não se aplica mento e mediante requisição
1.6.1 Fins acadêmicos 3.2.7 Portabilidade dos dados
1.6.1.2 Fins jornalísticos, artísticos, 3.2.8 Eliminação dos dados pessoais
acadêmicos 3.2.9 Confirmação de existência ou o acesso
1.7 Vedação da pessoa de direito privado a dados pessoais
1.8 Coleta em território nacional 3.2.9.1 Prazo
1.9 Vigência 3.2.9.2 Formato
3.2.9.3 Condições
Capítulo 2 - DADOS PESSOAIS 3.2.10 Revisão de decisões automatizadas
3.2.11 Exercício regular de direitos
2.1 Conceitos 3.2.12 Solicitar cópia eletrônica integral de
Dado pessoal seus dados pessoais
Não serão considerados dados pessoais 3.2.13 Poder Público - Prazos e procedi-
A determinação do que seja razoável mentos
Dado pessoal sensível 3.2.14 Defesa dos interesses e dos direitos
Dados anonimizados dos titulares
Anonimização 3.2.14.1 Inversão do ônus da prova
Estudos em saúde pública 3.2.14.2 Ações de reparação por danos
Pseudonimização coletivos
2.2 Outras definições 3.2.14.3 Direito de regresso
3.2.14.4 Relações de consumo
Capítulo 3 - TITULAR DOS DADOS
Capítulo 4 - TRATAMENTO DE DADOS
3.1 Quem é PESSOAIS
3.2 Direitos
3.2.1 Direito ao acesso facilitado 4.1 Definição
6
LGPD | SUMÁRIO
4.2 Princípios das atividades de tratamento 4.15 Empresas públicas e sociedades de

4.3 Hipóteses legais para o tratamento economia mista
4.4 Tratamento de dados pessoais cujo acesso 4.15.1 Que atuam em regime de concor-
é público rência
4.5 Dados tornados públicos pelo titular 4.16 Serviços notariais e de registro
4.6 Consentimento 4.16.1 Dever
4.6.1 Dispensa 4.17 Tratamento irregular
4.7 Dados pessoais sensíveis
4.7.1 Sem fornecimento de consentimento Capítulo 5 - COLETA E TRANSFERÊNCIA DE
do titular DADOS
4.7.2 Compartilhamento entre controlado-
res 5.1 Coleta em território nacional
4.7.3 Operadoras de planos privados de as- 5.1.1 Exceção
sistência à saúde 5.2 Transferência internacional de dados
4.8 Dados anonimizados 5.3 Nível de proteção de dados do país es-
4.9 Estudos em saúde pública trangeiro
4.9.1 Pseudonimização 5.4 Cláusulas-padrão contratuais
4.10 Tratamento de dados pessoais de crianças 5.5 Empresa estrangeira
e adolescentes
4.10.1 Exceção do consentimento Capítulo 6 - AGENTES DE TRATAMENTO
4.10.2 Deveres dos controladores
4.11 Idosos 6.1 Controlador
4.12 Término do Tratamento 6.1.1 Conciliação entre controlador e titu-
4.12.1 Autorizada a conservação dos dados lar
4.13 Dados pessoais de acesso público 6.2 Deveres
4.14 Pelas pessoas jurídicas de direito público 6.2.1 Compartilhamento com outros contro-
4.14.1 Condicionantes ladores
4.14.2 Indicação de encarregado 6.2.2 Dispensa da exigência de consenti-
4.14.3 Formato dos dados mento
4.14.4 Finalidades do compartilhamento 6.2.3 Alteração da finalidade específica
de dados 6.2.4 Legítimo interesse do controlador
4.14.5 Proibição 6.2.5 Crianças e adolescentes
4.14.5.1 Exceção 6.2.6 Em decisões automatizadas
4.14.6 Responsabilidade 6.2.7 Relatório de impacto à proteção de da-
4.14.7 Autoridade Nacional dos pessoais
7
LGPD | SUMÁRIO
6.2.8 Incidente de segurança 7.3 Indicação

6.2.9 Boas práticas e segurança 7.3.1 Obrigatória
6.2.9.1 Programa de governança em priva- 7.3.2 Dispensa
cidade
6.2.9.2 Efetividade do programa de gover- Capítulo 8 - AUTORIDADE NACIONAL DE
nança em privacidade PROTEÇÃO DE DADOS
6.2.10 Indicação encarregado pelo trata-
mento de dados pessoais 8.1 Características Gerais
6.2.11 Aplicação dos princípios de segurança 8.2 Composição
e prevenção 8.2.1 Escolha dos membros
6.3 Operador 8.3 Estrutura regimental
6.3.1 Deveres 8.4 Competências
6.4 Obrigações dos agentes de tratamento 8.4.1 Na transferência internacional de
6.4.1 Registro das operações dados
6.4.2 Acesso não autorizado 8.5 Regulamentos e normas
6.4.2.1 Padrões Técnicos 8.6 Aplicação de sanções
6.4.3 Segurança da informação 8.6.1 Fórum permanente de comunicação
6.4.4 Regras de boas práticas e de gover- 8.7 Receitas
nança
6.4.4.1 Condicionantes Capítulo 9 - PENALIDADES
6.5 Responsabilidade legal dos agentes de
tratamento 9.1 Sanções administrativas aplicadas pela
6.5.1 Ressarcimento de danos ANPD
6.6 Direito de regresso 9.1.1 Condições de aplicação
6.7 Relações de consumo 9.2 Multas pecuniárias aplicadas pela ANPD
6.8 Isenção de responsabilidade 9.2.1 Condições de aplicação
6.9 Regras de Boas Práticas e Governança 9.2.2 Destinação das multas
6.9.1 Autoridade Nacional
Capítulo 10 - CONSELHO NACIONAL DE PRO-
Capítulo 7 - ENCARREGADO PELO TRATA- TEÇÃO DE DADOS E DA PRIVACIDADE
MENTO DE DADOS PESSOAIS
10.1 Composição
7.1 Quem é 10.2 Competências
7.1.1 Publicidade
7.2 Funções
8
LGPD | SUMÁRIO
Capítulo 11 - RELATÓRIO DE IMPACTO A ANEXOS

PROTEÇÃO DE DADOS PESSOAIS
I - Abreviaturas
11.1 Conteúdo II - Leis referidas na LGPD
11.2 Quando é necessário III - Definições
11.3 Determinações da ANPD IV - Conceitos dos princípios do tratamento de
11.3.1 Ao controlador dados
11.3.2 Aos agentes públicos V- Conceitos das operações de tratamento de
dados pessoais
Capítulo 12 - SEGURANÇA E SIGILO DE DADOS VI - Lei Geral de Proteção de Dados Pessoais -
Lei 13.709/2018
12.1 Sistemas para o tratamento de dados 1. Sumário
12.2 Segurança da Informação 2. Texto Compilado
12.3 Padrões de interoperabilidade
12.4 Padrões técnicos mínimos
Capítulo 13 - BOAS PRÁTICAS E GOVERNANÇA
13.1 Sistemas para o tratamento de dados

13.2 Regras de boas práticas e de governança
13.3 Padrões técnicos
13.4 Agentes do Poder Público
Capítulo 14 - OUTROS TEMAS
14.1 Associações
14.2 Empresa estrangeira
14.3 Microempresas, empresas de pequeno
porte, startup, empresas de inovação
14.4 Organismos de certificação
9
01.
APRESENTAÇÃO
LGPD | CAPÍTULO 1 - APRESENTAÇÃO
1.1 A Lei Geral de Proteção de Dados Pesso- vado, independentemente do meio, do país
ais dispõe sobre o tratamento de dados pes- de sua sede ou do país onde estejam locali-
soais, inclusive nos meios digitais, por pes- zados os dados. Art. 3º
soa natural ou por pessoa jurídica de direito
público ou privado. Art. 1º 1.5 Condições para aplicação
Desde que a operação de tratamento seja re-
As normas gerais são consideradas de inte- alizada no território nacional; a atividade de
resse nacional e devem ser observadas pela tratamento tenha por objetivo a oferta ou o
União, Estados, Distrito Federal e Municípios. fornecimento de bens ou serviços ou o trata-
Art. 1º, parágrafo único mento de dados de indivíduos localizados no
território nacional; os dados pessoais objeto
1.2 Objetivos do tratamento tenham sido coletados no ter-
Proteção dos direitos fundamentais de liber- ritório nacional. Art. 3º, I a III
dade e de privacidade e o livre desenvolvi-
mento da personalidade da pessoa natural. 1.5.1 Exceção: o tratamento de dados prove-
Art. 1º nientes de fora do território nacional e que
não sejam objeto de comunicação, uso com-
1.3 Fundamentos partilhado de dados com agentes de trata-
A disciplina da proteção de dados pessoais mento brasileiros ou objeto de transferência
tem como fundamentos: O respeito à priva- internacional de dados com outro país que
cidade; a autodeterminação informativa; a não o de proveniência, desde que o país de
liberdade de expressão, de informação, de proveniência proporcione grau de proteção
comunicação e de opinião; a inviolabilidade de dados pessoais adequado ao previsto na
da intimidade, da honra e da imagem; o de- LGPD. Art. 3º, § 2º
senvolvimento econômico e tecnológico e a
inovação; a livre iniciativa, a livre concorrên- 1.6 Não se aplica
cia e a defesa do consumidor; os direitos hu- Ao tratamento realizado para fins exclusivos
manos, o livre desenvolvimento da persona- de segurança pública, defesa nacional, segu-
lidade, a dignidade e o exercício da cidadania rança do Estado, ou atividades de investiga-
pelas pessoas naturais. Art. 2º, I a VII ção e repressão de infrações penais Art. 4º,
III, A ao D
1.4 Âmbito de aplicação
A qualquer operação de tratamento de da- Provenientes de fora do território nacional e
dos pessoais realizada por pessoa natural ou que não sejam objeto de comunicação, uso
por pessoa jurídica de direito público ou pri- compartilhado de dados com agentes de tra-
11
LGPD | CAPÍTULO 1 - APRESENTAÇÃO
tamento brasileiros ou objeto de transferên- aquela que possua capital integralmente

cia internacional de dados com outro país constituído pelo poder público. Art. 4º, § 4º
que não o de proveniência, desde que o país
de proveniência proporcione grau de prote- 1.8 Coleta em território nacional
ção de dados pessoais adequado ao previsto Consideram-se coletados em território na-
na Lei. Art. 4º, IV cional os dados pessoais cujo titular nele se
encontre no momento da coleta. Art. 3º, § 1º
Ao tratamento de dados pessoais realizado
por pessoa natural para fins exclusivamente 1.9 Vigência
particulares e não econômicos Art. 4º, I Lei: 16 agosto de 2020
Sanções administrativas: 01 agosto de 2021
Realizado para fins exclusivamente jornalísti-
co e artísticos ou acadêmicos (v. arts. 7 e 11)
Art. 4º, II, A e B Estabelecida pela MP 959/2020
Lei em sua totalidade: 3 de maio de 202
O tratamento previsto no inciso II do art. 4º
será regido por legislação específica, que
deverá prever medidas proporcionais e
estritamente necessárias ao atendimento
do interesse público, observados o devido
processo legal, os princípios gerais de pro-
teção e os direitos do titular previstos na
Lei. Art. 4º, § 1º
1.7 Vedação da pessoa de direito privado

Vedado o tratamento dos dados por pessoa
de direito privado, exceto em procedimentos
sob tutela de pessoa jurídica de direito pú-
blico, que serão objeto de informe específico
à ANPD e que deverão observar a limitação
imposta no § 4º do art. 4º. Art. 4º, § 2º
Em nenhum caso a totalidade dos dados

pessoais de banco de dados poderá ser tra-
tada por pessoa de direito privado, salvo por
12
LEI
LEI GERAL
GERAL DE
DE PROTEÇÃO
PROTEÇÃO DE
DE DADOS
DADOS PESSOAIS
PESSOAIS || SISTEMATIZADA
SISTEMATIZADA
02.
DADOS PESSOAIS
13
LGPD | CAPÍTULO 2 - DADOS PESSOAIS
2.1 Conceitos áveis e disponíveis na ocasião de seu tra-

Dado pessoal: informação relacionada a tamento. Art. 5º, III
pessoa identificada ou identificável. Art. 5º, I
Anonimização: utilização de meios técnicos
Igualmente poderão ser considerados como razoáveis e disponíveis no momento do tra-
dados pessoais para fins da Lei aqueles uti- tamento, por meio dos quais um dado perde
lizados para formação do perfil comporta- a possibilidade de associação, direta ou indi-
mental de determinada pessoa natural, se reta, a um indivíduo. Art. 5º, XI (*v. art. 13)
identificada. Art. 12, § 2º
*A ANPD poderá dispor sobre padrões e
Não serão considerados dados pessoais: técnicas utilizados em processos de ano-
salvo quando o processo de anonimização nimização e realizar verificações acerca
ao qual foram submetidos for revertido, uti- de sua segurança, ouvido o Conselho Na-
lizando exclusivamente meios próprios, ou cional de Proteção de Dados Pessoais. Art.
quando, com esforços razoáveis, puder ser 12, § 3º
revertido. Art. 12
Pseudonimização: Para os efeitos do art. 13
A determinação do que seja razoável deve é o tratamento por meio do qual um dado
levar em consideração fatores objetivos, tais perde a possibilidade de associação, direta
como custo e tempo necessários para rever- ou indireta, a um indivíduo, senão pelo uso
ter o processo de anonimização, de acordo de informação adicional mantida separada-
com as tecnologias disponíveis, e a utilização mente pelo controlador em ambiente con-
exclusiva de meios próprios. Art. 12, § 1º trolado e seguro. Art. 13, § 4º
Dado pessoal sensível: dado pessoal sobre 2.2 Outras definições

origem racial ou étnica, convicção religiosa, *v. Anexo III
opinião política, filiação a sindicato ou a or-
ganização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida se-
xual, dado genético ou biométrico, quando
vinculado a uma pessoa natural. Art. 5º, II
Dados anonimizados: relativo a titular

que não possa ser identificado, conside-
rando a utilização de meios técnicos razo-
14
03.
TITULAR DOS
DADOS
LGPD | CAPÍTULO 3 - TITULAR DOS DADOS
3.1 Quem é sido apresentadas previamente com

transparência, de forma clara e inequívo-
A pessoa natural a quem se refere os da- ca. Art. 9º, § 1º
dos pessoais que são objeto de tratamento.
Art. 5º, V Se houver mudanças da finalidade para o
tratamento de dados pessoais não com-
3.2 Direitos patíveis com o consentimento original,
Toda pessoa natural tem assegurada a o controlador deverá informar previa-
titularidade de seus dados pessoais e ga- mente o titular sobre as mudanças de
rantidos os direitos fundamentais de li- finalidade, podendo o titular revogar o
berdade, de intimidade e de privacidade, consentimento, caso discorde das altera-
nos termos da Lei. Art. 17 ções. Art. 9º, § 2º
3.2.1 Direito ao acesso facilitado às infor- 3.2.3 Quando for condição para o forneci-
mações sobre o tratamento de seus dados, mento de produto ou de serviço ou para o
que deverão ser disponibilizadas de forma exercício de direito
clara, adequada e ostensiva acerca de, entre
outras características previstas em regula- O titular será informado com destaque so-
mentação para o atendimento do princípio bre esse fato e sobre os meios pelos quais
do livre acesso Art. 9º: finalidade específica poderá exercer os direitos do titular elen-
do tratamento; forma e duração do trata- cados no art. 18. Art. 9º, § 3º
mento, observados os segredos comercial
e industrial; identificação do controlador; Em caso de impossibilidade de adoção
informações de contato do controlador; in- imediata da providência de que trata o §
formações acerca do uso compartilhado de 3º deste artigo, o controlador enviará ao
dados pelo controlador e a finalidade; res- titular resposta comunicando que não é
ponsabilidades dos agentes que realizarão o agente de tratamento dos dados, deven-
tratamento; e direitos do titular, com men- do indicar, sempre que possível, quem é o
ção explícita aos direitos contidos no art. 18 agente; ou indicar as razões de fato ou de
da Lei. Art. 9º, I a VII direito que impedem a adoção imediata
da providência. Art. 18, § 4º, I e II
3.2.2 Quando o consentimento é requerido
Será considerado nulo caso as informa- 3.2.4 Direito de opor-se a tratamento rea-
ções fornecidas ao titular tenham conte- lizado com fundamento em uma das hipóte-
údo enganoso ou abusivo ou não tenham ses de dispensa de consentimento, em caso
16
de descumprimento ao disposto nesta Lei. sibilidade de não fornecer consentimento e

Art. 18, § 2º sobre as consequências da negativa; Revo-
gação do consentimento (art. 8º, §5º); Elimi-
O responsável deverá informar, de manei- nação dos dados pessoais tratados com o
ra imediata, aos agentes de tratamento consentimento do titular (v. exceção art. 16).
com os quais tenha realizado uso compar- Art. 18, I a IX
tilhado de dados a correção, a eliminação,
a anonimização ou o bloqueio dos dados, 3.2.7 A portabilidade dos dados a outro for-
para que repitam idêntico procedimento, necedor de serviço ou produto Art. 18, V não
exceto nos casos em que esta comunica- inclui dados que já tenham sido anonimiza-
ção seja comprovadamente impossível ou dos pelo controlador. Art. 18, § 7º
implique esforço desproporcional. Art.
18, § 6º Os direitos previstos no art. 18 poderão
ser exercidos mediante requerimento
3.2.5 Direito de peticionar em relação aos expresso do titular ou de representante
seus dados contra o controlador perante a legalmente constituído, a agente de tra-
ANPD Art. 18, § 1º, também perante os orga- tamento Art. 18, § 3º, atendido sem custo
nismos de defesa do consumidor Art. 18, § 8º para o titular, nos prazos e termos previs-
tos em regulamento. Art. 18, § 5º
3.2.6 Obter do controlador a qualquer mo-
mento e mediante requisição 3.2.8 Eliminação dos dados pessoais: Os
dados pessoais serão eliminados após o
Confirmação da existência de tratamento, término de seu tratamento, no âmbito e
de acesso e correção de dados incompletos, nos limites técnicos das atividades, auto-
inexatos ou desatualizados; Anonimização, rizada a conservação para as seguintes fi-
bloqueio ou eliminação de dados desneces- nalidades: cumprimento de obrigação legal
sários, excessivos ou tratados em desconfor- ou regulatória pelo controlador; estudo por
midade com a LGPD; Portabilidade dos da- órgão de pesquisa, garantida, sempre que
dos a outro fornecedor de serviço/produto, possível, a anonimização dos dados pes-
mediante requisição expressa, de acordo soais; transferência a terceiro, desde que
com a regulamentação da ANPD observados respeitados os requisitos de tratamento de
os segredos comercial e industrial; Informa- dados dispostos na Lei ou uso exclusivo do
ção das entidades públicas e privadas com controlador, vedado seu acesso por tercei-
as quais o controlador realizou uso compar- ro, e desde que anonimizados os dados.
tilhado de dados; Informação sobre a pos- Art. 16, I a IV
17
3.2.9 Confirmação de existência ou o aces- O titular dos dados tem direito a solicitar
so a dados pessoais a revisão de decisões tomadas unicamen-
te com base em tratamento automatizado
A confirmação de existência ou o aces- de dados pessoais que afetem seus inte-
so a dados pessoais serão providen- resses, incluídas as decisões destinadas a
ciados, mediante requisição do titular definir o seu perfil pessoal, profissional,
Art. 19 e prestadas em formato sim- de consumo e de crédito ou os aspectos
plificado, imediatamente Art. 19, I ou de sua personalidade. Art. 20
por meio de declaração clara e com-
pleta, que indique a origem dos dados, 3.2.11 Exercício regular de direitos
a inexistência de registro, os critérios
utilizados e a finalidade do tratamen- Os dados pessoais referentes ao exercício
to, observados os segredos comercial regular de direitos pelo titular não podem
e industrial ser utilizados em seu prejuízo. Art. 21
3.2.9.1 Prazo: fornecida em até 15 conta- 3.2.12 Solicitar cópia eletrônica

dos da data do requerimento do titular.
Art. 19, II Quando o tratamento tiver origem no con-
sentimento do titular ou em contrato, o titu-
*A ANPD poderá dispor de forma diferen- lar poderá solicitar cópia eletrônica integral
ciada acerca dos prazos previstos nos inde seus dados pessoais, observados os se-
cisos I e II do caput deste artigo para os gredos comercial e industrial, nos termos de
setores específicos. Art. 19, § 4º regulamentação da ANPD, em formato que
permita a sua utilização subsequente, inclu-
3.2.9.2 Formato: os dados serão armaze- sive em outras operações de tratamento. Art.
nados em formato que favoreça o exercí- 19, § 3º
cio do direito de acesso. Art. 19, § 1º
3.2.13 Poder Público - Prazos e procedi-
3.2.9.3 Condições: As informações e os mentos
dados poderão ser fornecidos, a critério
do titular: por meio eletrônico, seguro e O exercício dos direitos do titular perante
idôneo para esse fim ou sob forma im- o Poder Público devem observar o dispos-
pressa. Art. 19, § 2º, I e II to em legislação específica, em especial a
Lei 9.507/1997 (Lei do Habeas Data), a Lei
3.2.10 Revisão de decisões automatizadas 9.784/1999 (Lei Geral do Processo Admi-
18
nistrativo), e Lei 12.527/(Lei de Acesso à âmbito das relações de consumo perma-

Informação). Art. 23, § 3º necem sujeitas às regras de responsabi-
lidade previstas na legislação pertinente.
3.2.14 Defesa dos interesses e dos direitos Art. 45
dos titulares
Pode ser exercida em juízo, individual ou co-

letivamente, na forma do disposto na legisla-
ção pertinente, acerca dos instrumentos de
tutela individual e coletiva. Art. 22
3.2.14.1 Inversão do ônus da prova: O

juiz, no processo civil, poderá inverter o
ônus da prova a favor do titular dos dados
quando, a seu juízo, for verossímil a alega-
ção, houver hipossuficiência para fins de
produção de prova ou quando a produção
de prova pelo titular resultar-lhe excessi-
vamente onerosa. Art. 42, § 2º
3.2.14.2 Ações de reparação por danos

coletivos que tenham por objeto a res-
ponsabilização nos termos do caput deste
artigo podem ser exercidas coletivamente
em juízo, observado o disposto na legisla-
ção pertinente. Art. 42, § 3º
3.2.14.3 Direito de regresso: Aquele que

reparar o dano ao titular tem direito de
regresso contra os demais responsáveis,
na medida de sua participação no evento
danoso. Art. 42, § 4º
3.2.14.4 Relações de consumo: As hipó-

teses de violação do direito do titular no
19
04.
TRATAMENTO
DE DADOS
PESSOAS
LGPD | CAPÍTULO 4 - TRATAMENTO DE DADOS PESSOAIS
4.1 Definição estudos por órgão de pesquisa, garanti-

da, sempre que possível, a anonimização
Toda operação realizada com dados pes- dos dados pessoais; quando necessário
soais, como as que se referem a coleta, para a execução de contrato ou de pro-
produção, recepção, classificação, utiliza- cedimentos preliminares relacionados a
ção, acesso, reprodução, transmissão, dis- contrato do qual seja parte o titular, a pe-
tribuição, processamento, arquivamento, dido do titular dos dados; Para o exercício
armazenamento, eliminação, avaliação ou regular de direitos em processo judicial,
controle da informação, modificação, co- administrativo ou arbitral (Lei 9.307/96);
municação, transferência, difusão ou ex- Para a proteção da vida ou da incolumi-
tração. Art. 5º, X dade física do titular ou de terceiro; Para a
tutela da saúde, exclusivamente, em pro-
4.2 Princípios das atividades de tratamento cedimento realizado por profissionais de
saúde, serviços de saúde ou autoridade
Devem observar a boa-fé e os princípios sanitária; quando necessário para atender
da finalidade, adequação, necessidade, aos interesses legítimos do controlador
livre acesso, qualidade dos dados, trans- ou de terceiro, exceto no caso de prevale-
parência, segurança, prevenção, não dis- cerem direitos e liberdades fundamentais
criminação, responsabilização e prestação do titular que exijam a proteção dos da-
de contas. Art. 6º (v. Anexo II - Princípios) dos pessoais; Para a proteção do crédito,
inclusive quanto ao disposto na legislação
4.3 Hipóteses legais para o tratamento pertinente. Art. 7º, I a X
A Lei elenca dez hipóteses autorizadas 4.4 Dados de acesso público

para realização do tratamento de dados.
Art. 7º: mediante consentimento pelo ti- O tratamento de dados pessoais cujo acesso
tular, cumprimento de obrigação legal é público deve considerar a finalidade, a boa-
ou regulatória pelo controlador, pela ad- -fé e o interesse público que justificaram sua
ministração pública, para o tratamento e disponibilização. Art. 7º, § 3º
uso compartilhado de dados necessários
à execução de políticas públicas previstas 4.5 Dados tornados públicos pelo titular
em leis e regulamentos ou respaldadas
em contratos, convênios ou instrumentos Dispensada a exigência do consentimento
congêneres (observadas as disposições previsto para os dados tornados manifes-
do Capítulo IV da Lei); para a realização de tamente públicos pelo titular, resguarda-
21
dos os direitos do titular e os princípios da O consentimento poderá ser revogado a

LGPD. Art. 7º, § 4º qualquer momento mediante manifes-
tação expressa do titular, por procedi-
O tratamento posterior dos dados pes- mento gratuito e facilitado, ratificados os
soais a que se referem os §§ 3º e 4º deste tratamentos realizados sob amparo do
artigo poderá ser realizado para novas consentimento anteriormente manifesta-
finalidades, desde que observados os do enquanto não houver requerimento de
propósitos legítimos e específicos para eliminação (art. 18, VI). Art. 8º, § 5º
o novo tratamento e a preservação dos
direitos do titular, assim como os funda- 4.6.1 Dispensa
mentos e os princípios previstos nesta
Lei. Art. 7º, § 7º A eventual dispensa da exigência do con-
sentimento não desobriga os agentes de
4.6 Consentimento tratamento das demais obrigações previs-
tas na Lei, especialmente da observância
O consentimento (art. 7º, I) deverá ser dos princípios gerais e da garantia dos di-
fornecido por escrito ou por outro meio reitos do titular. Art. 7º, § 6º
que demonstre a manifestação de von-
tade do titular (art. 8º). Caso o consen- 4.7 Dados pessoais sensíveis
timento seja fornecido por escrito, de-
verá constar de cláusula destacada das O tratamento somente poderá ocorrer
demais cláusulas contratuais Art. 8º, nas seguintes hipóteses Art. 11: quando o
§1º, cabendo ao controlador o ônus da titular/responsável legal consentir, de for-
prova de que o consentimento foi obti- ma específica e destacada, para finalida-
do em conformidade com o disposto na des específicas. Art. 11, I
LGPD Art. 8º, §2º
4.7.1 Sem fornecimento de consenti-
Vedado o tratamento de dados pessoais mento do titular
mediante vício de consentimento Art. 8º, § 3º.
Nas hipóteses em que for indispensável
O consentimento deverá referir-se a finali- para Art. 11, II: cumprimento de obri-
dades determinadas, considerando nulas gação legal ou regulatória pelo contro-
as autorizações genéricas para o trata- lador; tratamento compartilhado de
mento de dados pessoais Art. 8º, § 4º dados necessários à execução, pela ad-
ministração pública, de políticas públi-
22
cas previstas em leis ou regulamentos; dada publicidade à referida dispensa de

realização de estudos por órgão de pes- consentimento, nos termos do inciso I
quisa, garantida, sempre que possível, a do caput do art. 23. Art. 11, § 2º
anonimização dos dados pessoais sensí-
veis; exercício regular de direitos, inclu- 4.7.2 Compartilhamento entre controla-
sive em contrato e em processo judicial, dores
administrativo e arbitral, observada a
Lei de Arbitragem; proteção da vida ou Poderá ser objeto de vedação ou de regu-
da incolumidade física do titular ou de lamentação por parte da ANPD, a comu-
terceiro; tutela da saúde, exclusivamen- nicação ou o uso compartilhado de dados
te, em procedimento realizado por pro- pessoais sensíveis entre controladores
fissionais de saúde, serviços de saúde com objetivo de obter vantagem econômi-
ou autoridade sanitária; ou garantia da ca (ouvidos os órgãos setoriais do Poder
prevenção à fraude e à segurança do ti- Público, no âmbito de suas competências).
tular, nos processos de identificação e Art. 11, § 3º
autenticação de cadastro em sistemas
eletrônicos, resguardados os direitos Vedada a comunicação ou o uso compar-
mencionados no art. 9º da Lei e exce- tilhado entre controladores de dados pes-
to no caso de prevalecerem direitos e soais sensíveis referentes à saúde com
liberdades fundamentais do titular que objetivo de obter vantagem econômica,
exijam a proteção dos dados pessoais. exceto nas hipóteses relativas à presta-
Art. 11, II, a até g ção de serviços de saúde, de assistência
farmacêutica e de assistência à saúde.
*Aplicado a qualquer tratamento de da- Incluídos os serviços auxiliares de diagno-
dos pessoais que revele dados pessoais se e terapia, em benefício dos interesses
sensíveis e que possa causar dano ao ti- dos titulares de dados, e para permitir a
tular, ressalvado o disposto em legislação portabilidade de dados quando solicitada
específica. Art. 11, § 1º pelo titular e as transações financeiras e
administrativas resultantes do uso e da
*Nos casos de cumprimento de obriga- prestação dos serviços de que trata este
ção legal ou regulatória pelo controla- parágrafo. Art. 11, § 4º, I e II
dor e do tratamento compartilhado de
dados necessários à execução pela ad- 4.7.3 Operadoras de planos privados de
ministração pública, de políticas públi- assistência à saúde
cas previstas em lei/regulamentos: será
23
Vedado o tratamento de dados de saúde do órgão e estritamente para a finalida-

para a prática de seleção de riscos na con- de de realização de estudos e pesquisas
tratação de qualquer modalidade, assim e mantidos em ambiente controlado e
como na contratação e exclusão de bene- seguro, conforme práticas de seguran-
ficiários. Art. 11, § 5º ça previstas em regulamento específico
e que incluam, sempre que possível, a
4.8 Dados anonimizados anonimização ou pseudonimização dos
dados, bem como considerem os devi-
Não serão considerados dados pessoais dos padrões éticos relacionados a estu-
para os fins da Lei, salvo quando o proces- dos e pesquisas. Art. 13
so de anonimização ao qual foram sub-
metidos for revertido, utilizando exclusi- A divulgação dos resultados ou de qual-
vamente meios próprios, ou se puder ser quer excerto do estudo ou da pesquisa de
revertido com esforços razoáveis. Art. 12 que trata o caput deste artigo em nenhu-
ma hipótese poderá revelar dados pesso-
A determinação do que seja razoável ais. Art. 13, § 1º
deve levar em consideração fatores ob-
jetivos: custo e tempo necessários para O órgão de pesquisa será o responsável
reverter o processo de anonimização, pela segurança da informação prevista
de acordo com as tecnologias disponí- no caput deste artigo, não permitida, em
veis, e a utilização exclusiva de meios circunstância alguma, a transferência dos
próprios. Art. 12, § 1º dados a terceiro. Art. 13, § 2º
A ANPD poderá dispor sobre padrões e O acesso aos dados de que trata este ar-
técnicas utilizados em processos de ano- tigo será objeto de regulamentação por
nimização e realizar verificações acerca parte da ANPD e das autoridades da área
de sua segurança, ouvido o CNPD. Art. de saúde e sanitárias, no âmbito de suas
12, §§ 3º competências. Art. 13, § 3º
4.9 Estudos em saúde pública 4.9.1 Pseudonimização: Para os efeitos

deste artigo, é o tratamento por meio do
Na realização de estudos em saúde pú- qual um dado perde a possibilidade de
blica, os órgãos de pesquisa poderão ter associação, direta ou indireta, a um indiví-
acesso a bases de dados pessoais, que duo, senão pelo uso de informação adicio-
serão tratados exclusivamente dentro nal mantida separadamente pelo contro-
24
lador em ambiente controlado e seguro. 4.10.2 Deveres dos controladores

Art. 13, § 4º v. 6.2.5 - art. 14
4.10 Tratamento de dados pessoais de 4.11 Idosos

crianças e adolescentes
Compete a ANPD garantir que o tratamen-
Deverá ser realizado em seu melhor in- to de idosos, seja efetuado de maneira
teresse, também observadas a legislação simples, clara e acessível, atendidas tam-
pertinente (Estatuto da Criança e do Ado- bém as regras do Estatuto do Idoso. Art.
lescente) Art. 14 com o consentimento 55-J, XIX
específico e em destaque, dado por pelo
menos um dos pais ou pelo responsável 4.12 Término do Tratamento
legal. Art. 14, § 1º
Ocorrerá nas seguintes hipóteses Art. 15:
verificação de que a finalidade foi alcan-
As informações sobre o tratamento de da- çada ou de que os dados deixaram de ser
dos de crianças e de adolescentes deverão necessários ou pertinentes ao alcance da
ser fornecidas de maneira simples, clara e finalidade específica almejada; fim do pe-
acessível, consideradas as características ríodo de tratamento; comunicação do titu-
físico-motoras, perceptivas, sensoriais, in- lar, inclusive no exercício de seu direito de
telectuais e mentais do usuário, com uso revogação do consentimento (art. 8º, §5º),
de recursos audiovisuais quando adequa- resguardado o interesse público ou deter-
do, de forma a proporcionar a informação minação da ANPD em caso de violação a
necessária aos pais ou ao responsável le- LGPD. Art. 15, I a IV
gal e adequada ao entendimento da crian-
ça. Art. 14, § 6º Os dados pessoais serão eliminados após
o término de seu tratamento, no âmbito e
4.10.1 Exceção do consentimento: so- nos limites técnicos das atividades Art. 16
mente quando a coleta for necessária para
contatar os pais ou o responsável legal, 4.12.1 Autorizada a conservação dos da-
por uma única vez e sem armazenamen- dos para cumprimento de obrigação legal
to, ou para sua proteção. Em nenhuma hi- ou regulatória pelo controlador; estudo
pótese poderão ser repassados a terceiro por órgão de pesquisa, garantida, sempre
sem o consentimento. Art. 14, § 3º que possível, a anonimização dos dados
pessoais; transferência a terceiro, desde
25
que respeitados os requisitos de trata- em seus sítios eletrônicos. Art. 23, I

mento de dados dispostos a LGPD ou uso 4.14.2 Indicação de encarregado: quan-
exclusivo do controlador. Vedado acesso do realizarem operações de tratamento
por terceiro e desde que anonimizados os de dados pessoais, observando suas pró-
dados. Art. 16, I a IV prias instruções e normas sobre a matéria
(v. art. 39) Art. 23, III
4.13 Dados pessoais de acesso público
Art. 39. O operador deverá realizar o tra-
O tratamento de dados pessoais cujo aces- tamento segundo as instruções fornecidas
so é público deve considerar a finalidade, pelo controlador, que verificará a obser-
a boa-fé e o interesse público que justifica- vância das próprias instruções e das nor-
ram sua disponibilização. Art. 7º, § 3º mas sobre a matéria.
4.14 Pelas pessoas jurídicas de direito pú- 4.14.3 Formato dos dados: Deverão ser
blico (referidas na Lei 12.527/2011 - LAI) mantidos em formato interoperável e es-
truturado para o uso compartilhado, com
O tratamento deverá ser realizado para vistas à execução de políticas públicas, à
o atendimento de sua finalidade pública, prestação de serviços públicos, à descen-
na persecução do interesse público, com tralização da atividade pública e à dissemi-
o objetivo de executar as competências nação e ao acesso das informações pelo
legais ou cumprir as atribuições legais do público em geral. Art. 25
serviço público. Art. 23.
4.14.4 Finalidades do compartilha-
Não estão dispensadas de instituir mento de dados pessoais: Dever de
as autoridades de que trata a LAI (Lei atender a finalidades específicas de exe-
12.527/2011). Art. 23, § 2º cução de políticas públicas e atribuição
legal pelos órgãos e pelas entidades pú-
4.14.1 Condicionantes: Sejam informadas blicas, respeitados os princípios de pro-
as hipóteses em que, no exercício de suas teção de dados pessoais elencados no
competências, realizam o tratamento de da- art. 6º da LGPD. Art. 26
dos pessoais, fornecendo informações claras
e atualizadas sobre a previsão legal, a finali- 4.14.5 Proibição: Transferir a entidades
dade, os procedimentos e as práticas utiliza- privadas dados pessoais constantes de
das para a execução dessas atividades, em bases de dados a que tenha acesso. Art.
veículos de fácil acesso, preferencialmente 26, § 1º. Os contratos e convênios deverão
26
ser comunicados à ANPD. Art. 26, § 2º licitar a agentes do Poder Público a publi-
4.14.5.1 Exceção: em casos de execu- cação de relatórios de impacto à proteção
ção descentralizada de atividade pú- de dados pessoais e sugerir a adoção de
blica que exija a transferência, exclu- padrões e de boas práticas para os tra-
sivamente para esse fim específico e tamentos de dados pessoais pelo Poder
determinado, observado o disposto na Público. Art. 32. Poderá dispor sobre as
Lei de Acesso à Informação; nos casos formas de publicidade das operações de
em que os dados forem acessíveis pu- tratamento. Art. 23, § 1º
blicamente, observadas as disposições
da LGPD; quando houver previsão legal 4.15 Empresas públicas e sociedades de
ou a transferência for respaldada em economia mista
contratos, convênios ou instrumentos
congêneres; na hipótese de a transfe- Quando estiverem operacionalizando
rência dos dados objetivar exclusiva- políticas públicas e no âmbito da exe-
mente a prevenção de fraudes e irregu- cução delas, terão o mesmo tratamento
laridades, ou proteger e resguardar a dispensado aos órgãos e às entidades
segurança e a integridade do titular dos do Poder Público (v. Capítulo IV). Art. 24,
dados, desde que vedado o tratamento parágrafo único
para outras finalidades. Art. 26, I a V
4.15.1 Que atuam em regime de concor-
4.14.6 Responsabilidade: Quando hou- rência
ver infração a esta Lei em decorrência do
tratamento de dados pessoais por órgãos Quando sujeitas ao art. 173 da Constitui-
públicos, a ANPD poderá enviar informe ção Federal, terão o mesmo tratamento
com medidas cabíveis para fazer cessar a dispensado às pessoas jurídicas de direito
violação. Art. 31 privado particulares, nos termos desta Lei.
Art. 24
A autoridade nacional poderá solicitar a
agentes do Poder Público a publicação de 4.16 Serviços notariais e de registro
relatórios de impacto à proteção de dados
pessoais e sugerir a adoção de padrões e Se exercidos em caráter privado, por de-
de boas práticas para os tratamentos de legação do Poder Público, terão o mesmo
dados pessoais pelo Poder Público. Art. 32 tratamento dispensado às pessoas jurídi-
cas referidas na Lei de Acesso à Informa-
4.14.7 Autoridade Nacional: poderá so- ção. Art. 23, § 4º
27
4.16.1 Dever: Fornecer acesso aos dados

por meio eletrônico para a administração
pública, em vista das finalidades previstas
no art. 23. Art. 23, §5º
4.17 Tratamento irregular
O tratamento de dados pessoais será irre-

gular quando deixar de observar a legisla-
ção ou quando não fornecer a segurança
que o titular dele pode esperar, considera-
das as circunstâncias relevantes, entre as
quais Art. 44: o modo pelo qual é realiza-
do; o resultado e os riscos que razoavel-
mente dele se esperam e as técnicas de
tratamento de dados pessoais disponíveis
à época em que foi realizado. Art. 44, I a III
28
05.
COLETA E
TRANSFERÊNCIA
DE DADOS
LGPD | CAPÍTULO 5 - COLETA E TRANSFERÊNCIA DE DADOS
5.1 Coleta em território nacional
Consideram-se coletados no território na-

cional os dados pessoais cujo titular nele
se encontre no momento da coleta. Art. 3º,
§ 1º
5.1.1 Exceção Excetua-se da operação de

tratamento em território nacional o trata-
mento o disposto no inciso IV, do caput do
art. 4º da LGPD. Art. 3º, § 2º
Art. 4º, IV Provenientes de fora do terri-

tório nacional e que não sejam objeto
de comunicação, uso compartilhado de
dados com agentes de tratamento bra-
sileiros ou objeto de transferência inter-
nacional de dados com outro país que
não o de proveniência, desde que o país
de proveniência proporcione grau de
proteção de dados pessoais adequado
ao previsto na Lei.
gime de proteção de dados previstos na
5.2 Transferência internacional de dados LGPD na forma de: cláusulas contratuais
específicas para determinada transfe-
Somente permitida nos seguintes casos rência; cláusulas-padrão contratuais e
Art. 33: Para países ou organismos inter- normas corporativas globais. Art. 33, II,
nacionais do qual o país seja membro e A ao D
que proporcionem grau de proteção de
dados pessoais adequado ao previsto na Quando a transferência for necessária
LGPD. Art. 33, I para a cooperação jurídica internacio-
nal entre órgãos públicos de inteligên-
Quando o controlador oferecer e com- cia, de investigação e de persecução, de
provar garantias de cumprimento dos acordo com os instrumentos de direito
princípios, dos direitos do titular e do re- internacional; quando necessária para
30
LGPD | CAPÍTULO 5 - COLETA E TRANSFERÊNCIA DE DADOS
a proteção da vida ou da incolumidade 5.3 Nível de proteção de dados do país es-

física do titular ou de terceiro; quando trangeiro
a ANPD; quando a transferência resultar
em compromisso assumido em acordo O nível de proteção de dados do país es-
de cooperação internacional; quando trangeiro ou do organismo internacional
necessária para a execução de política (inciso I do caput do art. 33) será avaliado
pública ou atribuição legal do serviço pú- pela ANPD, que levará em consideração:
blico (c/c art. 23,I); quando o titular tiver as normas gerais e setoriais da legislação
fornecido o seu consentimento específi- em vigor no país de destino ou no orga-
co e em destaque para a transferência, nismo internacional; a natureza dos da-
com informação prévia sobre o caráter dos; a observância dos princípios gerais
internacional da operação, distinguindo de proteção de dados pessoais e direitos
claramente esta de outras finalidades; dos titulares previstos nesta Lei; a adoção
ou quando necessário para cumprimen- de medidas de segurança previstas em
to do art. 7º, II, V, VI. Art. 33, III a XIX regulamento; a existência de garantias ju-
diciais e institucionais para o respeito aos
direitos de proteção de dados pessoais; e
outras circunstâncias específicas relativas
à transferência. Art. 34, I a VI
5.4 Cláusulas-padrão contratuais
v. Autoridade Nacional, competências

Art. 35
A empresa estrangeira será notificada

e intimada de todos os atos processu-
ais previstos nesta Lei, independente-
mente de procuração ou de disposição
contratual ou estatutária, na pessoa do
agente ou representante ou pessoa res-
ponsável por sua filial, agência, sucur-
sal, estabelecimento ou escritório insta-
lado no Brasil. Art. 61
31
LEI
LEIGERAL
GERALDE
DEPROTEÇÃO
PROTEÇÃODE
DEDADOS
DADOSPESSOAIS
PESSOAIS||SISTEMATIZADA
SISTEMATIZADA
06.
AGENTES DE
TRATAMENTO
32
LGPD | CAPÍTULO 6 - AGENTES DE TRATAMENTO
A lei trouxe novos atores ao cenário empre- *v. 4.7.2 - Dados pessoais sensíveis
sarial - o controlador e o operador - deno-
minados agentes de tratamento de dados, 6.2.2 Dispensa da exigência de consen-
que devem ser indicados pelas empresas. timento: A eventual dispensa da exigên-
cia de consentimento não desobriga os
6.1 Controlador agentes de tratamento das demais obri-
gações previstas na LGPD, especialmente
A pessoa natural ou jurídica, de direito pú- da observância dos princípios gerais e da
blico ou privado, a quem competem as de- garantia dos direitos do titular. Art. 7º, § 6º
cisões referentes ao tratamento de dados
pessoais. Art. 5º, VI 6.2.3 Alteração da finalidade específica:
Em caso de alteração da finalidade espe-
6.1.1 Conciliação entre controlador e cífica do tratamento, da forma e duração
titular do tratamento, observados os segredos
comercial e industrial, da identificação do
Os vazamentos individuais ou os aces- controlador e de informações acerca do
sos não autorizados de que trata o uso compartilhado de dados pelo contro-
caput do art. 46 da Lei poderão ser ob- lador e a finalidade: informar ao titular,
jeto de conciliação direta entre contro- com destaque de forma específica do teor
lador e titular e, caso não haja acordo, das alterações, podendo o titular, nos ca-
o controlador estará sujeito à aplicação sos em que o seu consentimento é exigi-
das penalidades de que trata este arti- do, revogá-lo caso discorde da alteração.
go. Art. 52, § 7º Art. 8º, § 6º
6.2 Deveres 6.2.4 Legítimo interesse do controlador
6.2.1 Compartilhamento com outros Somente poderá fundamentar tratamen-

controladores: Se obteve o consentimen- to de dados pessoais para finalidades
to do titular (art. 7º, I), caso necessite co- legítimas, consideradas a partir de situ-
municar ou compartilhar dados pessoais ações concretas, que incluem e não se
com outros controladores deverá obter limitam a: apoio e promoção de ativida-
consentimento específico do titular para des do controlador; proteção, em relação
esse fim, ressalvadas as hipóteses de dis- ao titular, do exercício regular de seus
pensa do consentimento previstas na Lei. direitos ou prestação de serviços que o
Art. 7º, § 5º beneficiem, respeitadas as legítimas ex-
33
pectativas dele e os direitos e liberdades Deverão realizar todos os esforços razoá-

fundamentais, nos termos da LGPD. Art. veis para verificar que o consentimento (§
10, I e II 1º) foi dado pelo responsável pela criança,
consideradas as tecnologias disponíveis
Somente os dados pessoais estritamente Art. 14, § 5º
necessários para a finalidade pretendida
poderão ser tratados. Art. 10, § 1º 6.2.6 Em decisões automatizadas
Deverá adotar medidas para garantir a Fornecer, sempre que solicitadas, infor-
transparência do tratamento de dados mações claras e adequadas a respeito dos
baseado em seu legítimo interesse. Art. critérios e dos procedimentos utilizados
10, § 2º para a decisão automatizada, observados
os segredos comercial e industrial. Art. 20,
A ANPD poderá solicitar ao controlador § 1º. Em caso de não oferecimento dessas
relatório de impacto à proteção de da- informações baseado na observância de
dos pessoais, quando o tratamento tiver segredo comercial e industrial, a ANPD po-
como fundamento seu interesse legíti- derá realizar auditoria para verificação de
mo, observados os segredos comercial e aspectos discriminatórios em tratamento
industrial. Art. 10, § 3º automatizado de dados pessoais. Art. 20,
§ 2º
6.2.5 Crianças e adolescentes
6.2.7 Relatório de impacto à proteção
Deverão manter pública a informação de dados pessoais
sobre os tipos de dados coletados, a
forma de sua utilização e os procedi- A ANPD poderá determinar ao controla-
mentos para o exercício dos direitos dor que elabore relatório de impacto à
a que se refere o art. 18 desta Lei. Art. proteção de dados pessoais, inclusive de
14, § 2º dados sensíveis, referente a suas opera-
ções de tratamento de dados, nos termos
Não deverão condicionar a participa- de regulamento, observados os segredos
ção dos titulares (§ 1º) em jogos, apli- comercial e industrial. Art. 38
cações de internet ou outras atividades
ao fornecimento de informações pesso- Observado o disposto no caput deste arti-
ais além das estritamente necessárias à go, o relatório deverá conter, no mínimo, a
atividade. Art. 14, § 4º descrição dos tipos de dados coletados, a
34
metodologia utilizada para a coleta e para A ANPD verificará a gravidade do inci-

a garantia da segurança das informações dente e poderá, caso necessário para a
e a análise do controlador com relação a salvaguarda dos direitos dos titulares,
medidas, salvaguardas e mecanismos de determinar ao controlador a adoção de
mitigação de risco adotados. Art. 38, pará- providências, tais como Art. 48, § 2º: am-
grafo único pla divulgação do fato em meios de co-
municação; e medidas para reverter ou
A ANPD poderá solicitar ao controlador mitigar os efeitos do incidente. Art. 48, §
relatório de impacto à proteção de dados 2º, I e II
pessoais, quando o tratamento tiver como
fundamento seu interesse legítimo, obser- No juízo de gravidade do incidente, será
vados os segredos comercial e industrial. avaliada eventual comprovação de que
Art. 10, §3º foram adotadas medidas técnicas ade-
quadas que tornem os dados pessoais
6.2.8 Incidente de segurança afetados ininteligíveis, no âmbito e nos li-
mites técnicos de seus serviços, para ter-
Comunicar à ANPD e ao titular a ocorrên- ceiros não autorizados a acessá-los. Art.
cia de incidente de segurança que possa 48, § 3º
acarretar risco ou dano relevante aos ti-
tulares. Art. 48 6.2.9 Boas práticas e governança
A comunicação será feita em prazo razo- 6.2.9.1 Programa de governança em

ável, conforme definido pela ANPD, e de- privacidade
verá mencionar, no mínimo Art. 48, § 1º: a
descrição da natureza dos dados pessoais Na aplicação dos princípios indicados nos
afetados; as informações sobre os titula- incisos VII e VIII do caput do art. 6º da Lei,
res envolvidos; a indicação das medidas o controlador, observados a estrutura,
técnicas e de segurança utilizadas para a a escala e o volume de suas operações,
proteção dos dados, observados os segre- bem como a sensibilidade dos dados tra-
dos comercial e industrial; os riscos rela- tados e a probabilidade e a gravidade dos
cionados ao incidente; os motivos da de- danos para os titulares dos dados, pode-
mora, no caso de a comunicação não ter rá Art. 50, § 2º: implementar programa
sido imediata; e as medidas que foram ou de governança em privacidade que, no
que serão adotadas para reverter ou miti- mínimo: demonstre o comprometimen-
gar os efeitos do prejuízo. Art. 48, § 1º, I a VI to do controlador em adotar processos e
35
políticas internas que assegurem o cum- cumprimento de boas práticas ou códi-

primento, de forma abrangente, de nor- gos de conduta, os quais, de forma inde-
mas e boas práticas relativas à proteção pendente, promovam o cumprimento da
de dados pessoais; seja aplicável a todo o LGPD. Art. 50, § 2º, II
conjunto de dados pessoais que estejam
sob seu controle, independentemente do 6.2.10 Indicar encarregado pelo tra-
modo como se realizou sua coleta; seja tamento de dados pessoais Art. 41. A
adaptado à estrutura, à escala e ao volu- identidade e as informações de contato
me de suas operações, bem como à sen- do encarregado deverão ser divulgadas
sibilidade dos dados tratados; estabeleça publicamente, de forma clara e objetiva,
políticas e salvaguardas adequadas com preferencialmente no sítio eletrônico do
base em processo de avaliação sistemá- controlador. Art. 41 § 1º
tica de impactos e riscos à privacidade;
tenha o objetivo de estabelecer relação 6.2.11 Aplicação dos princípios de segu-
de confiança com o titular, por meio de rança e prevenção
atuação transparente e que assegure
mecanismos de participação do titular; Na aplicação dos princípios indicados nos
esteja integrado a sua estrutura geral de incisos VII e VIII do caput do art. 6º desta
governança e estabeleça e aplique meca- Lei, o controlador, observados a estrutu-
nismos de supervisão internos e exter- ra, a escala e o volume de suas operações,
nos; conte com planos de resposta a in- bem como a sensibilidade dos dados tra-
cidentes e remediação; e seja atualizado tados e a probabilidade e a gravidade dos
constantemente com base em informa- danos para os titulares dos dados, poderá
ções obtidas a partir de monitoramento Art. 50, § 2º: implementar programa de go-
contínuo e avaliações periódicas. Art. 50, vernança em privacidade que, no mínimo
§ 2º, I, A a H Art. 50, § 2º, I: a) demonstre o comprome-
timento do controlador em adotar proces-
6.2.9.2 Efetividade do programa de go- sos e políticas internas que assegurem o
vernança em privacidade cumprimento, de forma abrangente, de
normas e boas práticas relativas à pro-
Cabe ao controlador demonstrar a efeti- teção de dados pessoais; b) seja aplicá-
vidade de seu programa de governança vel a todo o conjunto de dados pessoais
em privacidade quando apropriado e, em que estejam sob seu controle, indepen-
especial, a pedido da ANPD ou de outra dentemente do modo como se realizou
entidade responsável por promover o sua coleta; c) seja adaptado à estrutura,
36
à escala e ao volume de suas operações, As garantias suficientes de observância

bem como à sensibilidade dos dados tra- dos princípios gerais de proteção e dos di-
tados; d) estabeleça políticas e salvaguar- reitos do titular referidas no caput deste
das adequadas com base em processo de artigo serão também analisadas de acor-
avaliação sistemática de impactos e riscos do com as medidas técnicas e organizacio-
à privacidade; e) tenha o objetivo de esta- nais adotadas pelo operador, de acordo
belecer relação de confiança com o titular, com o previsto nos §§ 1º e 2º do art. 46 da
por meio de atuação transparente e que Lei. Art. 35, § 5º
assegure mecanismos de participação do
titular; f) esteja integrado a sua estrutura As alterações nas garantias apresentadas
geral de governança e estabeleça e apli- como suficientes de observância dos prin-
que mecanismos de supervisão internos cípios gerais de proteção e dos direitos do
e externos; g) conte com planos de res- titular referidas no inciso II do art. 33 des-
posta a incidentes e remediação; e h) seja ta Lei deverão ser comunicadas à ANPD.
atualizado constantemente com base em Art. 36
informações obtidas a partir de monitora-
mento contínuo e avaliações periódicas. 6.4 Obrigações dos agentes de tratamento
Art. 50, § 2º, I, A até H
6.4.1 Registro das operações O controla-
6.2.12 Obrigações agentes de tratamento dor e o operador devem manter registro
v. 6.4 das operações de tratamento de dados
pessoais que realizarem, especialmente
6.3 Operador quando baseado no legítimo interesse.
Art. 37
A pessoa natural ou jurídica, de direito pú-
blico ou privado, que realiza o tratamento 6.4.2 Acesso não autorizado
de dados pessoais em nome do controla-
dor. Art. 5º, VII Devem adotar medidas de segurança, téc-
nicas e administrativas para proteger os
Deve realizar o tratamento segundo as dados pessoais de acessos não autoriza-
instruções fornecidas pelo controlador, a dos e de situações acidentais ou ilícitas de
quem cabe observar as próprias instru- destruição, perda, alteração, comunicação
ções e normas sobre a matéria. Art. 39 ou qualquer forma de tratamento inade-
quado ou ilícito, desde a fase da concep-
6.3.1 Deveres ção do produto/serviço até a da execução
37
Art. 46. As medidas deverão ser observa- específicas para os diversos envolvidos no
das desde a fase de concepção do produ- tratamento, as ações educativas, os meca-
to ou do serviço até a sua execução. Art. nismos internos de supervisão e de miti-
46, § 2º gação de riscos e outros aspectos relacio-
nados ao tratamento de dados pessoais.
6.4.2.1 Padrões técnicos: A ANPD pode- Art. 50
rá dispor sobre padrões técnicos míni-
mos para tornar aplicável o disposto no 6.4.4.1 Condicionantes: Ao estabelecer
art. 46, considerados a natureza das in- regras de boas práticas, o controlador
formações tratadas, as características es- e o operador levarão em consideração,
pecíficas do tratamento e o estado atual em relação ao tratamento e aos dados, a
da tecnologia, especialmente no caso de natureza, o escopo, a finalidade e a pro-
dados pessoais sensíveis, assim como os babilidade e a gravidade dos riscos e dos
princípios previstos no caput do art. 6º da benefícios decorrentes de tratamento de
Lei. Art. 46, § 1º dados do titular. Art. 50, § 1º
6.4.3 Segurança da informação: Os 6.5 Responsabilidade legal dos agentes de

agentes de tratamento - ou qualquer ou- tratamento e ressarcimento de danos
tra pessoa que intervenha em uma das
fases do tratamento - obriga-se a garantir O controlador ou o operador que, em ra-
a segurança da informação prevista nesta zão do exercício de atividade de tratamen-
Lei em relação aos dados pessoais, mes- to de dados pessoais, causar a outrem
mo após o seu término. Art. 47 dano patrimonial, moral, individual ou
coletivo, em violação à legislação de pro-
6.4.4 Regras de boas práticas e de gover- teção de dados pessoais, é obrigado a re-
nança Os controladores e operadores, no pará-lo. Art. 42
âmbito de suas competências, pelo trata-
mento de dados pessoais - individualmen- O controlador ou o operador que, ao dei-
te ou por meio de associações -, poderão xar de adotar as medidas de segurança
formular regras de boas práticas e de go- previstas no art. 46 da Lei, der causa ao
vernança estabelecendo as condições de dano, responde pelos danos decorrentes
organização, o regime de funcionamento, da violação da segurança dos dados. Art.
os procedimentos, incluindo reclamações 44, parágrafo único
e petições de titulares, as normas de segu- O operador responde solidariamente
rança, os padrões técnicos, as obrigações pelos danos causados pelo tratamento
38
quando descumprir as obrigações da le- 43: que não realizaram o tratamento de

gislação de proteção de dados ou quando dados pessoais que lhes é atribuído; que,
não tiver seguido as instruções lícitas do embora tenham realizado o tratamento
controlador, hipótese em que o operador de dados pessoais que lhes é atribuído,
equipara-se ao controlador, salvo nos ca- não houve violação à legislação de prote-
sos de exclusão previstos no art. 43 da Lei. ção de dados, ou que o dano é decorrente
Art. 42, § 1º, I de culpa exclusiva do titular dos dados ou
de terceiro. Art. 43, I a III
Os controladores que estiverem direta-
mente envolvidos no tratamento do qual 6.9 Regras de Boas Práticas e Governança
decorreram danos ao titular dos dados
respondem solidariamente, salvo nos ca- 6.9.1 Autoridade Nacional
sos de exclusão previstos no art. 43 da Lei.
Art. 42, § 1º, II As regras de boas práticas e de governan-
ça deverão ser publicadas e atualizadas
6.5.1 Ressarcimento de danos: Garantia periodicamente e poderão ser reconheci-
de efetiva indenização ao titular dos dados das e divulgadas pela ANPD. Art. 50, § 3º
pelo controlador e operador. Art. 42, § 1º
A ANPD estimulará a adoção de padrões
6.6 Direito de regresso: Aquele que re- técnicos que facilitem o controle pelos ti-
parar o dano ao titular tem direito de re- tulares dos seus dados pessoais. Art. 51
gresso contra os demais responsáveis, na
medida de sua participação no evento da- v. art. 50, § 2º, I, A até H e II
noso. Art. 42, § 4º
6.7 Relações de consumo: As hipóteses

de violação do direito do titular no âmbi-
to das relações de consumo permanecem
sujeitas às regras de responsabilidade
previstas na legislação pertinente. Art. 45
6.8 Isenção de responsabilidade
Os agentes de tratamento só não serão

responsabilizados quando provarem Art.
39
LEI
LEI GERAL
GERAL DE
DE PROTEÇÃO
PROTEÇÃO DE
DE DADOS
DADOS PESSOAIS
SISTEMATIZADA
07.
ENCARREGADO
PELO
TRATAMENTO
DE DADOS
PESOAIS
40
LGPD | CAPÍTULO 7 - ENCARREGADO PELO TRATAMENTO
DE DADOS PESSOAIS
7.1 Quem é
A pessoa indicada pelo controlador ou ope-

rador, responsável por atuar como canal de
comunicação entre o controlador, os titulares
e a ANPD. Art. 5º, VIII (Redação dada pela Lei
13.853/2019
O controlador deverá indicar encarregado

pelo tratamento de dados pessoais. Art. 41
7.1.1. Publicidade: A identidade e as infor-

mações de contato do encarregado deve-
rão ser divulgadas publicamente, de forma
clara e objetiva, preferencialmente no sítio
eletrônico do controlador. Art. 41, § 1º 7.3.1 Obrigatória
7.2 Funções Por pessoas jurídicas de direito público:

seja indicado um encarregado quando
Suas atividades consistem em: aceitar realizarem operações de tratamento de
reclamações e comunicações dos titu- dados pessoais, nos termos do art. 39
lares, prestar esclarecimentos e adotar da Lei. Art. 23, III
providências; receber comunicações da
ANPD e adotar providências; orientar os O controlador deverá indicar encarregado
funcionários e os contratados da entida- pelo tratamento de dados pessoais. Art. 41
de a respeito das práticas a serem to-
madas em relação à proteção de dados 7.3.2 Dispensa
pessoais e executar demais atribuições
determinadas pelo controlador ou esta- A ANPD poderá estabelecer normas com-
belecidas em normas complementares. plementares sobre a definição e as atribui-
Art. 41, § 2º, I até IV ções do encarregado, inclusive hipóteses
de dispensa da necessidade de sua indica-
* v. art. 41, § 3º ção, conforme a natureza e o porte da en-
tidade ou o volume de operações de trata-
7.3 Indicação mento de dados. Art. 41, § 3º
41
LEI
LEIGERAL
GERALDE
DEPROTEÇÃO
PROTEÇÃODE
DEDADOS
DADOSPESSOAIS
SISTEMATIZADA
08.
AUTORIDADE
NACIONAL DE
PROTEÇÃO DE
DADOS
42
LGPD | CAPÍTULO 8 - AUTORIDADE NACIONAL DE PROTEÇÃO
DE DADOS
8.1 Características
8.3 Estrutura regimental: O Decreto
Órgão da administração pública federal, inte- 10.474/2020 aprovou a Estrutura Regi-
grante da Presidência da República. Art. 55-A mental e o Quadro Demonstrativo dos
Cargos em Comissão e das Funções de
Natureza jurídica transitória, podendo vir a Confiança da Autoridade Nacional de
se transformar pelo Poder Executivo em en- Proteção de Dados e remaneja e trans-
tidade da administração pública federal informa cargos em comissão e funções de
direta, submetida ao regime autárquico es- confiança.
pecial, vinculada à Presidência da República
Art. 55-A, §1º. A avaliação deverá ocorrer em 8.4 Competências
até 2 anos da data da entrada em vigor da
estrutura regimental da ANPD. Exclusiva na aplicação das sanções da Lei
no que se refere à proteção de dados pes-
Assegurada autonomia técnica e decisória. soais, sobre as competências correlatas
Art. 55-A, § 2º de outras entidades ou órgãos da admi-
nistração pública. Art. 55-K
Dotada de poder regulatório, fiscalizatório,
punitivo. Art. 55-J, § 4º Aplicar sanções administrativas aos agen-
tes de tratamento de dados. Art. 52
O provimento dos cargos e das funções
necessários à criação e à atuação da ANPD Zelar pela proteção dos dados pessoais,
está condicionado à expressa autorização nos termos da legislação; zelar pela ob-
física e financeira na lei orçamentária anu- servância dos segredos comercial e indus-
al e à permissão na lei de diretrizes orça- trial, observada a proteção de dados pes-
mentárias. Art. 55-A, § 3º soais e do sigilo das informações quando
protegido por lei ou quando a quebra do
8.2 Composição: Conselho Diretor, sigilo violar os fundamentos do art. 2º da
Conselho Nacional de Proteção de Da- Lei; elaborar diretrizes para a Política Na-
dos, Corregedoria, Ouvidoria, órgão de cional de Proteção de Dados Pessoais e
assessoramento jurídico próprio, uni- da Privacidade; fiscalizar e aplicar sanções
dades administrativas e especializadas. em caso de tratamento de dados realizado
Art. 55-C, I a VI em descumprimento à legislação, median-
8.2.1 Escolha dos membros: art. 55-D a te processo administrativo que assegure o
55-F, 55-I e 55-J contraditório, a ampla defesa e o direito
43
DE DADOS
de recurso; apreciar petições de titular e privacidade, bem como sobre relatórios

contra controlador após comprovada pelo de impacto à proteção de dados pessoais
titular a apresentação de reclamação ao para os casos em que o tratamento repre-
controlador não solucionada no prazo es- sentar alto risco à garantia dos princípios
tabelecido em regulamentação; promover gerais de proteção de dados pessoais pre-
na população o conhecimento das nor- vistos nesta Lei; ouvir os agentes de tra-
mas e das políticas públicas sobre prote- tamento e a sociedade em matérias de
ção de dados pessoais e das medidas de interesse relevante e prestar contas sobre
segurança; promover e elaborar estudos suas atividades e planejamento; arreca-
sobre as práticas nacionais e internacio- dar e aplicar suas receitas e publicar, no
nais de proteção de dados pessoais e pri- relatório de gestão a que se refere o inciso
vacidade; estimular a adoção de padrões XII do caput deste artigo, o detalhamen-
para serviços e produtos que facilitem o to de suas receitas e despesas; realizar
exercício de controle dos titulares sobre auditorias, ou determinar sua realização,
seus dados pessoais, os quais deverão no âmbito da atividade de fiscalização de
levar em consideração as especificidades que trata o inciso IV e com a devida ob-
das atividades e o porte dos responsáveis; servância do disposto no inciso II do caput
promover ações de cooperação com auto- deste artigo, sobre o tratamento de dados
ridades de proteção de dados pessoais de pessoais efetuado pelos agentes de trata-
outros países, de natureza internacional mento, incluído o poder público; celebrar,
ou transnacional; dispor sobre as formas a qualquer momento, compromisso com
de publicidade das operações de trata- agentes de tratamento para eliminar irre-
mento de dados pessoais, respeitados gularidade, incerteza jurídica ou situação
os segredos comercial e industrial; soli- contenciosa no âmbito de processos ad-
citar, a qualquer momento, às entidades ministrativos, de acordo com o previsto
do poder público que realizem operações no Decreto-Lei nº 4.657, de 4 de setem-
de tratamento de dados pessoais informe bro de 1942; editar normas, orientações e
específico sobre o âmbito, a natureza dos procedimentos simplificados e diferencia-
dados e os demais detalhes do tratamen- dos, inclusive quanto aos prazos, para que
to realizado, com a possibilidade de emitir microempresas e empresas de pequeno
parecer técnico complementar para ga- porte, bem como iniciativas empresariais
rantir o cumprimento desta Lei; elaborar de caráter incremental ou disruptivo que
relatórios de gestão anuais acerca de suas se autodeclarem startups ou empresas
atividades; editar regulamentos e procedi- de inovação, possam adequar-se a esta Lei;
mentos sobre proteção de dados pessoais garantir que o tratamento de dados de ido-
44
DE DADOS
sos seja efetuado de maneira simples, clara, Ao impor condicionantes administrativas ao

acessível e adequada ao seu entendimento, tratamento de dados pessoais por agente de
nos termos da Lei e da Lei 10.741/2003 (Es- tratamento privado, sejam eles limites, en-
tatuto do Idoso); deliberar, na esfera admi- cargos ou sujeições, a ANPD deve observar
nistrativa, em caráter terminativo, sobre a a exigência de mínima intervenção, assegu-
interpretação desta Lei, as suas competên- rados os fundamentos, os princípios e os di-
cias e os casos omissos; comunicar às au- reitos dos titulares previstos no art. 170 da
toridades competentes as infrações penais Constituição Federal e na Lei. Art. 55-K, § 1º
das quais tiver conhecimento; comunicar
aos órgãos de controle interno o descum- 8.4.1 Na transferência internacional de da-
primento do disposto nesta Lei por órgãos e dos
entidades da administração pública federal; A definição do conteúdo de cláusulas-pa-
articular-se com as autoridades reguladoras drão contratuais, bem como a verificação de
públicas para exercer suas competências cláusulas contratuais específicas para uma
em setores específicos de atividades eco- determinada transferência, normas corpo-
nômicas e governamentais sujeitas à regu- rativas globais ou selos, certificados e códi-
lação; e implementar mecanismos simplifi- gos de conduta, a que se refere o inciso II do
cados, inclusive por meio eletrônico, para o caput do art. 33 desta Lei, será realizada pela
registro de reclamações sobre o tratamento ANPD Art. 35. Para a verificação do disposto
de dados pessoais em desconformidade no caput deste artigo, deverão ser considera-
com a Lei. Art. 55-J, I a XXIV dos os requisitos, as condições e as garantias
mínimas para a transferência que observem
No exercício das competências do caput os direitos, as garantias e os princípios desta
do art. 55-J, a ANPD deverá zelar pela pre- Lei. Art. 35, § 1º
servação do segredo empresarial e do si-
gilo das informações, nos termos da lei. Na análise de cláusulas contratuais, de
Art. 55-J, § 5º documentos ou de normas corporativas
globais submetidas à aprovação da ANPD,
Articulará sua atuação com outros órgãos poderão ser requeridas informações su-
e entidades com competências sancionató- plementares ou realizadas diligências de
rias e normativas afetas ao tema de prote- verificação quanto às operações de trata-
ção de dados pessoais e será o órgão central mento, quando necessário. Art. 35, § 2º
de interpretação desta Lei e do estabeleci-
mento de normas e diretrizes para a sua im- A ANPD poderá designar organismos de
plementação. Art. 55-K, parágrafo único certificação para a realização do previsto
45
DE DADOS
no caput deste artigo, que permanecerão promover o adequado funcionamento dos

sob sua fiscalização nos termos definidos setores regulados, conforme legislação es-
em regulamento. Art. 35, § 3º pecífica, e o tratamento de dados pessoais,
na forma desta Lei. Art. 55-K, § 3º
Os atos realizados por organismo de certifi-
cação poderão ser revistos pela ANPD e, caso A ANPD e o Instituto Nacional de Estudos e
em desconformidade com esta Lei, submeti- Pesquisas Educacionais Anísio Teixeira (Inep),
dos a revisão ou anulados. Art. 35, § 4º no âmbito de suas competências, editarão re-
gulamentos específicos para o acesso a dados
As garantias suficientes de observância tratados pela União para o cumprimento do
dos princípios gerais de proteção e dos di- disposto no § 2º do art. 9º da Lei 9.394/1996
reitos do titular referidas no caput deste (Lei de Diretrizes e Bases da Educação Nacio-
artigo serão também analisadas de acor- nal) , e aos referentes ao Sistema Nacional de
do com as medidas técnicas e organizacio- Avaliação da Educação Superior (Sinaes), de
nais adotadas pelo operador (de acordo que trata a Lei 10.861/2004 . Art. 62
com os §§ 1º e 2º do art. 46). Art. 35, § 5º
8.6 Aplicação de sanções
As alterações nas garantias apresentadas
como suficientes de observância dos prin- A aplicação das sanções previstas nesta Lei
cípios gerais de proteção e dos direitos do compete exclusivamente à ANPD, e suas
titular (inciso II do art. 33) deverão ser co- competências prevalecerão, no que se refere
municadas à ANPD. Art. 36 à proteção de dados pessoais, sobre as com-
petências correlatas de outras entidades ou
8.5 Regulamentos e normas: Devem ser órgãos da administração pública. Art. 55-K.
precedidos de consulta e audiências públi-
cas, bem como de análise de impacto re- A ANPD articulará sua atuação com outros
gulatório. Art. 55-J, § 2º órgãos e entidades com competências san-
cionatórias e normativas afetas ao tema de
A ANPD e os órgãos e entidades públicos proteção de dados pessoais e será o órgão
responsáveis pela regulação de setores es- central de interpretação desta Lei e do esta-
pecíficos da atividade econômica e governa- belecimento de normas e diretrizes para a
mental devem coordenar suas atividades, sua implementação. Art. 55-K, parágrafo único
nas correspondentes esferas de atuação,
com vistas a assegurar o cumprimento de 8.6.1 Fórum permanente de comunica-
suas atribuições com a maior eficiência e ção: A ANPD manterá fórum permanente
46
DE DADOS
de comunicação, inclusive por meio de coo-

peração técnica, com órgãos e entidades da
administração pública responsáveis pela re-
gulação de setores específicos da atividade
econômica e governamental, a fim de facili-
tar as competências regulatória, fiscalizató-
ria e punitiva da ANPD. Art. 55-K, § 4º
As reclamações colhidas conforme o disposto

no inciso V do caput deste artigo poderão ser
analisadas de forma agregada, e as eventuais
providências delas decorrentes poderão ser
adotadas de forma padronizada. Art. 55-K ,6º
8.7 Receitas
As dotações, consignadas no orçamen-

to geral da União, os créditos especiais,
os créditos adicionais, as transferências
e os repasses que lhe forem conferidos;
as doações, os legados, as subvenções
e outros recursos que lhe forem desti-
nados; os valores apurados na venda
ou aluguel de bens móveis e imóveis de
sua propriedade; os valores apurados
em aplicações no mercado financeiro
das receitas previstas neste artigo; os
recursos provenientes de acordos, con-
vênios ou contratos celebrados com
entidades, organismos ou empresas,
públicos ou privados, nacionais ou in-
ternacionais; o produto da venda de
publicações, material técnico, dados e
informações, inclusive para fins de lici-
tação pública. Art. 55-L, I a VII
47
LEI
LEI GERAL
GERAL DE
DE PROTEÇÃO
PROTEÇÃO DE
DE DADOS
DADOS PESSOAIS
SISTEMATIZADA
09.
PENALIDADES
48
LGPD | CAPÍTULO 9 - PENALIDADES
9.1 Sanções administrativas: O descum- pessoais afetados; a boa-fé do infrator;

primento das regras de proteção de da- a vantagem auferida ou pretendida pelo
dos de sujeita os agentes de tratamento infrator; a condição econômica do infra-
de dados às sanções administrativas apli- tor; a reincidência; o grau do dano; a co-
cáveis pela ANPD Art. 52: advertência, com operação do infrator; a adoção reiterada
indicação de prazo para adoção de me- e demonstrada de mecanismos e proce-
didas corretivas; publicização da infração dimentos internos capazes de minimizar
após devidamente apurada e confirmada o dano, voltados ao tratamento seguro
a sua ocorrência; bloqueio dos dados pes- e adequado de dados, (v. inciso II do § 2º
soais a que se refere a infração até a sua do art. 48); a adoção de política de boas
regularização; eliminação dos dados pes- práticas e governança; a pronta adoção de
soais a que se refere a infração; suspen- medidas corretivas; e a proporcionalidade
são parcial do funcionamento do banco entre a gravidade da falta e a intensidade
de dados a que se refere a infração pelo da sanção. Art. 52, I a XI
período máximo de 6 meses, prorrogável
por igual período, até a regularização da O disposto nos incisos I, IV, V, VI, X, XI e XII
atividade de tratamento pelo controlador; do caput deste artigo poderá ser aplicado
suspensão do exercício da atividade de às entidades e aos órgãos públicos (sem
tratamento dos dados pessoais a que se prejuízo do disposto na Lei 8.112/1990, na
refere a infração pelo período máximo de Lei 8.429/1992 e na Lei 12.527/2011). Art.
6 meses, prorrogável por igual período; 52, § 3º
proibição parcial ou total do exercício de
atividades relacionadas a tratamento de O disposto no artigo 52 não substitui a
dados. Art. 52, I, IV a XII aplicação de sanções administrativas, civis
ou penais definidas na Lei 8.078/990, e em
9.1.1 Condições de aplicação legislação específica. Art. 52, § 2º
As sanções serão aplicadas após proce- As sanções previstas nos incisos X, XI e XII
dimento administrativo que possibilite a do caput deste artigo (suspensão parcial,
oportunidade da ampla defesa, de forma suspensão do exercício e proibição parcial ou
gradativa, isolada ou cumulativa, de acor- total) serão aplicadas Art. 52, § 6º: somen-
do com as peculiaridades do caso conte após já ter sido imposta ao menos uma
creto e considerados os seguintes parâ- das sanções de que tratam os incisos II,
metros e critérios Art. 52, § 1º: a gravidade III, IV, V e VI do caput deste artigo para o
e a natureza das infrações e dos direitos mesmo caso concreto; e em caso de con-
49
LGPD | CAPÍTULO 9 - PENALIDADES
troladores submetidos a outros órgãos e As metodologias a que se refere o caput des-

entidades com competências sancionató- te artigo devem ser previamente publicadas,
rias, ouvidos esses órgãos. Art. 52, § 6º, I e II para ciência dos agentes de tratamento, e
devem apresentar objetivamente as formas
9.2 Multas pecuniárias aplicadas pela e dosimetrias para o cálculo do valor-base
ANPD das sanções de multa, que deverão conter
fundamentação detalhada de todos os seus
Multa simples, de até 2% do faturamen- elementos, demonstrando a observância
to da pessoa jurídica de direito privado, dos critérios previstos nesta Lei. Art. 53, § 1º
grupo ou conglomerado no Brasil no seu
último exercício, excluídos os tributos, li- O regulamento de sanções e metodologias
mitada, no total, a 50 milhões de reais por correspondentes deve estabelecer as cir-
infração; multa diária, observado o limite cunstâncias e as condições para a adoção de
total de 50 milhões de reais. Art. 52, II e III multa simples ou diária. Art. 53, § 2º
No cálculo do valor da multa simples (inciso O valor da sanção de multa diária aplicável às
II do caput do artigo 52), a ANPD poderá infrações a esta Lei deve observar a gravida-
considerar o faturamento total da empresa de da falta e a extensão do dano ou prejuízo
ou grupo de empresas, quando não dispu- causado e ser fundamentado pela autorida-
ser do valor do faturamento no ramo de de nacional. Art. 54
atividade empresarial em que ocorreu a
infração, definido pela ANPD, ou quando o A intimação da sanção de multa diária deverá
valor for apresentado de forma incompleta conter, no mínimo, a descrição da obrigação
ou não for demonstrado de forma inequí- imposta, o prazo razoável e estipulado pelo
voca e idônea. Art. 52, § 4º órgão para o seu cumprimento e o valor da
multa diária a ser aplicada pelo seu descum-
9.2.1 Condições de aplicação primento. Art. 54, parágrafo único.
A ANPD deverá definir por meio de re- 9.2.3 Destinação das multas
gulamento sobre as sanções adminis-
trativas e infrações a Lei, que deverá O produto da arrecadação das multas apli-
ser objeto de consulta pública, as me- cadas pela ANPD, inscritas ou não em dívi-
todologias que orientarão o cálculo da ativa, será destinado ao Fundo de Defe-
do valor-base das sanções de multa. sa de Direitos Difusos (Lei 7.347/1985, art.
Art. 53 13 e Lei 9.008/1995). Art. 54, § 5º
50
LEI
LEI GERAL
GERAL DE
DE PROTEÇÃO
PROTEÇÃO DE
DE DADOS
DADOS PESSOAIS
SISTEMATIZADA
10.
CONSELHO
NACIONAL DE
PROTEÇÃO DE
DADOS E DA
PRIVACIDADE
51
LGPD | CAPÍTULO 10 - CONSELHO NACIONAL DE PROTEÇÃO
DE DADOS E DA PRIVACIDADE
10.1 Composição
23 representantes Art. 58-A, §§ e incisos,

designados por ato da Presidência da Re-
pública Art. 58-A, § 1º
10.2 Competências
Propor diretrizes estratégicas e fornecer

subsídios para a elaboração da Política
Nacional de Proteção de Dados Pesso-
ais e da Privacidade e para a atuação da
ANPD; elaborar relatórios anuais de ava-
liação da execução das ações da Política
Nacional; sugerir ações a serem realiza-
das pela ANPD; elaborar estudos e reali-
zar debates e audiências públicas sobre a
proteção de dados pessoais e da privaci-
dade e disseminar o conhecimento sobre
a proteção de dados pessoais e da priva-
cidade à população. Art. 58-B, I a V
52
LEI
LEI GERAL
GERAL DE
DE PROTEÇÃO
PROTEÇÃO DE
DE DADOS
DADOS PESSOAIS
SISTEMATIZADA
11.
RELATÓRIO
DE IMPACTO
A PROTEÇÃO
DE DADOS
PESSOAIS
53
LGPD | CAPÍTULO 11 - RELATÓRIO DE IMPACTO A PROTEÇÃO
DE DADOS PESSOAIS
11.1 Conteúdo A ANPD poderá solicitar ao controlador rela-

tório de impacto à proteção de dados pesso-
Deverá conter, no mínimo, a descrição dos ais, quando o tratamento tiver como funda-
tipos de dados coletados, a metodologia mento seu interesse legítimo, observados os
utilizada para a coleta e para a garantia da segredos comercial e industrial. Art. 10, §3º
segurança das informações e a análise do
controlador com relação a medidas, salva- 11.3. Aos agentes públicos
guardas e mecanismos de mitigação de risco
adotados. Art. 38 e parágrafo único A ANPD poderá solicitar a agentes do Poder
Público a publicação de relatórios de impac-
11.2 Quando é necessário to à proteção de dados pessoais e sugerir a
adoção de padrões e de boas práticas para
Documentação do controlador que contém os tratamentos de dados pessoais pelo Po-
a descrição dos processos de tratamento de der Público. Art. 32
dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais,
bem como medidas, salvaguardas e meca-
nismos de mitigação de risco. Art. 5º, XVII
11.3 Determinações da ANPD
A ANPD emitirá opiniões técnicas ou reco-

mendações previstas no inciso III do art. 4º e
deverá solicitar aos responsáveis relatórios
de impacto à proteção de dados pessoais.
Art. 4º, § 3º
11.3.1 Ao controlador
Elaboração de relatório de impacto à prote-

ção de dados pessoais, inclusive de dados
sensíveis, referente a suas operações de
tratamento de dados, nos termos de regu-
lamento, observados os segredos comer-
cial e industrial. Art. 38
54
LEI
LEIGERAL
GERALDE
DEPROTEÇÃO
PROTEÇÃODE
DEDADOS
DADOSPESSOAIS
SISTEMATIZADA
12.
SEGURANÇA E
SIGILO DOS
DADOS
55
LGPD | CAPÍTULO 12 - SEGURANÇA E SIGILO DOS DADOS
12.1 Sistemas para o tratamento de dados
Os sistemas utilizados para o tratamento de

dados pessoais devem ser estruturados de
forma a atender aos requisitos de segurança,
aos padrões de boas práticas e de governan-
ça e aos princípios gerais previstos nesta Lei
e às demais normas regulamentares. Art. 49
12.2 Segurança da Informação
Os agentes de tratamento ou qualquer outra

pessoa que intervenha em uma das fases do
tratamento obriga-se a garantir a segurança da
informação prevista nesta Lei em relação aos da-
dos pessoais, mesmo após o seu término. Art. 47
12.3 Padrões de interoperabilidade
A ANPD poderá dispor sobre padrões de in-

teroperabilidade para fins de portabilidade,
livre acesso aos dados e segurança, assim
como sobre o tempo de guarda dos regis-
tros, tendo em vista especialmente a neces-
sidade e a transparência. Art. 40
12.4 Padrões técnicos mínimos
A ANPD poderá dispor sobre padrões técnicos

mínimos, considerando a natureza das infor-
mações tratadas, as características específicas
do tratamento e o estado atual da tecnologia,
especialmente no caso de dados pessoais
sensíveis, assim como os princípios previstos
no caput do art. 6º da Lei. Art. 46, § 1º
56
LEI
LEIGERAL
GERALDE
DEPROTEÇÃO
PROTEÇÃODE
DEDADOS
DADOSPESSOAIS
SISTEMATIZADA
13.
BOAS PRÁTICAS
E GOVERNANÇA
57
LGPD | CAPÍTULO 13 - BOAS PRÁTICAS E GOVERNANÇA
Os sistemas utilizados para o tratamento de controle pelos titulares dos seus dados pes-
dados pessoais devem ser estruturados de soais. Art. 50, § 3º
forma a atender aos requisitos de seguran-
ça, aos padrões de boas práticas e de gover- 13.3 Padrões técnicos
nança e aos princípios gerais previstos na Lei
e às demais normas regulamentares. Art. 49 A ANPD estimulará a adoção de padrões téc-
nicos que facilitem o controle pelos titulares
13.2 Regras de boas práticas e de gover- dos seus dados pessoais. Art. 51
nança
13.4 Agentes do Poder Público
Deverão ser publicadas e atualizadas perio-
dicamente, podendo ser reconhecidas e di- A ANPD poderá sugerir a adoção de padrões
vulgadas pela ANPD, a quem cabe estimular e de boas práticas para os tratamentos de
a adoção de padrões técnicos que facilitem o dados pessoais pelo Poder Público. Art. 32
58
LEI
LEIGERAL
GERALDE
DEPROTEÇÃO
PROTEÇÃODE
DEDADOS
DADOSPESSOAIS
SISTEMATIZADA
14.
OUTROS
TEMAS
59
LGPD | CAPÍTULO 14 - OUTROS TEMAS
14.1 Associações tamento diferenciado e simplificado, inclusi-

ve quanto aos prazos. Art. 55-J, XVIII
Os controladores e operadores, no âmbi-
to de suas competências, pelo tratamento
de dados pessoais, individualmente ou por 14.4 Organismos de certificação
meio de associações, poderão formular re-
gras de boas práticas e de governança que A ANPD poderá designar organismos de
estabeleçam as condições de organização, o certificação para a realização do previsto
regime de funcionamento, os procedimen- no caput deste artigo, que permanecerão
tos, incluindo reclamações e petições de ti- sob sua fiscalização nos termos definidos
tulares, as normas de segurança, os padrões em regulamento. Art. 35, § 3º
técnicos, as obrigações específicas para os
diversos envolvidos no tratamento, as ações Os atos realizados por organismo de cer-
educativas, os mecanismos internos de su- tificação poderão ser revistos pela autori-
pervisão e de mitigação de riscos e outros dade nacional e, caso em desconformida-
aspectos relacionados ao tratamento de dade com esta Lei, submetidos a revisão ou
dos pessoais. Art. 50 anulados. Art. 35, § 4º
A empresa estrangeira será notificada e inti-

mada de todos os atos processuais previstos
nesta Lei, independentemente de procura-
ção ou de disposição contratual ou estatu-
tária, na pessoa do agente ou representante
ou pessoa responsável por sua filial, agência,
sucursal, estabelecimento ou escritório ins-
talado no Brasil. Art. 61
14.3 Microempresas, empresas de pe-

queno porte, startup, empresas de ino-
vação: assim como iniciativas empresariais
de caráter incremental ou disruptivo que se
autodeclarem startups ou empresas de ou
empresas de inovação: poderão receber tra-
60
LEI
LEI GERAL
GERAL DE
DE PROTEÇÃO
PROTEÇÃO DE
DE DADOS
DADOS PESSOAIS
SISTEMATIZADA
REFERÊNCIAS
61
LGPD | ANEXOS
I - ABREVIATURAS Lei 12.527/2011 - Lei de Acesso à Informação
ANPD Autoridade Nacional de Proteção de Lei 12.965/2014 - Marco Civil da Internet

Dados
CNPD Conselho Nacional de Proteção de Da- Lei 13.853/2019 - Lei Geral de Proteção de Da-
dos e Privacidade dos Pessoais
LAI Lei de Acesso à Informação
LGPD Lei Geral de Proteção de Dados Pessoais Medida Provisória 936/2020 - Institui o Pro-
MCI Marco Civil da Internet grama Emergencial de Manutenção do Empre-
go e da Renda e dispõe sobre medidas traba-
II - LEIS REFERIDAS na LGPD lhistas complementares para enfrentamento
do estado de calamidade pública e dá outras
Lei 8.112/1990 - Dispõe sobre o regime jurídico providências.
dos servidores públicos civis da União, das au-
tarquias e das fundações públicas federais Medida Provisória 959/2020 - Estabelece a
operacionalização do pagamento do Benefício
Lei 8.429/1992 - Dispõe sobre as sanções apli- Emergencial de Preservação do Emprego e da
cáveis aos agentes públicos nos casos de en- Renda e do benefício emergencial mensal de
riquecimento ilícito no exercício de mandato, que trata a Medida Provisória nº 936, de 1º de
cargo, emprego ou função na administração abril de 2020, e prorroga a vacatio legis da Lei
pública direta, indireta ou fundacional e dá ou- nº 13.709/2018, que estabelece a Lei Geral de
tras providências Proteção de Dados Pessoais - LGPD
Lei 9.394/1996 - Lei de Diretrizes e Bases da III - DEFINIÇÕES Art. 5º , I a X

Educação Nacional
Dado pessoal: informação relacionada a pes-
Lei 9.307/1996 - Lei de Arbitragem soa natural identificada ou identificável
Lei 9.5071997 - Lei do Habeas Data Dado pessoal sensível: dado pessoal sobre
origem racial ou étnica, convicção religiosa, opi-
Lei 9.784/1999 - Lei Geral do Processo Admi- nião política, filiação a sindicato ou a organiza-
nistrativo ção de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado
Lei 10.861/2004 - Sistema Nacional de Avalia- genético ou biométrico, quando vinculado a
ção da Educação Superior uma pessoa natural
62
LGPD | ANEXOS
Dado anonimizado: dado relativo a titular que mento, eliminação, avaliação ou controle da
não possa ser identificado, considerando a uti- informação, modificação, comunicação, trans-
lização de meios técnicos razoáveis e disponí- ferência, difusão ou extração
veis na ocasião de seu tratamento
Anonimização: utilização de meios técnicos
Banco de dados: conjunto estruturado de da- razoáveis e disponíveis no momento do trata-
dos pessoais, estabelecido em um ou em vá- mento, por meio dos quais um dado perde a
rios locais, em suporte eletrônico ou físico possibilidade de associação, direta ou indireta,
a um indivíduo
Titular: pessoa natural a quem se referem os
dados pessoais que são objeto de tratamento Consentimento: manifestação livre, informa-
da e inequívoca pela qual o titular concorda
Agentes de tratamento: o controlador e o com o tratamento de seus dados pessoais para
operador uma finalidade determinada
Controlador: pessoa natural ou jurídica, de Bloqueio: suspensão temporária de qualquer

direito público ou privado, a quem competem operação de tratamento, mediante guarda do
as decisões referentes ao tratamento de dados dado pessoal ou do banco de dados
pessoais
Eliminação: exclusão de dado ou de conjunto
Operador: pessoa natural ou jurídica, de direi- de dados armazenados em banco de dados,
to público ou privado, que realiza o tratamento independentemente do procedimento empre-
de dados pessoais em nome do controlador gado
Encarregado: pessoa indicada pelo controla- Transferência internacional de dados: trans-

dor e operador para atuar como canal de co- ferência de dados pessoais para país estrangei-
municação entre o controlador, os titulares dos ro ou organismo internacional do qual o país
dados e a Autoridade Nacional de Proteção de seja membro
Dados
Uso compartilhado de dados: comunicação,
Tratamento: toda operação realizada com da- difusão, transferência internacional, interco-
dos pessoais, como as que se referem a coleta, nexão de dados pessoais ou tratamento com-
produção, recepção, classificação, utilização, partilhado de bancos de dados pessoais por
acesso, reprodução, transmissão, distribuição, órgãos e entidades públicos no cumprimento
processamento, arquivamento, armazena- de suas competências legais, ou entre esses e
63
LGPD | ANEXOS
entes privados, reciprocamente, com autoriza- IV - CONCEITOS DOS PRINCÍPIOS DO TRATA-

ção específica, para uma ou mais modalidades MENTO DE DADOS Art. 6º
de tratamento permitidas por esses entes pú-
blicos, ou entre entes privados Finalidade: realização do tratamento para
propósitos legítimos, específicos, explícitos e
Relatório de impacto à proteção de dados informados ao titular, sem possibilidade de tra-
pessoais: documentação do controlador que tamento posterior de forma incompatível com
contém a descrição dos processos de trata- essas finalidades;
mento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos funda- Adequação: compatibilidade do tratamento
mentais, bem como medidas, com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
Órgão de pesquisa: órgão ou entidade da
administração pública direta ou indireta ou Necessidade: limitação do tratamento ao mí-
pessoa jurídica de direito privado sem fins lu- nimo necessário para a realização de suas fina-
crativos legalmente constituída sob as leis bra- lidades, com abrangência dos dados pertinen-
sileiras, com sede e foro no País, que inclua em tes, proporcionais e não excessivos em relação
sua missão institucional ou em seu objetivo às finalidades do tratamento de dados;
social ou estatutário a pesquisa básica ou apli-
cada de caráter histórico, científico, tecnológico Livre acesso: garantia, aos titulares, de consul-
ou estatístico ta facilitada e gratuita sobre a forma e a dura-
ção do tratamento, bem como sobre a integra-
Autoridade nacional: órgão da administração lidade de seus dados pessoais;
pública responsável por zelar, implementar e
fiscalizar o cumprimento desta Lei em todo o Qualidade dos dados: garantia, aos titulares,
território nacional de exatidão, clareza, relevância e atualização
dos dados, de acordo com a necessidade e
Pseudoanonimização: Tratamento por meio para o cumprimento da finalidade de seu tra-
do qual um dado perde a possibilidade de as- tamento;
sociação, direta ou indireta, a um indivíduo, se-
não pelo uso de informação adicional mantida Transparência: garantia, aos titulares, de in-
separadamente pelo controlador em ambiente formações claras, precisas e facilmente acessí-
controlado e seguro. Art. 13, §4º veis sobre a realização do tratamento e os res-
pectivos agentes de tratamento, observados os
segredos comercial e industrial;
64
LGPD | ANEXOS
Segurança: utilização de medidas técnicas e dade de rede, memória, registro, arquivo etc.,
administrativas aptas a proteger os dados pes- visando receber, fornecer, ou eliminar dados
soais de acessos não autorizados e de situa-
ções acidentais ou ilícitas de destruição, perda, Reprodução: cópia de dado preexistente obti-
alteração, comunicação ou difusão; do por meio de qualquer processo
Prevenção: adoção de medidas para prevenir Transmissão: movimentação de dados entre

a ocorrência de danos em virtude do tratamen- dois pontos por meio de dispositivos elétricos,
to de dados pessoais; eletrônicos, telegráficos, telefônicos, radioelé-
tricos, pneumáticos etc.
Não discriminação: impossibilidade de reali-
zação do tratamento para fins discriminatórios Distribuição: ato ou efeito de dispor de dados
ilícitos ou abusivos. de acordo com algum critério estabelecido
Processamento: ato ou efeito de processar

V - CONCEITOS DAS OPERAÇÕES DE TRATA- dados
MENTO DE DADOS PESSOAIS
Arquivamento: ato ou efeito de manter regis-
Coleta: recolhimento de dados com finalidade trado um dado embora já tenha perdido a vali-
específica dade ou esgotada a sua vigência
Produção: criação de bens e de serviços a par- Armazenamento: ação ou resultado de man-

tir do tratamento de dados ter ou conservar em repositório um dado
Recepção: ato de receber os dados ao final da Eliminação: ato ou efeito de excluir ou destruir
transmissão dado do repositório
Classificação: maneira de ordenar os dados Avaliação:- ato ou efeito de calcular valor so-
conforme algum critério estabelecido bre um ou mais dados
Utilização: ato ou efeito do aproveitamento Controle:- ação ou poder de regular, determi-

dos dados nar ou monitorar as ações sobre o dado
Acesso: possibilidade de comunicar-se com Modificação: ato ou efeito de alteração do

um dispositivo, meio de armazenamento, uni- dado
65
LGPD | ANEXOS
Comunicação: transmitir informações perti-

nentes a políticas de ação sobre os dados
Transferência: mudança de dados de uma área
de armazenamento para outra, ou para tercei-
ro
Difusão: ato ou efeito de divulgação, propaga-

ção, multiplicação dos dados
Extração: ato de copiar ou retirar dados do re-

positório em que se encontrava
Fonte: SERPRO
Disponível em glossário: https://www.serpro.gov.
br/lgpd/menu/a-lgpd/glossario-lgpd
66
LEI GERAL DE PROTEÇÃO
DE DADOS PESSOAIS
NACIONAL

Lei Geral de Proteção de Dados Pessoais Sistematizada

Enviado por

Direitos autorais:

Formatos disponíveis

Lei Geral de Proteção de Dados Pessoais Sistematizada

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Lei Geral de Proteção de Dados Pessoais Sistematizada

Enviado por

Direitos autorais:

Formatos disponíveis

E-BOOK

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Barreto, Ana Amelia Menna

PDF (63 p.). il.: color.

1. Proteção de dados pessoais, Brasil. 2. Direito à privacidade. 3. Rede social. 4. Sociedade da

Brasília – DF, 2020

Felipe Santa Cruz*

*Advogado e Presidente Nacional da Ordem dos Advogados do Brasil.

ANA AMELIA MENNA BARRETO

Advogada e consultora jurídica em Direito

Capítulo 1 - LEI GERAL DE PROTEÇÃO DE 3.2.2 Quando o consentimento é requerido

4.2 Princípios das atividades de tratamento 4.15 Empresas públicas e sociedades de

6.2.8 Incidente de segurança 7.3 Indicação

Capítulo 11 - RELATÓRIO DE IMPACTO A ANEXOS

Capítulo 13 - BOAS PRÁTICAS E GOVERNANÇA

13.1 Sistemas para o tratamento de dados

Capítulo 14 - OUTROS TEMAS

tamento brasileiros ou objeto de transferên- aquela que possua capital integralmente

1.7 Vedação da pessoa de direito privado

Em nenhum caso a totalidade dos dados

2.1 Conceitos áveis e disponíveis na ocasião de seu tra-

Dado pessoal sensível: dado pessoal sobre 2.2 Outras definições

Dados anonimizados: relativo a titular

3.1 Quem é sido apresentadas previamente com

de descumprimento ao disposto nesta Lei. sibilidade de não fornecer consentimento e

3.2.9.1 Prazo: fornecida em até 15 conta- 3.2.12 Solicitar cópia eletrônica

nistrativo), e Lei 12.527/(Lei de Acesso à âmbito das relações de consumo perma-

Pode ser exercida em juízo, individual ou co-

3.2.14.1 Inversão do ônus da prova: O

3.2.14.2 Ações de reparação por danos

3.2.14.3 Direito de regresso: Aquele que

3.2.14.4 Relações de consumo: As hipó-

4.1 Definição estudos por órgão de pesquisa, garanti-

A Lei elenca dez hipóteses autorizadas 4.4 Dados de acesso público

dos os direitos do titular e os princípios da O consentimento poderá ser revogado a

cas previstas em leis ou regulamentos; dada publicidade à referida dispensa de

Vedado o tratamento de dados de saúde do órgão e estritamente para a finalida-

4.9 Estudos em saúde pública 4.9.1 Pseudonimização: Para os efeitos

lador em ambiente controlado e seguro. 4.10.2 Deveres dos controladores

4.10 Tratamento de dados pessoais de 4.11 Idosos

que respeitados os requisitos de trata- em seus sítios eletrônicos. Art. 23, I

4.16.1 Dever: Fornecer acesso aos dados

4.17 Tratamento irregular

O tratamento de dados pessoais será irre-

5.1 Coleta em território nacional

Consideram-se coletados no território na-

5.1.1 Exceção Excetua-se da operação de

Art. 4º, IV Provenientes de fora do terri-

a proteção da vida ou da incolumidade 5.3 Nível de proteção de dados do país es-

v. Autoridade Nacional, competências

5.5 Empresa estrangeira

A empresa estrangeira será notificada

6.2 Deveres 6.2.4 Legítimo interesse do controlador

6.2.1 Compartilhamento com outros Somente poderá fundamentar tratamen-

pectativas dele e os direitos e liberdades Deverão realizar todos os esforços razoá-

metodologia utilizada para a coleta e para A ANPD verificará a gravidade do inci-

A comunicação será feita em prazo razo- 6.2.9.1 Programa de governança em

políticas internas que assegurem o cum- cumprimento de boas práticas ou códi-

à escala e ao volume de suas operações, As garantias suficientes de observância