Presidéncia da Republica Secretaria-Geral Subchefia para Assuntos Juridicos LEI N° 13.709, DE 14 DE AGOSTO DE 2018 Mensagem de vate Lei Geral de Protegio de Dados Pessoals (LGPD). (Redacao dada pela Lei n® 13.853, de 2019) Vigancia Vigéncia 0 PRESIDENTE DA REPUBLICA Faco saber que o Congresso Nacional decrela e eu sanciono a seguinte Lei CAPITULO | DISPOSIGOES PRELIMINARES Art. 1° Esta Lei dispde sobre 0 tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa juridica de direito publico ou privado, com o objetivo de proteger os direitos fundamentals de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, Paragrafo Unico. As normas gerais contidas nesta Lei sao de interesse nacional e devem ser observadas pela Unido, Estados, Distrito Federal e Municipios. _(Incluido pela Lei n® 13.853, de 2019) Vigéncia| Art. 2° A disciplina da protegao de dados pessoas tem como fundamentos: © respeito a privacidade; II - a autodeterminago informativa; Ill -a liberdade de expressao, de informagao, de comunicagao e de opiniao; IV - a inviolabilidade da intimidade, da honra e da imagem; \V-0 desenvolvimento econdmico e tecnolégico e a inovagao; V1-a livre iniciativa, a livre concorréncia e a defesa do consumidor; © VII - 08 direitos humanos, 0 livre desenvolvimento da personalidade, a dignidade e o exercicio da cidadania pelas pessoas naturals, Art. 3° Esta Lel aplica-se a qualquer operacdo de tratamento realizada por pessoa natural ou por pessoa juridica de direito :0 0U privado, independentemente do meio, do pais de sua sede ou do pais onde estejam localizados os dados, desde que: a operago de tratamento seja realizada no territério nacional Il - a atividade de tratamento tenha por objetivo a oferta ou o fomecimento de bens ou servigos ou 0 tratamento de dados de individuos localizados no territério nacional; ou (Redagao dada pela Lei n? 13.853, de 2019) Vigéncia Ill - 08 dados pessoais objeto do tratamento tenham sido coletados no territério nacional § 1° Consideram-se coletads no territério nacional as dados pessoais cujo titular nele se encontre no momento da coleta. § 2° Excetua-se do disposto no inciso | deste artigo 0 tratamento de dados previsto no inciso IV do caput do art. 4° desta Lei. Art. 4° Esta Lei néo se aplica ao tratamento de dados pessoais: realizado por pessoa natural para fins exclusivamente particulares e ndo econdmicos; Il - realizado para fins exclusivamente: a) jomalistico e artisticos; ou b) académicos, aplicando-se a esta hipétese os arts. 7° ¢ 11 desta Lei;Ill - realizado para fins exclusivos de: a) seguranga pablica; b) defesa nacional; ©) seguranga do Estado; ou d) atividades de investigagao e repressao de infragdes penais; ou IV - provenientes de fora do territério nacional @ que nao sejam objeto de comunicagao, uso compartihado de dados com agentes de tratamento brasileiros ou objeto de transferéncia internacional de dados com outro pals que nao o de proveniéncia, desde que o pais de proveniéncia proporcione grau de protego de dados pessoais adequado ao previsto nesta Lei, § 1° 0 tratamento de dados pessoais previsto no inciso Ill sera regido por legislagdo especifica, que deverd prever medidas proporcionais e estritamente necessérias ao atendimento do interesse puiblico, observados o devido processo legal, os principios gerals de protecao e os direitos do titular previstos nesta Lei. § 2° vedado 0 tratamento dos dados a que se refere o inciso Ill do caput deste artigo por pessoa de dirito privado, exceto om procedimentos sob tutela de pessoa juriica de direto publico, que serdo objeto de informe especifico @ autoridade nacional © que deverdo observar a limitagao imposta no § 4° deste artigo. § 3° A autoridade nacional emitiré opinides técnicas ou recomendagées referentes as excegdes previstas no inciso III do caput deste arligo e devera solicitar aos responsaveis relatérios de Impacto a protegao de dados pessoais. § 4° Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderd ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituido pelo poder pblico, (Redacdo dada pela Lei n® 13.853. de 2019) Vigéncia Art. 6° Para os fins desta Lei, considera-se: dado pessoal: informagao relacionada a pessoa natural identificada ou identificével; II - dado pessoal sensivel: dado pessoal sobre origem racial ou étnica, conviegao religiosa, opinido politica, fliagao a sindicato ou a organizagao de carater religioso, filoséfico ou politico, dado referente a satide ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; Ill - dado anonimizado: dado relativo a titular que nao possa ser identificado, considerando a utilizagao de meios técnicos razoaveis e disponiveis na ocasiao de seu tratament IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em varios locais ou fisico; ‘em suporte eletrénico \V- titular: pessoa natural a quem se referem os dados pessoais que so objeto de tratamento; VI - controlador: pessoa natural ou juridica, de direito piblico ou privado, a quem competem as decisées referentes a0 tratamento de dados pessoais; VIL - operador: pessoa natural ou juridica, de direito publico ou privado, que realiza o tratamento de dados pessoais em nome do controlador, Vill - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicagao entre o controlador, 98 titulares dos dados e a Autoridade Nacional de Protego de Dados (ANPD); (Redacdo dada pela Lei n® 13.853, de 2019) —Vigéncia 1X agentes de tratamento: 0 controlador e 0 operador; X - tratamento: toda operagdo realizada com dados pessoais, como as que se referem a coleta, produgdo, recepso, classificagao, utlizagao, acesso, reprodugao, transmissao, distribuico, processamento, arquivamento, armazenamento, eliminagao, avaliagao ou controle da informagao, modificagao, comunicagao, transferéncia, difusdo ou extracdo; XI - anonimizagao: utiizagio de meios técnicos razoaveis e disponiveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associacao, direta ou indireta, a um individuo; XII - consentimento: manifestagdo livre, informada e inequivoca pela qual o titular concorda com o tratamento de seus dados Pessoais para uma finalidade determinada;Xill - bloqueio: suspenso temporaria de qualquer operagao de tratamento, mediante guarda do dado pessoal ou do banco de dados; XIV - eliminagao: excluséo de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; XV - transferéncia internacional de dados: transferéncia de dados pessoais para pais estrangeiro ou organismo internacional do qual o pais seja membro; XVI - uso compartithado de dados: comunicagao, difusdo, transferéncia internacional, interconexdo de dados pessoais ou tratamento compartithado de bancos de dados pessoais por érgaos e entidades piiblicos no cumprimento de suas competéncias legais, ou entre esses e entes privados, reciprocamente, com autorizacao especifica, para uma ou mais modalidades de tratamento Permitidas por esses entes pUblicos, ou entre entes privados; XVII - relatério de impacto @ protego de dados pessoais: documentaco do controlador que contém a descrigéio dos processos, de tratamento de dados pessoais que podem gerar riscos as liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de miligagdo de risco; XVIII - 6rgao de pesquisa: 6rgao ou entidade da administragao publica direta ou indireta ou pessoa juridica de direito privado sem fins lucrativos legalmente constituida sob as leis brasileiras, com sede e foro no Pais, que inclua em sua missao institucional ‘ou em seu objetivo social ou estatutério a pesquisa basica ou aplicada de cardter histérico, cientifico, tecnolégico ou estatistico; e — (Redacdo dada pela Lei n® 13.853, de 2019) Vigancia XIX + autoridade nacional: érgao da administragao publica responsavel por zelar, implementar e fiscalizar 0 cumprimento desta Lei em todo 0 territorio nacional. (Redagao dada pela Lein® 13,853, de 2019) Vigancia Art, 6° As atividades de tratamento de dados pessoais deverdo observar a boa-fé e os seguintes princ{pios: |. finalidade: realizagao do tratamento para propésitos legitimos, especificos, explicitos e informados ao titular, sem possiblidade de tratamento posterior de forma incompativel com essas finalidades; Il - adequagao: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; Ill - necessidade: limitago do tratamento ao minimo necessério para a realizagdo de suas finalidades, com abrangéncia dos dados pertinentes, proporcionals @ nao excessivos em relago as finalidades do tratamento de dados; \V - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a durago do tratamento, bem como sobre a integralidade de seus dados pessoais; \V - qualidade dos dados: garantia, aos titulares, de exatidao, clareza, relevancia ¢ atualizagdo dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparéncia: garantia, aos titulares, de informagées claras, precisas e facilmente acessiveis sobre a realizagéo do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; Vil - seguranga: utiizagéo de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos ndo autorizados e de situagées acidentais ou ilicitas de destruigao, perda, alteragao, comunicago ou difusdo; VIII - prevengao: adocao de medidas para prevenir a ocorréncia de danos em virtude do tratamento de dados pessoais; 1X - ndo discriminagao: impossibilidade de realizagao do tratamento para fins discriminatérios ilicitos ou abusivos; X = responsabilzagéo e prestagdo de contas: demonstragdo, pelo agente, da adogdo de medidas eficazes © capazes de ‘comprovar a observancia © o cumprimento das normas de protegao de dados pessoais e, inclusive, da eficécia dessas medidas. CAPITULO II DO TRATAMENTO DE DADOS PESSOAIS Segao! 10s para o Tratamento de Dados Pessoais. Dos Req Art. 7° O tratamento de dados pessoais somente poderd ser realizado nas seguintes hipsteses: mediante 0 fomecimento de consentimento pelo titular; II para o cumprimento de obrigacao legal ou regulatéria pelo controlador;Ill - pela administracao publica, para o tratamento e uso compartilhado de dados necessarios & execucao de politicas publicas previstas em leis e regulamentos ou respaldadas em contratos, convénios ou instrumentos congéneres, observadas as disposicdes do Capitulo IV desta Lei; IV-- para a realizagao de estudos por 6rgdo de pesquisa, garantida, sempre que possivel, a anonimizagao dos dados pessoas; \V - quando necessério para a execugdo de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI- para 0 exercicio regular de direitos em processo judicial, administrativo ou arbitral, esse timo nos termos da Lei n® 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VIl- para a protegao da vida ou da incolumidade fisica do titular ou de terceiro; Vill - para a tutela da sade, exclusivamente, em procedimento realizado por profissionais de satide, servigos de salide ou autoridade sanitaria; (Redacdo dada pola Loin’ 13.853..de 2019) Vigéncia IX-- quando necessério para atender aos interesses legitimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos ¢ liberdades fundamentais do titular que exijam a protecao dos dados pessoais; ou X- para a protegdo do crédito, inclusive quanto ao disposto na legislago pertinente. § 1° (Revogado). (Redacdo dada pela Lein® 13.853.de 2019) Vigéncia § 2° (Revogado). (RedacSo dada pela Lé 3.853, de 2019) Vigancia § 3° 0 tratamento de dados pessoais cujo acesso & pilblico deve considerar a finalidade, a boa-fé e o interesse pubblico que justificaram sua disponibllizagao. § 4° E dispensada a exigéncia do consentimento previsto no caput deste artigo para os dados tomados manifestamente pablicos pelo titular, resguardados os direitos do titular e os principios previstos nesta Lei § 5° O controlador que obteve 0 consentimento referido no inciso | do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverd obter consentimento especfico do titular para esse fim, ressalvadas as hipoteses de dispensa do consentimento previstas nesta Lei § 6° A eventual dispensa da exigéncia do consentimento néo desobriga os agentes de tratamento das demais obrigacées, previstas nesta Lei, especialmente da observancia dos principios gerais e da garantia dos direitos do titular. § 7° O tratamento posterior dos dados pessoais a que se referem os §§ 3° 6 4° deste artigo poderd ser realizado para novas finalidades, desde que observados os propésitos legitimos e especificos para o novo tratamento e a preservacao dos direitos do titular, assim como os fundamentos @ os principios previstos nesta Lei. (Incluido pela Lein® 13,853, de 2019) Vigéncia Art. 8° © consentimento previsto no inciso | do art. 7° desta Lei deverd ser fornecido por escrito ou por outro meio que demonstre a manifestagao de vontade do titular. § 1° Caso 0 consentimento soja fomecido por escrito, esse devera constar de cldusula destacada das demais cléusulas contratuais. § 2° Cabe ao controlador o 6nus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei § 3° E vedado o tratamento de dados pessoais mediante vicio de consentimento. § 4° O consentimento devera referir-se a finalidades determinadas, e as autorizagées genéricas para o tratamento de dados pessoais serdo nulas. § 5° O consentimento pode ser revogado a qualquer momento mediante manifestacao expressa do titular, por procedimento gratuito @ faclitado, ralificados os tratamentos realizados sob amparo do consenlimento anteriormente manifestado enquanto no houver requerimento de eliminaco, nos termos do inciso VI do caput do art. 18 desta Lei. § 6° Em caso de alteragdo de informagao referida nos incisos |, Il, IIl ou V do art. 9° desta Lei, o controlador devera informar ao titular, com destaque de forma especifica do teor das alteragées, podendo o titular, nos casos em que 0 seu consentimento 6 exigido, revogé-lo caso discorde da alteragao. Art. 9° O titular tem direito ao acesso facilitado as informagdes sobre o tratamento de seus dados, que deverdo ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras caracteristicas previstas em regulamentagao para 0 atendimento do principio do livre acesso:finalidade especifica do tratamento; II forma e duragao do tratamento, observados os segredos comercial e industrial; IIL -identificagao do controlador; IV - informagdes de contato do controlador; \V- informagdes acerca do uso compartithado de dados pelo controlador e a finalidade; \V1- responsabilidades dos agentes que realizarao o tratamento; © Vil direitos do titular, com mengao explicita aos direitos contidos no art. 18 desta Lei § 1° Na hipétese em que o consentimento é requerido, esse sera considerado nulo caso as informagdes fornecidas ao titular tenham contetido enganoso ou abusivo ou ndo tenham sido apresentadas previamente com transparéncia, de forma clara e inequivoca, § 2° Na hipétese em que o consentimento € requetido, se houver mudangas da finalidade para o tratamento de dados pessoais no compativeis com o consentimento original, o controlador devera informar previamente o titular sobre as mudangas de finalidade, Podendo o titular revogar o consentimento, caso discorde das alteragdes. § 3° Quando 0 tratamento de dados pessoais for condigdo para 0 fornecimento de produto ou de servigo ou para 0 exercicio de direito, o titular sera informado com destaque sobre esse fato e sobre os meios pelos quais poder exercer os direitos do titular elencados no art. 18 desta Lei Art. 10. © legitimo interesse do controlador somente podera fundamentar tratamento de dados pessoais para finalidades 1as, consideradas a partir de situacdes concretas, que incluem, mas nao se limitam a: legi | - apoio e promogao de atividades do controlador; Il - protec, em relagao ao titular, do exercicio regular de seus direitos ou prestagao de servigos que o beneficiem, respeitadas as legitimas expectativas dele e 0s direitos ¢ liberdades fundamentais, nos termos desta Lei. § 1° Quando 0 tratamento for baseado no legitimo interesse do controlador, somente os dados pessoais estritamente necessérios para a finalidade pretendida poderao ser tratados. § 2° O controlador deverd adotar medidas para garantir a transparéncia do tratamento de dados baseado em seu legitimo interesse. § 3° A autoridade nacional podera solicitar ao controlador relatério de impacto a protecdo de dados pessoais, quando o tratamento tiver como fundamento seu interesse legitimo, observados os segredos comercial e industrial Segao Il Do Tratamento de Dados Pessoais Sensiveis ‘Ait 11. 0 tratamento de dados pessoais sensiveis somente poderd ocorrer nas seguintes hipdteses: 1 quando o titular ou seu responsavel legal consentir, de forma especifica e destacada, para finalidades especiicas; II som fornecimento de consentimento do titular, nas hipéteses em que for indispensavel para: 2) cumprimento de obrigagéo legal ou regulatsria pelo controlador; b) tratamento compartihado de dados necessarios 4 execugdo, pela administracao publica, de politicas piiblicas previstas em lels ou regulamentos; ©) realizagao de estudos por érgao de pesquisa, garantida, sempre que possivel, a anonimizagéo dos dados pessoais sensiveis; 4) exercicio regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este ultimo nos termos da Lel n® 9.307, de 23 de setembro de 1996 (Lel de Arbitragem), @) protegio da vida ou da incolumidade fisica do titular ou de terceiro;f tutela da satide, exclusivamente, em procedimento realizado por profissionais de satide, servigos de satide ou autoridade sanitéria; ou (Reda¢do dada pela Lei n° 13.853, de 2019) Vigéneia 9) garantia da prevengao a fraude © seguranca do titular, nos processos de identificagao e autenticagao de cadastro em sistemas eletrénicos, resguardados os direitos mencionados no art. 9° desta Lei e exceto no caso de prevalecerem direitos liberdades fundamentais do titular que exijam a protego dos dados pessoais. § 1° Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensiveis e que possa causar dano ao titular, ressalvado 0 disposto em legistacao especifica § 2° Nos casos de aplicagao do disposto nas alineas “a” e “b” do inciso Il do caput deste artigo pelos drgaos e pelas entidades -as, ser dada publicidade a referida dispensa de consentimento, nos termos do inciso | do caput do art. 23 desta Lei pal § 3° A comunicagao ou 0 uso compartilhado de dados pessoais sensiveis entre controladores com objetivo de obter vantagem ‘econémica poderd ser objeto de vedago ou de regulamentago por parte da autoridade nacional, ouvidos os érgaios setoriais do Poder Piblico, no ambito de suas competéncias, § 4° E vedada a comunicago ou 0 uso compartihado entre controladores de dados pessoais sensiveis referentes & satide com objetivo de obter vantagem econémica, exceto nas hipdteses relativas a prestagéo de servicgos de satide, de assisténcia farmacéutica e de assisténcia a sade, desde que observado o § 5° deste artigo, incluidos os servigas auxiiares de diagnose e terapia, om beneficio dos intoresses dos ttulares de dados, © para permit: (Redac4o dada pala Lei n® 13,853, de 2019) Vigéncia | -a portabilidade de dados quando solicitada pelo titular; ou _(Incluido pela Lei n® 13.853, de 2019) Vigancia Il - as transagdes financeiras e administrativas resultantes do uso e da prestagdo dos servigos de que trata este pardgrafo, (Incluldo pela Lein® 13,853, de 2019) Vigéncia § 5° E vedado as operadoras de planos privados de assisténcia & saide o tratamento de dados de salide para a prética de selegdo de riscos na contratagao de qualquer modalidade, assim como na contralagao e exclusdo de benefciérios. (Incluido pela Lei n® 13.853, de 2019) Vigéncia Art, 12, Os dados anonimizados nao serao considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimizagao ao qual foram submetidos for revertido, utilizando exclusivamente meios proprios, ou quando, com esforgos razoaveis, puder ser revertido. § 1° A determinagao do que seja razoavel deve levar em consideragao fatores objetivos, tais como custo e tempo necessarios, para reverter o processo de anonimizago, de acordo com as tecnologias disponiveis, e a utlizagao exclusiva de meios préprios. § 2° Poderdo ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formagao do perfil comportamental de determinada pessoa natural, se identificada. § 3° A autoridade nacional poderd dispor sobre padres e técnicas utlizados em processos de anonimizagao e realizar verificagées acerca de sua seguranca, ouvido o Conselho Nacional de Protegao de Dados Pessoais. Art. 13. Na realizagao de estudos em satide publica, os drgaos de pesquisa poderao ter acesso a bases de dados pessoais, que serdo tratados exclusivamente dentro do érgao e estritamente para a finalidade de realizagdo de estudos © pesquisas e mantidos ‘em ambiente controlado ¢ seguro, conforme praticas de seguranga provistas em regulamento especifico © que incluam, sempre que Possivel, a anonimizagao ou pseudonimizagao dos dados, bem como considerem os devidos padrées éticos relacionados a estudos e pesquisas. § 1° A divulgagao dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipétese paderd revelar dados pessoais. § 2° O drgao de pesquisa sera o responsvel pela seguranca da informagao prevista no caput deste artigo, no permitida, em circunstancia alguma, a transferéncia dos dados a terceiro. § 3° O acesso aos dados de que trata este artigo sera objeto de regulamentagao por parte da autoridade nacional e das autoridades da area de salide e sanitérias, no Ambito de suas competéncias. § 4° Para os efeitos deste artigo, a pseudonimizagao 6 0 tratamento por meio do qual um dado perde a possibilidade de associago, direta ou indireta, a um individuo, sendo pelo uso de informago adicional mantida separadamente pelo controlador em ambiente controlado © seguro, Segao Ill Do Tratamento de Dados Pessoais de Criangas e de AdolescentesArt. 14. O tratamento de dados pessoais de criangas e de adolescentes devera ser realizado em seu melhor interesse, nos termos deste artigo e da legislago pertinente. § 1° 0 tratamento de dados pessoais de criangas devera ser realizado com 0 consentimento especifico e em destaque dado por pelo menos um dos pais ou pelo responsavel legal, § 2° No tratamento de dados de que trata 0 § 1° deste artigo, os controladores deverao manter publica a informacao sobre os tipos de dados coletados, a forma de sua utllza¢do e os procedimentos para o exercicio dos direitos a que se refere o art. 18 desta Lei § 3° Poderdo ser coletados dados pessoais de criangas sem o consentimento a que se refere o § 1° deste artigo quando a coleta for necessaria para contatar os pais ou o responsavel legal, utiizados uma unica vez e sem armazenamento, ou para sua Protegao, e em nenhum caso poderao ser repassados a terceiro sem o consentimento de que trata 0 § 1° deste artigo. § 4° Os controladores nao deverdo condicionar a participago dos titulares de que trata o § 1° deste artigo em jogos, aplicagées, de internet ou outras atividades ao fornecimento de informagdes pessoais além das estritamente necessarias a atividade. § 5° O controlador deve realizar todos os esforgos razoaveis para verificar que 0 consentimento a que se refere o § 1° deste artigo foi dado pelo responsavel pela crianga, consideradas as tecnologias disponiveis, § 6° As informagdes sobre o tratamento de dados referidas neste artigo deverdo ser fornecidas de maneira simples, clara e acessivel, consideradas as caracteristicas fisico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuario, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informagao necesséria aos pais ou ao responsavel legal adequada ao entendimento da crianga. ‘Segdo IV Do Término do Tratamento de Dados Art. 18. O término do tratamento de dados pessoais ocorreré nas seguintes hipéteses: | - verificago de que a finalidade foi alcangada ou de que os dados deixaram de ser necessarios ou pertinentes ao alcance da finalidade especifica almejada II -fim do periodo de tratamento; IIL - comunicagéo do titular, inclusive no exercicio de seu dirello de revagago do consentimento conforme disposto no § 5° do art, 8° desta Lei, resguardado o interesse puiblico; ou IV-- determinagao da autoridade nacional, quando houver violagao ao disposto nesta Lei, Art, 16. Os dados pessoais serao eliminados apés o término de seu tratamento, no ambito e nos limites técnicos das atividades, autorizada a conservagdo para as seguintes finalidades: ‘cumprimento de obrigagao legal ou regulatéria pelo controlador; II estudo por érgao de pesquisa, garantida, sempre que possivel, a anonimizago dos dados pessoais; IIL transferéncia a terceiro, desde que respeitados 0s requisitos de tratamento de dados dispostos nesta Lei; ou IV - uso exclusive do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. CAPITULO IIL DOS DIREITOS DO TITULAR Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade ¢ de privacidade, nos termos desta Lei. Art. 18. O titular dos dados pessoais tem direlto a obter do controlador, em relago aos dados do titular por ele tratados, a qualquer momento e mediante requisigao: | - confirmagao da existéncia de tratamento; II - acesso aos dados; IIL- corregio de dados incompletos, inexatos ou desatualizados;IV - anonimizagao, bloqueio ou eliminagao de dados desnecessarios, excessivos ou tratados em desconformidade com o disposto nesta Lei \V - portabilidade dos dados a outro fomecedor de servigo ou produto, mediante requisigéo expressa, de acordo com a regulamentagao da autoridade nacional, observados os segredos comercial e industrial, (Redagao dada pela Lei n° 13.853, de 2019) Vigéncia VI- eliminagao dos dados pessoais tratados com 0 consentimento do titular, exceto nas hipéteses previstas no art. 16 desta Lei VII - informagao das entidades ptiblicas e privadas com as quais 0 controlador realizou uso compartilhado de dados; VIII -informagao sobre a possibilidade de no fornecer consentimento e sobre as consequéncias da negativa; IX revogacao do consentimento, nos termos do § 5° do art, 8° desta Lei. § 1° 0 titular dos dados pessoais tem o direito de peticionar em relagao aos seus dados contra o controlador perante a autoridade nacional § 2° 0 titular pode opor-se a tratamento realizado com fundamento em uma das hipéteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei, § 3° Os direitos previstos neste artigo sero exercidos mediante requerimento expresso do titular ou de representante legalmente constituido, a agente de tratamento. § 4° Em caso de impossibilidade de adocio imediata da providéncia de que trata o § 3° deste artigo, o controlador enviara ao titular resposta em que podera: | - comunicar que ndo 6 agente de tratamento dos dados e indicar, sempre que possivel, o agente; ou Il indicar as raz6es de fato ou de direito que impedem a adogao imediata da providéncia. § 5° 0 requerimento referido no § 3° deste artigo sera atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento. § 6° O responsavel deverd informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartiihado de dados a corregdo, a eliminagao, a anonimizagao ou o bloqueio dos dados, para que repitam idéntico procedimento, exceto nos casos em que esta comunicagdo seja comprovadamente impossivel ou implique esforgo desproporcional. (Redagdo dada pela Lei n? 13.853, de 2019)" Vigéncia § 7° A portabilidade dos dados pessoals a que se refere o inciso V do caput deste artigo ndo inclui dados que jé tenham sido anonimizados pelo controlador. § 8° O direito a que se refere 0 § 1° deste artigo também poderd ser exercido perante os organismos de defesa do consumidor. Art. 19. A confirmagao de existéncia ou 0 acesso a dados pessoais serao providenciados, mediante requisigao do titular: ‘em formato simplificado, imediatamente; ou I= por meio de declaragao clara e completa, que indique a origem dos dados, a inexist€ncia de registro, os critérios utlizados & a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. § 1° Os dados pessoais serdo armazenados em formato que favorega 0 exercicio do direito de acesso. § 2° As informagdes e os dados poderdo ser fornecidos, a critério do titular: por meio eletrénico, seguro @ idéneo para esse fim; ou II- sob forma impressa. § 3° Quando 0 tratamento tiver origem no consentimento do titular ou em contrato, o titular podera solicitar cépia eletronica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentagdo da autoridade nacional, em formato que permita a sua utilizagdo subsequente, inclusive em outras operagdes de tratamento. § 4° A autoridade nacional poderd dispor de forma diferenciada acerca dos prazos previstos nos incisos | e Il do caput deste artigo para os setores especificos,Art. 20. O titular dos dados tem direito a solicitar a revisaéo de decisées tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluidas as decisées destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. (Redago dada pela Lei n® 13.853, de 2019) Vigéncia § 1° O controlador devera fornecer, sempre que solicitadas, informagées claras e adequadas a respeito dos critérios e dos procedimentos utiiizados para a deciséo automatizada, observados os segredos comercial e industrial. § 2° Em caso de nao oferecimento de informagées de que trata o § 1° deste artigo baseado na observancia de segredo comercial e industrial, a autoridade nacional podera realizar auditoria para verificagéo de aspectos discriminatérios em tratamento aulomatizado de dados pessoais. § 3° (VETADO). _(Inclufdo pela Lei n® 13,853, de 2019) Vigéncia Art. 21. Os dados pessoais referentes ao exereicio regular de direitos pelo titular nao podem ser utllizados em seu prejuizo, Art. 22. A defesa dos interesses e dos direitos dos titulares de dados podera ser exercida em juizo, individual ou coletivamente, 1na forma do disposto na legislagao pertinente, acerca dos instrumentos de tutela individual e coletiva. CAPITULO IV DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PUBLICO Segao! Das Regras Art, 23. 0 tratamento de dados pessoais pelas pessoas juridicas de direito puiblico referidas no paragrafo tinico do art. 1° da Lei n° 12.527, de 18 de novembro de 2011 (Lei de Acesso A Informacdo) , deverd ser realizado para o atendimento de sua finalidade publica, na persecucao do interesse piiblico, com o objetivo de executar as competéncias legais ou cumprir as atribuigbes legais do servigo publico, desde que: | - sejam informadas as hipéteses em que, no exercicio de suas competéncias, realizam o tratamento de dados pessoais, fornecendo informagées claras e atualizadas sobre a previséo legal, a finalidade, os procedimentos e as praticas utilizadas para a ‘execugdo dessas atividades, em veiculos de facil acesso, preferencialmente em seus sitios eletrénicos; I (VETADO}; e Ill - seja indicado um encarregado quando ree rem operagées de tratamento de dados pessoais, nos termos do art. 39 desta Lei;e (Redaedo dada pela Lein? 13.853, de 2019) Vigéncia - (VETADO). —_(Incluido pola Lei n® 13,853. de 2019) § 1° A autoridade nacional poderd dispor sobre as formas de publicidade das operagées de tratamento. § 2° O disposto nesta Lei nao dispensa as pessoas juridicas mencionadas no caput deste artigo de instituir as autoridades de que trata a Lein® 12.527, de 18 de novembro de 2011 § 3° Os prazos e procedimentos para exercicio dos direitos do titular perante o Poder Publico observaréo 0 disposto em legniagto sepectice, em enpeciel ae clsponig conetantes da Lal n?@507. de 12 de novembro de 1887 (Lal do Habeas Data). ds Loin? 9.784, de 29 de janeiro de 1999 (Li Administrative) , ¢ da Lein® 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacdo) § 4° Os servigos notariais e de registro exercidos em cardter privado, por delegagdo do Poder Publico, tera o mesmo tratamento dispensado as pessoas juridicas referidas no caput deste artigo, nos termos desta Lei. § 5° Os érgaos notariais e de registro devem fomecer acesso aos dados por meio eletrénico para a administragao publica, tendo em vista as finalidades de que trata o caput deste artigo. ‘Art. 24. As empresas pilblicas e as sociedades de economia mista que atuam em regime de concorréncia, sujeltas ao disposto no art. 173 da Constituigao Federal , teréo 0 mesmo tratamento dispensado as pessoas juridicas de direito privado particulares, nos termos desta Lei Pardgrafo nico. As empresas piiblicas © as sociedades de economia mista, quando estiverem operacionalizando politicas piblicas e no ambito da execugdo delas, terdo 0 mesmo tratamento dispensado aos érgaos e as entidades do Poder Publico, nos termos deste Capitulo. Art. 25, Os dados deverdo ser mantides em formato interoperavel © estruturado para o uso compartiIhado, com vistas & ‘execugao de politicas puiblicas, 4 prestagao de servigos puiblicos, a descentralizagao da atividade publica © a disseminagao © ao acesso das informagdes pelo publico em geral.Art. 26. O uso compartilhado de dados pessoais pelo Poder Publico deve atender a finalidades especificas de execugao de politicas piblicas e atribuigo legal pelos érgdos e pelas entidades publicas, respeltados os principios de protegao de dados pessoais ‘elencados no art. 6° desta Lei § 1° E vedado ao Poder Publico transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha ‘acesso, exceto: I - em casos de execugao descentralizada de atividade publica que exija a transferéncia, exclusivamente para esse fim especifico e determinado, abservado 0 disposto na Lei n° 12,527, de 18 de novembro de 2011 (Lei de Acesso & Informago), Il- (VETADO); IIl-nos casos em que os dados forem acessiveis publicamente, observadas as disposigbes desta Lei IV - quando houver previsdo legal ou a transferéncia for respaldada em contratos, convénios ou instrumentos congéneres; ou —_(Incluido pela Lei n® 13.853, de 2019) Vigéncia \V - na hipétese de a transferéncia dos dados objetivar exclusivamente a prevengdo de fraudes e iegularidades, ou proteger @ resguardar a seguranga e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. (Incluido. pela Lei n® 13,853, de 2019) Vigancia § 2° Os contratos e convénios de que trata 0 § 1° deste artigo deverdo ser comunicados @ autoridade nacional, Art. 27. A comunicago ou 0 uso compartilhado de dados pessoais de pessoa juridica de direito piblico a pessoa de direito privado sera informado & autoridade nacional © dependerd de consentimento do titular, exceto: nas hipéteses de dispensa de consentimento previstas nesta Lei; I nos casos de uso compartiinado de dados, em que seré dada publicidade nos termos do inciso | do caput do art. 23 desta Let; ou Ill -nas excegdes constantes do § 1° do art. 26 desta Lei. Paragrafo Unico. A informagao autoridade nacional de que trata o caput deste artigo sera objeto de regulamentagao. Incluido pala Lei n? 13,853, de 2019) Vigéncia ‘Att. 28. (VETADO) Art, 29, A autoridade nacional poderd solicitar, a qualquer momento, aos érgdos e as entidades do poder piiblico a realizagao de operacées de tratamento de dados pessoais, informagdes especificas sobre o Ambito e a natureza dos dados e outros detalhes do tratamento realizado e poderd emitir parecer técnico complementar para garantir o cumprimento desta Lei. (Redacao dada pela Lein® 13,853, de 2019) Vigéncia Art. 30. A autoridade nacional podera estabslecor normas complementares para as atividades de comunicagao e de uso ‘compartilhado de dados pessoal Segao Il Da Responsabilidade ‘Art. 31. Quando houver infragao a esta Lei om decorréncia do tratamento de dados pessoais por érgaos publicos, a autoridade nacional podera enviar informe com medidas cabiveis para fazer cessar a violagao, Art. 32. A autoridade nacional poderd solicitar a agentes do Poder Piblico a publicagao de relatérios de impacto a protecao de dados pessoais e sugerir a adogao de padrdes e de boas praticas para os tratamentos de dados pessoas pelo Poder Publico, CAPITULO V DA TRANSFERENCIA INTERNACIONAL DE DADOS ‘Art. 33. A ransferéncia intemacional de dados pessoais somente é permitida nos seguintes casos: | para paises ou organismos intemacionais que proporcionem grau de protegao de dados pessoais adequado ao previsto nesta Lei; I - quando 0 controlador oferecer e comprovar garantias de cumprimento dos princfpios, dos direitos do titular e do regime de protegao de dados previstos nesta Lel, na forma de: a) cldusulas contratuais especificas para determinada transferéncia;b) clausulas-padrao contratuais; ¢) normas corporativas globals; d) selos, certificados e cédigos de conduta regularmente emitidos; Il - quando a transferéncia for necessaria para a cooperagio juridica internacional entre érgaos publicos de inteligéncia, de investigagao e de persecucao, de acordo com os instrumentos de direito internacional; IV - quando a transferéncia for necesséria para a protego da vida ou da incolumidade fisica do titular ou de terceiro; \V- quando a autoridade nacional autorizar a transferéncia; VI- quando a transferéncia resultar em compromisso assumido em acordo de cooperagao intemacional; VII - quando a transferéneia for necesséria para a execugo de politica publica ou atribuigso legal do servico piiblico, sendo dada publicidade nos termos do inciso | do caput do art. 23 desta Lei; Vill - quando o titular tiver fornecido o seu consentimento especifico e em destaque para a transferéncla, com Informacdo prévia sobre o cardter internacional da operacao, distinguindo claramente esta de outras finalidades; ou 1X quando necessério para atender as hipéteses previstas nos incisos Il, V e VI do art. 7° desta Lei Paragrafo tinico, Para os fins do inciso | deste artigo, as pessoas juridicas de direito puiblico referidas no paragrafo tinico do art, 1° da Lei n® 12.527, de 18 de novembro de 2011 (Lei de Acesso & Informacao)_, no ambito de suas competéncias legals, Tesponsaveis, no Ambito de suas atividades, poderdo requerer & autoridade nacional a avaliagao do nivel de proteco a dados essoais conferido por pals ou organismo internacional. Art. 34. O nivel de protegio de dados do pais estrangeiro ou do organismo internacional mencionado no inciso | do caput do art, 33 desta Lei sera avaliado pela autoridade nacional, que levara em consideragao: | - as normas gerais e setoriais da legislagéio em vigor no pais de destino ou no organismo internacional; Il-anatureza dos dados; Ill -@ observancia dos principios gerais de protegao de dados pessoais e direitos dos titulares previstos nesta Lei; IV- a adogdo de medidas de seguranca previstas em regulamento; \V-a existéncia de garantias judiciais e institucionais para o respeito aos direitos de protegao de dados pessoais; e VI- outras circunstancias especificas relativas a transferéncia Art, 35. A definigéo do contetido de cldusulas-padrao contratuais, bem como a verificagao de cldusulas contratuais especificas para uma determinada transferéncia, normas corporativas globais ou selos, certificados e cédigos de conduta, a que se refere o inciso Ii do caput do art. 33 desta Lei, sera realizada pela autoridade nacional. § 1° Para a verificagao do disposto no caput deste artigo, deverdo ser considerados os requisites, as condigées e as garantias, minimas para a transferéncia que observem os direitos, as garantias e os principios desta Lei, § 2° Na andlise de cldusulas contratuals, de documentos ou de normas corporativas globais submetidas a aprovagao da autoridade nacional, poderdo ser requeridas informagdes suplementares ou realizadas diligéncias de verificagao quanto as operagdes de tratamento, quando necessario. § 3° A autoridade nacional poderd designar organismos de certificagao para a realizagao do previsto no caput deste artigo, que permanecerdo sob sua fiscalizagao nos termos definidos em regulamento. § 4° Os atos realizados por organismo de cettificagdo poderdo ser revistos pela autoridade nacional @, caso em desconformidade com esta Lei, submetides a revisdo ou anulados. § 5° As garantias suficientes de observancia dos principios gerais de protegdo e dos direitos do titular referidas no caput deste artigo sero também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1° e 2° do art. 46 desta Lei Art. 36, As alleracSes nas garantias apresentadas como suficientes de observancia dos principios gerais de protecdo e dos direitos do titular referidas no inciso Il do art. 33 desta Lei deverdo ser comunicadas & autoridade nacional,CAPITULO VI DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS Segao! Do Controlador e do Operador Art. 37. O controlador @ 0 operador devem manter registro das operacées de tratamento de dados pessoais que realizarem, especialmente quando baseado no legitimo interesse. Art. 38. A autoridade nacional podera determinar ao controlador que elabore relatério de impacto protegao de dados pessoais, inclusive de dados sensiveis, referente a suas operagdes de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial Pardgrafo Unico. Observado 0 disposto no caput deste artigo, o relatério deverd conter, no minimo, a descrigéo dos tipos de dados coletados, a metodologia utlizada para a coleta e para a garantia da seguranga das informagées e a andlise do controlador ‘com relagao a medidas, salvaguardas e mecanismos de mitigacao de risco adotados. ‘Art. 39. © operador devera realizar o tratamento segundo as instrugdes fornecidas pelo controlador, que verificara a observancia das préprias instrugdes e das normas sobre a matéria, ‘Art. 40. A autoridade nacional poder dispor sobre padrées de interoperabllidade para fins de portabilidade, livre acesso aos dados © seguranga, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparéncia, Segao Il Do Encarregado pelo Tratamento de Dados Pessoais Art. 41, O controlador devera indicar encarregado pelo tratamento de dados pessoais. § 1° Aidentidade e as informacées de contato do encarregado deverdo ser divulgadas publicamente, de forma clara e objetiva, Preferencialmente no sitio eletrénico do controlador. § 2° As atividades do encarregado consistem em: aceitar reclamagdes e comunicagdes dos titulares, prestar esclarecimentos e adotar providéncias; II receber comunicagées da autoridade nacional e adotar providéncias; IIL - orientar os funcionérios e os contratados da entidade a respeito das praticas a serem tomadas em relagdo a protegao de dados pessoais; ¢ IV- executar as demais atribuigées determinadas pelo controlador ou estabelecidas em normas complementares, § 3° A autoridade nacional podera estabelecer normas complementares sobre a definicao o as atribuigées do encarregado, inclusive hipéteses de dispensa da necessidade de sua indicagao, conforme a natureza e 0 porte da entidade ou o volume de ‘operacées de tratamento de dados. § 4° (VETADO). _(Incluido pela Lei n? 13.853, de 2019) Vigan Segao Ill Da Responsabilidade e do Ressarcimento de Danos ‘Art. 42. © controlador ou o operador que, em razéo do exercicio de atividade de tratamento de dados pessoais, causar a ‘outrem dano patrimonial, moral, individual ou coletivo, em violagao a legislagao de protecao de dados pessoais, ¢ obrigado a reparé- lo, § 1°Afim de assegurar a efetiva indenizacao ao titular dos dados: | - 0 operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigagées da legislagao de protegao de dados ou quando néo tiver seguido as instrugGes licitas do controlador, hipétese em que 0 operador equipara-se a0 controlador, salvo nos casos de exclusdo previstos no art. 43 desta Lei; IL - 08 controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusdo previstos no art. 43 desta L § 2° 0 juiz, no processo civil, podera inverter o énus da prova a favor do titular dos dados quando, a seu juizo, for verossimil a alegacdo, houver hipossuficiéncia para fins de produg&o de prova ou quando a produgao de prova pelo titular resultarthe