lei geral de proteção de dados, Resumos de Direito

Baixe lei geral de proteção de dados e outras Resumos em PDF para Direito, somente na Docsity!

Lei Geral de Proteção

de Dados Pessoais

Lei n

o

Edição atualizada até junho de 2024

SENADO FEDERAL

Mesa

Biênio 2023 – 2024

Senador Rodrigo Pacheco PRESIDENTE

Senador Veneziano Vital do Rêgo PRIMEIRO-VICE-PRESIDENTE

Senador Rodrigo Cunha SEGUNDO-VICE-PRESIDENTE

Senador Rogério Carvalho PRIMEIRO-SECRETÁRIO

Senador Weverton SEGUNDO-SECRETÁRIO

Senador Chico Rodrigues TERCEIRO-SECRETÁRIO

Senador Styvenson Valentim QUARTO-SECRETÁRIO

SUPLENTES DE SECRETÁRIO Senadora Mara Gabrilli Senadora Ivete da Silveira Senador Dr. Hiran Senador Mecias de Jesus

Coordenação de Edições Técnicas Senado Federal, Bloco 8, Mezanino, Setor 11 CEP: 70165-900 – Brasília, DF Telefone: (61) 3303- E-mail: livraria@senado.leg.br

Brasil. [Lei Geral de Proteção de Dados (2018)] Lei Geral de Proteção de Dados Pessoais : Lei n o^ 13.709/2018. – Brasília, DF : Senado Federal, Coordenação de Edições Técnicas, 2024. 47 p. Conteúdo: Lei n o^ 13.709/2018.

ISBN: 978-65-5676-499-3 (Impresso) ISBN: 978-65-5676-500-6 (PDF) ISBN: 978-65-5676-501-3 (ePub)

1. Proteção de dados pessoais, legislação, Brasil. 2. Direito à privacidade, Brasil.
2. Direitos da personalidade, Brasil. 4. Segurança de dados, Brasil. CDDir 341.

Edição do Senado Federal Diretora-Geral: Ilana Trombka Secretário-Geral da Mesa: Gustavo A. Sabóia Vieira

Impressa na Secretaria de Editoração e Publicações Diretor: Rafael A. Chervenski da Silva

Produzida na Coordenação de Edições Técnicas Coordenador: Aloysio de Britto Vieira

Atualização e revisão técnica: Serviço de Pesquisa Projeto gráfico e editoração: Serviço de Publicações Técnico-Legislativas

Atualizada até junho de 2024.

As normas aqui apresentadas não substituem as publicações do Diário Oficial da União.

Sumário

• Lei n o 13.709/ Lei Geral de Proteção de Dados Pessoais
  • Capítulo I – Disposições Preliminares
  • Capítulo II – Do Tratamento de Dados Pessoais
  • Seção I – Dos Requisitos para o Tratamento de Dados Pessoais
  • Seção II – Do Tratamento de Dados Pessoais Sensíveis
    • e de Adolescentes Seção III – Do Tratamento de Dados Pessoais de Crianças
  • Seção IV – Do Término do Tratamento de Dados.............................................
  • Capítulo III – Dos Direitos do Titular
  • Capítulo IV – Do Tratamento de Dados Pessoais pelo Poder Público
  • Seção I – Das Regras
  • Seção II – Da Responsabilidade
  • Capítulo V – Da Transferência Internacional de Dados
  • Capítulo VI – Dos Agentes de Tratamento de Dados Pessoais
  • Seção I – Do Controlador e do Operador
  • Seção II – Do Encarregado pelo Tratamento de Dados Pessoais
  • Seção III – Da Responsabilidade e do Ressarcimento de Danos
  • Capítulo VII – Da Segurança e das Boas Práticas
  • Seção I – Da Segurança e do Sigilo de Dados
  • Seção II – Das Boas Práticas e da Governança
  • Capítulo VIII – Da Fiscalização
  • Seção I – Das Sanções Administrativas
    • e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade Capítulo IX – Da Autoridade Nacional de Proteção de Dados (ANPD)
  • Seção I – Da Autoridade Nacional de Proteção de Dados (ANPD)
    • e da Privacidade Seção II – Do Conselho Nacional de Proteção de Dados Pessoais
  • Capítulo X – Disposições Finais e Transitórias

Lei Geral de Proteção

de Dados Pessoais

Lei n

o 13.709/

Lei Geral de Proteção de Dados Pessoais (LGPD).

O PRESIDENTE DA REPÚBLICA

Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: 1

CAPÍTULO I – Disposições Preliminares

Art. 1 o^ Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.

Art. 2 o^ A disciplina da proteção de dados pessoais tem como fundamentos: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação;

(^1) Nota do Editor (NE): nos dispositivos que alteram normas, suprimiram-se as alterações determinadas uma vez que já foram incorporadas às normas às quais se destinam.

10 Lei Geral de Proteção de Dados Pessoais

que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. § 1 o^ O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estri- tamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei. § 2 o^ É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4o^ deste artigo. § 3 o^ A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais. § 4 o^ Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.

Art. 5 o^ Para os fins desta Lei, considera-se: I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III – dado anonimizado: dado relativo a titular que não possa ser identi- ficado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; IV – banco de dados: conjunto estruturado de dados pessoais, estabe- lecido em um ou em vários locais, em suporte eletrônico ou físico; V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Lei n o^ 13.709/2018 11

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); IX – agentes de tratamento: o controlador e o operador; X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, arma- zenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibi- lidade de associação, direta ou indireta, a um indivíduo; XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; XIII – bloqueio: suspensão temporária de qualquer operação de trata- mento, mediante guarda do dado pessoal ou do banco de dados; XIV – eliminação: exclusão de dado ou de conjunto de dados armazena- dos em banco de dados, independentemente do procedimento empregado; XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; XVII – relatório de impacto à proteção de dados pessoais: documenta- ção do controlador que contém a descrição dos processos de tratamento

Lei n o^ 13.709/2018 13

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações aci- dentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO II – Do Tratamento de Dados Pessoais SEÇÃO I – Dos Requisitos para o Tratamento de Dados Pessoais

Art. 7 o^ O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI – para o exercício regular de direitos em processo judicial, adminis- trativo ou arbitral, esse último nos termos da Lei no^ 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

14 Lei Geral de Proteção de Dados Pessoais

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento reali- zado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX – quando necessário para atender aos interesses legítimos do contro- lador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legis- lação pertinente. § 1 o^ (Revogado) § 2 o^ (Revogado) § 3 o^ O tratamento de dados pessoais cujo acesso é público deve con- siderar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. § 4 o^ É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei. § 5 o^ O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consenti- mento previstas nesta Lei. § 6 o^ A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, espe- cialmente da observância dos princípios gerais e da garantia dos direitos do titular. § 7 o^ O tratamento posterior dos dados pessoais a que se referem os §§ 3 o e 4 o^ deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.

16 Lei Geral de Proteção de Dados Pessoais

VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei. § 1 o^ Na hipótese em que o consentimento é requerido, esse será con- siderado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. § 2 o^ Na hipótese em que o consentimento é requerido, se houver mudan- ças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o con- sentimento, caso discorde das alterações. § 3 o^ Quando o tratamento de dados pessoais for condição para o for- necimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; e II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expec- tativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1 o^ Quando o tratamento for baseado no legítimo interesse do contro- lador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2 o^ O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3 o^ A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Lei n o^ 13.709/2018 17

SEÇÃO II – Do Tratamento de Dados Pessoais Sensíveis

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I – quando o titular ou seu responsável legal consentir, de forma espe- cífica e destacada, para finalidades específicas; II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela admi- nistração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei no^ 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos proces- sos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9 o^ desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. § 1 o^ Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica. § 2 o^ Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei. § 3 o^ A comunicação ou o uso compartilhado de dados pessoais sen- síveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade

Lei n o^ 13.709/2018 19

estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas. § 1 o^ A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais. § 2 o^ O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro. § 3 o^ O acesso aos dados de que trata este artigo será objeto de regula- mentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências. § 4 o^ Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

SEÇÃO III – Do Tratamento de Dados Pessoais de Crianças e de Adolescentes

Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. § 1 o^ O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. § 2 o^ No tratamento de dados de que trata o § 1o^ deste artigo, os con- troladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.

20 Lei Geral de Proteção de Dados Pessoais

§ 3 o^ Poderão ser coletados dados pessoais de crianças sem o consen- timento a que se refere o § 1o^ deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1 o^ deste artigo. § 4 o^ Os controladores não deverão condicionar a participação dos titulares de que trata o § 1o^ deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade. § 5 o^ O controlador deve realizar todos os esforços razoáveis para veri- ficar que o consentimento a que se refere o § 1o^ deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. § 6 o^ As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

SEÇÃO IV – Do Término do Tratamento de Dados

Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade espe- cífica almejada; II – fim do período de tratamento; III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5o^ do art. 8o^ desta Lei, resguardado o interesse público; ou IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.