LGPD Lei Nacional
Mapa Mental Lei LGPD - Lei Geral de Proteção de Dados
1. Observada por todos os entes ferativos
2. Fundamentos
2.1. Respeito à privacidade
2.2. Autodeterminação informativa
2.3. Liberdade de expressão, informação, comunicação e opnião
2.4. Inviolabilidade da privacidade, honra e imagem
2.5. Desenvolvimento econômico, tecnológico e inovação
2.6. Livre iniciativa, concorrência e defesa do consumidor
2.7. Direitos humanos, livre desenvolvimento da pesonalidade, dignidade e exercício da cidadania pelas pessoas naturais
3. Aplicação
3.1. Qualquer pessoa natural ou jurídica de direito privado ou púb, independente do meio, da localização da sede ou guarda dos dados,se:
3.1.1. Operação de tratamento foi realizada no Brasil
3.1.1.1. Não se consideram os dados vindos de fora do país e que não sejam objeto de: - comunicação, - uso compartilhado de dados com agentes de tratamento brasileiros ou - objeto de transferência internacional de dados com outro país que não o de origem Desde que o país de origem proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei
3.1.2. O tratamento seja para oferta ou fornecimento de de produtos ou serviços
3.1.3. O tratamento tenha por objetivo dados de invíduos localizados no Brasil
3.1.4. Os dados pessoais para tratamento tenham sido coletados no Brasil.
3.1.4.1. dados coletados quando o titular se situava no território no momento da coleta.
4. NÃO se aplica
4.1. Tratamento realizado por pessoa natural para fim particular e não econômico
4.2. Tratamento realizado exclusivamente para fim acadêmico, jornalístico e artítico
4.3. Tratamento realizado exclusivamente para segurança pública ou do Estado, Defesa nacional ou atividade de invesigação e repressão de infrações penais
4.3.1. Lei específica preverá medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observado o devido processo legal, os princípios gerais de proteção e os direitos do titular
4.3.2. Vedado este tratamento por pessoa de direito privado, exceto em procedimentos sob tutela de PJ de direito público, que serão objeto de informe específico à autoridade nacional.
4.3.3. A autoridade nacional emitirá opiniões técnicas ou recomendações e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais
4.4. Aos dados vindos de fora e que não sejam objeto de: comunicação, - uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de origem Desde que o país de origem proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei
5. Conceitos
5.1. Titular
5.1.1. pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
5.2. Consentimento
5.2.1. manifestação livre, informada e inequívoca em que o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada
5.3. Dado Pessoal
5.3.1. Informação relacionada a pessoa natural identificada ou identificável
5.4. Dado pessoal Sensível
5.4.1. Dado pessoal vinculado à pessoa natural
5.4.1.1. Origem racial ou étnica,
5.4.1.2. Convicção religiosa,
5.4.1.3. Opinião política,
5.4.1.4. Filiação a sindicato/organização de caráter religioso, filosófico ou político,
5.4.1.5. Dado referente à saúde ou à vida sexual,
5.4.1.6. - Dado genético ou biométrico
5.5. Dado Anonimizado
5.5.1. titular não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do tratamento
5.5.1.1. não serão considerados dados pessoais, salvo quando o processo de anonimização for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
5.6. Anonimização
5.6.1. o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo
5.6.1.1. utilização de meios técnicos razoáveis e disponíveis no momento do tratamento
5.6.1.1.1. Autoridade Nac. poderá dispor sobre padrões e técnicas do processo de anonimização e realizar verificações sobre sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais
5.7. Banco de Dados
5.7.1. conjunto estruturado de dados pessoais, estabelecido em um ou vários locais, em suporte eletrônico ou físico
5.8. Agente de Tratamento
5.8.1. pessoa natural ou jurídica, de direito público ou privado
5.8.1.1. Controlador
5.8.1.1.1. A quem competem as decisões sobre o tratamento de dados
5.8.1.2. Operador
5.8.1.2.1. Quem realiza o tratamento em nome do controlador
5.8.2. Devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse
5.8.3. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo
5.8.3.1. só não serão responsabilizados quando provarem
5.8.3.1.1. que não realizaram o tratamento de dados pessoais que lhes é atribuído;
5.8.3.1.2. que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
5.8.3.1.3. que o dano é decorrente de culpa exclusiva do titular ou de terceiro.
5.8.3.2. Respondem pelos danos decorrentes da violação da segurança dos dados que, ao deixar de adotar as medidas de segurança, der causa ao dano
5.9. Encarregado
5.9.1. Canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nac. de Proteção de Dados
5.9.1.1. indicado pelo controlador
5.9.1.2. sua identidade e as informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador
5.9.1.3. Atividades:
5.9.1.3.1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
5.9.1.3.2. receber comunicações da autoridade nacional e adotar providências
5.9.1.3.3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
5.9.1.3.4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares
5.9.1.4. A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados
5.10. Autoridade Nacional
5.10.1. órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional
5.11. Órgão de Pesquisa
5.11.1. Tem a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico como sua missão institucional, seu objetivo social ou estatutário
5.11.1.1. órgão/ entidade da adm. púb. direta ou indireta ou PJ de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País
5.12. Tratamento
5.12.1. toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
5.12.1.1. será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
5.12.1.1.1. o modo pelo qual é realizado;
5.12.1.1.2. o resultado e riscos que razoavelmente dele se esperam;
5.12.1.1.3. as técnicas de tratamento de disponíveis quando foi realizado.
5.13. Bloqueio
5.13.1. suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados
5.14. Eliminação
5.14.1. exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado
5.15. Transferência Internacional
5.15.1. transferência de dados pessoais para país estrangeiro ou organismo internacional que o Brasil seja membro
5.15.1.1. Hipóteses permitidas
5.15.1.1.1. países ou organismos internacionais que proporcionem grau de proteção de dados adequado à LGPD
5.15.1.1.2. quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, direitos do titular e do regime de proteção de dados da LGPD.
5.15.1.1.3. necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional
5.15.1.1.4. quando a transferência resultar em compromisso assumido em acordo de cooperação internacional
5.15.1.1.5. quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
5.15.1.1.6. quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades
5.15.1.1.7. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
5.15.1.1.8. para o exercício regular de direitos em processo judicial, administrativo ou arbitral
5.15.1.1.9. quando a autoridade nacional autorizar a transferência
5.15.1.1.10. necessária para a execução de política pública ou atribuição legal do serviço público, dada a publicidade
5.15.1.1.11. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
5.16. Uso Compartilhado de Dados
5.16.1. comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por:
5.16.1.1. órgãos e entidades públicos no cumprimento de suas competências legais, ou
5.16.1.2. entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos,
5.16.1.3. ou entre entes privados;
5.17. Relatório de impacto à proteção de dados pessoais
5.17.1. documentação do controlador que contém
5.17.1.1. Descrição dos processos de tratamento que podem gerar riscos às liberdades civis e direitos fundamentais,
5.17.1.2. Medidas, salvaguardas e mecanismos de mitigação de risco
6. Tratamento de Dados
6.1. Princípios
6.1.1. Adequação = FINALIDADE
6.1.1.1. compatibilidade do tratamento com as finalidades informadas, de acordo com o contexto do tratamento
6.1.2. Finalidade
6.1.2.1. propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades
6.1.3. Necessidade = MÍNIMO
6.1.3.1. limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento
6.1.4. Livre Acesso
6.1.4.1. garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e duração do tratamento, e sobre a integralidade de seus dados pessoais
6.1.4.1.1. a finalidade específica do tratamento;
6.1.4.1.2. forma e duração do tratamento, observados os segredos comercial e industrial;
6.1.4.1.3. identificação do controlador;
6.1.4.1.4. informações de contato do controlador;
6.1.4.1.5. informações sobre uso compartilhado de dados pelo controlador e a finalidade;
6.1.4.1.6. responsabilidades dos agentes que realizarão o tratamento;
6.1.4.1.7. direitos do titular
6.1.5. Qualidade dos Dados
6.1.5.1. garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade
6.1.6. Transparência
6.1.6.1. garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
6.1.6.1.1. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais
6.1.7. Segurança
6.1.7.1. medidas técnicas e adm. adotadas pelos agentes de tratamento aptas a proteger os dados pessoais de: acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
6.1.7.1.1. A autoridade nacional poderá dispor sobre padrões técnicos mínimos, de acordo com a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis
6.1.7.1.2. As medidas de segurança deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução
6.1.7.1.3. Os vazamentos individuais ou os acessos não autorizados poderão ser objeto de conciliação direta entre controlador e titular. Caso não haja acordo, o controlador estará sujeito à aplicação das sanções adm.
6.1.7.2. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informaçãoem relação aos dados pessoais, mesmo após o seu término.
6.1.7.3. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender a requisitos de segurança, padrões de boas práticas e governança e princípios gerais da LGPD
6.1.7.3.1. Boas práticas e Governança
6.1.7.4. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares
6.1.7.4.1. Deverá comunicar em prazo razoável, definido pela autoridade nacional, e conter no mínimo:
6.1.7.4.2. A autoridade nacional verificará a gravidade do incidente e poderá determinar ao controlador medidas para a salvaguarda dos direitos dos titulares, como:
6.1.7.4.3. No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los
6.1.7.5. De acordo com a estrutura, escala, volume de suas operações, sensibilidade dos dados, e a probabilidade e a gravidade dos danos para os titulares dos dados, o controlador poderá
6.1.7.5.1. implementar programa de governança em privacidade que
6.1.7.5.2. demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta
6.1.8. Prevenção
6.1.8.1. medidas para prevenir a ocorrência de danos em virtude do tratamento de dados
6.1.9. Não Discriminação
6.1.9.1. impossibilidade de realizar o tratamento para fins discriminatórios ilícitos ou abusivos
6.1.10. Responsabilização e Prestação de Contas
6.1.10.1. demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, eficácia dessas medidas
6.2. Hipóteses
6.2.1. mediante o fornecimento de consentimento pelo titular
6.2.1.1. deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
6.2.1.1.1. Por Escrito: deverá constar em cláusula destacada das demais cláusulas contratuais.
6.2.1.1.2. Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade
6.2.1.1.3. vedado o tratamento de dados pessoais mediante vício de consentimento
6.2.1.1.4. consentimento deverá ter finalidades determinadas, autorizações genéricas para o tratamento serão nulas.
6.2.1.1.5. Consentimento pode ser revogado a qualquer momento por manifestação expressa do titular, (procedimento gratuito e facilitado) ratificados os tratamentos realizados sob amparo do consentimento anterior enquanto não houver requerimento de eliminação
6.2.1.1.6. Controlador deverá informar ao titular caso sejam alterados a finalidade, forma ou duração do tratamento ou identificação do controlador. Devendo destacar de forma específica do teor das alterações, podendo o titular revogar o consentimento caso discorde da alteração.
6.2.1.2. Consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
6.2.1.3. Quando o tratamento de dados pessoais for condição para o fornecimento de produto/ serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular
6.2.1.4. exceto se tornados manifestamente públicos pelo titular
6.2.1.4.1. Poderá realizar-se tratamento posterior dos dados pessoais para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular
6.2.1.5. O controlador que obteve o consentimento e necessitar comunicar/ compartilhar dados com outros controladores deve obter consentimento específico do titular para esse fim, salvo as hipóteses de dispensa do consentimento
6.2.1.6. A dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações
6.2.2. para o cumprimento de obrigação legal ou regulatória pelo controlador
6.2.3. pela adm. púb., para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres
6.2.3.1. O tratamento de dados pelas PJ de direito público da adm. direta, autárquica e fundacional dos entes federativos, deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
6.2.3.1.1. Informem as hipóteses em que realizam o tratamento de dados, fornecendo informações claras e atualizadas sobre a previsão legal, finalidade, procedimentos e práticas utilizadas para a execução das atividades de sua competência, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos
6.2.3.1.2. Seja indicado um encarregado
6.2.3.2. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral
6.2.3.2.1. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas
6.2.3.3. Serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão este mesmo tratamento
6.2.3.3.1. órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a adm. pública
6.2.3.4. Empresas públicas e Sociedades de economia mista que atuam em regime de concorrência, sujeitas ao art. 173 da CF, terão o mesmo tratamento das PJ de direito privado particulares
6.2.3.4.1. quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dos órgãos/ entidades do Poder Público
6.2.3.5. É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes em suas bases, exceto:
6.2.3.5.1. Hipóteses de Exceção
6.2.3.5.2. A comunicação ou o uso compartilhado de dados pessoais de PJ de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular
6.2.3.6. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos/ entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei
6.2.3.6.1. Caso órgãos públicos pratiquem infrações no tratamento de dados, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.
6.2.3.6.2. autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público
6.2.4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
6.2.4.1. Para estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
6.2.4.1.1. Pseudonimização: tratamento em que o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, salvo pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro
6.2.4.2. A divulgação dos resultados/ excerto do estudo ou da pesquisa em nenhuma hipótese poderá revelar dados pessoais.
6.2.4.3. O órgão de pesquisa será o responsável pela segurança da informação, não permitida, em circunstância alguma, a transferência dos dados a terceiro
6.2.4.4. será regulamentado pela autoridade nacional e autoridades da área de saúde e sanitárias, no âmbito de suas competências
6.2.5. a pedido do titular dos dados para a execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte
6.2.6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral
6.2.7. para a proteção da vida ou da incolumidade física do titular ou de terceiro
6.2.8. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
6.2.9. para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados
6.2.9.1. Hipóteses exemplificativas
6.2.9.1.1. apoio e promoção de atividades do controlador; e
6.2.9.1.2. proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais
6.2.9.2. somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
6.2.9.3. controlador deverá adotar medidas para garantir a transparência do tratamento de dados
6.2.9.4. A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais
6.2.10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
6.3. O tratamento de dados pessoais de acesso público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização
7. Tratamento de Dados Sensíveis
7.1. Hipóteses
7.1.1. Titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
7.1.2. Sem consentimento do titular, quando indispensável para
7.1.2.1. cumprimento de obrigação legal ou regulatória pelo controlador
7.1.2.1.1. será dada publicidade à referida dispensa de consentimento
7.1.2.2. tratamento compartilhado de dados necessários à execução, pela adm púb, de políticas públicas previstas em leis ou regulamentos
7.1.2.2.1. será dada publicidade à referida dispensa de consentimento
7.1.2.3. realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
7.1.2.4. exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral
7.1.2.5. proteção da vida ou da incolumidade física do titular ou de terceiro
7.1.2.6. tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
7.1.2.7. garantia da prevenção à fraude e segurança do titular, nos processos de identificação/autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
7.1.3. A comunicação ou o uso compartilhado destes dados entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências
7.1.3.1. Permitido apenas para hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para
7.1.3.1.1. Portabilidade de dados quando solicitada pelo titular; ou
7.1.3.1.2. Transações financeiras e adm. resultantes do uso e da prestação dos serviços citados anteriormente.
7.1.3.2. É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
8. Tratamento de Dados de Crianças e Adolescentes
8.1. será realizado em seu melhor interesse
8.1.1. com consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal
8.1.1.1. O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
8.1.1.2. Poderão ser coletados sem o consentimento quando necessário para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento
8.1.2. controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos
8.2. Controladores não deverão condicionar a participação em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade
8.3. Informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança
9. Direitos do Titular
9.1. Toda pessoa natural tem assegurada a titularidade dos seus dados pessoais e garantidos os direitos fundamentais de liberdade, intimidade e privacidade
9.2. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
9.3. Seus direitos serão exercidos por requerimento expresso do titular ou representante legal ao agente de tratamento
9.3.1. será atendido sem custos, nos prazos e nos termos previstos em regulamento.
9.3.1.1. A critério do titular poderão ser:
9.3.1.1.1. por meio eletrônico, seguro e idôneo para esse fim; ou
9.3.1.1.2. Sob forma impressa.
9.4. Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes na Lei do Habeas Data, Lei Geral do Processo Administrativo, e Lei de Acesso à Informação
9.5. Tem direito a obter do controlador, a qualquer momento, mediante requisição sobre seus dados por ele tratados:
9.5.1. Confirmação da existência de tratamento
9.5.1.1. em formato simplificado, imediatamente; ou
9.5.1.2. por de declaração clara e completa, que indique a origem dos dados, inexistência de registro, critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial
9.5.1.2.1. fornecida ematé 15 dias apartir da data do requerimento do titular.
9.5.2. Acesso aos dados
9.5.2.1. dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
9.5.3. Correção de dados incompletos, inexatos ou desatualizados
9.5.4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
9.5.5. Portabilidade a outro fornecedor de serviço/produto, com requisição expressa, conforme autoridade nacional
9.5.5.1. não inclui dados que já tenham sido anonimizados pelo controlador.
9.5.6. Eliminação dos dados tratados com o consentimento do titular, salvo as exceções que permitem sua guarda
9.5.7. Informação das entidades púb. e privadas com quem o controlador realizou compartilhamento de dados
9.5.7.1. Agente de tratamento deverá informar imediatamente a aqueles com quem tenha realizado uso compartilhado de dados sobre a correção, eliminação, anonimização ou bloqueio dos dados para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
9.5.8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências
9.5.9. revogação do consentimento
9.6. O titular tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional
9.6.1. também poderá ser exercido perante os organismos de defesa do consumidor.
9.7. A defesa dos interesses e direitos dos titulares poderá ser exercida em juízo, individual ou coletivamente, conforme a legislação pertinente acerca dos instrumentos de tutela individual e coletiva
9.7.1. O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa
9.7.2. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
9.7.3. Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso
9.8. Na impossibilidade de adoção imediata da providência solicitada, o controlador deverá:
9.8.1. Comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente;
9.8.2. Indicar as razões de fato ou de direito que impedem a adoção imediata da providência
9.9. Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
9.10. Pode solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade
9.10.1. Controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
9.10.2. Em caso de não oferecimento de informações devido a segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais
10. Término do Tratamento
10.1. Hipóteses
10.1.1. A finalidade foi alcançada ou os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica
10.1.2. Fim do período de tratamento
10.1.3. Comunicação do titular de revogação do consentimento
10.1.4. Determinação da autoridade nacional, quando houver violação a LGPD
10.2. Os dados serão eliminados após o término do tratamento
10.2.1. autorizada a conservação para- cumprimento de obrigação legal ou regulatória pelo controlador
10.2.2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
10.2.3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados
10.2.4. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados
11. autoridade nacional poderá dispor de forma diferenciada acerca dos prazos
12. ANPD - Autoridade Nac. de Proteção de Dados
12.1. autarquia de natureza especial
12.1.1. autonomia técnica e decisória, com sede e foro no DF
12.1.2. Com patrimônio próprio
12.1.2.1. que lhe forem transferidos pelos órgãos da Presidência da República; e
12.1.2.2. que venha a adquirir ou a incorporar.
12.2. Estrutura
12.2.1. Conselho Diretor, órgão máximo de direção;
12.2.1.1. Mandato de 4 anos
12.2.1.1.1. mandatos dos primeiros membros nomeados serão: de 2, de 3, de 4, de 5 e de 6 anos
12.2.1.1.2. Na vacância do cargo no curso do mandato, o prazo remanescente será completado pelo sucessor.
12.2.1.2. Composto por 5 diretores, incluindo o Diretos-Presidente
12.2.1.2.1. Escolhidos e nomeados pelo Presidente da Rep. após aprovação do Senado
12.2.1.3. cargo em comissão do Grupo-Direção e Assessoramento Superiores - DAS, no mínimo, de nível 5
12.2.1.3.1. somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo adm. disciplinar.
12.2.1.3.2. Após o exercício do cargo, aplica-se a lei sobre os impedimentos posteriores ao exercício do cargo do Poder Executivo federal
12.2.1.4. O Conselho Diretor disporá sobre o regimento interno da ANPD
12.2.2. Conselho Nac. de Proteção de Dados Pessoais e da Privacidade;
12.2.2.1. Composição
12.2.2.1.1. 23 representantes (titulares e suplentes)
12.2.2.2. Competências
12.2.2.2.1. propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nac. de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD
12.2.2.2.2. elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
12.2.2.2.3. elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
12.2.2.2.4. sugerir ações a serem realizadas pela ANPD;
12.2.2.2.5. disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
12.2.3. Corregedoria;
12.2.4. Ouvidoria;
12.2.5. Procuradoria; e
12.2.6. Unidades adm. e unidades especializadas
12.3. Ato do Presidente da Rep. disporá sobre a estrutura regimental
12.3.1. Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades
12.4. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal
12.4.1. serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente.
12.5. Competências
12.5.1. Zelar
12.5.1.1. pela proteção dos dados pessoais, nos termos da legislação
12.5.1.2. pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos da proteção de dados pessoais
12.5.2. Elaborar
12.5.2.1. diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade - PNPDP
12.5.2.2. relatórios de gestão anuais acerca de suas atividades
12.5.3. Fiscalizar
12.5.3.1. e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso
12.5.4. Realizar
12.5.4.1. realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público
12.5.5. Comunicar
12.5.5.1. às autoridades competentes as infrações penais das quais tiver conhecimento
12.5.5.2. aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da adm. pública federal
12.5.6. Apreciar
12.5.6.1. petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação
12.5.6.1.1. poderão ser analisadas de forma agregada, e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada
12.5.7. Deliberar
12.5.7.1. na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos
12.5.8. Implementar
12.5.8.1. implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei
12.5.9. Promover
12.5.9.1. na população o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança
12.5.9.2. e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade
12.5.9.3. ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional
12.5.10. Estimular
12.5.10.1. estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis
12.5.11. Dispor
12.5.11.1. sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial
12.5.12. Solicitar
12.5.12.1. a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar
12.5.13. Arrecadar
12.5.13.1. e aplicar suas receitas e publicar o detalhamento de suas receitas e despesas no relatório de gestão
12.5.13.1.1. Constituem sua receita
12.5.14. Editar
12.5.14.1. regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais
12.5.14.1.1. Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da CF e nesta Lei.
12.5.14.1.2. Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório
12.5.14.2. editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte, e iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação
12.5.15. Ouvir
12.5.15.1. os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento
12.5.15.1.1. ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD
12.5.16. Celebrar
12.5.16.1. a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos
12.5.17. Garantir
12.5.17.1. que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento
12.5.18. Articular
12.5.18.1. com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação
12.5.18.1.1. ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais
12.5.18.2. sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação
13. Sanções Adm.
13.1. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração públical
13.1.1. Aplicado a entidades/ órgãos públicos e privadas
13.1.1.1. advertência
13.1.1.1.1. com indicação de prazo para adoção de medidas corretivas;
13.1.1.2. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
13.1.1.3. Eliminação dos dados pessoais a que se refere a infração;
13.1.1.4. publicização da infração após devidamente apurada e confirmada a sua ocorrência;
13.1.1.5. Somente podem ser determinas: - Após aplicação das sanções indicadas pelas setas para o mesmo caso concreto; - Em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos
13.1.1.5.1. Suspensão
13.1.1.5.2. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
13.1.2. Aplicado só a entidades privadas
13.1.2.1. Multa
13.1.2.1.1. Simples: até 2% do faturamento da PJ de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões no total por infração;
13.1.2.1.2. Diária: observado o limite total de R$ 50 milhões por infração;
13.1.2.2. O cálculo do valor da multa pela autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.
13.1.2.3. Autoridade nacional definirá as metodologias do cálculo do valor-base da multa em regulamento próprio sobre as sanções administrativas da LGPD que deverá ser objeto de consulta pública.
13.1.2.3.1. As metodologias devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos
13.1.2.3.2. O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária
13.1.2.4. O produto da arrecadação das multas, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos
13.2. não substituem a aplicação de sanções administrativas, civis ou penais previstas na Lei de Proteção do Consumidor
13.3. Serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto, após procedimento adm. que possibilite a ampla defesa, e considerando-se:
13.3.1. a gravidade e a natureza das infrações e dos direitos pessoais afetados;
13.3.2. a boa-fé do infrator;
13.3.3. a vantagem auferida ou pretendida pelo infrator;
13.3.4. a condição econômica do infrator;
13.3.5. a reincidência;
13.3.6. o grau do dano;
13.3.7. a cooperação do infrator;
13.3.8. a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados
13.3.9. a adoção de política de boas práticas e governança;
13.3.10. a pronta adoção de medidas corretivas; e
13.3.11. a proporcionalidade entre a gravidade da falta e a intensidade da sanção.