LGPD Comentada 2021

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 15

LGPD

LEI GERAL DE PROTEÇÃO


DE DADOS PESSOAIS
Comentada
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018

Renato Caveari Pimenta


Técnico em Segurança & Tecnologia da Informação
Agosto de 2021
ARTIGO 1
O texto da Lei Geral de Proteção de Dados, como ARTIGO 3
de praxe, começa com o estabelecimento do Determina o escopo de atuação da lei, que se
escopo e objetivos das regras que virão a seguir. A aplica a todo e qualquer tratamento de dados
LGPD visa preservar o direito constitucional à realizado tanto por pessoa física quanto por pessoa
liberdade e à privacidade que todos os cidadãos jurídica. A seguir, temos as especificações, que
brasileiros têm, assim como protegê-los de danos afunilam a regra.
causados por rupturas desses direitos. A LGPD se aplica a qualquer tratamento de dados
O parágrafo também destaca que as regras da ocorrido (total ou parcialmente) em solo brasileiro,
LGPD valem em todo o território nacional e que ou que tenha por objetivo vender produtos e
prevalece sobre quaisquer outras leis municipais ou serviços nacionais. Uma pessoa estrangeira está
estaduais. protegida sob a LGPD dentro do Brasil, por
Finalmente, temos a especificação de que a LGPD exemplo, enquanto um brasileiro em outro país
se aplica “inclusive nos meios digitais”. Quando se não.
fala sobre a lei, a proteção de dados na internet e Além disso, a lei é voltada para tratamentos com
em meios eletrônicos costuma ser o foco, mas é fins comerciais, ou seja, trocas e outros
fundamental entender que suas normas valem para tratamentos de dados entre pessoas físicas sem
todo e qualquer tratamento de dados, inclusive objetivos de compra ou venda de produtos e
analógicos (fichas de cadastro no papel, serviços não se enquadram.
verificações presenciais de documentos etc.).
ARTIGO 4
ARTIGO 2 Complementando o que já havia sido abordado no
Aqui, temos mais especificações sobre os artigo anterior, pessoas físicas têm o direito de
embasamentos para a LGPD. A lei é construída sob realizar tratamentos de dados livremente quando
a premissa do respeito à privacidade e à liberdade estes tiverem fins exclusivamente particulares.
(inclusive de expressão). Enquanto isso, o conceito Além disso, o direito à privacidade e à liberdade
de autodeterminação informativa (item II) entende não impede a coleta, o uso e outros tratamentos de
que o cidadão é soberano sobre suas próprias dados para fins jornalísticos, artísticos ou
informações pessoais e deve ser o protagonista de acadêmicos. Dessa forma, preserva-se a liberdade
quaisquer temas relacionados ao tratamento de de imprensa, da arte e da ciência.
seus dados. Quando os objetivos de um tratamento de dados
Os itens IV e VII estabelecem que a LGPD se são relacionados à segurança pública, à defesa
preocupa com a preservação da imagem do nacional e/ou à segurança do Estado, são isentos
cidadão — um dos motivos por que seus dados da LGPD. Atividades investigativas ou com o
pessoais devem ser protegidos é que o tratamento objetivo de impedir a ocorrência de crimes também
dessas informações não pode ser feito com fins de resultam em tratamentos de dados válidos. É
prejudicá-lo, salvo em casos específicos com importante ressaltar que o tratamento de dados no
finalidade noticiosa, por exemplo. contexto de garantir a segurança e defesa nacional
Finalmente, os itens V e VI especificam que a deve ser realizado exclusivamente por órgão
LGPD não se propõem a prejudicar as atividades público, empresa pública ou empresa privada que
das empresas que realizam tratamento de dados. esteja sob tutela do poder público ao realizar
O objetivo das regras é proteger o cidadão, e isso aquela atividade.
compreende entendê-lo como soberano de seus A LGPD prevê legislação específica para assegurar
dados. que, nesses casos, o tratamento de dados será
Ou seja, a Lei não impede o tratamento, e sim feito única e exclusivamente para fins de atender o
estabelece meios para que o cidadão saiba interesse público.
exatamente o que será feito com seus dados. O item IV especifica outros casos em que a LGPD
Dessa forma, ele tem autonomia e capacidade de não se aplica. A Lei não vale para o tratamento de
consentir, ou não, com o uso que a empresa deseja dados que venham de fora do Brasil — deve-se
fazer de suas informações pessoais. seguir a lei de proteção de dados do país de
Isso preserva a competitividade e as estratégias origem das informações tratadas. Nesses casos, as
das empresas, desde que elas se preocupem com leis do país de origem são priorizadas caso o nível
a comunicação e uso transparente dos dados de proteção seja equivalente ao da LGPD.
pessoais tratados no decorrer dessas atividades.
ARTIGO 5 e pode ser responsabilizado em alguns casos,
O artigo 5 é um dos mais importantes da LGPD, como quando não seguir as instruções do
pois estabelece a definição de conceitos controlador.
fundamentais para a compreensão do texto como · Tratamento: toda e qualquer ação realizada
um todo. Então, entenda o que significa: com os dados pessoais de um titular, desde a
· Dado pessoal: qualquer informação que coleta e armazenamento até o compartilhamento e
possa levar à identificação de uma pessoa física uso. O ciclo completo de um dado pessoal,
(nome completo, número de CPF, endereço, portanto, começa na coleta e termina na exclusão
filiação…). ou anonimização.
· Dado pessoal sensível: assim considerado · Anonimização: um dado anonimizado é um
por haver a real possibilidade de mau uso para fins dado pessoal que se torna total e integralmente
discriminatórios e prejudiciais ao indivíduo, como desvinculado do titular, de forma irreversível,
informações relativas a raça/etnia, religião, opinião fazendo com que seja impossível que se possa
política, sexualidade e dados genéticos ou chegar ao titular por meio desse dado. A
biométricos (como a biometria facial ou o DNA de anonimização, por remover o caráter pessoal dos
um indivíduo). dados, abre espaço para que dados sejam tratados
· Dado anonimizado: um dado pessoal ou de maneiras que são proibidas quando falamos de
dado pessoal sensível passa a ser um dado dados pessoais.
anonimizado quando deixa de ser diretamente · Consentimento: permissão dada pelo titular
relacionado a uma pessoa. Isso acontece, por para que determinado(s) dado(s) pessoal(is)
exemplo, quando um conjunto de dados sensíveis seja(m) tratado(s). Deve ser pedido de forma
(como a autodeclaração de raça dos colaboradores explícita, clara e transparente pelo operador ou
de uma empresa) torna-se estatística (a controlador, e se referir a uso específico e limitado.
porcentagem de colaboradores que se identificam · Bloqueio: suspensão do tratamento de
com cada raça). dados, que não isenta o operador e o controlador
· Banco de dados: seja digital, seja físico, um de precisarem proteger os dados pessoais e o
banco de dados é qualquer conjunto de dados banco de dados em que eles se encontram.
pessoais. · Eliminação: exclusão de dados pessoais.
· Titular: indivíduo a quem os dados pessoais · Transferência internacional de dados:
sendo tratados se referem. É o soberano de quando os dados pessoais são transferidos para
qualquer assunto relacionado ao tratamento dessas fora do Brasil. É preciso assegurar que os dados
informações e tem capacidade de consentir, ou terão proteção de nível equivalente ao
não, com o tratamento. proporcionado pela LGPD.
· Controlador: responsável pelas decisões · Uso compartilhado de dados: quando os
relacionadas ao tratamento dos dados pessoais. dados pessoais não ficam limitados a um único
Entre outros pontos, é o controlador quem decide ente (privado ou público). Órgãos públicos podem
que dados serão tratados, de que forma e com que compartilhar dados na prática de suas obrigações
fim. Ele também é o principal responsável em caso legais, enquanto entes privados podem fazê-lo
de quaisquer incidentes que envolvam dados mediante devido consentimento do titular.
pessoais. · Relatório de impacto à proteção de dados
· Operador: quem trata os dados em nome de pessoais: se houver qualquer risco de que
outra entidade, ou seja, em nome do controlador. O determinado tratamento de dados possa vir a
operador deve sempre seguir estritamente as causar danos ao titular, é dever do controlador
ordens do controlador em relação ao tratamento manter esse relatório. Dessa forma, em caso de
dos dados. incidentes, é possível entender os perigos da
· Encarregado: a LGPD prevê que operadores situação e trabalhar para mitigá-los mais
e controladores tenham um encarregado, pessoa rapidamente. A manutenção do relatório também
responsável por intermediar a comunicação entre visa comprovar que o tratamento que gera esses
os titulares, o controlador e a Autoridade Nacional riscos recebe os devidos cuidados para evitá-los.
de Proteção de Dados. · Órgão de pesquisa: especificados no texto
· Agentes de tratamento: tanto o operador da LGPD porque tais órgãos têm regras
quanto o controlador são agentes de tratamento; a diferenciadas para o tratamento de dados e pedido
responsabilidade final é sempre do controlador, de consentimento.
mas o operador também tem obrigações a cumprir · Autoridade nacional: a Autoridade Nacional
de Proteção de Dados (ANPD) será o órgão o soberano sobre essas informações, o titular tem
responsável por implementar e gerenciar as regras direito a entender exatamente como e para que
da LGPD, garantindo que a Lei seja cumprida. A eles são utilizados. Essas informações devem ser
ANPD também é responsável por realizar fornecidas gratuitamente e de forma simples, ou
auditorias, assim como aplicar as devidas sanções seja, compreensível para ele.
em casos comprovados de descumprimento da Lei. · Qualidade dos dados: os dados pessoais
tratados devem ser asseguradamente corretos e
ARTIGO 6 atualizados. Portanto, o titular tem direito a fazer
Assim como a maior parte das leis, a LGPD prevê a exigências para garantir isso, como pedir a
boa-fé daqueles atingidos por ela. Isso é atualização de informações conforme necessário.
fundamental porque, quando falamos de certas · Transparência: complementa o princípio do
regras da Lei — como a possibilidade de o titular livre acesso e especifica a necessidade de clareza
solicitar a exclusão de seus dados ou um relatório na prestação de informações aos titulares. Isso
completo de tratamentos —, nem sempre será inclui informar sobre os agentes que efetivamente
possível fornecer provas absolutamente realizam o tratamento de dados.
incontestáveis de que a Lei foi obedecida. · Segurança: para assegurar o cumprimento
Isso também vale para o detalhamento quanto ao dos demais princípios, a segurança dos dados
tratamento a ser feito, presente na solicitação do pessoais tratados é imprescindível. É dever do
consentimento ao titular. Até que surjam evidências controlador — e do operador — tomar todas as
do contrário, o titular deve presumir que o medidas cabíveis para garantir que, tanto
controlador realmente está utilizando seus dados administrativa quanto tecnicamente, os dados
pessoais somente para os fins acordados. Caso pessoais tratados estão devidamente protegidos e
apareçam evidências do contrário, aí sim, caberá à mantidos em integridade. Além disso, é
Autoridade Nacional de Proteção de Dados tomar fundamental garantir que somente as pessoas
as devidas providências punitivas. devidamente autorizadas — e necessárias — têm
Com isso em mente, os demais princípios que acesso a esses dados.
devem ser seguidos ao realizar tratamentos de · Prevenção: a segurança dos dados pessoais
dados pessoais são: não deve ser tratada apenas de forma reativa, mas
· Finalidade: uma das mais básicas regras da principalmente preventiva. Políticas fortes de
LGPD é de que todo e qualquer tratamento de proteção e privacidade de dados pessoais
dados pessoais deve ter uma finalidade específica, contribuem para o estabelecimento de rotinas e
explicada com clareza para o titular. Não é processos eficazes para impedir danos aos dados
permitido coletar dados sem propósito ou que tratados e possibilitam a identificação prévia de
possam vir a ter utilidade para o controlador, pois riscos e ameaças à segurança da informação.
tudo tem que ser explicitamente detalhado para o · Não discriminação: sob hipótese alguma
titular no momento de solicitação do podem os dados coletados serem utilizados para
consentimento. fins discriminatórios, como recusar serviços com
· Adequação: o tratamento deve realmente base em informações étnicas. Isso não impede os
acontecer de acordo com as finalidades informadas controladores de cumprirem as regulamentações
ao titular no momento do consentimento, utilizando de seus setores quanto aos clientes a quem podem
dados e meios adequados. ou não prestar serviços — não é ato
· Necessidade: outro ponto muito importante discriminatório, por exemplo, um banco recusar
para a Lei como um todo. A LGPD determina que, crédito a um indivíduo envolvido com lavagem de
independentemente do fim proposto, somente os dinheiro.
dados absolutamente essenciais devem ser · Responsabilização e prestação de contas: o
tratados. A relevância dos dados solicitados é agente deve não apenas adotar as devidas
fundamental para que o princípio de finalidade seja medidas de segurança para proteção dos dados,
seguido. Portanto, pense: o que é indiscutivelmente mas ser capaz de comprová-las. Em casos de
necessário que você saiba sobre um usuário? incidentes e outras falhas, isso será levado em
· Livre acesso: como veremos em outros consideração pela ANPD na hora de definir as
artigos mais para a frente, o titular tem direito de sanções aplicadas.
solicitar certos relatórios e informações sobre o
tratamento de dados realizado por sua empresa. ARTIGO 7
Como ele é compreendido pela LGPD como sendo O consentimento é realmente um dos conceitos
mais importantes da lei, que o entende como base ARTIGO 8
fundamental para muitos dos tratamentos de dados O oitavo artigo trata da forma com que o
realizados pelos controladores. Porém, ao contrário controlador deve solicitar o consentimento do
do que muitos ainda acreditam, o consentimento titular. A primeira e mais importante regra é que as
não é obrigatório em todos os casos: a LGPD cláusulas referentes ao consentimento devem vir
busca um equilíbrio entre os interesses do titular e separadas das outras, permitindo que o titular
as necessidades dos controladores ao exercerem tenha total clareza sobre a que está consentindo.
suas atividades. É preciso considerar, também, que Ou seja, os termos de uso aos quais estamos
alguns tratamentos de dados são imprescindíveis acostumados, em que o uso dos dados pessoais
para o cumprimento das obrigações legais dos aparece em meio a tantas outras cláusulas que
controladores, de acordo com o seu setor de quase nenhum usuário lê, não serão mais o
atuação. bastante. É preciso investir em uma linguagem
Nesses casos, inclusive, o consentimento não é clara e acessível, garantindo que o titular saiba
necessário. Isso também vale para órgãos da exatamente qual será o tratamento feito com seus
administração pública quando o tratamento visar o dados pessoais.
cumprimento de leis e de políticas públicas. A Lei lembra, mais uma vez, que o consentimento
Enquanto isso, órgãos de pesquisa também não deve ser pedido para um determinado fim
precisam exigir consentimento, mas devem específico. É uma violação da LGPD pedir
trabalhar com dados anonimizados sempre que consentimento de forma não-específica e genérica;
possível — dessa forma, é possível ter acesso aos todo e qualquer dado pessoal solicitado e
dados estatísticos sem que eles sejam conectados tratamento proposto deve ter uma finalidade clara.
a um titular específico. Além disso, o titular tem o direito de revogar seu
Também há casos específicos em que o consentimento a qualquer momento e sem a
consentimento não precisa ser formalmente necessidade de justificar a recusa ao tratamento de
exigido, como para a execução de contratos ou seus dados.
para o exercício regular de direitos, isto é, ao
utilizar dados em uma ação judicial, por exemplo. ARTIGO 9
Quando o assunto é tutela da saúde e proteção da Trata do direito do titular de ser informado sobre os
vida, o consentimento também não deve ser uma tratamentos de seus dados pessoais.
preocupação. No caso da saúde, é importante Controladores e operadores têm uma série de
destacar que a não-obrigação do consentimento obrigações nesse sentido, sendo importante
vale apenas para a realização de procedimentos, e destacar que as informações solicitadas devem ser
não a qualquer momento e para qualquer fornecidas de forma clara e acessível — não
controlador operando na área de saúde. cabem, por exemplo, relatórios altamente técnicos.
É preciso considerar ainda os dados pessoais O titular tem direito de solicitar informações sobre a
públicos, ou seja, amplamente divulgados e de fácil finalidade, a duração e a forma de tratamento dos
acesso a qualquer indivíduo — e que, dados, assim como saber se seus dados estão
normalmente, são referentes a pessoas públicas. sendo ou foram compartilhados com outros
Porém, mesmo nessas situações, é preciso agentes.
considerar e respeitar o fim para o qual eles foram O primeiro parágrafo especifica que, nos casos em
disponibilizados, assim como manter em mente o que for identificado que o consentimento não foi
princípio da boa-fé. solicitado seguindo as regras da LGPD, ele será
O quinto parágrafo relembra que o consentimento considerado inválido. Além disso, caso o
deve ser solicitado para fins específicos. Dessa controlador altere a finalidade para a qual
forma, caso o controlador queira utilizar os dados originalmente pediu o consentimento, ele deve ser
que já possui para outro tipo de tratamento, é solicitado novamente. O titular pode, se preferir,
fundamental pedir consentimento novamente — a optar por não renovar o consentimento para essa
não ser que o novo tratamento se encaixe em nova finalidade.
alguma das exceções apresentadas neste artigo. O controlador ainda deve informar claramente ao
Finalmente, é preciso manter em mente que, titular sobre os produtos e serviços a que ele
mesmo quando não há a necessidade de deixará de ter acesso caso não forneça o
consentimento, todas as demais normas da LGPD consentimento. Dessa forma, garante-se a plena
continuam valendo. ciência do titular e seu discernimento sobre aceitar
ou não o tratamento de seus dados para os fins
propostos. cadastros digitais, ou seja, para o processo de
onboarding digital.
ARTIGO 10 Um grande perigo relacionado a dados sensíveis é
O conceito de “legítimo interesse” não é que o controlador venda-os ou compartilhe-os com
especificado e, portanto, só será possível entender o intuito de gerar lucro. Isso é explicitamente
exatamente sua extensão e aplicação a partir das proibido pela LGPD e, diante desses casos, a
situações concretas que forem surgindo ao longo Autoridade Nacional de Proteção de Dados pode
da atuação da ANPD após a entrada em vigor da aplicar punições.
lei. As exceções são quando há necessidade de
Utilizar os dados pessoais coletados para fins de e- compartilhar tais dados para prestar serviços
mail marketing, por exemplo, entra dentro do relacionados a saúde e farmácia. Além de ser
legítimo interesse do controlador (conforme necessário para preservar a integridade do titular,
especificado no item I). Para essa e outras isso também abre caminho para que a LGPD
atividades de legítimo interesse, é importante que determine que o titular pode solicitar a portabilidade
somente os dados estritamente necessários sejam de seus dados (por exemplo, transferir o histórico
utilizados. Assim, preserva-se tanto o legítimo de exames de um hospital para outro).
interesse do controlador quanto a integridade dos Outro ponto destacado no item é a proibição de
dados do titular. outro grande risco resultante do tratamento de
É prerrogativa da ANPD pedir que o controlador dados sensíveis: o mau uso dessas informações
forneça relatórios sobre o impacto que as por parte de planos de saúde privados, que podem
atividades de legítimo interesse têm sobre a tentar utilizá-los como forma de selecionar e excluir
proteção dos dados pessoais tratados. beneficiários. Sob a LGPD, essa prática é
terminantemente proibida.
ARTIGO 11
Conforme especificado no artigo 5, dados sensíveis ARTIGO 12
são aquelas informações mais delicadas e cujas Dados anonimizados não são considerados dados
chances de mau uso (para fins discriminatórios e pessoais e, portanto, não são protegidos pelas
prejudiciais ao indivíduo, por exemplo) são mais diretrizes regulares da LGPD. Para que isso
altos. Portanto, são considerados dados sensíveis efetivamente aconteça, porém, a anonimização dos
aqueles relacionados a religião, raça/etnia, opinião dados não pode, sob hipótese alguma, ser passível
política, sexualidade e dados genéticos ou de reversão.
biométricos (como a biometria facial ou o DNA de A lei determina que a reversão não pode ser
um indivíduo). possível “com esforços razoáveis”, o que deixa
Aqui, o artigo 11 determina como deve ser feito — certa margem para interpretação. Mas, como
e como pode ser feito — o tratamento de dados explica o parágrafo 1º, a determinação de quais
pessoais sensíveis. são os “esforços razoáveis” de um agente
Para começar, a questão do consentimento considera o tempo e o custo necessários para
solicitado de forma clara e explícita, sempre com conseguir reverter a anonimização, assim como a
uma finalidade determinada, torna-se ainda mais tecnologia disponível. Ou seja, o total de esforço e
importante quando tratamos dados sensíveis. a disponibilidade de ferramentas que possam
As exceções, ou seja, casos em que o tratamento reverter o processo.
pode ser feito sem pedir o consentimento do titular, Caso fique comprovado que não é possível
são similares àquelas relativas a dados pessoais identificar os titulares desses dados, eles são
comuns: obedecer a regulamentação, executar considerados anônimos. Se o controlador
políticas públicas, realizar pesquisas (dando criptografar dados pessoais mas tiver uma chave
preferência para os dados anonimizados), exercer de criptografia, por exemplo, trata-se de um
os direitos em ações judiciais e execução de processo facilmente reversível.
contratos, proteger a vida de indivíduos ou realizar Para esclarecer melhor a questão, é possível que a
procedimentos de saúde. Autoridade Nacional venha a estabelecer os
Em se tratando de dados sensíveis, um diferencial padrões a serem seguidos em processos de
nas exceções é que, além de especificar a anonimização de dados.
obediência às normas, a LGPD ainda destaca a
prevenção à fraude e à segurança do titular. A ARTIGO 13
cláusula é voltada especificamente para os Este artigo trata do tratamento de dados pessoais
por órgãos de pesquisa estudando questões de uma linguagem adequada ao público-alvo do
saúde pública. Nesses casos, os dados podem ser produto/serviço em questão. O texto recomenda a
tratados, mas isso deve acontecer única e utilização de áudio, vídeo e imagens para
exclusivamente dentro do órgão e para fins da complementar as informações e facilitar o
pesquisa sendo conduzida. Deve-se dar entendimento.
preferência para a anonimização (ou
pseudonimização) dos dados. ARTIGO 15
Mas o que é pseudonimização? Como explica o O tratamento dos dados pessoais deve ser
parágrafo 4º deste artigo, é quando um dado terminado quando a finalidade for alcançada,
pessoal só pode ser atrelado a um indivíduo se quando os dados tratados não forem mais
houver acesso também a alguma outra informação necessários para aquela finalidade, quando o fim
— que deve ser mantida em separado e em total do período de tratamento acordado com o titular se
segurança. Dessa forma, se alguém conseguir encerrar ou quando o titular assim solicitar. Outra
acesso apenas aos dados originalmente tratados, condição que leva ao encerramento é quando a
não conseguirá relacioná-lo a nenhum indivíduo. Autoridade Nacional de Proteção de Dados
determinar o fim do tratamento de dados após
ARTIGO 14 descobrir irregularidades no cumprimento da
Também há regras específicas para os dados de LGPD.
crianças e adolescentes, ou seja, pertencentes a
titulares com menos de 18 anos. A lei destaca a ARTIGO 16
necessidade de tratá-los somente para o melhor E, após o término do tratamento, os dados
interesse do titular, reforçando essa que é uma pessoais devem, via de regra, ser eliminados. Isso
questão necessária em qualquer tratamento de não é exigido quando a permanência dos dados é
dados. necessária para que o controlador cumpra suas
Para o tratamento de dados de crianças e obrigações legais (para fins de compliance ou KYC,
adolescentes, é imprescindível solicitar o por exemplo).
consentimento de um dos pais ou do responsável Órgãos de pesquisa estão isentos dessa regra,
legal. Assim, assegura-se que uma pessoa maior mas recomenda-se a anonimização dos dados
de idade dará o devido consentimento pelo titular sempre que possível.
sob o qual é responsável. É responsabilidade do Cumpridas as diretrizes da lei e/ou sob a
controlador assegurar, na medida do possível, que solicitação do titular, a transferência dos dados a
o consentimento realmente foi fornecido pelo terceiros é permitida no lugar de sua exclusão.
responsável. Além disso, caso o controlador anonimize os
Há duas exceções bastante específicas, em que o dados, é possível mantê-los para uso único e
consentimento do titular e/ou do responsável não é exclusivo (para fins estatísticos, por exemplo).
exigido: quando houver a necessidade de entrar
em contato com os pais ou com o responsável pela ARTIGO 17
criança ou adolescente ou quando tais dados forem Todos os cidadãos são os titulares de seus próprios
necessários para proteger o titular menor de idade. dados pessoais e sob hipótese alguma perderão
Nesses casos, é terminantemente proibido essa titularidade. Não importa o que seja pedido no
compartilhar ou repassar os dados coletados com consentimento ou qual seja o tratamento; dados
terceiros. pessoais são individuais e intransferíveis e sempre
Há um grande cuidado também em garantir que pertencerão à pessoa a que se referem.
dados pessoais de crianças e adolescentes não
sejam coletados além do estritamente necessário. ARTIGO 18
Sendo assim, o compartilhamento de dados não- A qualquer momento e de forma gratuita e simples,
essenciais não pode ser requisito para que o titular o titular pode solicitar relatórios e informações
possa utilizar apps e jogos. sobre seus dados, incluindo a confirmação de qual
Mesmo que o consentimento final tenha que ser é o tratamento feito com eles, quem tem acesso
dado por um dos pais ou pelo responsável, ainda aos dados, quais são os dados sendo tratados e
assim é importante que a criança ou adolescente com quais agentes foram compartilhados.
entenda o que está sendo pedido. Portanto, a Além disso, o titular pode solicitar a correção ou
LGPD determina que as informações sobre o atualização de dados, assim como a anonimização,
tratamento de dados devem ser fornecidas com exclusão ou interrupção do tratamento de dados
pessoais não necessários para a finalidade à qual que uma grande multinacional, por exemplo. A ideia
consentiu. é garantir o exercício dos direitos do cidadão sem
Outro direito do titular é exigir a portabilidade de prejudicar desnecessariamente as empresas
seus dados pessoais para outro prestador do controladoras dos dados.
mesmo serviço, por exemplo, de um plano de
saúde para outro ou de um banco para outro. ARTIGO 20
Nesses casos, devem ser preservados os segredos Cada vez mais frequentemente, processos
do negócio do controlador. Isso exclui dados que já operacionais são automatizados por meio de
haviam sido anonimizados. soluções de machine learning e inteligência
A qualquer momento, o titular pode questionar o artificial, por exemplo. Quando essas e outras
controlador sobre o que acontecerá se ele não tecnologias tomarem decisões de forma puramente
consentir com o tratamento de seus dados: a quais automatizada, o titular tem o direito de solicitar a
serviços não terá acesso, quais aspectos do revisão dessas decisões.
serviço serão prejudicados etc. O controlador deve ser capaz de fornecer
E se o controlador não for capaz de providenciar as informações claras e transparentes sobre como o
informações solicitadas imediatamente, como processo de decisão automatizada acontece. Caso
obriga a LGPD? Então, deverá esclarecer os isso não se cumpra, a ANPD pode solicitar
motivos por que não consegue. Caso o titular auditoria para verificar se há algum tipo de
solicite as informações para uma empresa que não discriminação ou viés na tomada de decisões
é a controladora (para a operadora, por exemplo), automatizadas.
então deve-se indicar quem é o real agente de
tratamento dos dados. ARTIGO 21
Se o controlador compartilhou os dados com outros O tratamento de dados pessoais pode ser realizado
agentes de tratamento, há a obrigação de entrar para os fins consentidos pelo titular e para
em contato com eles para solicitar que também cumprimento de obrigações regulatórias do
realizem os procedimentos solicitados pelo titular. controlador, não podendo haver prejuízos à
imagem, à segurança ou à integridade do titular.
ARTIGO 19
Quando o titular solicitar a confirmação de que ARTIGO 22
seus dados estão com o controlador ou peça Se o titular sentir que seus interesses não estão
acesso a esses dados, o agente deve fazê-lo sendo respeitados, ele pode tomar providências
imediatamente e de forma simplificada. Outra legais sozinho ou, se preferir, fazer isso ao lado de
opção é fornecer uma declaração completa (mas outros titulares que também se sentirem
também clara e acessível) dentro do prazo de 15 prejudicados pelo mesmo controlador.
dias. Essa comunicação deve detalhar a origem
dos dados, a finalidade do tratamento e o critério ARTIGO 23
para tal, respeitando-se sempre os segredos de Aborda o tratamento de dados pessoais pelo poder
negócio. As informações podem ser fornecidas por público, que pode ser realizado quando houver
meio eletrônico ou impresso, de acordo com a uma finalidade pública de interesse também público
solicitação do titular. e somente quando houver real necessidade do
Ao determinar a forma com que os dados serão tratamento para a execução dessas obrigações
armazenados, o controlador deve levar em legais.
consideração a acessibilidade das informações nos O artigo não aborda o compartilhamento de dados
casos de solicitação por parte do titular. Assim, ou o tratamento de dados sensíveis, o que abre
assegura-se o cumprimento dos prazos. espaço para que informações biométricas, por
É direito do titular solicitar uma cópia eletrônica de exemplo, venham a ser tratadas em nome da
todos os seus dados pessoais armazenados pelo segurança pública.
controlador de forma que possam ser usados Para operações da esfera pública que envolvam
posteriormente, até mesmo em outros tratamentos. tratamentos de dados pessoais, deve ser apontado
A LGPD prevê que a Autoridade Nacional pode um encarregado para zelar pelo bom uso e
determinar prazos diferenciados para setores segurança das informações. Após formada, a
específicos. Dessa forma, preserva-se a ANPD pode determinar como devem ser
integridade de empresas menores, por exemplo, anunciadas as medidas de segurança e as formas
que podem ter mais dificuldades nesse sentido do de tratamento.
as exceções do artigo 26.
ARTIGO 24
Pessoas jurídicas de direito privado são as ARTIGO 28
associações, sociedades, fundações, organizações O artigo 28, que foi integralmente vetado, previa a
religiosas, partidos políticos e empresas individuais necessidade de informar publicamente sobre
de responsabilidade limitada, instituídas por compartilhamentos de dados entre entidades do
iniciativa de particulares. poder público. A justificativa para o veto é que essa
Já as empresas públicas são os entes de publicização prejudicaria atividades de fiscalização,
administração direta — União, Estados, Distrito controle e policiamento.
Federal, Territórios e Municípios —, as autarquias, Portanto, as entidades ficam obrigadas a seguir as
as fundações públicas e as demais entidades de regras dos artigos 26 e 27, mas não precisam
caráter público. Por último, as sociedades de informar publicamente sobre esses
economia mista são formadas tanto por capital compartilhamentos de dados.
público quanto privado, sendo que a parcela de
capital público deve ser maior. ARTIGO 29
Para os fins da LGPD, as sociedades de economia A Autoridade Nacional de Proteção de Dados pode
mista e as empresas públicas estão sujeitas às solicitar informações sobre o tratamento de dados
mesmas diretrizes e regras das empresas de direito pessoais às entidades do poder público, assim
privado particular quando operarem em regime de como informações específicas sobre os dados em
concorrência, ou seja, para fins comerciais e/ou si. Também pode exigir a realização de
mercadológicos. Enquanto isso, se estiverem tratamentos.
aplicando políticas públicas dentro de seus
respectivos âmbitos de execução, serão ARTIGO 30
consideradas da mesma forma que os demais Após seu estabelecimento, a ANPD ainda pode
órgãos do poder público. adicionar novas diretrizes sobre o
compartilhamento de dados e a forma com que
ARTIGO 25 esse tipo de tratamento compartilhado é
Prezando pela possível necessidade de execução comunicada.
de políticas e serviços públicos, e também pela
descentralização da atividade pública e pelo livre ARTIGO 31
acesso à informação por parte dos cidadãos, a A Autoridade Nacional de Proteção de Dados pode
LGPD orienta que os dados pessoais tratados propor diretrizes para correção de violações de
nessas esferas devem ser mantidos de forma a dados, quando estas acontecerem por causa de
permitir o uso compartilhado. tratamentos de dados pessoais feitos por órgãos
públicos.
ARTIGO 26
Complementando diretamente o artigo 25, o artigo ARTIGO 32
26 determina que o compartilhamento de dados por A ANPD ainda pode pedir que agentes do poder
parte do poder público só pode acontecer para fins público divulguem relatórios de impacto à proteção
de execução das políticas públicas. Ou seja, é de dados pessoais, assim como propor medidas
preciso haver uma justificativa real e comprovável para aprimorar os padrões e processos no
para o compartilhamento. tratamento desses dados.
Além disso, excetuando-se a prevenção a fraudes
ou o uso de dados publicamente disponíveis, o ARTIGO 33
poder público não deve compartilhar dados com Determina os casos em que dados pessoais podem
entidades privadas. ser transferidos para fora do Brasil. A transferência
só pode ser feita para países cujas leis de proteção
ARTIGO 27 de dados proporcionem um nível de proteção aos
As organizações de direito público só poderão dados equivalente ao da LGPD — por isso, o
compartilhar ou comunicar dados pessoais a controlador tem o dever de assegurar o
empresas de direito privado mediante cumprimento desses princípios por meio de
consentimento do titular. cláusulas contratuais, certificados e outras
Porém, há exceções. Permanecem os casos de comprovações reconhecidas.
dispensa do consentimento dispostas no artigo 7 e A transferência pode acontecer também quando for
necessária a cooperação entre órgãos públicos de interesse, pois o titular tem o direito de questionar
inteligência de diferentes países para fins de isso e podem ser necessárias auditorias por parte
investigação e processamento penal, ou quando a da ANPD.
transferência for necessária para a proteção da
vida ou da integridade física de um indivíduo ou ARTIGO 38
para a execução de políticas públicas ou demandas A ANPD pode solicitar que o controlador
legais do serviço público. providencie relatórios detalhando o impacto que os
Além disso, a ANPD tem autoridade para autorizar tratamentos realizados têm sobre a proteção dos
a transferência em quaisquer casos que julgar dados pessoais, inclusive em casos de tratamentos
relevantes, e o titular pode escolher consentir para de dados sensíveis.
fins específicos e claramente informados que Tais relatórios devem incluir detalhes sobre os
envolvam a transferência de seus dados para dados coletados, sobre como foi feita a coleta e
outros países. sobre as garantias para a segurança desses dados,
além de uma análise do controlador sobre essas
ARTIGO 34 medidas de segurança e prevenção a riscos. Pode-
Como especificado no artigo 33, uma exigência se optar por incluir outras informações julgadas
para a transferência de dados para outros países é relevantes, mas as aqui listadas são essenciais.
que a legislação ofereça níveis de proteção
similares aos da LGPD. A responsável por avaliar ARTIGO 39
isso é a ANPD, considerando a legislação em vigor O operador deve tratar dados pessoais exatamente
no país, a natureza dos dados a serem transferidos de acordo com as instruções do controlador — que,
e as medidas de segurança adotadas, entre outros por sua vez, é o responsável por garantir que essas
aspectos. instruções obedecem a todas as diretrizes da
LGPD.
ARTIGO 35
A responsabilização do controlador pela proteção ARTIGO 40
de dados em casos de transferências para o Visando preservar a transparência nos tratamentos
exterior, conforme especificado no artigo 33, deve de dados e sua real essencialidade, a ANPD pode
ser feita por meio de cláusulas contratuais, estabelecer padrões de interoperabilidade para os
certificados e outras comprovações reconhecidas. casos de portabilidade e no que visa o livre acesso
Sendo assim, é a ANPD que vai definir as cláusulas aos dados, a segurança da informação e o tempo
e certificados aceitos. Ao conduzir essas pelo qual os registros devem ser mantidos.
demandas, a ANPD pode solicitar ao controlador Dentro do contexto da LGPD, interoperabilidade é a
informações adicionais sobre o tratamento capacidade de sistemas e empresas operarem
proposto. entre si.
Nessas situações, devem-se considerar sempre os
requisitos e condições mais básicos da LGPD, ARTIGO 41
assegurando assim o mínimo cumprimento da lei. O controlador é o responsável por indicador o
Além disso, a Autoridade pode revisar as encarregado, pessoa responsável pelo tratamento
certificações e anulá-las, caso encontre de dados pessoais. Além disso, o controlador deve
desconformidades. informar claramente — de preferência em seu site
— a identidade e os meios de contato do
ARTIGO 36 encarregado. Isso é necessário para que o titular
Caso ocorram mudanças nos preceitos utilizados possa entrar em contato com o encarregado, caso
como garantia do nível de proteção de dados deseje.
proporcionado em transferências para fora do O artigo 41 detalha, ainda, as atividades de
Brasil, a ANPD deve ser comunicada. responsabilidade do encarregado, que incluem:
receber reclamações e outras mensagens dos
ARTIGO 37 titulares; fornecer esclarecimentos e tomar
É dever tanto do controlador quanto do operador providências para solucionar problemas ou
manter registros claros e completos sobre todos os dúvidas; receber mensagens da ANPD e tomar as
tratamentos de dados que realizarem. Isso é devidas providências; orientar os colaboradores
especialmente importante nos casos em que o quanto à proteção de dados; e demais atividades
tratamento é realizado para fins de legítimo exigidas pelo controlador sobre o tratamento de
dados, visando obedecer a Lei. quando não proporcionar o devido
Após sua formação, a ANPD pode nível de segurança de dados. Tal
estabelecer outras atividades para o segurança deve ser assegurada
encarregado. Dependendo da levando em consideração a forma
organização, levando em consideração com que o tratamento é realizado,
características como porte e volume do os riscos que podem ser esperados
tratamento de dados, a Autoridade e as tecnologias disponíveis no
Nacional pode dispensar a momento.
necessidade desse profissional. Se acontecerem danos decorrentes
da desobediência das diretrizes de
ARTIGO 42 segurança de dados, o agente
O tratamento de dados feito pelo responsável por essas falhas — seja
controlador ou operador não pode ter o controlador, seja o operador —
quaisquer consequências negativas ou será responsabilizado.
de alguma forma causar danos ao
titular. Caso isso aconteça, o agente ARTIGO 45
responsável deve reparar a situação Quando o assunto são relações de
imediatamente. consumo, o que determina o que é
A responsabilidade é do operador ou não uma violação dos direitos do
quando este descumprir suas titular é a legislação vigente, ou seja,
obrigações dentro da LGPD ou quando a Lei 8.078/1990 – Código de
desobedecer às ordens dadas pelo Defesa do Consumidor.
controlador. Enquanto isso, a
responsabilidade cai sobre o ARTIGO 46
controlador quando estiver diretamente A segurança de dados deve incluir a
envolvido no tratamento danoso. garantia de que somente as pessoas
Nesses casos, é o titular quem deve devidamente autorizadas e
fornecer provas de que o tratamento fundamentais podem ter acesso aos
causou danos a ele. Porém, se o juiz dados. Deve-se assegurar também
entender que a acusação é verossímil, que não haverá tentativas ou
mas que o titular não tem condições ou situações indevidas e/ou acidentais
recursos para fornecer as provas, o de perda, alteração,
dever de fornecê-las pode passar para compartilhamento ou qualquer outro
o agente de tratamento. tipo de tratamento com os dados.
Para garantir isso, os agentes de
ARTIGO 43 tratamento devem tomar medidas
Para não serem responsabilizados por técnicas e administrativas.
danos decorrentes do tratamento de Os padrões mínimos para esse tipo
dados, os agentes precisam de proteção poderão ser dispostos
comprovam que não realizam esse pela ANPD, levando em
tratamento, que o realizam mas que consideração o tipo de tratamento
não houve violação às diretrizes de realizado e as possibilidades atuais
proteção à integridade do titular ou que da tecnologia.
o titular é o único culpado pelos danos O artigo destaca que esses cuidados
em questão. devem ser levados em consideração
não apenas durante a execução,
ARTIGO 44 mas desde a fase de concepção do
O tratamento de dados é considerado produto. Isso aproxima a LGPD do
irregular quando não seguir a LGPD ou
conceito de Privacy by Design, em que a tomadas dentro do empresa, os envolvidos nos
privacidade e a segurança de dados são parte tratamentos, processos para mitigar riscos etc.
integrante do desenvolvimento do produto, e não Se escolherem fazer isso, é importante levar em
preocupações posteriores. consideração todas as diretrizes da LGPD,
garantindo assim que o documento está alinhado
ARTIGO 47 com a lei e efetivamente ajudará o agente de
Quaisquer agentes ou indivíduos que tiverem tratamento a obedecê-la.
participação ou intervirem em qualquer fase do Apesar de não ser obrigatório, a existência de tais
tratamento de dados torna-se responsável por documentos e sua respectiva aplicação no dia a dia
assegurar a segurança desses dados, mesmo da instituição será levada em consideração pela
depois que o tratamento terminar. ANPD se for necessário determinar sanções para
incidentes ou falhas que vierem a ocorrer.
ARTIGO 48 O artigo recomenda ainda que, após analisar o
Diante de um incidente ou falha na segurança de volume e a sensibilidade dos dados tratados e a
dados que possa resultar em danos ou riscos aos gravidade dos riscos envolvidos, o controlador
titulares, é dever do controlador comunicar a ANPD pode implementar programas de governança
e os titulares dos dados envolvidos. internos para divulgar as boas práticas de proteção
O prazo para essa comunicação será definido pela de dados, que devem ser aplicadas a todos os
Autoridade Nacional, mas deve incluir pelo menos dados pessoais coletados, e as políticas e medidas
a natureza dos dados afetados, as informações dos preventivas estabelecidas. O programa deve ser
respectivos titulares, o detalhamento das medidas construído também de acordo com a estrutura da
de segurança adotadas para a proteção dos dados, organização e visar a construção de relações de
os possíveis riscos do incidente e o que será feito confiança com o titular — valorizando, portanto, a
para mitigar ou reverter as consequências. Caso transparência e a clareza nas comunicações.
haja demora na comunicação, é preciso incluir A LGPD aponta ainda a importância de que tal
também os motivos para o atraso. programa inclua planos de resposta e remediação
A partir daí, a ANPD irá averiguar a situação e a para casos de incidentes e que seja reavaliado e
gravidade do ocorrido. Visando preservar os atualizado com frequência. Se a ANPD assim pedir,
titulares, a Autoridade pode solicitar que o será necessário comprovar a eficácia do programa.
controlador divulgue amplamente o incidente nos
meios de comunicação e/ou tome providências ARTIGO 51
para reverter ou mitigar os efeitos. A ANPD vai promover a adoção de padrões
A avaliação do nível de gravidade do ocorrido deve técnicos mínimos para facilitar o controle de dados
levar em consideração o fornecimento de que os por parte dos próprios titulares. Assim, a Autoridade
dados envolvidos encontram-se ininteligíveis por cumpre seu papel de não apenas aplicar a LGPD,
meio de medidas técnicas, impedindo assim que mas também de conscientizar a população sobre
terceiros não-autorizados os acessem. os temas da lei.

ARTIGO 49 ARTIGO 52
Todos os sistemas e bases de dados usados para o Caso os agentes de tratamento cometam infrações
tratamento devem ser estruturados levando em à LGPD, a ANPD irá definir as sanções a serem
consideração as diretrizes de segurança dispostas aplicadas. Pode ser dada uma advertência,
pela LGPD, assim como os padrões de boas indicando o prazo para a adoção de medidas
práticas e de governança propostos pela lei e corretivas; uma multa simples de até 2% do
demais normas legislativas. faturamento, limitada a R$ 50 milhões por infração;
uma multa diária, dentro desse mesmo limite total;
ARTIGO 50 a ampla divulgação da infração e de suas causas;
A LGPD recomenda que os agentes de tratamento ou o bloqueio ou exclusão dos dados pessoais
estabeleçam regras de boas práticas e de envolvidos na infração.
governança sobre segurança e proteção de dados. A ANPD ainda pode exigir a suspensão parcial dos
O documento pode incluir, por exemplo, os bancos de dados envolvidos na infração ou de toda
procedimentos e os padrões técnicos da a atividade de tratamento desses dados por até 6
organização, como lidar com reclamações e meses, passíveis de prorrogação. Dentro desse
petições dos titulares, as ações educativas período, o agente deve regularizar a situação que
levou à infração. O tratamento de quaisquer dados anos e serão escolhidos entre cidadãos brasileiros
também pode ser proibido total ou parcialmente. altamente especializados na área a que seus
Levando em consideração a gravidade do cargos se referem.
incidente, a boa-fé do infrator, se trata-se ou não de Enquanto a ANPD não conclui seu processo de
reincidência, o quanto o agente mostra-se entrada em vigor, o órgão será auxiliado pela Casa
cooperativo, a tomada imediata de medidas Civil da Presidência da República. O regime interno
corretivas e a existência de políticas de boas da ANPD, por sua vez, será estabelecido pelo
práticas e de governança, a ANPD deve dar espaço próprio Conselho Diretor, que também indicará
para que o infrator se defenda. Esses pessoas para os cargos em comissão e para
comportamentos também serão considerados na funções de confiança para posterior aprovação do
hora de determinar a sanção; o faturamento do Diretor-Presidente.
agente pode ser avaliado também. Além disso, a As responsabilidades da ANPD incluem:
sanção deve ser nivelada de acordo com a · zelar pela proteção dos dados pessoais;
gravidade do ocorrido. · elaborar a Política Nacional de Proteção de
Dados Pessoais e da Privacidade;
ARTIGO 53 · fiscalizar a aplicação da LGPD e determinar
A ANPD definirá as metodologias exatas para sanções para casos de infração;
calcular o valor-base das multas, que deverá ir para · avaliar petições e reclamações de titulares;
consulta pública antes de ser implementada. As · fomentar a conscientização e conhecimento
metodologias devem ser claras e detalhadas, sobre proteção e segurança de dados pessoais
determinando também o que levará à sanção de entre a população;
multa diária ou simples. Os agentes de tratamento · estimular a adoção de padrões que facilitem
devem ter acesso prévio às metodologias. o controle dos titulares sobre seus dados;
· promover ações internacionais de
ARTIGO 54 cooperação entre autoridades de proteção de
O valor definido para a multa diária deve ser dados;
estabelecido de acordo com a gravidade do · estabelecer as medidas para, quando
incidente e com a extensão dos danos decorrentes. necessário, divulgar operações de tratamento de
Ao estabelecer a multa, a ANPD deve incluir a dados;
obrigação que o agente deve cumprir para seu · solicitar informações sobre tratamentos de
encerramento, além de um prazo razoável para dados ao poder público a fim de garantir o
isso e de qual passará a ser o valor da multa diária cumprimento da LGPD;
caso não seja cumprido. · elaborar relatórios anuais sobre suas
atividades, que deve incluir detalhes sobre a receita
ARTIGO 55 e as despesas do órgão;
Este artigo cria a Autoridade Nacional de Proteção · estabelecer regulamentos e procedimentos
de Dados (ANPD), inicialmente vetada, mas depois sobre proteção e privacidade de dados e relatórios
retomada. O órgão da administração pública de impacto diante de tratamentos que representem
federal fará parte da Presidência da República e é alto risco;
de natureza transitória — ou seja, o Poder · realizar auditorias para verificar o
Executivo pode transformá-la em entidade da cumprimento da LGPD por parte dos agentes de
administração pública federal indireta, sendo então tratamento, incluindo os do poder público;
submetida a regime autárquico especial, mas · adaptar normas, orientações e processos
mantendo o vínculo à Presidência. para atender às necessidades específicas de
Com autonomia técnica e decisória, a ANPD será microempresas, empresas de pequeno porte e
formada por Conselho Diretor, Conselho Nacional iniciativas disruptivas, incluindo startups e
de Proteção de Dados e Privacidade, Corregedoria empresas de inovação, a fim de auxiliá-las na
e Ouvidoria, além de unidades administrativas e adequação e cumprimento da LGPD;
unidades especializadas e um órgão próprio de · garantir a clareza, facilitação, transparência
assessoramento jurídico. e acessibilidade das informações no que se refere
O Conselho Diretor será composto por um Diretor- ao tratamento de dados de idosos;
Presidente e outros quatro diretores, nomeados · implementar meios práticos e facilitados
pelo Presidente da República e sujeitos a para que titulares possam registrar reclamações
aprovação do Senado. Eles terão mandatos de 4 sobre o tratamento de seus dados, inclusive pela
internet; Estabelece duas alterações no Marco Civil da
· colocar seus regulamentos e normas para Internet (Lei 12.965/2014). A primeira, no artigo 7,
consulta pública e análises de impacto regulatório. determina a exclusão dos dados após o fim do
Quando o assunto é proteção, privacidade e tratamento previsto — com exceção dos casos em
tratamento de dados pessoais, a ANPD prevalece que seu armazenamento for necessário para fins
sobre outras entidades da administração pública. regulatórios.
Para arrecadar receita, a ANPD dependerá do A segunda mudança é no artigo 12 do Marco Civil,
orçamento geral da União; doações; venda ou que passa a incluir a necessidade de eliminar
aluguel de bens e imóveis de que for dona; dados pessoais excessivos em relação ao
rendimentos advindos da aplicação de suas tratamento para o qual o titular consentiu.
receitas; recursos originados de acordos ou
convênios com outras entidades; e venda de ARTIGO 61
publicações e materiais técnicos. Empresas estrangeiras com filiais ou escritórios no
Brasil — e, portanto, sujeitas à LGPD se coletarem
ARTIGO 56 e tratarem dados em território nacional — serão
Integralmente vetado, o artigo 56 complementava o notificadas e intimadas no que se refere à
artigo 55 original no estabelecimento da Autoridade aplicação da Lei Geral de Proteção de Dados pelo
Nacional de Proteção de Dados. agente ou representante da filial ou escritório
brasileiro.
ARTIGO 57
Outro artigo vetado por completo que falava sobre ARTIGO 62
a Autoridade Nacional de Proteção de Dados. Estabelece que a ANPD, ao lado do Inep —
Instituto Nacional de Estudos e Pesquisas
ARTIGO 58 Educacionais, editará regulamentos específicos
Os itens originais do artigo 58, que trata do para que os tratamentos de dados necessários
Conselho Nacional de Proteção de Dados Pessoais para o Sinaes — Sistema Nacional de Avaliação da
e da Privacidade, foi vetado. Os novos itens Educação Superior possam acontecer.
determinam que o conselho, que faz parte da
LGPD, será composto por 23 representantes, ARTIGO 63
sendo 5 do Poder Executivo Federal, 1 do Senado Para os bancos de dados formados antes da
Federal, 1 da Câmara dos Deputados, 1 do entrada em vigência da LGPD, a ANPD vai
Conselho Nacional de Justiça, 1 do Conselho estabelecer regras e processos para que sejam
Nacional do Ministério Público, 1 do Comitê Gestor progressivamente adaptados à Lei. Para tanto,
da Internet no Brasil, 3 vindos de entidades da serão levadas em consideração a complexidade
sociedade civil que tratem da proteção de dados, 3 das operações e a natureza dos dados tratados —
de instituições científicas ou tecnológicas, 3 o objetivo é garantir o cumprimento da Lei e os
sindicalistas representando setores da economia, 2 direitos do titular sem prejudicar as empresas em
representantes do setor empresarial dentro da área questão.
de tratamento de dados e 2 representantes do
setor laboral. Os mandatos serão de 2 anos. ARTIGO 64
O Conselho será responsável por contribuir na Determina que as medidas de proteção dispostas
elaboração da Política Nacional de Proteção de pela LGPD não excluem as medidas de proteção
Dados Pessoais e da Privacidade, publicar de outras leis. Dessa forma, pode-se considerar
relatórios anuais avaliando a Política, sugerir ações que há uma dupla camada de proteção para os
a serem tomadas pela ANPD, estudar e realizar dados pessoais dos titulares, já que as leis em
debates sobre proteção e privacidade de dados e vigor atuarão de forma complementar.
fomentar informação e conhecimento sobre esses
temas. ARTIGO 65
Estabelece que a Lei Geral de Proteção de Dados
ARTIGO 59 entra em plena vigência em 16 de agosto de 2020,
Dispunha sobre outras obrigações da ANPD, mas ou seja, no dia seguinte à data em que se
foi integralmente vetado. completam 24 meses da publicação no Diário
Oficial (que foi feita no dia 15 de agosto de 2018).
ARTIGO 60 Alguns dos itens que determinam a criação e
funcionamento da Autoridade Nacional de Proteção
de Dados, porém, estavam previstos para entrar
em vigor em 28 de dezembro de 2018.
Entretanto, a pandemia de coronavírus acabou
adiando um pouco a entrada em vigência da LGPD,
que aconteceu somente em setembro de 2020,
com sanções administrativas previstas para
começar a valer em 1º de agosto de 2021.

Você também pode gostar