CUIDADO

O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre
a manifestação de vontade do titular.

- Se por escrito, deverá constar de cláusula destacada das demais cláusulas

contratuais.
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes
- Cabe ao controlador o ônus da prova de que o consentimento foi obtido em
conformidade com o disposto nesta Lei. hipóteses:
I - mediante o fornecimento de
- É vedado o tratamento mediante vício de consentimento.
- As autorizações genéricas serão nulas. consentimento pelo titular I - quando o titular ou seu responsável legal
- Pode ser revogado a qualquer momento mediante manifestação expressa do consentir, de forma específica e destacada,
titular II - para o cumprimento de obrigação legal para finalidades específicas
- Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta ou regulatória pelo controlador
Lei, o controlador deverá informar ao titular, com destaque de forma específica do II - sem fornecimento de consentimento do
teor das alterações, podendo o titular, nos casos em que o seu consentimento é III - pela administração pública, titular, nas hipóteses em que for
exigido, revogá-lo caso discorde da alteração. para o tratamento e uso indispensável para

Art. 8º compartilhado de dados

Não confundir com Art. 11º, inciso II, alínea b, pois lá se excluem os contratos,
necessários à execução de
convênios e instrumentos congêneres não serão suficientes para a) cumprimento de obrigação legal ou
legitimar o tratamento de dados sensíveis políticas públicas previstas em leis regulatória pelo controlador
e regulamentos ou respaldadas em
b) tratamento compartilhado de dados Atenção: está diferente do inciso II do Art.
contratos, convênios ou
necessários à execução, pela administração 7º (contratos, convênios e instrumentos
instrumentos congêneres pública, de políticas públicas previstas em congêneres não serão suficientes para
leis ou regulamentos legitimar o tratamento de dados sensíveis)
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais Requisitos c) realização de estudos por órgão de
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável
pesquisa, garantida, sempre que possível, a
V - quando necessário para a execução de contrato ou de procedimentos anonimização dos dados pessoais sensíveis
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado preliminares relacionados a contrato do qual seja parte o titular, a pedido
Art. 7º d) exercício regular de direitos, inclusive em
genético ou biométrico, quando vinculado a uma pessoa natural; do titular dos dados
contrato e em processo judicial,
Dados Sensíveis administrativo e arbitral
Exatamente como
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral
técnicos razoáveis e disponíveis na ocasião de seu tratamento o Art. 7º
e) proteção da vida ou da incolumidade
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro
física do titular ou de terceiro
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte
eletrônico ou físico VIII - para a tutela da saúde, exclusivamente, em procedimento realizado f) tutela da saúde, exclusivamente, em
por profissionais de saúde, serviços de saúde ou autoridade sanitária procedimento realizado por profissionais de
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento saúde, serviços de saúde ou autoridade
Ver Art. 10. Há entendimento que a IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, sanitária
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao expressão "ou de terceiro" aqui foi exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a
tratamento de dados pessoais equívoco do legislador proteção dos dados pessoais g) garantia da prevenção à fraude e à
segurança do titular, nos processos de
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente identificação e autenticação de cadastro em
nome do controlador; sistemas eletrônicos, resguardados os
direitos mencionados no art. 9º desta Lei e
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o exceto no caso de prevalecerem direitos e
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) liberdades fundamentais do titular que
exijam a proteção dos dados pessoais.
IX - agentes de tratamento: o controlador e o operador;

Demais aspectos:
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção,
- É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência
armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão
farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo
ou extração;
- É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção
de riscos na contratação de qualquer modalidade
- Poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de
Tratamentos devem seguir os seguintes determinada pessoa natural, se identificada.
princípios: finalidade, adequação - Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão
(compatibilidade do tratamento com as Definições tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas
finalidades informadas ao titular),
necessidade, livre acesso (pelo titular), Art. 5º
qualidade dos dados, transparência,
segurança, prevenção, não discriminação
(impossibilidade de realização do
tratamento para fins discriminatórios Tratamento dos Dados O tratamento de dados pessoais de crianças
e de adolescentes deverá ser realizado em
ilícitos ou abusivos) e responsabilização e
prestação de contas. Pessoais seu melhor interesse
Poder Público
Art. 6º § 1º O tratamento de dados pessoais de
Arts. 25 a 32
crianças deverá ser realizado com o
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos consentimento específico e em destaque
quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo dado por pelo menos um dos pais ou pelo
Crianças e responsável legal.
XII - consentimento, XIII - bloqueio e XIV - eliminação Principais pontos:
Adoelescentes § 3º Poderão ser coletados dados pessoais
de crianças sem o consentimento a que se
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo - O tratamento de dados pessoais pelas
Art. 14 refere o § 1º deste artigo quando a coleta for
internacional do qual o país seja membro pessoas jurídicas de direito público referidas
necessária para contatar os pais ou o
no parágrafo único do art. 1º da Lei nº 12.527,
responsável legal, utilizados uma única vez e
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados de 18 de novembro de 2011 (Lei de Acesso à
sem armazenamento, ou para sua proteção,
pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento Informação), deverá ser realizado para o
e em nenhum caso poderão ser repassados a
de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma atendimento de sua finalidade pública, na
terceiro sem o consentimento de que trata o
ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; persecução do interesse público
§ 1º deste artigo.
- O disposto nesta Lei não dispensa as
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos pessoas jurídicas mencionadas no caput
processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, deste artigo de instituir as autoridades de
bem como medidas, salvaguardas e mecanismos de mitigação de risco que trata a Lei nº 12.527, de 18 de novembro
de 2011 (Lei de Acesso à Informação) .
I - finalidade foi alcançada ou de os dados - Os serviços notariais e de registro
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito deixaram de ser necessários exercidos em caráter privado, por delegação
privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua
II - fim do período de tratamento do Poder Público, terão o mesmo tratamento
missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico,
dispensado às pessoas jurídicas referidas no
científico, tecnológico ou estatístico
III - comunicação de revogação pelo titular caput deste artigo, nos termos desta Lei.
O término do tratamento de dados pessoais - As empresas públicas e as sociedades de
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o Término ocorrerá nas seguintes hipóteses: IV - determinação da autoridade nacional, economia mista que atuam em regime de
cumprimento desta Lei em todo o território nacional. quando houver violação ao disposto nesta concorrência terão o mesmo tratamento
Art. 15 Lei. dispensado às pessoas jurídicas de direito
privado particulares (quando executarem
I - o respeito à privacidade Os dados pessoais serão eliminados após o
políticas públicas serão tratadas como
o titular tem domínio sobre os seus dados término de seu tratamento, no âmbito e nos
públicas para efeito desta lei)
limites técnicos das atividades, autorizada a
pessoais, ainda que o tratamento destes II - a autodeterminação informativa -É vedado ao Poder Público transferir a
seja legítimo conservação para as seguintes finalidades:
entidades privadas dados pessoais
Art. 16 constantes de bases de dados a que tenha
III - a liberdade de expressão, de acesso, exceto I - em casos de execução
informação, de comunicação e de descentralizada de atividade pública que
opinião I - cumprimento de obrigação legal ou
exija a transferência, exclusivamente para
esse fim específico e determinado,
regulatória pelo controlador;
observado o disposto na Lei nº 12.527, de 18
IV - a inviolabilidade da intimidade, de novembro de 2011 (Lei de Acesso à
II - estudo por órgão de pesquisa, garantida,
da honra e da imagem Informação) ; III - nos casos em que os dados
7 sempre que possível, a anonimização dos
forem acessíveis publicamente; IV - quando
dados pessoais;
V - o desenvolvimento econômico Fundamentos houver previsão legal ou a transferência for
respaldada em contratos, convênios ou
III - transferência a terceiro, desde que
e tecnológico e a inovação instrumentos congêneres; V - na hipótese de
respeitados os requisitos de tratamento de
a transferência dos dados objetivar
dados dispostos nesta Lei; ou
exclusivamente a prevenção de fraudes e
VI - a livre iniciativa, a livre irregularidades, ou proteger e resguardar a
concorrência e a defesa do IV - uso exclusivo do controlador, vedado
segurança e a integridade do titular dos
seu acesso por terceiro, e desde que
consumidor anonimizados os dados.
dados, desde que vedado o tratamento para
outras finalidades.

VII - os direitos humanos, o livre Lei Geral de Proteção de

desenvolvimento da
personalidade, a dignidade e o Dados Pessoais (LGPD)
exercício da cidadania pelas
pessoas naturais Lei 13.709/2018
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE
A ANPD poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de
JANEIRO DE 2022
dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os
Agentes de Tratamento segredos comercial e industrial.
Aprova o Regulamento de aplicação da
Controlador e Operador  Lei nº 13.709, de 14 de agosto de 2018, Lei
Aplicabilidade de Dados Pessoais Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos
Geral de Proteção de Dados Pessoais (
Art. 37 a 40 de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do
LGPD), para agentes de tratamento de
controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
pequeno porte.

ELO com a ANPD

É APLICÁVEL - O controlador deverá indicar encarregado pelo tratamento de dados pessoais. Identidade e as informações de contato do
NÃO É APLICÁVEL encarregado deverão ser divulgadas publicamente

Encarregado - As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
Art. 41 II - receber comunicações da autoridade nacional e adotar providências;
Art. 3º Art. 4º Esta Lei não se aplica ao III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de

A tratamento de dados pessoais: dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

ELO com os agentes

Esta Lei aplica-se a qualquer operação
de tratamento realizada por pessoa
P I - realizado por pessoa natural
de tratamento de dados

natural ou por pessoa jurídica de para fins exclusivamente

direito público ou privado,
independentemente do meio, do país
L particulares e não econômicos
Compete à ANPD:
- zelar pela proteção dos dados pessoais, zelar pela observância dos segredos comercial e industrial, elaborar diretrizes,

I
de sua sede ou do país onde estejam II - realizado para fins fiscalizar e aplicar sanções mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de
localizados os dados, desde que: exclusivamente: ANPD recurso, apreciar petições de titular contra controlador, editar regulamentos e procedimentos sobre proteção de dados
pessoais e privacidade, realizar auditorias ou determinar sua realização, implementar mecanismos simplificados, inclusive por
a) jornalístico e artísticos; ou

C
meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.
b) acadêmicos, aplicando-se a
esta hipótese os arts. 7º e 11 Art. 55J
I - a operação de tratamento seja
desta Lei;
realizada no território nacional
A III - realizado para fins
II - a atividade de tratamento tenha

B
exclusivos de:
por objetivo a oferta ou o
a) segurança pública;
fornecimento de bens ou serviços Art. 52. Os agentes de tratamento de dados ficam sujeitos às seguintes sanções administrativas
b) defesa nacional;
ou o tratamento de dados de
I
aplicáveis pela ANPD
c) segurança do Estado; ou
indivíduos localizados no território
d) atividades de investigação e I - advertência, com indicação de prazo para adoção de
nacional
repressão de infrações penais; medidas corretivas;
III - os dados pessoais objeto do L IV - provenientes de fora do II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica
tratamento tenham sido coletados

I
território nacional e que não de direito privado, grupo ou conglomerado no Brasil no seu último exercício,
no território nacional
sejam objeto de comunicação, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de
uso compartilhado de dados reais) por infração;

§ 1º Consideram-se coletados no
D com agentes de tratamento
brasileiros ou objeto de III - multa diária, observado o limite total a que se refere o inciso II
transferência internacional de

A
território nacional os dados IV - publicização da infração após devidamente apurada e confirmada a sua
dados com outro país que não o § 2º O disposto neste artigo não
pessoais cujo titular nele se ocorrência
de proveniência, desde que o substitui a aplicação de sanções
encontre no momento da coleta
administrativas, civis ou penais
D
país de proveniência V - bloqueio dos dados pessoais a que se refere a infração até a sua
proporcione grau de proteção definidas na Lei nº 8.078, de 11 de
regularização
de dados pessoais adequado ao setembro de 1990, e em

E Sanções
§ 2º Excetua-se do disposto no previsto nesta Lei. VI - eliminação dos dados pessoais a que se refere a legislação específica.
inciso I deste artigo o infração
tratamento de dados previsto
no inciso IV do caput do art. 4º X - suspensão parcial do funcionamento do banco de dados a que se refere a
desta Lei. infração pelo período máximo de 6 (seis) meses, prorrogável por igual período,
Em nenhum caso a totalidade
até a regularização da atividade de tratamento pelo controlador
dos dados pessoais de banco de
dados de que trata o inciso III XI - suspensão do exercício da atividade de tratamento dos dados pessoais
poderá ser tratada por pessoa a que se refere a infração pelo período máximo de 6 (seis) meses,
de direito privado, salvo por prorrogável por igual período
aquela que possua capital
integralmente constituído pelo XII - proibição parcial ou total do exercício de atividades relacionadas a
poder público. tratamento de dados.

Parágrafo 4º