ARTIGO 1 O texto da Lei Geral de Proteção de Dados, como de praxe, começa com o estabelecimento do escopo e objetivos das regras que virão a seguir. A LGPD visa preservar o direito constitucional à liberdade e à privacidade que todos os cidadãos brasileiros têm, assim como protegê-los de danos causados por rupturas desses direitos. O parágrafo também destaca que as regras da LGPD valem em todo o território nacional e que prevalece sobre quaisquer outras leis municipais ou estaduais. Finalmente, temos a especificação de que a LGPD se aplica “inclusive nos meios digitais”. Quando se fala sobre a lei, a proteção de dados na internet e em meios eletrônicos costuma ser o foco, mas é fundamental entender que suas normas valem para todo e qualquer tratamento de dados, inclusive analógicos (fichas de cadastro no papel, verificações presenciais de documentos etc.).
ARTIGO 2 Aqui, temos mais especificações sobre os embasamentos para a LGPD. A lei é construída sob a premissa do respeito à privacidade e à liberdade (inclusive de expressão). Enquanto isso, o conceito de autodeterminação informativa (item II) entende que o cidadão é soberano sobre suas próprias informações pessoais e deve ser o protagonista de quaisquer temas relacionados ao tratamento de seus dados. Os itens IV e VII estabelecem que a LGPD se preocupa com a preservação da imagem do cidadão — um dos motivos por que seus dados pessoais devem ser protegidos é que o tratamento dessas informações não pode ser feito com fins de prejudicá-lo, salvo em casos específicos com finalidade noticiosa, por exemplo. Finalmente, os itens V e VI especificam que a LGPD não se propõem a prejudicar as atividades das empresas que realizam tratamento de dados. O objetivo das regras é proteger o cidadão, e isso compreende entendê-lo como soberano de seus dados. Ou seja, a Lei não impede o tratamento, e sim estabelece meios para que o cidadão saiba exatamente o que será feito com seus dados. Dessa forma, ele tem autonomia e capacidade de consentir, ou não, com o uso que a empresa deseja fazer de suas informações pessoais. Isso preserva a competitividade e as estratégias das empresas, desde que elas se preocupem com a comunicação e uso transparente dos dados pessoais tratados no decorrer dessas atividades.
ARTIGO 3 Determina o escopo de atuação da lei, que se aplica a todo e qualquer tratamento de dados realizado tanto por pessoa física quanto por pessoa jurídica. A seguir, temos as especificações, que afunilam a regra. A LGPD se aplica a qualquer tratamento de dados ocorrido (total ou parcialmente) em solo brasileiro, ou que tenha por objetivo vender produtos e serviços nacionais. Uma pessoa estrangeira está protegida sob a LGPD dentro do Brasil, por exemplo, enquanto um brasileiro em outro país não. Além disso, a lei é voltada para tratamentos com fins comerciais, ou seja, trocas e outros tratamentos de dados entre pessoas físicas sem objetivos de compra ou venda de produtos e serviços não se enquadram.
ARTIGO 4 Complementando o que já havia sido abordado no artigo anterior, pessoas físicas têm o direito de realizar tratamentos de dados livremente quando estes tiverem fins exclusivamente particulares. Além disso, o direito à privacidade e à liberdade não impede a coleta, o uso e outros tratamentos de dados para fins jornalísticos, artísticos ou acadêmicos. Dessa forma, preserva-se a liberdade de imprensa, da arte e da ciência. Quando os objetivos de um tratamento de dados são relacionados à segurança pública, à defesa nacional e/ou à segurança do Estado, são isentos da LGPD. Atividades investigativas ou com o objetivo de impedir a ocorrência de crimes também resultam em tratamentos de dados válidos. É importante ressaltar que o tratamento de dados no contexto de garantir a segurança e defesa nacional deve ser realizado exclusivamente por órgão público, empresa pública ou empresa privada que esteja sob tutela do poder público ao realizar aquela atividade. A LGPD prevê legislação específica para assegurar que, nesses casos, o tratamento de dados será feito única e exclusivamente para fins de atender o interesse público. O item IV especifica outros casos em que a LGPD não se aplica. A Lei não vale para o tratamento de dados que venham de fora do Brasil — deve-se seguir a lei de proteção de dados do país de origem das informações tratadas. Nesses casos, as leis do país de origem são priorizadas caso o nível de proteção seja equivalente ao da LGPD.
ARTIGO 5
O artigo 5 é um dos mais importantes da LGPD, pois estabelece a definição de conceitos fundamentais para a compreensão do texto como um todo. Então, entenda o que significa:
Dado pessoal: qualquer informação que possa levar à identificação de uma pessoa física (nome completo, número de CPF, endereço, filiação…).
Dado pessoal sensível: assim considerado por haver a real possibilidade de mau uso para fins discriminatórios e prejudiciais ao indivíduo, como informações relativas a raça/etnia, religião, opinião política, sexualidade e dados genéticos ou biométricos (como a biometria facial ou o DNA de um indivíduo).
Dado anonimizado: um dado pessoal ou dado pessoal sensível passa a ser um dado anonimizado quando deixa de ser diretamente relacionado a uma pessoa. Isso acontece, por exemplo, quando um conjunto de dados sensíveis (como a autodeclaração de raça dos colaboradores de uma empresa) torna-se estatística (a porcentagem de colaboradores que se identificam com cada raça).
Banco de dados: seja digital, seja físico, um banco de dados é qualquer conjunto de dados pessoais.
Titular: indivíduo a quem os dados pessoais sendo tratados se referem. É o soberano de qualquer assunto relacionado ao tratamento dessas informações e tem capacidade de consentir, ou não, com o tratamento.
Controlador: responsável pelas decisões relacionadas ao tratamento dos dados pessoais. Entre outros pontos, é o controlador quem decide que dados serão tratados, de que forma e com que fim. Ele também é o principal responsável em caso de quaisquer incidentes que envolvam dados pessoais.
Operador: quem trata os dados em nome de outra entidade, ou seja, em nome do controlador. O operador deve sempre seguir estritamente as ordens do controlador em relação ao tratamento dos dados.
Encarregado: a LGPD prevê que operadores e controladores tenham um encarregado, pessoa responsável por intermediar a comunicação entre os titulares, o controlador e a Autoridade Nacional de Proteção de Dados.
Agentes de tratamento: tanto o operador quanto o controlador são agentes de tratamento; a responsabilidade final é sempre do controlador, mas o operador também tem obrigações a cumprir e pode ser responsabilizado em alguns casos, como quando não seguir as instruções do controlador.
Tratamento: toda e qualquer ação realizada com os dados pessoais de um titular, desde a coleta e armazenamento até o compartilhamento e uso. O ciclo completo de um dado pessoal, portanto, começa na coleta e termina na exclusão ou anonimização.
Anonimização: um dado anonimizado é um dado pessoal que se torna total e integralmente desvinculado do titular, de forma irreversível, fazendo com que seja impossível que se possa chegar ao titular por meio desse dado. A anonimização, por remover o caráter pessoal dos dados, abre espaço para que dados sejam tratados de maneiras que são proibidas quando falamos de dados pessoais.
Consentimento: permissão dada pelo titular para que determinado(s) dado(s) pessoal(is) seja(m) tratado(s). Deve ser pedido de forma explícita, clara e transparente pelo operador ou controlador, e se referir a uso específico e limitado.
Bloqueio: suspensão do tratamento de dados, que não isenta o operador e o controlador de precisarem proteger os dados pessoais e o banco de dados em que eles se encontram.
Eliminação: exclusão de dados pessoais.
Transferência internacional de dados: quando os dados pessoais são transferidos para fora do Brasil. É preciso assegurar que os dados terão proteção de nível equivalente ao proporcionado pela LGPD.
Uso compartilhado de dados: quando os dados pessoais não ficam limitados a um único ente (privado ou público). Órgãos públicos podem compartilhar dados na prática de suas obrigações legais, enquanto entes privados podem fazê-lo mediante devido consentimento do titular.
Relatório de impacto à proteção de dados pessoais: se houver qualquer risco de que determinado tratamento de dados possa vir a causar danos ao titular, é dever do controlador manter esse relatório. Dessa forma, em caso de incidentes, é possível entender os perigos da situação e trabalhar para mitigá-los mais rapidamente. A manutenção do relatório também visa comprovar que o tratamento que gera esses riscos recebe os devidos cuidados para evitá-los.
Órgão de pesquisa: especificados no texto da LGPD porque tais órgãos têm regras diferenciadas para o tratamento de dados e pedido de consentimento.
Autoridade nacional: a Autoridade Nacional de Proteção de Dados (ANPD) será o órgão responsável por implementar e gerenciar as regras da LGPD, garantindo que a Lei seja cumprida. A ANPD também é responsável por realizar auditorias, assim como aplicar as devidas sanções em casos comprovados de descumprimento da Lei.
ARTIGO 6
Assim como a maior parte das leis, a LGPD prevê a boa-fé daqueles atingidos por ela. Isso é fundamental porque, quando falamos de certas regras da Lei — como a possibilidade de o titular solicitar a exclusão de seus dados ou um relatório completo de tratamentos —, nem sempre será possível fornecer provas absolutamente incontestáveis de que a Lei foi obedecida.
Isso também vale para o detalhamento quanto ao tratamento a ser feito, presente na solicitação do consentimento ao titular. Até que surjam evidências do contrário, o titular deve presumir que o controlador realmente está utilizando seus dados pessoais somente para os fins acordados. Caso apareçam evidências do contrário, aí sim, caberá à Autoridade Nacional de Proteção de Dados tomar as devidas providências punitivas.
Com isso em mente, os demais princípios que devem ser seguidos ao realizar tratamentos de dados pessoais são:
Finalidade: uma das mais básicas regras da LGPD é de que todo e qualquer tratamento de dados pessoais deve ter uma finalidade específica, explicada com clareza para o titular. Não é permitido coletar dados sem propósito ou que possam vir a ter utilidade para o controlador, pois tudo tem que ser explicitamente detalhado para o titular no momento de solicitação do consentimento.
Adequação: o tratamento deve realmente acontecer de acordo com as finalidades informadas ao titular no momento do consentimento, utilizando dados e meios adequados.
Necessidade: outro ponto muito importante para a Lei como um todo. A LGPD determina que, independentemente do fim proposto, somente os dados absolutamente essenciais devem ser tratados. A relevância dos dados solicitados é fundamental para que o princípio de finalidade seja seguido. Portanto, pense: o que é indiscutivelmente necessário que você saiba sobre um usuário?
Livre acesso: como veremos em outros artigos mais para a frente, o titular tem direito de solicitar certos relatórios e informações sobre o tratamento de dados realizado por sua empresa. Como ele é compreendido pela LGPD como sendo o soberano sobre essas informações, o titular tem direito a entender exatamente como e para que eles são utilizados. Essas informações devem ser fornecidas gratuitamente e de forma simples, ou seja, compreensível para ele.
Qualidade dos dados: os dados pessoais tratados devem ser asseguradamente corretos e atualizados. Portanto, o titular tem direito a fazer exigências para garantir isso, como pedir a atualização de informações conforme necessário.
Transparência: complementa o princípio do livre acesso e especifica a necessidade de clareza na prestação de informações aos titulares. Isso inclui informar sobre os agentes que efetivamente realizam o tratamento de dados.
Segurança: para assegurar o cumprimento dos demais princípios, a segurança dos dados pessoais tratados é imprescindível. É dever do controlador — e do operador — tomar todas as medidas cabíveis para garantir que, tanto administrativa quanto tecnicamente, os dados pessoais tratados estão devidamente protegidos e mantidos em integridade. Além disso, é fundamental garantir que somente as pessoas devidamente autorizadas — e necessárias — têm acesso a esses dados.
Prevenção: a segurança dos dados pessoais não deve ser tratada apenas de forma reativa, mas principalmente preventiva. Políticas fortes de proteção e privacidade de dados pessoais contribuem para o estabelecimento de rotinas e processos eficazes para impedir danos aos dados tratados e possibilitam a identificação prévia de riscos e ameaças à segurança da informação.
Não discriminação: sob hipótese alguma podem os dados coletados serem utilizados para fins discriminatórios, como recusar serviços com base em informações étnicas. Isso não impede os controladores de cumprirem as regulamentações de seus setores quanto aos clientes a quem podem ou não prestar serviços — não é ato discriminatório, por exemplo, um banco recusar crédito a um indivíduo envolvido com lavagem de dinheiro.
Responsabilização e prestação de contas: o agente deve não apenas adotar as devidas medidas de segurança para proteção dos dados, mas ser capaz de comprová-las. Em casos de incidentes e outras falhas, isso será levado em consideração pela ANPD na hora de definir as sanções aplicadas.
ARTIGO 7 O consentimento é realmente um dos conceitos mais importantes da lei, que o entende como base fundamental para muitos dos tratamentos de dados realizados pelos controladores. Porém, ao contrário do que muitos ainda acreditam, o consentimento não é obrigatório em todos os casos: a LGPD busca um equilíbrio entre os interesses do titular e as necessidades dos controladores ao exercerem suas atividades. É preciso considerar, também, que alguns tratamentos de dados são imprescindíveis para o cumprimento das obrigações legais dos controladores, de acordo com o seu setor de atuação. Nesses casos, inclusive, o consentimento não é necessário. Isso também vale para órgãos da administração pública quando o tratamento visar o cumprimento de leis e de políticas públicas. Enquanto isso, órgãos de pesquisa também não precisam exigir consentimento, mas devem trabalhar com dados anonimizados sempre que possível — dessa forma, é possível ter acesso aos dados estatísticos sem que eles sejam conectados a um titular específico. Também há casos específicos em que o consentimento não precisa ser formalmente exigido, como para a execução de contratos ou para o exercício regular de direitos, isto é, ao utilizar dados em uma ação judicial, por exemplo. Quando o assunto é tutela da saúde e proteção da vida, o consentimento também não deve ser uma preocupação. No caso da saúde, é importante destacar que a não-obrigação do consentimento vale apenas para a realização de procedimentos, e não a qualquer momento e para qualquer controlador operando na área de saúde. É preciso considerar ainda os dados pessoais públicos, ou seja, amplamente divulgados e de fácil acesso a qualquer indivíduo — e que, normalmente, são referentes a pessoas públicas. Porém, mesmo nessas situações, é preciso considerar e respeitar o fim para o qual eles foram disponibilizados, assim como manter em mente o princípio da boa-fé. O quinto parágrafo relembra que o consentimento deve ser solicitado para fins específicos. Dessa forma, caso o controlador queira utilizar os dados que já possui para outro tipo de tratamento, é fundamental pedir consentimento novamente — a não ser que o novo tratamento se encaixe em alguma das exceções apresentadas neste artigo. Finalmente, é preciso manter em mente que, mesmo quando não há a necessidade de consentimento, todas as demais normas da LGPD continuam valendo.
ARTIGO 8 O oitavo artigo trata da forma com que o controlador deve solicitar o consentimento do titular. A primeira e mais importante regra é que as cláusulas referentes ao consentimento devem vir separadas das outras, permitindo que o titular tenha total clareza sobre a que está consentindo. Ou seja, os termos de uso aos quais estamos acostumados, em que o uso dos dados pessoais aparece em meio a tantas outras cláusulas que quase nenhum usuário lê, não serão mais o bastante. É preciso investir em uma linguagem clara e acessível, garantindo que o titular saiba exatamente qual será o tratamento feito com seus dados pessoais. A Lei lembra, mais uma vez, que o consentimento deve ser pedido para um determinado fim específico. É uma violação da LGPD pedir consentimento de forma não-específica e genérica; todo e qualquer dado pessoal solicitado e tratamento proposto deve ter uma finalidade clara. Além disso, o titular tem o direito de revogar seu consentimento a qualquer momento e sem a necessidade de justificar a recusa ao tratamento de seus dados.
ARTIGO 9 Trata do direito do titular de ser informado sobre os tratamentos de seus dados pessoais. Controladores e operadores têm uma série de obrigações nesse sentido, sendo importante destacar que as informações solicitadas devem ser fornecidas de forma clara e acessível — não cabem, por exemplo, relatórios altamente técnicos. O titular tem direito de solicitar informações sobre a finalidade, a duração e a forma de tratamento dos dados, assim como saber se seus dados estão sendo ou foram compartilhados com outros agentes. O primeiro parágrafo especifica que, nos casos em que for identificado que o consentimento não foi solicitado seguindo as regras da LGPD, ele será considerado inválido. Além disso, caso o controlador altere a finalidade para a qual originalmente pediu o consentimento, ele deve ser solicitado novamente. O titular pode, se preferir, optar por não renovar o consentimento para essa nova finalidade. O controlador ainda deve informar claramente ao titular sobre os produtos e serviços a que ele deixará de ter acesso caso não forneça o consentimento. Dessa forma, garante-se a plena ciência do titular e seu discernimento sobre aceitar ou não o tratamento de seus dados para os fins propostos.
ARTIGO 10 O conceito de “legítimo interesse” não é especificado e, portanto, só será possível entender exatamente sua extensão e aplicação a partir das situações concretas que forem surgindo ao longo da atuação da ANPD após a entrada em vigor da lei. Utilizar os dados pessoais coletados para fins de e-mail marketing, por exemplo, entra dentro do legítimo interesse do controlador (conforme especificado no item I). Para essa e outras atividades de legítimo interesse, é importante que somente os dados estritamente necessários sejam utilizados. Assim, preserva-se tanto o legítimo interesse do controlador quanto a integridade dos dados do titular. É prerrogativa da ANPD pedir que o controlador forneça relatórios sobre o impacto que as atividades de legítimo interesse têm sobre a proteção dos dados pessoais tratados.
ARTIGO 11 Conforme especificado no artigo 5, dados sensíveis são aquelas informações mais delicadas e cujas chances de mau uso (para fins discriminatórios e prejudiciais ao indivíduo, por exemplo) são mais altos. Portanto, são considerados dados sensíveis aqueles relacionados a religião, raça/etnia, opinião política, sexualidade e dados genéticos ou biométricos (como a biometria facial ou o DNA de um indivíduo). Aqui, o artigo 11 determina como deve ser feito — e como pode ser feito — o tratamento de dados pessoais sensíveis. Para começar, a questão do consentimento solicitado de forma clara e explícita, sempre com uma finalidade determinada, torna-se ainda mais importante quando tratamos dados sensíveis. As exceções, ou seja, casos em que o tratamento pode ser feito sem pedir o consentimento do titular, são similares àquelas relativas a dados pessoais comuns: obedecer a regulamentação, executar políticas públicas, realizar pesquisas (dando preferência para os dados anonimizados), exercer os direitos em ações judiciais e execução de contratos, proteger a vida de indivíduos ou realizar procedimentos de saúde. Em se tratando de dados sensíveis, um diferencial nas exceções é que, além de especificar a obediência às normas, a LGPD ainda destaca a prevenção à fraude e à segurança do titular. A cláusula é voltada especificamente para os cadastros digitais, ou seja, para o processo de onboarding digital. Um grande perigo relacionado a dados sensíveis é que o controlador venda-os ou compartilhe-os com o intuito de gerar lucro. Isso é explicitamente proibido pela LGPD e, diante desses casos, a Autoridade Nacional de Proteção de Dados pode aplicar punições. As exceções são quando há necessidade de compartilhar tais dados para prestar serviços relacionados a saúde e farmácia. Além de ser necessário para preservar a integridade do titular, isso também abre caminho para que a LGPD determine que o titular pode solicitar a portabilidade de seus dados (por exemplo, transferir o histórico de exames de um hospital para outro). Outro ponto destacado no item é a proibição de outro grande risco resultante do tratamento de dados sensíveis: o mau uso dessas informações por parte de planos de saúde privados, que podem tentar utilizá-los como forma de selecionar e excluir beneficiários. Sob a LGPD, essa prática é terminantemente proibida.
ARTIGO 12 Dados anonimizados não são considerados dados pessoais e, portanto, não são protegidos pelas diretrizes regulares da LGPD. Para que isso efetivamente aconteça, porém, a anonimização dos dados não pode, sob hipótese alguma, ser passível de reversão. A lei determina que a reversão não pode ser possível “com esforços razoáveis”, o que deixa certa margem para interpretação. Mas, como explica o parágrafo 1º, a determinação de quais são os “esforços razoáveis” de um agente considera o tempo e o custo necessários para conseguir reverter a anonimização, assim como a tecnologia disponível. Ou seja, o total de esforço e a disponibilidade de ferramentas que possam reverter o processo. Caso fique comprovado que não é possível identificar os titulares desses dados, eles são considerados anônimos. Se o controlador criptografar dados pessoais mas tiver uma chave de criptografia, por exemplo, trata-se de um processo facilmente reversível. Para esclarecer melhor a questão, é possível que a Autoridade Nacional venha a estabelecer os padrões a serem seguidos em processos de anonimização de dados.
ARTIGO 13 Este artigo trata do tratamento de dados pessoais por órgãos de pesquisa estudando questões de saúde pública. Nesses casos, os dados podem ser tratados, mas isso deve acontecer única e exclusivamente dentro do órgão e para fins da pesquisa sendo conduzida. Deve-se dar preferência para a anonimização (ou pseudonimização) dos dados. Mas o que é pseudonimização? Como explica o parágrafo 4º deste artigo, é quando um dado pessoal só pode ser atrelado a um indivíduo se houver acesso também a alguma outra informação — que deve ser mantida em separado e em total segurança. Dessa forma, se alguém conseguir acesso apenas aos dados originalmente tratados, não conseguirá relacioná-lo a nenhum indivíduo.
ARTIGO 14 Também há regras específicas para os dados de crianças e adolescentes, ou seja, pertencentes a titulares com menos de 18 anos. A lei destaca a necessidade de tratá-los somente para o melhor interesse do titular, reforçando essa que é uma questão necessária em qualquer tratamento de dados. Para o tratamento de dados de crianças e adolescentes, é imprescindível solicitar o consentimento de um dos pais ou do responsável legal. Assim, assegura-se que uma pessoa maior de idade dará o devido consentimento pelo titular sob o qual é responsável. É responsabilidade do controlador assegurar, na medida do possível, que o consentimento realmente foi fornecido pelo responsável. Há duas exceções bastante específicas, em que o consentimento do titular e/ou do responsável não é exigido: quando houver a necessidade de entrar em contato com os pais ou com o responsável pela criança ou adolescente ou quando tais dados forem necessários para proteger o titular menor de idade. Nesses casos, é terminantemente proibido compartilhar ou repassar os dados coletados com terceiros. Há um grande cuidado também em garantir que dados pessoais de crianças e adolescentes não sejam coletados além do estritamente necessário. Sendo assim, o compartilhamento de dados não-essenciais não pode ser requisito para que o titular possa utilizar apps e jogos. Mesmo que o consentimento final tenha que ser dado por um dos pais ou pelo responsável, ainda assim é importante que a criança ou adolescente entenda o que está sendo pedido. Portanto, a LGPD determina que as informações sobre o tratamento de dados devem ser fornecidas com uma linguagem adequada ao público-alvo do produto/serviço em questão. O texto recomenda a utilização de áudio, vídeo e imagens para complementar as informações e facilitar o entendimento.
ARTIGO 15 O tratamento dos dados pessoais deve ser terminado quando a finalidade for alcançada, quando os dados tratados não forem mais necessários para aquela finalidade, quando o fim do período de tratamento acordado com o titular se encerrar ou quando o titular assim solicitar. Outra condição que leva ao encerramento é quando a Autoridade Nacional de Proteção de Dados determinar o fim do tratamento de dados após descobrir irregularidades no cumprimento da LGPD.
ARTIGO 16 E, após o término do tratamento, os dados pessoais devem, via de regra, ser eliminados. Isso não é exigido quando a permanência dos dados é necessária para que o controlador cumpra suas obrigações legais (para fins de compliance ou KYC, por exemplo). Órgãos de pesquisa estão isentos dessa regra, mas recomenda-se a anonimização dos dados sempre que possível. Cumpridas as diretrizes da lei e/ou sob a solicitação do titular, a transferência dos dados a terceiros é permitida no lugar de sua exclusão. Além disso, caso o controlador anonimize os dados, é possível mantê-los para uso único e exclusivo (para fins estatísticos, por exemplo).
ARTIGO 17 Todos os cidadãos são os titulares de seus próprios dados pessoais e sob hipótese alguma perderão essa titularidade. Não importa o que seja pedido no consentimento ou qual seja o tratamento; dados pessoais são individuais e intransferíveis e sempre pertencerão à pessoa a que se referem.
ARTIGO 18 A qualquer momento e de forma gratuita e simples, o titular pode solicitar relatórios e informações sobre seus dados, incluindo a confirmação de qual é o tratamento feito com eles, quem tem acesso aos dados, quais são os dados sendo tratados e com quais agentes foram compartilhados. Além disso, o titular pode solicitar a correção ou atualização de dados, assim como a anonimização, exclusão ou interrupção do tratamento de dados pessoais não necessários para a finalidade à qual consentiu. Outro direito do titular é exigir a portabilidade de seus dados pessoais para outro prestador do mesmo serviço, por exemplo, de um plano de saúde para outro ou de um banco para outro. Nesses casos, devem ser preservados os segredos do negócio do controlador. Isso exclui dados que já haviam sido anonimizados. A qualquer momento, o titular pode questionar o controlador sobre o que acontecerá se ele não consentir com o tratamento de seus dados: a quais serviços não terá acesso, quais aspectos do serviço serão prejudicados etc. E se o controlador não for capaz de providenciar as informações solicitadas imediatamente, como obriga a LGPD? Então, deverá esclarecer os motivos por que não consegue. Caso o titular solicite as informações para uma empresa que não é a controladora (para a operadora, por exemplo), então deve-se indicar quem é o real agente de tratamento dos dados. Se o controlador compartilhou os dados com outros agentes de tratamento, há a obrigação de entrar em contato com eles para solicitar que também realizem os procedimentos solicitados pelo titular.
ARTIGO 19 Quando o titular solicitar a confirmação de que seus dados estão com o controlador ou peça acesso a esses dados, o agente deve fazê-lo imediatamente e de forma simplificada. Outra opção é fornecer uma declaração completa (mas também clara e acessível) dentro do prazo de 15 dias. Essa comunicação deve detalhar a origem dos dados, a finalidade do tratamento e o critério para tal, respeitando-se sempre os segredos de negócio. As informações podem ser fornecidas por meio eletrônico ou impresso, de acordo com a solicitação do titular. Ao determinar a forma com que os dados serão armazenados, o controlador deve levar em consideração a acessibilidade das informações nos casos de solicitação por parte do titular. Assim, assegura-se o cumprimento dos prazos. É direito do titular solicitar uma cópia eletrônica de todos os seus dados pessoais armazenados pelo controlador de forma que possam ser usados posteriormente, até mesmo em outros tratamentos. A LGPD prevê que a Autoridade Nacional pode determinar prazos diferenciados para setores específicos. Dessa forma, preserva-se a integridade de empresas menores, por exemplo, que podem ter mais dificuldades nesse sentido do que uma grande multinacional, por exemplo. A ideia é garantir o exercício dos direitos do cidadão sem prejudicar desnecessariamente as empresas controladoras dos dados.
ARTIGO 20 Cada vez mais frequentemente, processos operacionais são automatizados por meio de soluções de machine learning e inteligência artificial, por exemplo. Quando essas e outras tecnologias tomarem decisões de forma puramente automatizada, o titular tem o direito de solicitar a revisão dessas decisões. O controlador deve ser capaz de fornecer informações claras e transparentes sobre como o processo de decisão automatizada acontece. Caso isso não se cumpra, a ANPD pode solicitar auditoria para verificar se há algum tipo de discriminação ou viés na tomada de decisões automatizadas.
ARTIGO 21 O tratamento de dados pessoais pode ser realizado para os fins consentidos pelo titular e para cumprimento de obrigações regulatórias do controlador, não podendo haver prejuízos à imagem, à segurança ou à integridade do titular.
ARTIGO 22 Se o titular sentir que seus interesses não estão sendo respeitados, ele pode tomar providências legais sozinho ou, se preferir, fazer isso ao lado de outros titulares que também se sentirem prejudicados pelo mesmo controlador.
ARTIGO 23 Aborda o tratamento de dados pessoais pelo poder público, que pode ser realizado quando houver uma finalidade pública de interesse também público e somente quando houver real necessidade do tratamento para a execução dessas obrigações legais. O artigo não aborda o compartilhamento de dados ou o tratamento de dados sensíveis, o que abre espaço para que informações biométricas, por exemplo, venham a ser tratadas em nome da segurança pública. Para operações da esfera pública que envolvam tratamentos de dados pessoais, deve ser apontado um encarregado para zelar pelo bom uso e segurança das informações. Após formada, a ANPD pode determinar como devem ser anunciadas as medidas de segurança e as formas de tratamento.
ARTIGO 24 Pessoas jurídicas de direito privado são as associações, sociedades, fundações, organizações religiosas, partidos políticos e empresas individuais de responsabilidade limitada, instituídas por iniciativa de particulares. Já as empresas públicas são os entes de administração direta — União, Estados, Distrito Federal, Territórios e Municípios —, as autarquias, as fundações públicas e as demais entidades de caráter público. Por último, as sociedades de economia mista são formadas tanto por capital público quanto privado, sendo que a parcela de capital público deve ser maior. Para os fins da LGPD, as sociedades de economia mista e as empresas públicas estão sujeitas às mesmas diretrizes e regras das empresas de direito privado particular quando operarem em regime de concorrência, ou seja, para fins comerciais e/ou mercadológicos. Enquanto isso, se estiverem aplicando políticas públicas dentro de seus respectivos âmbitos de execução, serão consideradas da mesma forma que os demais órgãos do poder público.
ARTIGO 25 Prezando pela possível necessidade de execução de políticas e serviços públicos, e também pela descentralização da atividade pública e pelo livre acesso à informação por parte dos cidadãos, a LGPD orienta que os dados pessoais tratados nessas esferas devem ser mantidos de forma a permitir o uso compartilhado.
ARTIGO 26 Complementando diretamente o artigo 25, o artigo 26 determina que o compartilhamento de dados por parte do poder público só pode acontecer para fins de execução das políticas públicas. Ou seja, é preciso haver uma justificativa real e comprovável para o compartilhamento. Além disso, excetuando-se a prevenção a fraudes ou o uso de dados publicamente disponíveis, o poder público não deve compartilhar dados com entidades privadas.
ARTIGO 27 As organizações de direito público só poderão compartilhar ou comunicar dados pessoais a empresas de direito privado mediante consentimento do titular. Porém, há exceções. Permanecem os casos de dispensa do consentimento dispostas no artigo 7 e as exceções do artigo 26.
ARTIGO 28 O artigo 28, que foi integralmente vetado, previa a necessidade de informar publicamente sobre compartilhamentos de dados entre entidades do poder público. A justificativa para o veto é que essa publicização prejudicaria atividades de fiscalização, controle e policiamento. Portanto, as entidades ficam obrigadas a seguir as regras dos artigos 26 e 27, mas não precisam informar publicamente sobre esses compartilhamentos de dados.
ARTIGO 29 A Autoridade Nacional de Proteção de Dados pode solicitar informações sobre o tratamento de dados pessoais às entidades do poder público, assim como informações específicas sobre os dados em si. Também pode exigir a realização de tratamentos.
ARTIGO 30 Após seu estabelecimento, a ANPD ainda pode adicionar novas diretrizes sobre o compartilhamento de dados e a forma com que esse tipo de tratamento compartilhado é comunicada.
ARTIGO 31 A Autoridade Nacional de Proteção de Dados pode propor diretrizes para correção de violações de dados, quando estas acontecerem por causa de tratamentos de dados pessoais feitos por órgãos públicos.
ARTIGO 32 A ANPD ainda pode pedir que agentes do poder público divulguem relatórios de impacto à proteção de dados pessoais, assim como propor medidas para aprimorar os padrões e processos no tratamento desses dados.
ARTIGO 33 Determina os casos em que dados pessoais podem ser transferidos para fora do Brasil. A transferência só pode ser feita para países cujas leis de proteção de dados proporcionem um nível de proteção aos dados equivalente ao da LGPD — por isso, o controlador tem o dever de assegurar o cumprimento desses princípios por meio de cláusulas contratuais, certificados e outras comprovações reconhecidas. A transferência pode acontecer também quando for necessária a cooperação entre órgãos públicos de inteligência de diferentes países para fins de investigação e processamento penal, ou quando a transferência for necessária para a proteção da vida ou da integridade física de um indivíduo ou para a execução de políticas públicas ou demandas legais do serviço público. Além disso, a ANPD tem autoridade para autorizar a transferência em quaisquer casos que julgar relevantes, e o titular pode escolher consentir para fins específicos e claramente informados que envolvam a transferência de seus dados para outros países.
ARTIGO 34 Como especificado no artigo 33, uma exigência para a transferência de dados para outros países é que a legislação ofereça níveis de proteção similares aos da LGPD. A responsável por avaliar isso é a ANPD, considerando a legislação em vigor no país, a natureza dos dados a serem transferidos e as medidas de segurança adotadas, entre outros aspectos.
ARTIGO 35 A responsabilização do controlador pela proteção de dados em casos de transferências para o exterior, conforme especificado no artigo 33, deve ser feita por meio de cláusulas contratuais, certificados e outras comprovações reconhecidas. Sendo assim, é a ANPD que vai definir as cláusulas e certificados aceitos. Ao conduzir essas demandas, a ANPD pode solicitar ao controlador informações adicionais sobre o tratamento proposto. Nessas situações, devem-se considerar sempre os requisitos e condições mais básicos da LGPD, assegurando assim o mínimo cumprimento da lei. Além disso, a Autoridade pode revisar as certificações e anulá-las, caso encontre desconformidades.
ARTIGO 36 Caso ocorram mudanças nos preceitos utilizados como garantia do nível de proteção de dados proporcionado em transferências para fora do Brasil, a ANPD deve ser comunicada.
ARTIGO 37 É dever tanto do controlador quanto do operador manter registros claros e completos sobre todos os tratamentos de dados que realizarem. Isso é especialmente importante nos casos em que o tratamento é realizado para fins de legítimo interesse, pois o titular tem o direito de questionar isso e podem ser necessárias auditorias por parte da ANPD.
ARTIGO 38 A ANPD pode solicitar que o controlador providencie relatórios detalhando o impacto que os tratamentos realizados têm sobre a proteção dos dados pessoais, inclusive em casos de tratamentos de dados sensíveis. Tais relatórios devem incluir detalhes sobre os dados coletados, sobre como foi feita a coleta e sobre as garantias para a segurança desses dados, além de uma análise do controlador sobre essas medidas de segurança e prevenção a riscos. Pode-se optar por incluir outras informações julgadas relevantes, mas as aqui listadas são essenciais.
ARTIGO 39 O operador deve tratar dados pessoais exatamente de acordo com as instruções do controlador — que, por sua vez, é o responsável por garantir que essas instruções obedecem a todas as diretrizes da LGPD.
ARTIGO 40 Visando preservar a transparência nos tratamentos de dados e sua real essencialidade, a ANPD pode estabelecer padrões de interoperabilidade para os casos de portabilidade e no que visa o livre acesso aos dados, a segurança da informação e o tempo pelo qual os registros devem ser mantidos. Dentro do contexto da LGPD, interoperabilidade é a capacidade de sistemas e empresas operarem entre si.
ARTIGO 41 O controlador é o responsável por indicador o encarregado, pessoa responsável pelo tratamento de dados pessoais. Além disso, o controlador deve informar claramente — de preferência em seu site — a identidade e os meios de contato do encarregado. Isso é necessário para que o titular possa entrar em contato com o encarregado, caso deseje. O artigo 41 detalha, ainda, as atividades de responsabilidade do encarregado, que incluem: receber reclamações e outras mensagens dos titulares; fornecer esclarecimentos e tomar providências para solucionar problemas ou dúvidas; receber mensagens da ANPD e tomar as devidas providências; orientar os colaboradores quanto à proteção de dados; e demais atividades exigidas pelo controlador sobre o tratamento de dados, visando obedecer a Lei. Após sua formação, a ANPD pode estabelecer outras atividades para o encarregado. Dependendo da organização, levando em consideração características como porte e volume do tratamento de dados, a Autoridade Nacional pode dispensar a necessidade desse profissional.
ARTIGO 42 O tratamento de dados feito pelo controlador ou operador não pode ter quaisquer consequências negativas ou de alguma forma causar danos ao titular. Caso isso aconteça, o agente responsável deve reparar a situação imediatamente. A responsabilidade é do operador quando este descumprir suas obrigações dentro da LGPD ou quando desobedecer às ordens dadas pelo controlador. Enquanto isso, a responsabilidade cai sobre o controlador quando estiver diretamente envolvido no tratamento danoso. Nesses casos, é o titular quem deve fornecer provas de que o tratamento causou danos a ele. Porém, se o juiz entender que a acusação é verossímil, mas que o titular não tem condições ou recursos para fornecer as provas, o dever de fornecê-las pode passar para o agente de tratamento.
ARTIGO 43 Para não serem responsabilizados por danos decorrentes do tratamento de dados, os agentes precisam comprovam que não realizam esse tratamento, que o realizam mas que não houve violação às diretrizes de proteção à integridade do titular ou que o titular é o único culpado pelos danos em questão.
ARTIGO 44 O tratamento de dados é considerado irregular quando não seguir a LGPD ou quando não proporcionar o devido nível de segurança de dados. Tal segurança deve ser assegurada levando em consideração a forma com que o tratamento é realizado, os riscos que podem ser esperados e as tecnologias disponíveis no momento. Se acontecerem danos decorrentes da desobediência das diretrizes de segurança de dados, o agente responsável por essas falhas — seja o controlador, seja o operador — será responsabilizado.
ARTIGO 45 Quando o assunto são relações de consumo, o que determina o que é ou não uma violação dos direitos do titular é a legislação vigente, ou seja, a Lei 8.078/1990 – Código de Defesa do Consumidor.
ARTIGO 46 A segurança de dados deve incluir a garantia de que somente as pessoas devidamente autorizadas e fundamentais podem ter acesso aos dados. Deve-se assegurar também que não haverá tentativas ou situações indevidas e/ou acidentais de perda, alteração, compartilhamento ou qualquer outro tipo de tratamento com os dados. Para garantir isso, os agentes de tratamento devem tomar medidas técnicas e administrativas. Os padrões mínimos para esse tipo de proteção poderão ser dispostos pela ANPD, levando em consideração o tipo de tratamento realizado e as possibilidades atuais da tecnologia. O artigo destaca que esses cuidados devem ser levados em consideração não apenas durante a execução, mas desde a fase de concepção do produto. Isso aproxima a LGPD do conceito de Privacy by Design, em que a privacidade e a segurança de dados são parte integrante do desenvolvimento do produto, e não preocupações posteriores.
ARTIGO 47 Quaisquer agentes ou indivíduos que tiverem participação ou intervirem em qualquer fase do tratamento de dados torna-se responsável por assegurar a segurança desses dados, mesmo depois que o tratamento terminar.
ARTIGO 48 Diante de um incidente ou falha na segurança de dados que possa resultar em danos ou riscos aos titulares, é dever do controlador comunicar a ANPD e os titulares dos dados envolvidos. O prazo para essa comunicação será definido pela Autoridade Nacional, mas deve incluir pelo menos a natureza dos dados afetados, as informações dos respectivos titulares, o detalhamento das medidas de segurança adotadas para a proteção dos dados, os possíveis riscos do incidente e o que será feito para mitigar ou reverter as consequências. Caso haja demora na comunicação, é preciso incluir também os motivos para o atraso. A partir daí, a ANPD irá averiguar a situação e a gravidade do ocorrido. Visando preservar os titulares, a Autoridade pode solicitar que o controlador divulgue amplamente o incidente nos meios de comunicação e/ou tome providências para reverter ou mitigar os efeitos. A avaliação do nível de gravidade do ocorrido deve levar em consideração o fornecimento de que os dados envolvidos encontram-se ininteligíveis por meio de medidas técnicas, impedindo assim que terceiros não-autorizados os acessem.
ARTIGO 49 Todos os sistemas e bases de dados usados para o tratamento devem ser estruturados levando em consideração as diretrizes de segurança dispostas pela LGPD, assim como os padrões de boas práticas e de governança propostos pela lei e demais normas legislativas.
ARTIGO 50 A LGPD recomenda que os agentes de tratamento estabeleçam regras de boas práticas e de governança sobre segurança e proteção de dados. O documento pode incluir, por exemplo, os procedimentos e os padrões técnicos da organização, como lidar com reclamações e petições dos titulares, as ações educativas tomadas dentro do empresa, os envolvidos nos tratamentos, processos para mitigar riscos etc. Se escolherem fazer isso, é importante levar em consideração todas as diretrizes da LGPD, garantindo assim que o documento está alinhado com a lei e efetivamente ajudará o agente de tratamento a obedecê-la. Apesar de não ser obrigatório, a existência de tais documentos e sua respectiva aplicação no dia a dia da instituição será levada em consideração pela ANPD se for necessário determinar sanções para incidentes ou falhas que vierem a ocorrer. O artigo recomenda ainda que, após analisar o volume e a sensibilidade dos dados tratados e a gravidade dos riscos envolvidos, o controlador pode implementar programas de governança internos para divulgar as boas práticas de proteção de dados, que devem ser aplicadas a todos os dados pessoais coletados, e as políticas e medidas preventivas estabelecidas. O programa deve ser construído também de acordo com a estrutura da organização e visar a construção de relações de confiança com o titular — valorizando, portanto, a transparência e a clareza nas comunicações. A LGPD aponta ainda a importância de que tal programa inclua planos de resposta e remediação para casos de incidentes e que seja reavaliado e atualizado com frequência. Se a ANPD assim pedir, será necessário comprovar a eficácia do programa.
ARTIGO 51 A ANPD vai promover a adoção de padrões técnicos mínimos para facilitar o controle de dados por parte dos próprios titulares. Assim, a Autoridade cumpre seu papel de não apenas aplicar a LGPD, mas também de conscientizar a população sobre os temas da lei.
ARTIGO 52 Caso os agentes de tratamento cometam infrações à LGPD, a ANPD irá definir as sanções a serem aplicadas. Pode ser dada uma advertência, indicando o prazo para a adoção de medidas corretivas; uma multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração; uma multa diária, dentro desse mesmo limite total; a ampla divulgação da infração e de suas causas; ou o bloqueio ou exclusão dos dados pessoais envolvidos na infração. A ANPD ainda pode exigir a suspensão parcial dos bancos de dados envolvidos na infração ou de toda a atividade de tratamento desses dados por até 6 meses, passíveis de prorrogação. Dentro desse período, o agente deve regularizar a situação que levou à infração. O tratamento de quaisquer dados também pode ser proibido total ou parcialmente. Levando em consideração a gravidade do incidente, a boa-fé do infrator, se trata-se ou não de reincidência, o quanto o agente mostra-se cooperativo, a tomada imediata de medidas corretivas e a existência de políticas de boas práticas e de governança, a ANPD deve dar espaço para que o infrator se defenda. Esses comportamentos também serão considerados na hora de determinar a sanção; o faturamento do agente pode ser avaliado também. Além disso, a sanção deve ser nivelada de acordo com a gravidade do ocorrido.
ARTIGO 53 A ANPD definirá as metodologias exatas para calcular o valor-base das multas, que deverá ir para consulta pública antes de ser implementada. As metodologias devem ser claras e detalhadas, determinando também o que levará à sanção de multa diária ou simples. Os agentes de tratamento devem ter acesso prévio às metodologias.
ARTIGO 54 O valor definido para a multa diária deve ser estabelecido de acordo com a gravidade do incidente e com a extensão dos danos decorrentes. Ao estabelecer a multa, a ANPD deve incluir a obrigação que o agente deve cumprir para seu encerramento, além de um prazo razoável para isso e de qual passará a ser o valor da multa diária caso não seja cumprido.
ARTIGO 55
Este artigo cria a Autoridade Nacional de Proteção de Dados (ANPD), inicialmente vetada, mas depois retomada. O órgão da administração pública federal fará parte da Presidência da República e é de natureza transitória — ou seja, o Poder Executivo pode transformá-la em entidade da administração pública federal indireta, sendo então submetida a regime autárquico especial, mas mantendo o vínculo à Presidência.
Com autonomia técnica e decisória, a ANPD será formada por Conselho Diretor, Conselho Nacional de Proteção de Dados e Privacidade, Corregedoria e Ouvidoria, além de unidades administrativas e unidades especializadas e um órgão próprio de assessoramento jurídico.
O Conselho Diretor será composto por um Diretor-Presidente e outros quatro diretores, nomeados pelo Presidente da República e sujeitos a aprovação do Senado. Eles terão mandatos de 4 anos e serão escolhidos entre cidadãos brasileiros altamente especializados na área a que seus cargos se referem.
Enquanto a ANPD não conclui seu processo de entrada em vigor, o órgão será auxiliado pela Casa Civil da Presidência da República. O regime interno da ANPD, por sua vez, será estabelecido pelo próprio Conselho Diretor, que também indicará pessoas para os cargos em comissão e para funções de confiança para posterior aprovação do Diretor-Presidente.
As responsabilidades da ANPD incluem:
zelar pela proteção dos dados pessoais;
elaborar a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
fiscalizar a aplicação da LGPD e determinar sanções para casos de infração;
avaliar petições e reclamações de titulares;
fomentar a conscientização e conhecimento sobre proteção e segurança de dados pessoais entre a população;
estimular a adoção de padrões que facilitem o controle dos titulares sobre seus dados;
promover ações internacionais de cooperação entre autoridades de proteção de dados;
estabelecer as medidas para, quando necessário, divulgar operações de tratamento de dados;
solicitar informações sobre tratamentos de dados ao poder público a fim de garantir o cumprimento da LGPD;
elaborar relatórios anuais sobre suas atividades, que deve incluir detalhes sobre a receita e as despesas do órgão;
estabelecer regulamentos e procedimentos sobre proteção e privacidade de dados e relatórios de impacto diante de tratamentos que representem alto risco;
realizar auditorias para verificar o cumprimento da LGPD por parte dos agentes de tratamento, incluindo os do poder público;
adaptar normas, orientações e processos para atender às necessidades específicas de microempresas, empresas de pequeno porte e iniciativas disruptivas, incluindo startups e empresas de inovação, a fim de auxiliá-las na adequação e cumprimento da LGPD;
garantir a clareza, facilitação, transparência e acessibilidade das informações no que se refere ao tratamento de dados de idosos;
implementar meios práticos e facilitados para que titulares possam registrar reclamações sobre o tratamento de seus dados, inclusive pela internet;
colocar seus regulamentos e normas para consulta pública e análises de impacto regulatório.
Quando o assunto é proteção, privacidade e tratamento de dados pessoais, a ANPD prevalece sobre outras entidades da administração pública. Para arrecadar receita, a ANPD dependerá do orçamento geral da União; doações; venda ou aluguel de bens e imóveis de que for dona; rendimentos advindos da aplicação de suas receitas; recursos originados de acordos ou convênios com outras entidades; e venda de publicações e materiais técnicos.
ARTIGO 56 Integralmente vetado, o artigo 56 complementava o artigo 55 original no estabelecimento da Autoridade Nacional de Proteção de Dados.
ARTIGO 57 Outro artigo vetado por completo que falava sobre a Autoridade Nacional de Proteção de Dados.
ARTIGO 58 Os itens originais do artigo 58, que trata do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, foi vetado. Os novos itens determinam que o conselho, que faz parte da LGPD, será composto por 23 representantes, sendo 5 do Poder Executivo Federal, 1 do Senado Federal, 1 da Câmara dos Deputados, 1 do Conselho Nacional de Justiça, 1 do Conselho Nacional do Ministério Público, 1 do Comitê Gestor da Internet no Brasil, 3 vindos de entidades da sociedade civil que tratem da proteção de dados, 3 de instituições científicas ou tecnológicas, 3 sindicalistas representando setores da economia, 2 representantes do setor empresarial dentro da área de tratamento de dados e 2 representantes do setor laboral. Os mandatos serão de 2 anos. O Conselho será responsável por contribuir na elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, publicar relatórios anuais avaliando a Política, sugerir ações a serem tomadas pela ANPD, estudar e realizar debates sobre proteção e privacidade de dados e fomentar informação e conhecimento sobre esses temas.
ARTIGO 59 Dispunha sobre outras obrigações da ANPD, mas foi integralmente vetado.
ARTIGO 60 Estabelece duas alterações no Marco Civil da Internet (Lei 12.965/2014). A primeira, no artigo 7, determina a exclusão dos dados após o fim do tratamento previsto — com exceção dos casos em que seu armazenamento for necessário para fins regulatórios. A segunda mudança é no artigo 12 do Marco Civil, que passa a incluir a necessidade de eliminar dados pessoais excessivos em relação ao tratamento para o qual o titular consentiu.
ARTIGO 61 Empresas estrangeiras com filiais ou escritórios no Brasil — e, portanto, sujeitas à LGPD se coletarem e tratarem dados em território nacional — serão notificadas e intimadas no que se refere à aplicação da Lei Geral de Proteção de Dados pelo agente ou representante da filial ou escritório brasileiro.
ARTIGO 62 Estabelece que a ANPD, ao lado do Inep — Instituto Nacional de Estudos e Pesquisas Educacionais, editará regulamentos específicos para que os tratamentos de dados necessários para o Sinaes — Sistema Nacional de Avaliação da Educação Superior possam acontecer.
ARTIGO 63 Para os bancos de dados formados antes da entrada em vigência da LGPD, a ANPD vai estabelecer regras e processos para que sejam progressivamente adaptados à Lei. Para tanto, serão levadas em consideração a complexidade das operações e a natureza dos dados tratados — o objetivo é garantir o cumprimento da Lei e os direitos do titular sem prejudicar as empresas em questão.
ARTIGO 64 Determina que as medidas de proteção dispostas pela LGPD não excluem as medidas de proteção de outras leis. Dessa forma, pode-se considerar que há uma dupla camada de proteção para os dados pessoais dos titulares, já que as leis em vigor atuarão de forma complementar.
ARTIGO 65 Estabelece que a Lei Geral de Proteção de Dados entra em plena vigência em 16 de agosto de 2020, ou seja, no dia seguinte à data em que se completam 24 meses da publicação no Diário Oficial (que foi feita no dia 15 de agosto de 2018). Alguns dos itens que determinam a criação e funcionamento da Autoridade Nacional de Proteção de Dados, porém, estavam previstos para entrar em vigor em 28 de dezembro de 2018.
Comentarios