Política de Privacidade

Lei Geral de Proteção de Dados - Lins

A Lei Federal 13.709/18 Geral de Proteção de Dados, (LGPD ou LGPDP), que entrou em vigor a partir de agosto de 2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais dos usuários.

A legislação se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão; de informação; comunicação e de opinião; à inviolabilidade de intimidade; da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos de liberdade e dignidade das pessoas.

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais,

por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da

personalidade da pessoa natural.

Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem

ser observadas pela União, Estados, Distrito Federal e Municípios. (Incluído pela Lei nº

13.853, de 2019) Vigência

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o
exercício da cidadania pelas pessoas naturais.

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural

ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou

serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (Redação

dada pela Lei nº 13.853, de 2019) Vigência

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

  • 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se

encontre no momento da coleta.

  • 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no

inciso IV do caput do art. 4º desta Lei.

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente:

  1. a) jornalístico e artísticos; ou
  2. b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III – realizado para fins exclusivos de:

  1. a) segurança pública;
  2. b) defesa nacional;
  3. c) segurança do Estado; ou
  4. d) atividades de investigação e repressão de infrações penais; ou


IV – provenientes de fora do território nacional e que não sejam objeto de comunicação,

uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência

internacional de dados com outro país que não o de proveniência, desde que o país de

proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

  • 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação

específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.

 

  • 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por

pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito

público, que serão objeto de informe específico à autoridade nacional e que deverão observar a

limitação imposta no § 4º deste artigo.

 

  • 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às

exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis

relatórios de impacto à proteção de dados pessoais.

 

  • 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o

inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público. (Redação dada pela Lei nº 13.853, de 2019) Vigência

 

Art. 5º Para os fins desta Lei, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,

opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,

dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma

pessoa natural;

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando

a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em

vários locais, em suporte eletrônico ou físico;

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de

tratamento;

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem

competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o

tratamento de dados pessoais em nome do controlador;

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de

comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019) Vigência

IX – agentes de tratamento: o controlador e o operador;

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do

tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda

com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante

guarda do dado pessoal ou do banco de dados;

XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de

dados, independentemente do procedimento empregado;

XV – transferência internacional de dados: transferência de dados pessoais para país

estrangeiro ou organismo internacional do qual o país seja membro;

XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional,

interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador

que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo

social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e (Redação dada pela Lei nº 13.853, de 2019) Vigência

XIX – autoridade nacional: órgão da administração pública responsável por zelar,

implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (Redação dada pela Lei nº 13.853, de 2019) Vigência

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com

essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de

acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas

finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação

às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a

duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e

atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente

acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados

pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,

alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO II DO TRATAMENTO DE DADOS PESSOAIS

Seção I
Dos Requisitos para o Tratamento de Dados Pessoais

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes

hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados

necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas

em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares

relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral,

esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

  • 1º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
  • 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
  • 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade,

a boa-fé e o interesse público que justificaram sua disponibilização.

  • 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os

dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os

princípios previstos nesta Lei.

  • 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo

que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

  • 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de

tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos

princípios gerais e da garantia dos direitos do titular.

  • 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo

poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e

específicos para o novo tratamento e a preservação dos direitos do titular, assim como os

fundamentos e os princípios previstos nesta Lei. (Incluído pela Lei nº 13.853, de

2019) Vigência

 

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

 

  • 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula

destacada das demais cláusulas contratuais.

  • 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em

conformidade com o disposto nesta Lei.

  • 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
  • 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações

genéricas para o tratamento de dados pessoais serão nulas.

  • 5º O consentimento pode ser revogado a qualquer momento mediante manifestação

expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados

sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

  • 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta

Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das

alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso

discorde da alteração.