Legislação

Lei 13.709, de 14/08/2018
(D.O. 15/08/2018)

Art. 7º

- O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei 9.307, de 23/09/1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

Lei 13.853, de 08/07/2019, art. 2º (Nova redação ao inc. VIII).

Redação anterior: [VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;]

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

§ 1º - (revogado pela Lei 13.853, de 08/07/2019, art. 3º. Origem da Medida Provisória 869, de 27/12/2018, art. 2º).

Redação anterior (original): [§ 1º - Nos casos de aplicação do disposto nos incisos II e III do caput deste artigo e excetuadas as hipóteses previstas no art. 4º desta Lei, o titular será informado das hipóteses em que será admitido o tratamento de seus dados.] [[Lei 13.709/2018, art. 4º.]]

§ 2º - (revogado pela Lei 13.853, de 08/07/2019, art. 3º. Origem da Medida Provisória 869, de 27/12/2018, art. 3º).

Redação anterior (original): [§ 2º - A forma de disponibilização das informações previstas no § 1º e no inciso I do caput do art. 23 desta Lei poderá ser especificada pela autoridade nacional.]

§ 3º - O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

§ 4º - É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

§ 5º - O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

§ 6º - A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

§ 7º - O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.

Lei 13.853, de 08/07/2019, art. 2º (acrescenta o § 7º).
Referências ao art. 7 Jurisprudência do art. 7
Art. 8º

- O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. [[Lei 13.709/2018, art. 7º.]]

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

§ 1º - Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

§ 2º - Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 3º - É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º - O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

§ 5º - O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei. [[Lei 13.709/2018, art. 18.]]

§ 6º - Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração. [[Lei 13.709/2018, art. 9º.]]


Art. 9º

- O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

I - finalidade específica do tratamento;

II - forma e duração do tratamento, observados os segredos comercial e industrial;

III - identificação do controlador;

IV - informações de contato do controlador;

V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI - responsabilidades dos agentes que realizarão o tratamento; e

VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei. [[Lei 13.709/2018, art. 18.]]

§ 1º - Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

§ 2º - Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.

§ 3º - Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei. [[Lei 13.709/2018, art. 18.]]


Art. 10

- O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

I - apoio e promoção de atividades do controlador; e

II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

§ 1º - Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

§ 2º - O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

§ 3º - A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.


Art. 11

- O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei 9.307, de 23/09/1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

Lei 13.853, de 08/07/2019, art. 2º (Nova redação a alínea).

Redação anterior (original): [f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou]

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. [[Lei 13.709/2018, art. 9º.]]

§ 1º - Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§ 2º - Nos casos de aplicação do disposto nas alíneas [a] e [b] do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei. [[Lei 13.709/2018, art. 23.]]

§ 3º - A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

§ 4º - É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

Lei 13.853, de 08/07/2019, art. 2º (Nova redação ao § 4º. Origem da Medida Provisória 869, de 27/12/2018, art. 1º).

I - a portabilidade de dados quando solicitada pelo titular; ou

II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.

Redação anterior (original): [§ 4º - É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular.]

§ 5º - É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Lei 13.853, de 08/07/2019, art. 2º (acrescenta o § 1º).
Referências ao art. 11 Jurisprudência do art. 11
Art. 12

- Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

§ 1º - A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

§ 2º - Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

§ 3º - A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

Referências ao art. 12 Jurisprudência do art. 12
Art. 13

- Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

§ 1º - A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.

§ 2º - O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.

§ 3º - O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.

§ 4º - Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.


Art. 14

- O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

§ 1º - O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

§ 2º - No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei. [[Lei 13.709/2018, art. 18.]]

§ 3º - Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.

§ 4º - Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.

§ 5º - O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.

§ 6º - As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.


Art. 15

- O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II - fim do período de tratamento;

III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou [[Lei 13.709/2018, art. 8º.]]

IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Referências ao art. 15 Jurisprudência do art. 15
Art. 16

- Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Referências ao art. 16 Jurisprudência do art. 16
Art. 23

- O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei 12.527, de 18/11/2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: [[Lei 12.527/2011, art. 1º.]]

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

II - (VETADO); e

III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e

Lei 13.853, de 08/07/2019, art. 2º (acrescenta o inc. I).

III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei.

IV - (acrescentado e VETADO na Lei 13.853, de 08/07/2019, art. 2º).

§ 1º - A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.

§ 2º - O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades de que trata a Lei 12.527, de 18/11/2011 (Lei de Acesso à Informação).

§ 3º - Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei 9.507, de 12/11/1997 (Lei do Habeas Data), da Lei 9.784, de 29/01/1999 (Lei Geral do Processo Administrativo), e da Lei 12.527, de 18/11/2011 (Lei de Acesso à Informação).

§ 4º - Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.

§ 5º - Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.

Referências ao art. 23
Art. 24

- As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei. [[CF/88, art. 173.]]

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Parágrafo único - As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo.

Referências ao art. 24
Art. 25

- Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Art. 26

- O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei. [[Lei 13.709/2018, art. 6º.]]

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

§ 1º - É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei 12.527, de 18/11/2011 (Lei de Acesso à Informação);

II - (VETADO);

III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.

Redação anterior (da Medida Provisória 869, de 27/12/2018, art. 1º. Não convertida na Lei 13.853, de 08/07/2019, art. 2º): [III - se for indicado um encarregado para as operações de tratamento de dados pessoais, nos termos do art. 39;] [[Lei 13.709/2018, art. 39]]

IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou

Lei 13.853, de 08/07/2019, art. 2º (Nova redação ao inc. IV. Origem da Medida Provisória 869, de 27/12/2018, art. 1º).

V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Lei 13.853, de 08/07/2019, art. 2º (Nova redação ao inc. V. Origem da Medida Provisória 869, de 27/12/2018, art. 1º).

VI - (acrescentado pela Medida Provisória 869, de 27/12/2018, art. 1º. Não convertida na Lei 13.853, de 08/07/2019, art. 2º).

Redação anterior (da Medida Provisória 869, de 27/12/2018, art. 1º): [VI - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.]

§ 2º - Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional.

Referências ao art. 26
Art. 27

- A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..
Medida Provisória 869, de 27/12/2018, art. 1º (dava Nova redação ao caput. Não convertida na Lei 13.853, de 08/07/2019, art. 2º).

Redação anterior (da Medida Provisória 869, de 27/12/2018, art. 1º. Não convertida na Lei 13.853, de 08/07/2019, art. 2º): [Art. 27 - A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado dependerá de consentimento do titular, exceto: ]

I - nas hipóteses de dispensa de consentimento previstas nesta Lei;

II - nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; ou [[Lei 13.709/2018, art. 23.]]

III - nas exceções constantes do § 1º do art. 26 desta Lei. [[Lei 13.709/2018, art. 26.]]

Parágrafo único - A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação.

Lei 13.853, de 08/07/2019, art. 2º (acrescenta o artigo).

Art. 28

- (VETADO).


Art. 29

- A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..
Lei 13.853, de 08/07/2019, art. 2º (Nova redação ao artigo. Origem da Medida Provisória 869, de 27/12/2018, art. 1º).

Redação anterior (original): [Art. 29 - A autoridade nacional poderá solicitar, a qualquer momento, às entidades do Poder Público, a realização de operações de tratamento de dados pessoais, informe específico sobre o âmbito e a natureza dos dados e demais detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.]


Art. 30

- A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Art. 31

- Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Art. 32

- A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Art. 37

- O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Art. 38

- A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Parágrafo único - Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.


Art. 39

- O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Art. 40

- A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

Art. 41

- O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

§ 1º - A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º - As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º - A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

§ 4º - (acrescentado e VETADO na Lei 13.853, de 08/07/2019, art. 2º).


Art. 42

- O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

§ 1º - A fim de assegurar a efetiva indenização ao titular dos dados:

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; [[Lei 13.709/2018, art. 43.]]

II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei. [[Lei 13.709/2018, art. 43.]]

§ 2º - O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

§ 3º - As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

§ 4º - Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

Referências ao art. 42 Jurisprudência do art. 42
Art. 43

- Os agentes de tratamento só não serão responsabilizados quando provarem:

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.


Art. 44

- O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

Lei 13.709, de 08/07/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020).

I - o modo pelo qual é realizado;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único - Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano. [[Lei 13.709/2018, art. 46.]]

Referências ao art. 44 Jurisprudência do art. 44
Art. 45

- As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.

Lei 13.709, de 14/08/2018, art. 65 (artigo com Vigência em 15/02/2020. Nova vigência em 15/08/2020)..
Referências ao art. 45 Jurisprudência do art. 45