Legislação

Lei nº 13.853, de 8 de julho de 2019

09/07/2019

Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências.

O PRESIDENTE DA REPÚBLICA

Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:

Art. 1º A ementa da Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com a seguinte redação:

“Lei Geral de Proteção de Dados Pessoais (LGPD).”

Art. 2ºA Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:

“Art. 1º ……………………………………………………………………………………………………..

Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.” (NR)

“Art. 3º ……………………………………………………………………………………………………..

………………………………………………………………………………………………………………………….

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

………………………………………………………………………………………………………………….” (NR)

“Art. 4º ……………………………………………………………………………………………………..

…………………………………………………………………………………………………………………………..

§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III docaputdeste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.” (NR)

“Art. 5º ……………………………………………………………………………………………………..

…………………………………………………………………………………………………………………………..

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

…………………………………………………………………………………………………………………………….

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.” (NR)

“Art. 7º ……………………………………………………………………………………………………..

…………………………………………………………………………………………………………………………..

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

………………………………………………………………………………………………………………………….

§ 1º (Revogado).

§ 2º (Revogado).

………………………………………………………………………………………………………………………….

§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.” (NR)

“Art. 11. ……………………………………………………………………………………………………

………………………………………………………………………………………………………………………….

II – …………………………………………………………………………………………………………….

………………………………………………………………………………………………………………………….

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

…………………………………………………………………………………………………………………………..

§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

I – a portabilidade de dados quando solicitada pelo titular; ou

II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.

§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.” (NR)

“Art. 18. …………………………………………………………………………………………………….

…………………………………………………………………………………………………………………………..

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

………………………………………………………………………………………………………………………….

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

………………………………………………………………………………………………………………….” (NR)

“Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

…………………………………………………………………………………………………………………………..

§ 3º (VETADO).” (NR)

“Art. 23. …………………………………………………………………………………………………….

…………………………………………………………………………………………………………………………..

III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e

IV – (VETADO).

………………………………………………………………………………………………………………….” (NR)

“Art. 26. …………………………………………………………………………………………………….

§ 1º …………………………………………………………………………………………………………..

…………………………………………………………………………………………………………………………..

IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou

V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.” (NR)

“Art. 27. …………………………………………………………………………………………………….

Parágrafo único. A informação à autoridade nacional de que trata ocaputdeste artigo será objeto de regulamentação.” (NR)

“Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.” (NR)

“Art. 41. …………………………………………………………………………………………………….

………………………………………………………………………………………………………………………….

§ 4º (VETADO).” (NR)

“Art. 52. ……………………………………………………………………………………………………

………………………………………………………………………………………………………………………….

X – (VETADO);

XI – (VETADO);

XII – (VETADO).

………………………………………………………………………………………………………………………….

§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.

§ 3º (VETADO).

………………………………………………………………………………………………………………………….

§ 5º O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995.

§ 6º (VETADO).

§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata ocaputdo art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.” (NR)

“Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.

§ 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.

§ 2º A avaliação quanto à transformação de que dispõe o § 1º deste artigo deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD.

§ 3º O provimento dos cargos e das funções necessários à criação e à atuação da ANPD está condicionado à expressa autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias.”

“Art. 55-B. É assegurada autonomia técnica e decisória à ANPD.”

“Art. 55-C. A ANPD é composta de:

  1. Conselho Diretor, órgão máximo de direção;
  2. Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
  3. Corregedoria;
  4. Ouvidoria;
  5. órgão de assessoramento jurídico próprio; e
  6. unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.”

“Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente.

§ 1º Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do art. 52 da Constituição Federal, e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores – DAS, no mínimo, de nível 5.

§ 2º Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.

§ 3º O mandato dos membros do Conselho Diretor será de 4 (quatro) anos.

§ 4º Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação.

§ 5º Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor.”

“Art. 55-E. Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar.

§ 1º Nos termos docaputdeste artigo, cabe ao Ministro de Estado Chefe da Casa Civil da Presidência da República instaurar o processo administrativo disciplinar, que será conduzido por comissão especial constituída por servidores públicos federais estáveis.

§ 2º Compete ao Presidente da República determinar o afastamento preventivo, somente quando assim recomendado pela comissão especial de que trata o § 1º deste artigo, e proferir o julgamento.”

“Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de 16 de maio de 2013.

Parágrafo único. A infração ao disposto nocaputdeste artigo caracteriza ato de improbidade administrativa.”

“Art. 55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.

§ 1º Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades.

§ 2º O Conselho Diretor disporá sobre o regimento interno da ANPD.”

“Art. 55-H. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal.”

“Art. 55-I. Os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente.”

“Art. 55-J. Compete à ANPD:

  1. zelar pela proteção dos dados pessoais, nos termos da legislação;
  2. zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
  3. elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  4. fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  5. apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
  6. promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  7. promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
  8. estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
  9. promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  10. dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
  11. solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
  12. elaborar relatórios de gestão anuais acerca de suas atividades;
  13. editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
  14. ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
  15. arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII docaputdeste artigo, o detalhamento de suas receitas e despesas;
  16. realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II docaputdeste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
  17. celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
  18. editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclaremstartupsou empresas de inovação, possam adequar-se a esta Lei;
  19. garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
  20. deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
  21. comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
  22. comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
  23. articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
  24. implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

§ 1º Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei.

§ 2º Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.

§ 3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.

§ 4º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.

§ 5º No exercício das competências de que trata ocaputdeste artigo, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei.

§ 6º As reclamações colhidas conforme o disposto no inciso V docaputdeste artigo poderão ser analisadas de forma agregada, e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada.”

“Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.

Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.”

“Art. 55-L. Constituem receitas da ANPD:

  1. as dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;
  2. as doações, os legados, as subvenções e outros recursos que lhe forem destinados;
  3. os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade;
  4. os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo;
  5. (VETADO);
  6. os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais ou internacionais;
  7. o produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.”

“Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 (vinte e três) representantes, titulares e suplentes, dos seguintes órgãos:

  1. 5 (cinco) do Poder Executivo federal;
  2. 1 (um) do Senado Federal;
  3. 1 (um) da Câmara dos Deputados;
  4. 1 (um) do Conselho Nacional de Justiça;
  5. 1 (um) do Conselho Nacional do Ministério Público;
  6. 1 (um) do Comitê Gestor da Internet no Brasil;
  7. 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
  8. 3 (três) de instituições científicas, tecnológicas e de inovação;
  9. 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
  10. 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e
  11. 2 (dois) de entidades representativas do setor laboral.

§ 1º Os representantes serão designados por ato do Presidente da República, permitida a delegação.

§ 2º Os representantes de que tratam os incisos I, II, III, IV, V e VI docaputdeste artigo e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.

§ 3º Os representantes de que tratam os incisos VII, VIII, IX, X e XI docaputdeste artigo e seus suplentes:

  1. serão indicados na forma de regulamento;
  2. não poderão ser membros do Comitê Gestor da Internet no Brasil;
  3. terão mandato de 2 (dois) anos, permitida 1 (uma) recondução.

§ 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.”

“Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:

  1. propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
  2. elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  3. sugerir ações a serem realizadas pela ANPD;
  4. elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
  5. disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.”

“Art. 65. Esta Lei entra em vigor:

  1. dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e
  2. 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.” (NR)

Art. 3º Ficam revogados os §§ 1º e 2º do art. 7º da Lei nº 13.709, de 14 de agosto de 2018.

Art. 4º Esta Lei entra em vigor na data de sua publicação

Brasília, 8 de julho de 2019; 198º da Independência e 131º da República.

JAIR MESSIAS BOLSONARO

SÉRGIO MORO

PAULO GUEDES

MARCOS CÉSAR PONTES

WAGNER DE CAMPOS ROSÁRIO

ROBERTO DE OLIVEIRA CAMPOS NETO

(Observação ABRAPP: este texto não substitui o publicado no DOU de 09.07.2019)