Texto consolidado dos principais artigos da Lei nº 13.709/2018 (LGPD), conforme publicação no Diário Oficial da União. Vigência: 18 de setembro de 2020.
Capítulo I — Disposições Preliminares
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I — o respeito à privacidade; II — a autodeterminação informativa; III — a liberdade de expressão, de informação, de comunicação e de opinião; IV — a inviolabilidade da intimidade, da honra e da imagem; V — o desenvolvimento econômico e tecnológico e a inovação; VI — a livre iniciativa, a livre concorrência e a defesa do consumidor; VII — os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Art. 5º — Definições:
I — dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II — dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde ou à vida sexual, dado genético ou biométrico;
III — banco de dados: conjunto estruturado de dados pessoais;
VI — titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VII — controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais;
X — consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XI — bloqueio: suspensão temporária de qualquer operação de tratamento;
XII — eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados.
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I — finalidade; II — adequação; III — necessidade; IV — livre acesso; V — qualidade dos dados; VI — transparência; VII — segurança; VIII — prevenção; IX — não discriminação; X — responsabilização e prestação de contas.
Capítulo II — Do Tratamento de Dados Pessoais
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I — mediante o fornecimento de consentimento pelo titular;
II — para o cumprimento de obrigação legal ou regulatória pelo controlador;
III — pela administração pública;
IV — para a realização de estudos por órgão de pesquisa;
V — quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
IX — quando necessário para atender aos interesses legítimos do controlador ou de terceiro.
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular revogar o consentimento caso discorde da alteração.
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I — finalidade específica do tratamento; II — forma e duração do tratamento; III — identificação do controlador; IV — informações de contato do controlador; V — informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI — responsabilidades dos agentes que realizarão o tratamento; VII — direitos do titular.
Capítulo III — Do Tratamento de Dados Pessoais Sensíveis
Art. 11 O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I — quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II — sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal; b) tratamento compartilhado de dados necessários à execução de políticas públicas; c) realização de estudos por órgão de pesquisa; d) exercício regular de direitos; e) proteção da vida ou da incolumidade física; f) tutela da saúde, em procedimento realizado por profissionais de saúde; g) garantia da prevenção à fraude e à segurança do titular.
Capítulo V — Do Titular dos Dados
Art. 17 Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.
Art. 18 O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I — confirmação da existência de tratamento;
II — acesso aos dados;
III — correção de dados incompletos, inexatos ou desatualizados;
IV — anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V — portabilidade dos dados a outro fornecedor de serviço ou produto;
VI — eliminação dos dados pessoais tratados com o consentimento do titular;
VII — informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII — informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX — revogação do consentimento.
Art. 20 O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Capítulo VII — Da Segurança e das Boas Práticas
Art. 46 Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 48 O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Capítulo VIII — Da Fiscalização
Art. 52 Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I — advertência;
II — multa simples de até 2% do faturamento, limitada no total a R$ 50.000.000,00 por infração;
III — multa diária;
IV — publicização da infração;
V — bloqueio dos dados pessoais referidos na infração;
VI — eliminação dos dados pessoais referidos na infração.
Capítulo IX — Da Autoridade Nacional de Proteção de Dados (ANPD)
Art. 55-A Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.
Art. 55-J Compete à ANPD: I — zelar pela proteção dos dados pessoais; II — elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; III — fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.
Lei nº 13.709, de 14 de agosto de 2018 · Publicada no DOU de 15/08/2018 · Vigência: 18/09/2020
Texto consolidado conforme alterações das Leis nº 13.853/2019 e MP nº 869/2018.
Íntegra oficial disponível em: planalto.gov.br
Studio Premium
