Gerenciar o consentimento do Titular para tratar seus dados pessoais
É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei. O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei. (Art. 7, § 4º e 5º) Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na Lei. (Art. 8º, §2º) Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. (Art. 9, §2º)
Observar as recomendações caso tenha o legítimo interesse como base para tratar dados pessoais
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: [...] Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. (Art.10, caput, §1 e 2)
Caso realize tratamento de dados pessoais de crianças e adolescentes, deverá
[...] manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da lei. (Art.14 §2º)
Fazer uso adequado dos dados pessoais sob sua responsabilidade
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades [...] Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (Art. 16, caput, IV)
Prover informações sobre tratamento de dados pessoais do Titular pelo controlador
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular (Art. 19)
Fornecer informações sobre decisões automatizadas quando utilizadas
O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)
Oferecer garantias para o tratamento internacional dos dados, quando este ocorrer
(Art. 23)
Manter registro das operações de tratamento de dados pessoais, inclusive dados sensíveis
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (Art. 37 e 38)
Fornecer ao operador orientações sobre o tratamento de dados pessoais
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (Art. 39)
Nomear o encarregado de dados pessoais e cuidar para que esta informação tenha ampla divulgação pública
O controlador deverá indicar encarregado pelo tratamento de dados pessoais. (Art. 41)
Reparar dano causado pelo controlador ou operador trabalhando em nome deste
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (Art. 41)
Implementar medidas de segurança, técnicas e administrativas afim de proteger os dados pessoais sob sua responsabilidade
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)
Comunicar à ANPD ocorrência de incidentes de segurança
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
Implementar regras de governança e boas práticas
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (Art. 50)
OBRIGAÇÕES DOS CONTROLADORES
Gerenciar o consentimento do Titular para tratar seus dados pessoais
É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei. O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei. (Art. 7, § 4º e 5º) Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na Lei. (Art. 8º, §2º) Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. (Art. 9, §2º)
Observar as recomendações caso tenha o legítimo interesse como base para tratar dados pessoais
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: [...] Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. (Art.10, caput, §1 e 2)
Caso realize tratamento de dados pessoais de crianças e adolescentes, deverá
[...] manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da lei. (Art.14 §2º)
Fazer uso adequado dos dados pessoais sob sua responsabilidade
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades [...] Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (Art. 16, caput, IV)
Prover informações sobre tratamento de dados pessoais do Titular pelo controlador
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular (Art. 19)
Fornecer informações sobre decisões automatizadas quando utilizadas
O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)
Oferecer garantias para o tratamento internacional dos dados, quando este ocorrer
(Art. 23)
Manter registro das operações de tratamento de dados pessoais, inclusive dados sensíveis
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (Art. 37 e 38)
Fornecer ao operador orientações sobre o tratamento de dados pessoais
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (Art. 39)
Nomear o encarregado de dados pessoais e cuidar para que esta informação tenha ampla divulgação pública
O controlador deverá indicar encarregado pelo tratamento de dados pessoais. (Art. 41)
Reparar dano causado pelo controlador ou operador trabalhando em nome deste
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (Art. 41)
Implementar medidas de segurança, técnicas e administrativas afim de proteger os dados pessoais sob sua responsabilidade
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)
Comunicar à ANPD ocorrência de incidentes de segurança
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
Implementar regras de governança e boas práticas
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (Art. 50)
OBRIGAÇÕES DOS CONTROLADORES
Última atualização: 25/03/2021
Gerenciar o consentimento do Titular para tratar seus dados pessoais
É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei. O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei. (Art. 7, § 4º e 5º) Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na Lei. (Art. 8º, §2º) Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. (Art. 9, §2º)
Observar as recomendações caso tenha o legítimo interesse como base para tratar dados pessoais
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: [...] Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. (Art.10, caput, §1 e 2)
Caso realize tratamento de dados pessoais de crianças e adolescentes, deverá
[...] manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da lei. (Art.14 §2º)
Fazer uso adequado dos dados pessoais sob sua responsabilidade
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades [...] Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (Art. 16, caput, IV)
Prover informações sobre tratamento de dados pessoais do Titular pelo controlador
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular (Art. 19)
Fornecer informações sobre decisões automatizadas quando utilizadas
O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)
Oferecer garantias para o tratamento internacional dos dados, quando este ocorrer
(Art. 23)
Manter registro das operações de tratamento de dados pessoais, inclusive dados sensíveis
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (Art. 37 e 38)
Fornecer ao operador orientações sobre o tratamento de dados pessoais
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (Art. 39)
Nomear o encarregado de dados pessoais e cuidar para que esta informação tenha ampla divulgação pública
O controlador deverá indicar encarregado pelo tratamento de dados pessoais. (Art. 41)
Reparar dano causado pelo controlador ou operador trabalhando em nome deste
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (Art. 41)
Implementar medidas de segurança, técnicas e administrativas afim de proteger os dados pessoais sob sua responsabilidade
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)
Comunicar à ANPD ocorrência de incidentes de segurança
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
Implementar regras de governança e boas práticas
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (Art. 50)
OBRIGAÇÕES DOS CONTROLADORES
Gerenciar o consentimento do Titular para tratar seus dados pessoais
É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei. O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei. (Art. 7, § 4º e 5º) Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na Lei. (Art. 8º, §2º) Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. (Art. 9, §2º)
Observar as recomendações caso tenha o legítimo interesse como base para tratar dados pessoais
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: [...] Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. (Art.10, caput, §1 e 2)
Caso realize tratamento de dados pessoais de crianças e adolescentes, deverá
[...] manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da lei. (Art.14 §2º)
Fazer uso adequado dos dados pessoais sob sua responsabilidade
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades [...] Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (Art. 16, caput, IV)
Prover informações sobre tratamento de dados pessoais do Titular pelo controlador
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular (Art. 19)
Fornecer informações sobre decisões automatizadas quando utilizadas
O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)
Oferecer garantias para o tratamento internacional dos dados, quando este ocorrer
(Art. 23)
Manter registro das operações de tratamento de dados pessoais, inclusive dados sensíveis
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (Art. 37 e 38)
Fornecer ao operador orientações sobre o tratamento de dados pessoais
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (Art. 39)
Nomear o encarregado de dados pessoais e cuidar para que esta informação tenha ampla divulgação pública
O controlador deverá indicar encarregado pelo tratamento de dados pessoais. (Art. 41)
Reparar dano causado pelo controlador ou operador trabalhando em nome deste
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (Art. 41)
Implementar medidas de segurança, técnicas e administrativas afim de proteger os dados pessoais sob sua responsabilidade
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)
Comunicar à ANPD ocorrência de incidentes de segurança
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
Implementar regras de governança e boas práticas
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (Art. 50)