LEI Nº 13.853, DE 8 DE JULHO DE 2019

Conversão da Medida Provisória nº 869, de 2018

Mensagem de veto

Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências.

O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:

Art. 1º A ementa da Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com a seguinte redação:

Lei Geral de Proteção de Dados Pessoais (LGPD).”

Art. 2º A Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:

“Art.1º ……………………………………………………………………………………………

Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.” (NR)

“Art.3º ……………………………………………………………………………………………

……………………………………………………………………………………………………………

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

…………………………………………………………………………………………………………..” (NR)

“Art.4º …………………………………………………………………………………………

………………………………………………………………………………………………………….

  • 4ºEm nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III docaput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.” (NR)

“Art.5º …………………………………………………………………………………………..

…………………………………………………………………………………………………………..

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

……………………………………………………………………………………………………………

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.” (NR)

“Art.7º …………………………………………………………………………………………..

……………………………………………………………………………………………………………

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

……………………………………………………………………………………………………………

  • 1º(Revogado).

  • 2º (Revogado).

…………………………………………………………………………………………………………..

  • 7ºO tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.” (NR)

“Art.11. ………………………………………………………………………………………….

……………………………………………………………………………………………………………

II – …………………………………………………………………………………………………..

……………………………………………………………………………………………………………

  1. f)tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

…………………………………………………………………………………………………………..

  • 4ºÉ vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

I – a portabilidade de dados quando solicitada pelo titular; ou

II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.

  • 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.” (NR)

“Art.18. ………………………………………………………………………………………….

…………………………………………………………………………………………………………..

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

…………………………………………………………………………………………………………..

  • 6ºO responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

……………………………………………………………………………………………………” (NR)

“Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

…………………………………………………………………………………………………………..

  • 3º(VETADO).” (NR)

“Art.23. …………………………………………………………………………………………

………………………………………………………………………………………………………….

III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e

IV – (VETADO).

………………………………………………………………………………………………….” (NR)

“Art.26. ……………………………………………………………………………………….

  • 1º ………………………………………………………………………………………………

………………………………………………………………………………………………………….

IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou

V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.” (NR)

“Art.27. ……………………………………………………………………………………….

Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação.” (NR)

“Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.” (NR)

“Art.41. ……………………………………………………………………………………….

…………………………………………………………………………………………………………

  • 4º(VETADO).” (NR)

“Art.52. ………………………………………………………………………………………..

…………………………………………………………………………………………………………

X – (VETADO);

XI – (VETADO);

XII – (VETADO).

………………………………………………………………………………………………………….

  • 2ºO disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.

  • 3º (VETADO).

………………………………………………………………………………………………………….

  • 5ºO produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995.

  • 6º (VETADO).

  • 7º Os vazamentos individuais ou os acessos não autorizados de que trata ocaputdo art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.” (NR)

“Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.

  • 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.

  • 2º A avaliação quanto à transformação de que dispõe o § 1º deste artigo deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD.

  • 3º O provimento dos cargos e das funções necessários à criação e à atuação da ANPD está condicionado à expressa autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias.”

“Art. 55-B. É assegurada autonomia técnica e decisória à ANPD.”

“Art. 55-C. A ANPD é composta de:

I – Conselho Diretor, órgão máximo de direção;

II – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;

III – Corregedoria;

IV – Ouvidoria;

V – órgão de assessoramento jurídico próprio; e

VI – unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.”

“Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente.

  • 1º Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do art. 52 da Constituição Federal, e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores – DAS, no mínimo, de nível 5.

  • 2º Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.

  • 3º O mandato dos membros do Conselho Diretor será de 4 (quatro) anos.

  • 4º Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação.

  • 5º Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor.”

“Art. 55-E. Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar.

  • 1º Nos termos docaputdeste artigo, cabe ao Ministro de Estado Chefe da Casa Civil da Presidência da República instaurar o processo administrativo disciplinar, que será conduzido por comissão especial constituída por servidores públicos federais estáveis.

  • 2º Compete ao Presidente da República determinar o afastamento preventivo, somente quando assim recomendado pela comissão especial de que trata o § 1º deste artigo, e proferir o julgamento.”

“Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de 16 de maio de 2013.

Parágrafo único. A infração ao disposto no caput deste artigo caracteriza ato de improbidade administrativa.”

“Art. 55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.

  • 1º Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades.

  • 2º O Conselho Diretor disporá sobre o regimento interno da ANPD.”

“Art. 55-H. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal.”

“Art. 55-I. Os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente.”

“Art. 55-J. Compete à ANPD:

I – zelar pela proteção dos dados pessoais, nos termos da legislação;

II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;

III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;

VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;

VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;

VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;

IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;

X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;

XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;

XII – elaborar relatórios de gestão anuais acerca de suas atividades;

XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;

XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;

XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;

XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;

XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;

XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;

XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);

XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;

XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;

XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;

XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e

XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

  • 1º Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei.

  • 2º Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.

  • 3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.

  • 4º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.

  • 5º No exercício das competências de que trata ocaputdeste artigo, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei.

  • 6º As reclamações colhidas conforme o disposto no inciso V docaputdeste artigo poderão ser analisadas de forma agregada, e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada.”

“Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.

Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.”

“Art. 55-L. Constituem receitas da ANPD:

I – as dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;

II – as doações, os legados, as subvenções e outros recursos que lhe forem destinados;

III – os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade;

IV – os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo;

V – (VETADO);

VI – os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais ou internacionais;

VII – o produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.”

“Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 (vinte e três) representantes, titulares e suplentes, dos seguintes órgãos:

I – 5 (cinco) do Poder Executivo federal;

II – 1 (um) do Senado Federal;

III – 1 (um) da Câmara dos Deputados;

IV – 1 (um) do Conselho Nacional de Justiça;

V – 1 (um) do Conselho Nacional do Ministério Público;

VI – 1 (um) do Comitê Gestor da Internet no Brasil;

VII – 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;

VIII – 3 (três) de instituições científicas, tecnológicas e de inovação;

IX – 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;

X – 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e

XI – 2 (dois) de entidades representativas do setor laboral.

  • 1º Os representantes serão designados por ato do Presidente da República, permitida a delegação.

  • 2º Os representantes de que tratam os incisos I, II, III, IV, V e VI docaputdeste artigo e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.

  • 3º Os representantes de que tratam os incisos VII, VIII, IX, X e XI docaputdeste artigo e seus suplentes:

I – serão indicados na forma de regulamento;

II – não poderão ser membros do Comitê Gestor da Internet no Brasil;

III – terão mandato de 2 (dois) anos, permitida 1 (uma) recondução.

  • 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.”

“Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:

I – propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;

II – elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;

III – sugerir ações a serem realizadas pela ANPD;

IV – elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e

V – disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.”

“Art. 65. Esta Lei entra em vigor:

I – dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e

II – 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.” (NR)

Art. 3º Ficam revogados os §§ 1º e 2º do art. 7º da Lei nº 13.709, de 14 de agosto de 2018.

Art. 4º Esta Lei entra em vigor na data de sua publicação

Brasília, 8 de julho de 2019; 198o da Independência e 131o da República.

JAIR MESSIAS BOLSONARO
Sérgio Moro
Paulo Guedes
Marcos César Pontes
Wagner de Campos Rosário
Roberto de Oliveira Campos Neto

Este texto não substitui o publicado no DOU de 9.7.2019

Fonte: Presidência da República