Glossário ANPD
O Glossário de Proteção de Dados Pessoais e Privacidade, elaborado pela Autoridade Nacional de Proteção de Dados (ANPD), tem a finalidade de sistematizar os principais conceitos referentes a termos e expressões amplamente utilizados na legislação de proteção de dados pessoais, bem como nos documentos e demais comunicações publicados pela ANPD. Para sua elaboração, foram consultadas, além da Lei nº 13.709/2018 – LGPD, toda a gama de documentos técnicos e doutrinários expedidos pela ANPD.
Nesse sentido, o presente Glossário tem por objetivos facilitar o entendimento comum dos termos e expressões pelos titulares de dados pessoais e agentes de tratamento; contribuir para a consolidação e a padronização desses termos e expressões; e ampliar a divulgação compilada de termos que, embora de interesse geral, encontram-se definidos em instrumentos diversos. Em virtude de seu caráter de compilar os mencionados termos e expressões, definições inovadoras ou que serão objeto de processo regulatório pela ANPD não serão consideradas no escopo deste Glossário.
Nesse contexto, o Glossário de Proteção de Dados Pessoais e Privacidade será um documento norteador, a fim de aprimorar a segurança jurídica, a transparência e a proficuidade dos documentos expedidos pela ANPD e, ao mesmo tempo, otimizar o entendimento dos titulares dos dados pessoais e dos agentes de tratamento, porque evidenciará os conceitos e definições consolidados, a partir das publicações, no âmbito da legislação normatizada pela ANPD e nos guias orientativos.
As definições aqui apresentadas são referentes exclusivamente ao universo normativo da proteção de dados pessoais, não se confundindo com outras definições legais porventura aplicáveis a outros âmbitos.
Este Glossário ficará aberto a comentários e a contribuições de forma contínua, com o fim de atualizá-lo oportunamente, à medida que definições forem estabelecidas a critério da ANPD. As sugestões podem ser enviadas para a Ouvidoria da ANPD, por meio da Plataforma Fala.BR (https://falabr.cgu.gov.br/).
A
Qualquer forma de intervenção da ANPD sobre o ambiente e os agentes de tratamento de dados voltada para atividades de regulamentação, tal como a edição de ato normativo, realização de tomada de subsídios, consultas públicas e audiências públicas.
Referência
Ver Inciso I do Artigo 3º
Abrange tanto órgãos e entidades do Poder Executivo quanto dos Poderes Legislativo e Judiciário, de qualquer esfera, inclusive das Cortes de Contas e do Ministério Público, desde que estejam atuando no exercício de funções administrativas.
Referência
Ver página 19
Instrumento de que se vale o Conselho Diretor para planejar e priorizar as Ações de Normatização da ANPD em determinado período.
Referência
Ver Inciso II do Artigo 3º
O controlador e o operador.
Referência
Ver Inciso IX do Artigo 5º
Agentes de Tratamento de Pequeno Porte
Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Referência
Ver Inciso I do Artigo 2º
Agentes de tratamento e demais integrantes ou interessados no tratamento de dados pessoais.
Referência
Ver Inciso I do Artigo 4º
Ampla Divulgação do Incidente em Meios de Comunicação
Providência que pode ser determinada pela ANPD ao controlador, nos termos do art. 48, § 2º, I, da LGPD, no âmbito do processo de comunicação de incidente de segurança, como a publicação no sítio eletrônico, nas redes sociais do controlador ou em outros meios de comunicação.
Referência
Ver Inciso I do Artigo 3º
Análise de Impacto Regulatório (AIR)
Procedimento, a partir da definição de problema regulatório, de avaliação prévia à edição dos atos normativos de que trata o Decreto nº 10.411, de 30 de junho de 2020, que conterá informações e dados sobre os seus prováveis efeitos, para verificar a razoabilidade do impacto e subsidiar a tomada de decisão.
Referência
Ver Inciso III do Artigo 3º
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Referência
Ver Inciso XI do Artigo 5º
Registro de deliberações tomadas pelo Conselho Diretor, a partir dos votos de seus Diretores, em Reuniões e Circuitos Deliberativos.
Referência
Ver Inciso IV do artigo 51
Levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado.
Referência
Ver § 1º do Artigo 15
Atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.
Referência
Ver § 2º do Artigo 15
Atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.
Referência
Ver § 3º do Artigo 15
Atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador.
Referência
Ver § 4º do Artigo 15
Ato Formal de Indicação de Encarregado
Documento escrito, datado e assinado, que, de maneira clara e inequívoca, demonstre a intenção do agente de tratamento em designar como encarregado uma pessoa natural ou uma pessoa jurídica.
Referência
Ver §1º do Artigo 3º
Propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade.
Referência
Ver Inciso II do Artigo 3º
Fundamento da LGPD, com previsão no inciso II do art. 2º, que confere à pessoa titular de dados o direito de controlar seus próprios dados pessoais, com base nos preceitos da boa-fé e da transparência.
Referência
Ver página 38, item 86
Debate ou apresentação, oral, de matéria de interesse relevante, definida pelo Conselho Diretor ou pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Referência
Ver Artigo 59
Autoridade Nacional de Proteção de Dados (ANPD)
Autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal, responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, em todo o território nacional.
Referência
Ver Artigo 55-A, e inciso XIX do Artigo 5º
Agente regulado que, uma vez identificados indícios suficientes de conduta infrativa, tem instaurado processo administrativo sancionador contra si, por meio de auto de infração.
Referência
Ver Inciso II do Artigo 4º
Avaliação do Resultado Regulatório (ARR)
Verificação dos efeitos decorrentes da edição de ato normativo, considerados o alcance dos objetivos originalmente pretendidos e os demais impactos observados sobre o mercado e a sociedade, em decorrência de sua implementação.
Referência
Ver Inciso IV do Artigo 3º
Medida preventiva que contém a descrição da situação e as informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias.
Referência
Ver Artigos 32 e 34
B
Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Referência
Ver Inciso IV do Artigo 5º
Recurso visual usado no design de aplicativos ou sites na internet, que utiliza barras de leitura destacadas para informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies naquele ambiente.
Referência
Ver página 28
Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
Referência
Ver Inciso XIII do Artigo 5º
C
Classificação dos dados pessoais de acordo com o contexto de sua utilização, tais como dados de identificação pessoal, dados de autenticação em sistemas, dados financeiros.
Referência
Ver Inciso III do Artigo 3º
Procedimento decisório do Conselho Diretor caracterizado pela coleta de votos, em meio eletrônico, sem a necessidade da realização de Reunião Deliberativa.
Referência
Ver Artigo 40
Cláusulas Contratuais Específicas
Mecanismo de transferência internacional de dado no qual o controlador solicita à Autoridade Nacional de Proteção de Dados a sua aprovação e que ofereçam e comprovem garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei nº 13.709, de 14 de agosto de 2018 e na Resolução CD/ANPD nº 19, de 23 de agosto de 2024 , desde que a transferência não possa ser realizada por meio das cláusulas-padrão contratuais, em razão de circunstâncias excepcionais de fato ou de direito, devidamente comprovadas pelo controlador.
Referência
Ver §1º do Artigo 21 e caput
Mecanismo de transferência internacional de dados que estabelece garantias mínimas e condições válidas para a realização de transferências internacionais de dados e que pressupõe a adoção integral e sem alteração de texto disponibilizado no Anexo II do Regulamento de Transferências Internacionais, aprovado pela Resolução nº 19, de 23 de agosto de 2024.
Referência
Ver Artigo 15 e Artigo 16
Cláusulas-Padrão Contratuais Equivalentes
Cláusulas-padrão contratuais de outros países ou de organismos internacionais reconhecidas pela Autoridade Nacional de Proteção de Dados como equivalentes com as cláusulas previstas no Anexo II da Resolução CD/ANPD nº 19, de 23 de agosto de 2024.
Referência
Ver Artigo 18, caput
Coleta de dados pessoais do titular efetuada diretamente pelo agente de tratamento localizado no exterior.
Referência
Ver Inciso V do Artigo 3º
Comunicação de Incidente de Segurança
Ato do controlador que comunica à ANPD e ao titular de dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Referência
Ver Inciso IV do Artigo 3º
Propriedade pela qual se assegura que o dado pessoal não esteja disponível ou não seja revelado a pessoas não esteja disponível ou não seja revelado a pessoas, empresas, sistemas, órgãos ou entidades não autorizados.
Referência
Ver Inciso V do Artigo 3º
Conflito de Interesse na Atuação do Encarregado
A situação que possa comprometer, influenciar ou afetar, de maneira imprópria, a objetividade e o julgamento técnico no desempenho das atribuições do encarregado.
Referência
Ver Inciso II do Artigo 2º
Órgão máximo de direção da ANPD, composto por cinco Diretores, incluído o Diretor-Presidente, nos termos do art. 55-D, da Lei nº 13.709, de 2018.
Referência
Ver Artigo 3º
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Órgão consultivo da ANPD que tem sua composição e competências definidas pela Lei nº 13.709, de 2018 e pelo Decreto nº 10.474, de 2020.
Referência
Ver Artigo 8º
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Referência
Ver Inciso XII do Artigo 5º
Expressa decisão que submete proposta de ato normativo, documento ou assunto a críticas e sugestões do público em geral.
Referência
Ver Inciso V do artigo 51
Instrumento contratual firmado entre as Partes ou, pelo menos, entre uma destas e um terceiro, incluindo um Terceiro Controlador, que possua propósito comum, vinculação ou relação de dependência com o contrato que rege a Transferência Internacional de Dados.
Referência
Ver Inciso "d" da Cláusula 6ª das CLÁUSULAS-PADRÃO CONTRATUAIS
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Referência
Ver Inciso VI do Artigo 5º
Determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD.
Referência
Ver página 14, item 48
Medida técnica para garantir que os dados sejam acessados somente por pessoas autorizadas, que consiste em processos de autenticação, autorização e auditoria.
Referência
Ver página 10, item 34
Arquivos instalados no dispositivo de um usuário que permitem a coleta de determinadas informações, inclusive de dados pessoais em algumas situações, visando ao atendimento de finalidades diversas.
Referência
Ver página 8
Cookies Analíticos ou de Desempenho
Cookies que possibilitam coletar dados e informações sobre como os usuários utilizam o site, quais páginas visitam com mais frequência naquele site, a ocorrência de erros ou informações sobre o próprio desempenho do site ou da aplicação.
Referência
Ver página 10
Cookies usados para fornecer os serviços básicos solicitados pelo usuário e possibilitam lembrar preferências do site ou aplicação, como nome de usuário, região ou idioma.
Referência
Ver página 11
Cookies utilizados para coletar informações do titular com a finalidade de exibir anúncios. Mais especificamente, a partir da coleta de informações relativas aos hábitos de navegação do usuário, os cookies de publicidade permitem sua identificação, a construção de perfis e a exibição de anúncios personalizados de acordo com os seus interesses.
Referência
Ver página 11
Cookies de Sessão ou Temporários
Cookies projetados para coletar e armazenar temporariamente informações enquanto os titulares acessam um site. Costumam ser descartados após o encerramento da sessão, isto é, após o usuário fechar o navegador. São utilizados regularmente para armazenar informações que só são relevantes para a prestação de um serviço solicitado pelos usuários ou com uma finalidade específica temporária.
Referência
Ver página 11
Cookies criados por um domínio diferente daquele que o titular está visitando. Decorrem de funcionalidades de outros domínios que são incorporadas a uma página eletrônica, a exemplo da exibição de anúncios.
Referência
Ver página 9
Cookies utilizados para que o site ou aplicação realize funções básicas e opere corretamente.
Referência
Ver página 10
Cookies que não se enquadram na definição de cookies necessários e cuja desabilitação não impede o funcionamento do site ou aplicação ou a utilização dos serviços pelo usuário.
Referência
Ver página 10
Cookies definidos diretamente pelo site ou aplicação que o titular está visitando. Esses tipos de cookies podem incluir informações como credenciais de login, itens do carrinho de compras ou idioma preferido.
Referência
Ver página 9
D
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Referência
Ver Inciso III do Artigo 5º
Dado de Autenticação em Sistemas
Qualquer dado pessoal utilizado como credencial para determinar o acesso a um sistema ou para confirmar a identificação de um usuário, como contas de login, tokens e senhas.
Referência
Ver Inciso VI do Artigo 3º
Dado pessoal relacionado às transações financeiras do titular, inclusive para contratação de serviços e aquisição de produtos.
Referência
Ver Inciso VII do Artigo 3º
Informação relacionada a pessoa natural identificada ou identificável.
Referência
Ver Inciso I do Artigo 5º
Dado pessoal cuja confidencialidade, integridade, disponibilidade ou autenticidade tenha sido comprometida em um incidente de segurança.
Referência
Ver Inciso VIII do Artigo 3º
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Referência
Ver Inciso II do Artigo 5º
Dado Protegido por Sigilo Profissional
Dado pessoal cujo sigilo decorra do exercício de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem.
Referência
Ver Inciso IX do Artigo 3º
Decisão da Autoridade Nacional de Proteção de Dados que reconhece a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação de proteção de dados pessoais.
Referência
Ver Artigo 10, caput
Comunicação feita à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração cometida contra a legislação de proteção de dados pessoais do País, que não seja uma petição de titular.
Referência
Ver Inciso III do Artigo 4º
Expressa decisão sobre matérias não abrangidas pelos demais instrumentos deliberativos previstos no art. 51 da Portaria CD/ANPD nº 1, de 8 de março de 2021.
Referência
Ver Inciso III do artigo 51
Propriedade pela qual se assegura que o dado pessoal esteja acessível e utilizável, sob demanda, por uma pessoa natural ou determinado sistema, órgão ou entidade devidamente autorizados.
Referência
Ver Inciso XI do Artigo 3º
Medida preventiva que tem por finalidade divulgar informações e dados setoriais agregados e de desempenho no sítio eletrônico da ANPD, como a taxa de resolução de problemas e pedidos de titulares atendidos.
Referência
Ver Artigos 32 e 33
E
Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Referência
Ver Inciso XIV do Artigo 5º
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Referência
Ver Inciso VIII do Artigo 5º
Sociedade empresária, com sede no Brasil, que responde por qualquer violação de norma corporativa global, ainda que decorrente de ato praticado por um membro do grupo ou conglomerado de empresas com sede em outro país.
Referência
Ver Inciso VII do Artigo 3º
Expressa decisão quanto à interpretação da legislação de proteção de dados pessoais e fixa entendimento sobre matérias de competência da ANPD, com efeito vinculativo à Autoridade.
Referência
Ver Inciso II do artigo 51
Agente de tratamento, localizado no território nacional ou em país estrangeiro, que transfere dados pessoais para importador.
Referência
Ver Inciso I do Artigo 3º
F
Atividades de monitoramento, orientação e atuação preventiva, conforme os procedimentos previstos na Resolução CD/ANPD nº 1, de 28 de outubro de 2021.
Referência
Ver Artigo 2º
G
Extensão do dano e o prejuízo causado, nos termos do art. 54 da LGPD.
Referência
Ver § 2º do Artigo 16
Grupo ou Conglomerado de Empresas
Conjunto de empresas de fato ou de direito com personalidades jurídicas próprias, sob direção, controle ou administração de uma pessoa natural ou jurídica ou ainda grupo de pessoas que detêm, isolada ou conjuntamente, poder de controle sobre as demais, desde que demonstrado interesse integrado, efetiva comunhão de interesses e atuação conjunta das empresas dele integrantes.
Referência
Ver Inciso I do Artigo 2º
Categorias de agentes de tratamento e de titulares que podem ser mais impactadas pelos efeitos de determinada Ação de Normatização.
Referência
Ver Inciso V do Artigo 3º
I
Agente de tratamento, localizado em país estrangeiro ou que seja organismo internacional, que recebe dados pessoais transferidos por exportador.
Referência
Ver Inciso II do Artigo 3º
Incidente com dados em larga escala
Aquele que abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares.
Referência
Ver §2º do Artigo 5º
Qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.
Referência
Ver Inciso XII do Artigo 3º
Incidente de segurança que possa acarretar risco ou dano relevante
Quando puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:
I - dados pessoais sensíveis;
II - dados de crianças, de dolescentes ou de idosos;
III - dados financeiros;
IV - dados de autenticação em sistemas;
V - dados protegidos por sigilo legal, judicial ou profissional; ou
VI - dados em larga escala.
Referência
Ver Artigo 5º, caput e incisos
Medida preventiva destinada a situações em que a regularização deva ocorrer em prazo determinado e cuja complexidade não justifique a elaboração de plano de conformidade e conterá a descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias, devendo comprovar a regularização dentro do prazo determinado. Tal medida é utilizada quando ocorrer infração em decorrência do tratamento de dados pessoais por órgãos públicos.
Referência
Ver Artigo 32 e §§1º e 2º do Artigo 35, caput
Descumprimento de obrigação estabelecida na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), e nos regulamentos expedidos pela ANPD.
Referência
Ver Inciso II do Artigo 2º
Infração que não se enquadra em nenhuma das hipóteses relacionadas às infrações médias ou gravesi
Referência
Ver § 1º do Artigo 8º
Infração que afeta significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.
Referência
Ver § 2º do Artigo 8º
A infração será considerada grave quando:
I - verificada a hipótese de infração média e cumulativamente, pelo menos, uma das seguintes: envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; a infração implicar risco à vida dos titulares; a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças ,de adolescentes ou de idosos; o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD ;o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou verificada a adoção sistemática de práticas irregulares pelo infrator;
II - constituir obstrução à atividade de fiscalização.
Referência
Ver § 3º do Artigo 8º
Conduta infrativa que se prolonga no tempo, mediante ação ou omissão do infrator referente ao mesmo dispositivo normativo.
Referência
Ver Inciso III do Artigo 2º
Agente de tratamento que comete infração.
Referência
Ver Inciso IV do Artigo 2º
Propriedade pela qual se assegura que o dado pessoal não foi modificado ou destruído de maneira não autorizada ou acidental.
Referência
Ver Inciso XIII do Artigo 3º
L
É a expectativa razoável do titular, que deve ser demonstrada pelo controlador, de que o tratamento de dados pessoais, para a finalidade pretendida, é o esperado em determinada situação concreta.
Referência
Ver página 23
Hipótese legal que autoriza o tratamento de dados pessoais de natureza não sensível quando necessário ao atendimento de interesses do controlador ou de terceiro, desde que compatíveis com o ordenamento jurídico, lastreados em situações concretas e vinculados a finalidades legítimas, específicas e explícitas, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, respeitados os direitos e a legítima expectativa do titular.
Referência
Ver Artigo 7º, inciso IX
Ver página 13
Ver página 16
Lei Geral de Proteção de Dados Pessoais (LGPD)
Lei que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Referência
Ver Artigo 1º
M
Instrumento bianual de monitoramento, que estabelece os temas prioritários que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização no período.
Referência
Ver Artigos 19 e 21
Mecanismos de Transferência internacional de dados
Hipóteses previstas nos incisos I a IX do art. 33 da Lei nº 13.709, de 14 de agosto de 2018, que autorizam uma transferência internacional de dados.
Referência
Ver Inciso VIII do Artigo 3º
Medidas determinadas pela ANPD com a finalidade de corrigir a infração e reconduzir o infrator à plena conformidade à LGPD e aos regulamentos expedidos pela ANPD, devendo ser aplicadas conjuntamente com a sanção de advertência.
Referência
Ver Inciso V do Artigo 2º
Medidas técnicas e/ou administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Referência
Ver Inciso XIV do Artigo 3º
Medidas de Segurança, Técnicas e Administrativas
Medidas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Referência
Ver Artigo 46
Microempresas e Empresas de Pequeno Porte
Sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006.
Referência
Ver Inciso II do Artigo 2º
N
Classificação de dados pessoais em gerais ou sensíveis.
Referência
Ver Inciso XV do Artigo 3º
Mecanismo destinado às transferências internacionais de dados entre organizações do mesmo grupo ou conglomerado de empresas, possuindo caráter vinculante em relação aos membros do grupo que as subscreverem.
Referência
Ver Artigo 25
O
Obstrução à Atividade de Fiscalização
Ato, comissivo ou omissivo, direto ou indireto, da fiscalização ou de seus pressupostos, que impeça, dificulte ou embarace a atividade de fiscalização exercida pela ANPD, mediante o oferecimento de entrave à situação dos agentes, a recusa no atendimento, e o não envio ou envio intempestivo de quaisquer dados e informações pertinentes à obrigação do agente regulado.
Referência
Ver Inciso IV do Artigo 4º
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Referência
Ver Inciso VII do Artigo 5º
Organização regida pelo direito internacional público, incluindo seus órgãos subordinados ou qualquer outro órgão criado mediante acordo firmado entre dois ou mais países.
Referência
Ver Inciso IX do Artigo 3º
Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objeto social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
Referência
Ver Inciso XVIII do Artigo 5º
P
Parte Designada das Cláusulas-Padrão Contratuais
Parte do contrato designada, nos termos da Cláusula 4 ("Opção A"), para cumprir, na condição de Controlador, obrigações específicas relativas à transparência, direitos dos Titulares e comunicação de incidentes de segurança.
Referência
Ver Inciso "p" da Cláusula 6ª das CLÁUSULAS-PADRÃO CONTRATUAIS
Comunicação feita à ANPD pelo titular de dados pessoais de uma solicitação apresentada ao controlador e não solucionada no prazo estabelecido em regulamentação.
Referência
Ver Inciso V do Artigo 4º
Medida preventiva que deverá conter no mínimo:
I - objeto;
II - prazos;
III - ações previstas para reversão da situação identificada;
IV - critérios de acompanhamento; e
V - trajetória de alcance dos resultados esperados.
Referência
Ver Artigos 32 e 36
Política de Boas Práticas e de Governança
Normas e processos internos que assegurem o cumprimento abrangente da legislação de proteção de dados pessoais, estabelecidos e implementados pelo agente de tratamento mediante a adoção de:
a) regras de boas práticas e de governança, nos termos do art. 50, caput e § 1º, da LGPD; ou
b) programa de governança em privacidade, nos termos do § 2º do art. 50 da LGPD.
Referência
Ver Inciso VI do Artigo 2º
Declaração pública que disponibilize informações aos usuários de um site ou aplicativo sobre, entre outros aspectos, as finalidades específicas que justificam a coleta de dados por meio de cookies, o período de retenção e se há compartilhamento com terceiros.
Referência
Ver página 28
Política de Segurança da Informação - PSI
Conjunto de diretrizes e regras que tem por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização.
Referência
Ver página 8, item 21
Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Referência
Ver Inciso II do Artigo 6º
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Referência
Ver Inciso I do Artigo 6º
Princípio da Não Discriminação
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
Referência
Ver Inciso IX do Artigo 6º
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Referência
Ver Inciso III do Artigo 6º
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Referência
Ver Inciso VIII do Artigo 6º
Princípio da Qualidade dos Dados
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Referência
Ver Inciso V do Artigo 6º
Princípio da Responsabilização e Prestação de Contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Referência
Ver Inciso X do Artigo 6º
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Referência
Ver Inciso VII do Artigo 6º
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
Referência
Ver Inciso VI do Artigo 6º
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Referência
Ver Inciso IV do Artigo 6º
Procedimento de Apuração de Incidente de Segurança
Procedimento instaurado pela ANPD para apurar a ocorrência de incidente de segurança que não tenha sido comunicado pelo controlador.
Referência
Ver Inciso XVI do Artigo 3º
Procedimento de Comunicação de Incidente de Segurança
Procedimento instaurado no âmbito da ANPD após o recebimento de comunicação de incidente de segurança.
Referência
Ver Inciso XVII do Artigo 3º
Procedimento instaurado para efetuar averiguações preliminares, quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador.
Referência
Ver Artigo 40
Processo Administrativo Sancionador
Processo que se destina à apuração de infrações à legislação de proteção de dados de competência da ANPD, nos termos do artigo 55-J, IV, da LGPD.
Referência
Ver Inciso Artigo 37
Processo de Comunicação de Incidente de Segurança
Processo administrativo instaurado no âmbito da ANPD que abrange o procedimento de apuração incidente de segurança e o procedimento de comunicação de incidente de segurança.
Referência
Ver Inciso XVIII do Artigo 3º
Programa de Governança em Privacidade (PGP)
Instrumento capaz de demonstrar a integridade e o comprometimento do agente de tratamento em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais. Nesse sentido, cabe destacar alguns processos e políticas importantes para a governança dos dados pessoais.
Referência
Ver página 33, item 71
Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Referência
Ver § 4º do Artigo 13
R
Área de atuação de empresa, grupo ou conglomerado de empresas, conforme definido pela ANPD e verificado no caso concreto, podendo ser comprovada mediante objeto social, código de Classificação Nacional de Atividades Econômicas (CNAE), código de serviço diretamente relacionado, ou instrumentos congêneres.
Referência
Ver Inciso VII do Artigo 2º
Repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração.
Referência
Ver Inciso VIII do Artigo 2º
Cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração, excluído o disposto no inciso VIII do art. 2º da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.
Referência
Ver Inciso IX do Artigo 2º
Relatório de Análise de Impacto Regulatório (AIR)
Ato de encerramento da Análise de Impacto Regulatório (AIR), que deve conter os elementos que subsidiaram a escolha da alternativa mais adequada ao enfrentamento do problema regulatório identificado e, se for o caso, a minuta do ato normativo a ser editado.
Referência
Ver Inciso VIII do Artigo 3º
Relatório de Ciclo de Monitoramento
Instrumento de monitoramento para avaliação, prestação de contas e planejamento da atividade de fiscalização da ANPD.
Referência
Ver Artigos 19 e 20
Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Referência
Ver Inciso XVII do Artigo 5º
Relatório de tratamento de incidente
Documento fornecido pelo controlador que contém cópias, em meio físico ou digital, de dados e informações relevantes para descrever o incidente e as providências adotadas para reverter ou mitigar os seus efeitos.
Referência
Ver Inciso XIX do Artigo 3º
Conjunto de tipos de comunicação, compreendendo a petição de titular e a denúncia.
Referência
Ver Inciso VI do Artigo 4º
Expressa decisão quanto ao provimento normativo de competência da ANPD.
Referência
Ver Inciso I do artigo 51
S
Sanção de Bloqueio dos Dados Pessoais
Sanção que consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator.
Referência
Ver § 1º do Artigo 22
Sanção de Eliminação dos Dados Pessoais
Sanção que consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Referência
Ver § 1º do Artigo 23
Sanção de Proibição Parcial ou Total do Exercício de Atividades Relacionadas a Tratamento de Dados
Sanção que consiste no impedimento parcial ou total das operações de tratamento de dados pessoais, e poderá ser aplicada nos casos em que:
I - houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais;
II - ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ouIII - o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.
Referência
Ver Incisos I, II e III do Artigo 26
Sanção de Publicização da Infração
Sanção que consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência.
Referência
Ver § 1º do Artigo 20
Sanção de Suspensão do Exercício de Atividade de Tratamento dos Dados Pessoais
Sanção que suspende o exercício de atividade de tratamento dos dados pessoais a que se refere a infração, com o fim de assegurar o cumprimento das normas legais e regulamentares, e será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período.
Referência
Ver § 1º do Artigo 25
Sanção de Suspensão Parcial do Funcionamento do Banco de Dados
Sanção que suspende o funcionamento de banco de dados em desacordo com a legislação de proteção de dados pessoais. Será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, levando em consideração a complexidade para regularização e a classificação da infração.
Referência
Ver §§ 1º e 2º do Artigo 24
Prestação de serviços de computação, incluindo servidores, armazenamento, bancos de dados, rede, software, análise e inteligência, pela Internet (“a nuvem”).
Referência
Ver página 17, item 63
Solicitação de Acesso das Cláusulas-Padrão Contratuais
Solicitação de atendimento obrigatório, por força de lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas.
Referência
Ver Inciso "r" da Cláusula 6ª das CLÁUSULAS-PADRÃO CONTRATUAIS
Medida preventiva destinada a situações em que a regularização deva ocorrer em prazo determinado e cuja complexidade não justifique a elaboração de plano de conformidade e conterá a descrição da situação e informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias, devendo comprovar a regularização dentro do prazo determinado.
Referência
Ver Artigo 32, e § 2º e caput do Artigo 35
Organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021.
Referência
Ver Inciso III do Artigo 2º
Subcontratado das Cláusulas-Padrão Contratuais
Agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para realizar tratamento de Dados Pessoais após uma Transferência Internacional de Dados.
Referência
Ver Inciso "s" da Cláusula 6ª das CLÁUSULAS-PADRÃO CONTRATUAIS
Contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador.
Referência
Ver página 19, item 65
T
Terceiro Controlador das Cláusulas-Padrão Contratuais
Controlador dos Dados Pessoais que fornece instruções por escrito para a realização, em seu nome, da Transferência Internacional de Dados entre Operadores regida por estas Cláusulas, na forma da Cláusula 4 ("Opção B").
Referência
Ver Inciso "t" da Cláusula 6ª das CLÁUSULAS-PADRÃO CONTRATUAIS
Avaliação de proporcionalidade realizada pelo controlador com base no contexto e nas circunstâncias específicas do tratamento de dados, levando em consideração os impactos e os riscos aos direitos e liberdades dos titulares.
Referência
Ver página 29
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Referência
Ver Inciso V do Artigo 5º
Instrumento simplificado e discricionário de consulta à sociedade, utilizado para a construção do conhecimento sobre dada matéria, levantamento de dados e para o desenvolvimento de propostas.
Referência
Ver Inciso IX do Artigo 3º
Operação de tratamento por meio da qual um agente de tratamento transmite, compartilha ou disponibiliza acesso a dados pessoais a outro agente de tratamento.
Referência
Ver Inciso III do Artigo 3º
Transferência Internacional de Dados
Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Referência
Ver Inciso XV do Artigo 5º
Transferência Internacional de Dados, originada de um Importador, e destinada a um terceiro, incluindo um Subcontratado, desde que não configure Solicitação de Acesso.
Referência
Ver Inciso "x" da Cláusula 6ª das CLÁUSULAS-PADRÃO CONTRATUAIS
Atributo de decisão definitiva proferida em processo administrativo sancionador, no âmbito da ANPD, tornando-a imutável e indiscutível dentro do processo em que foi proferida.
Referência
Ver Inciso X do Artigo 2º
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Referência
Ver Inciso X do Artigo 5º
Tratamento de Dados Pessoais de Alto Risco
Tratamento de dados pessoais que atende cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
critérios gerais
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
critérios específicos
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Referência
Ver Artigo 4º
Tratamento de Dados Pessoais em Larga Escala
Tratamento de dados pessoais que abrange número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.
Referência
Ver § 1º do Artigo 4º
Aquele em que a atividade de tratamento possa impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
Referência
Ver § 2º do Artigo 4º
U
Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Referência
Ver Inciso XVI do Artigo 5º
Z
Espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Referência
Ver Inciso IV do Artigo 2º