LGPD

Capítulo I (Artigos 1-6) DISPOSIÇÕES PRELIMINARES
Capítulo II (Artigos 7-16) DO TRATAMENTO DE DADOS PESSOAIS
- Seção IDos Requisitos para o Tratamento de Dados Pessoais
- Artigo 7 - Hipóteses de realização de tratamentos de dados Pessoais
- Artigo 8 - Consentimento do Titular de Dados Pessoais
- Artigo 9 - Direito de acesso do Titular de Dados Pessoais
- Artigo 10 - Legítimo Interesse do Controlador
- Seção IIDo Tratamento de Dados Pessoais Sensíveis
- Artigo 11 - Tratamento de dados pessoais sensíveis
- Artigo 12 - Anonimização dos dados pessoais
- Artigo 13 - Tratamento de dados pessoais para estudos em saúde pública
- Seção IIIDo Tratamento de Dados Pessoais de Crianças e de Adolescentes
- Artigo 14 - Dados pessoais de crianças e adolescentes
- Seção IVDo Término do Tratamento de Dados
- Artigo 15 - Término de tratamento de dados pessoais
- Artigo 16 - Eliminação de dados pessoais
Capítulo III (Artigos 17-22) DOS DIREITOS DO TITULAR
Capítulo IV (Artigos 23-32) DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO
Capítulo V (Artigos 33-36) DA TRANSFERÊNCIA INTERNACIONAL DE DADOS
Capítulo VI (Artigos 37-45) DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
- Seção IDo Controlador e do Operador
- Artigo 37 - RPA´s ou Registro de Operação de Tratamento
- Artigo 38 - DPIA ou Relatório de Impacto de Proteção de Dados
- Artigo 39 - Obrigações do Operador em relação ao Controlador
- Artigo 40 - Padrões de interoperabilidade, portabilidade, acesso, segurança e tempo de armazenamento de dados pessoais
- Seção IIDo Encarregado pelo Tratamento de Dados Pessoais
- Artigo 41 - DPO ou Encarregado de Dados Pessoais
- Seção IIIDa Responsabilidade e do Ressarcimento de Danos
- Artigo 42 - Reparação de danos do Titular de Dados Pessoais
- Artigo 43 - Causas de responsabilização dos agentes de tratamento
- Artigo 44 - Irregularidades no tratamento de dados pessoais
- Artigo 45 - Causa de aplicação das leis do consumidor (CDC) na violação de dados pessoais
Capítulo VII (Artigos 46-51) DA SEGURANÇA E DAS BOAS PRÁTICAS
- Seção IDa Segurança e do Sigilo de Dados
- Artigo 46 - TOM´s ou Medidas Técnicas e Organizacionais
- Artigo 47 - Obrigações de garantia de segurança da informação pelos agentes de tratamento de dados
- Artigo 48 - Incidentes de Segurança de dados pessoais
- Artigo 49 - Estruturação dos sistemas de tratamento de dados
- Seção IIDas Boas Práticas e da Governança
- Artigo 50 - Regras de boas práticas e governança
- Artigo 51 - Estimulo da Autoridade Nacional na adoção de padrões técnicos
Capítulo VIII (Artigos 52-54) DA FISCALIZAÇÃO
- Seção IDas Sanções Administrativas
- Artigo 52 - Sanções administrativas da Autoridade Nacional - ANPD
- Artigo 53 - Regulamentação das sanções administrativas
- Artigo 54 - Parâmetros de valoração das sanções administrativas
Capítulo IX (Artigos 55-59) DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE
Capítulo X (Artigos 60-65) DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Artigo 48

Incidentes de Segurança de dados pessoais

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
- I - a descrição da natureza dos dados pessoais afetados;
- II - as informações sobre os titulares envolvidos;
- III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- IV - os riscos relacionados ao incidente;
- V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
- VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
- I - ampla divulgação do fato em meios de comunicação; e
- II - medidas para reverter ou mitigar os efeitos do incidente.
3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.