Política de Privacidade
Seguimos todas as diretrizes legais para garantir total sigilo e cuidado com seus dados
Quando realiza uma compra no site artedoqueijo.com.br, você fornece à Arte do Queijo alguns dados pessoais com a finalidade de viabilizar a sua operação. Prezamos pela segurança dos seus dados, pelo respeito à sua privacidade e pela transparência com você. Por isso, apresentamos aqui como seus dados pessoais serão tratados e quais são as medidas que aplicamos para mantê-los seguros.
De acordo com as definições da Lei Geral de Proteção de Dados (Lei Federal nº13.709.2018), a Arte do Queijo será na maior parte do tempo o controlador das suas informações, sendo assim, responsável por definir o que acontece com estes dados e por protegê-los.
Na parte final deste documento, há um GLOSSÁRIO
A fim de facilitar o entendimento da nossa Política de Privacidade, disponibilizamos um resumo com os principais termos da LGPD.
Veja a Lei Geral de Proteção de Dados na íntegra.
Quem somos
https://artedoqueijo.com.br
Arte do Queijo Ltda.
CNPJ: 39.410.800/0001-16
Rua dos Goitacazes, 333/805 – Belo Horizonte – MG | CEP: 30.190-911
(31) 3021 8175
Para Reclamações, Sugestões e Informações sobre o sítio eletrônico, loja virtual, blogue e conteúdos de comunicação, envie correio eletrônico para:
FAQ@artedoqueijo.com.br
Para atendimento ao Consumidor, envie correio eletrônico para:
SAC@artedoqueijo.com.br
Para questões relativas a Dados Pessoais e LGPD, envie correio eletrônico para:
DPO@artedoqueijo.com.br
Você pode confirmar as informações fiscais supracitadas no link:
http://servicos.receita.fazenda.gov.br/Servicos/cnpjreva/Cnpjreva_Solicitacao.asp
Copyright @2021 – Arte do Queijo – Grupo Arte
Quais dados pessoais coletamos e porque o fazemos
Durante sua experiência em nossa loja virtual, podemos coletar diferentes tipos de dados pessoais: de forma automática, com o objetivo de conferência, monitoramento e controle; ou fornecidos diretamente por você (por exemplo, para a realização de seu cadastro). Não repassaremos ou venderemos os dados pessoais que nós coletamos diretamente de você. Não coletaremos dados pessoais sensíveis ou alheios a nossa atividade.
Veja quais dados pessoais nós vamos coletar em cada situação a partir de seu consentimento expresso:
Durante o cadastro no site: nome completo, endereço de e-mail, data de nascimento.
Durante o cadastro para receber newsletters: nome completo, endereço de e-mail, data de nascimento, áreas de interesse.
Durante o cadastro para receber ofertas exclusivas: nome completo, endereço de e-mail, data de nascimento, histórico de compras, áreas de interesse.
Durante o cadastro na loja: nome completo, número de CPF, endereço de e-mail, número de celular ou fixo, data de nascimento, dados referentes aos seus endereços.
Durante o preenchimento do local de entrega e forma de pagamento: endereço de cobrança, endereço de entrega, dados do cartão de crédito (quando escolhido como forma de pagamento).
Com que finalidade utilizamos seus dados pessoais?
Para entregar os produtos adquiridos;
Para mantê-lo informado sobre o status do seu pedido;
Para coordenar com parceiros a entrega dos produtos;
Para enviar comunicações sobre serviços, novidades, ofertas e promoções;
Proporcionar uma melhor experiência a você.
Quais dados pessoais são coletados por processos técnicos?
Comentários
Por padrão, o WordPress utilizar os serviços da ferramenta Gravatar. E esta ferramenta coleta dados pessoais de você. A saber:
Quando os visitantes deixam comentários no site, coletamos os dados mostrados no formulário de comentários, além do endereço de IP e de dados do navegador do visitante, para auxiliar na detecção de spam.
Uma sequência anonimizada de caracteres criada a partir do seu email (também chamada de hash) poderá ser enviada para o Gravatar para verificar se você usa o serviço.
A política de privacidade do Gravatar está disponível aqui:
https://automattic.com/privacy/.
Depois da aprovação do seu comentário, a foto do seu perfil fica visível publicamente junto de seu comentário.
A Arte do Queijo usa a integração da ferramenta Mautic com o WooCommerce para automatizar a classificação e preparação da resposta da equipe para resolver o problema ou responder a demanda do consumidor. Este ficarão arquivados em nosso sistema e ligados ao perfil pessoal do consumidor.
Mídia enviada a Arte do Queijo
Todos os arquivos de mídia enviados geralmente são públicos.
Se você for enviar imagens para o site, evite aquelas que contenham dados de localização incorporados (EXIF GPS). Visitantes podem baixar estas imagens do site e extrair delas seus dados de localização.
Formulários de Contato
A Arte do Queijo usa a integração da plataforma Mautic com o WooCommerce para a gestão dos Formulários de Contato. Com esta ferramenta, nós criamos, coletamos e classificamos dados pessoais de nossos consumidores para criar campanhas de marketing direcionadas. Confira abaixo as informações relativas ao Mautic e a coleta de dados realizados por esta ferramenta.
Cookies
Cookies são pequenos arquivos de dados que são colocados no seu computador ou em outros dispositivos, como smartphones ou tablets, enquanto você navega no site.
Utilizamos cookies para reconhecer seu navegador ou dispositivo, aprender mais sobre seus interesses e fornecer recursos e serviços essenciais.
Se você bloquear ou rejeitar nossos cookies, não poderá adicionar itens ao seu carrinho de compras, prosseguir para o checkout ou usar nossos produtos e serviços que exijam login.
Ao deixar um comentário no site, você poderá optar por salvar seu nome, email e site nos cookies. Isso visa seu conforto, assim você não precisará preencher seus dados novamente quando fizer outro comentário. Estes cookies duram um ano.
Se você tem uma conta e acessa este site, um cookie temporário será criado para determinar se seu navegador aceita cookies. Ele não contém nenhum dado pessoal e será descartado quando você fechar seu navegador.
Quando você acessa sua conta no site, também criamos vários cookies para salvar os dados da sua conta e suas escolhas de exibição de tela.
Cookies de login são mantidos por dois dias e cookies de opções de tela por um ano. Se você selecionar “Lembrar-me”, seu acesso será mantido por duas semanas. Se você se desconectar da sua conta, os cookies de login serão removidos.
Se você editar ou publicar um artigo, um cookie adicional será salvo no seu navegador. Este cookie não inclui nenhum dado pessoal e simplesmente indica o ID do post referente ao artigo que você acabou de editar. Ele expira depois de 1 dia.
Mídia incorporada de outros sites
Artigos neste site podem incluir conteúdo incorporado como, por exemplo, vídeos, imagens, artigos, etc. Conteúdos incorporados de outros sites se comportam exatamente da mesma forma como se o visitante estivesse visitando o outro site.
Estes sites podem coletar dados sobre você, usar cookies, incorporar rastreamento adicional de terceiros e monitorar sua interação com este conteúdo incorporado, incluindo sua interação com o conteúdo incorporado se você tem uma conta e está conectado com o site.
Análises e Estatísticas
A Arte do Queijo usa a integração da plataforma Mautic com o WooCommerce para a elaboração de relatórios de análises e de estatística. Esta ferramenta, realiza o tratamento de dados de forma anonimizada para facilitar a gestão do Marketing e da criação das campanhas de comunicação com os consumidores.
Confira na Seção Integração com o Mautic para WooCommerce as informações relativas ao Mautic e a coleta de dados realizados por esta ferramenta.
A Arte do Queijo também utiliza a ferramenta Google Analytics. São coletados de interação entre o consumidor e a nossa loja virtual. Segue um resumo publicado na página de Política de Privacidade do Google Analytics :
O Google Analytics usa principalmente cookies primários para informar sobre interações do visitante (ou usuário) nos sites dos clientes na plataforma. Os usuários podem excluir cookies individualmente ou desativá-los.
Além disso, o Google Analytics utiliza um complemento opcional do navegador que, quando instalado e ativado, desativa a medição do Google Analytics nos sites visitados pelo usuário.
Esse complemento desativa somente a medição do Google Analytics.
Quando um site ou app usa os SDKs do Google Analytics para Firebase ou do Google Analytics for Apps, a plataforma coleta um identificador de instância do aplicativo, ou seja, um número gerado aleatoriamente que identifica uma instalação única de um app.
Sempre que um usuário redefine o identificador de publicidade (ID de publicidade no Android e ID para anunciantes no iOS), o identificador de instância também é redefinido.
É possível que outros identificadores de publicidade sejam coletados quando os sites ou apps tiverem implementado o Google Analytics com outros produtos de publicidade do Google, como o Google Ads. Os usuários podem desativar esse recurso e gerenciar as configurações desse cookie nas configurações de anúncios.
O Google Analytics também coleta endereços de protocolo de Internet (IP) para criar e proteger a segurança do serviço e para dar aos proprietários dos sites uma noção sobre o país, estado ou cidade de origem, em todo o mundo, dos usuários (também conhecido como “geolocalização IP”). O Google Analytics disponibiliza um método para mascarar os IPs coletados (conforme detalhado abaixo). No entanto, os proprietários dos sites têm acesso aos endereços IP dos usuários mesmo que não usem o Google Analytics.
Links para mais informações acerca da Política de Privacidade de nossos fornecedores de serviços deste tipo de solução:
Mautic
https://www.mautic.org/privacy-policy
Google Analytics
https://support.google.com/analytics/topic/2919631?hl=pt-BR&ref_topic=1008008
Sistema de Gestão Contábil e Fiscal
Nosso sistema de Gestão utiliza os dados dos cadastros do comprador e da compra para realizar procedimentos internos de contabilidade e externos de emissão de Notas Fiscais e cálculo de tributos junto aos órgãos da Fazenda Estadual e Federal.
Atualmente, a legislação exige que as empresas mantenham a guarda destes documentos e dados pessoais por 5 (cinco) anos.
Obs.: Pode haver casos de fiscalização com posterior judicialização da demanda que nos obrigue a ficar mais tempo com os dados pessoais de cunho contábil e fiscal dos nossos consumidores.
Você pode consultar a Política de Privacidade do nosso Sistema de Gestão ERP no link:
https://www.tiny.com.br/privacidade
COMO MANTER SUAS INFORMAÇÕES SEGURAS
A Arte do Queijo utiliza os melhores protocolos de segurança para preservar a sua privacidade, mas medidas de proteção individual são indispensáveis.
Para manter a segurança e proteção dos seus dados pessoais fornecidos no cadastro ou nas compras, não compartilhe o seu login e senha com terceiros. Além disso, ao acessar o cadastro pelo “Minha Conta”, principalmente em computadores públicos, certifique-se de que você realizou o logout da sua conta para evitar que pessoas não autorizadas acessem e utilizem as informações sem o seu conhecimento.
Não solicitamos dados pessoais por telefone, WhatsApp, SMS ou e-mail. Em nenhuma hipótese eles devem ser fornecidos, pois pode ser uma tentativa de uso indevido.
DIREITOS DOS USUÁRIOS
A ARTE DO QUEIJO atua como processadora de dados perante os dados do titular de dados pessoais. A Lei Geral de Proteção de Dados elenca uma série de direitos do titular de dados frente o controlador dos seus dados; que são os que seguem:
confirmação da existência de tratamento;
acesso aos dados;
correção de dados incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
portabilidade de dados, observados os segredos comercial e industrial;
eliminação dos dados pessoais tratados com o consentimento do titular;
informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
revogação do consentimento.
Você não é obrigado a fornecer seus dados pessoais para a ARTE DO QUEIJO. No entanto, como esses dados são necessários para navegação, inscrição e compra no sítio eletrônico, não seremos capazes de oferecer os nossos serviços.
Para exercer seus direitos, os titulares devem enviar e-mail ou carta com a sua solicitação para os endereços informados na seção Quem Somos.
Se recebermos uma solicitação sua para exercer qualquer um dos direitos acima, podemos pedir que você verifique sua identidade antes de concretizarmos a solicitação com o objetivo de garantir que seus dados estão protegidos e são mantidos seguros.
LEGISLAÇÃO
Esta política será regida, interpretada e executada de acordo com as Leis da República Federativa do Brasil, especialmente a Lei nº 13.709/2018 (LGPD).
Papel da Arte do Queijo no tratamento dos dados: Controlador;
Tipo de informações pessoais coletadas: A Arte do Queijo coleta as informações que o cliente fornece quando se cadastra e cria uma conta em nosso site.
Glossário (Lei nº 13.709/2018)
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado pessoal anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados; Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Resumo com os principais termos da LGPD
Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
(Redação dada pela Lei nº 13.853, de 2019) Vigência
IX – agentes de tratamento: o controlador e o operador;
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e (Redação dada pela Lei nº13.853, de 2019) Vigência
XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (Redação dada pela Lei nº13.853, de 2019) Vigência
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS
Seção I
Dos Requisitos para o Tratamento de Dados Pessoais
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente.
§ 1º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei. (Incluído pela Lei nº 13.853, de 2019) Vigência
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador,somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos
ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico
procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I – em formato simplificado, imediatamente; ou
II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:
I – por meio eletrônico, seguro e idôneo para esse fim; ou
II – sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
§ 3º (VETADO) . (Incluído pela Lei nº 13.853, de 2019) Vigência