Artigo 59, Inciso X da Resolução CNMP nº 281 de 12 de Dezembro de 2023
Institui a Política Nacional de Proteção de Dados Pessoais e o Sistema Nacional de Proteção de Dados Pessoais no Ministério Público e dá outras providências.
Art. 59
O Ministério Público, no âmbito de suas atribuições, deverá atuar para prevenir e coibir a violação das normas de proteção de dados pessoais e da autodeterminação informativa quando constatada lesão ou ameaça de lesão a direitos individuais indisponíveis, difusos, coletivos e individuais homogêneos, em razão de práticas como:
I
transferência de bancos de dados pessoais, inclusive com fins econômicos;
II
disseminação de dados pessoais;
III
tratamentos automatizados de dados pessoais, inclusive sensíveis;
IV
uso de instrumentos de inteligência artificial;
V
análises de perfis de titulares, inclusive por meio de agregações de dados históricos;
VI
prejuízos à igualdade de oportunidades;
VII
abuso de poder econômico;
VIII
abuso do poder de direção em relações de trabalho em geral, inclusive no âmbito de grupos econômicos e em contratos de prestação de serviços;
IX
ausência de interesses legítimos do controlador;
X
ausência de base legal para o tratamento de dados pessoais sem consentimento do titular;
XI
ausência de transparência algorítmica;
XII
prejuízos ao exercício da cidadania em meios digitais;
XIII
manutenção indevida de dados pessoais;
XIV
deficiências em processos de anonimização ou pseudonimização de dados pessoais, sobretudo de dados pessoais sensíveis;
XV
acesso indiscriminado a dados pessoais sensíveis de titulares, em relações como as de consumo e de trabalho;
XVI
incidentes de segurança no tratamento de dados pessoais, notadamente de dados pessoais sensíveis;
XVII
coleta de consentimento de forma genérica, ambígua, induzida, excessiva ou com abuso de poder econômico;
XVIII
perda, modificação ou eliminação indevidas de dados pessoais;
XIX
obtenção indevida de dados pessoais;
XX
coleta de dados pessoais sem necessidade ou finalidade delimitadas;
XXI
informações insuficientes sobre a finalidade do tratamento;
XXII
falha em considerar direitos do titular de dados pessoais;
XXIII
vinculação ou associação indevidas, direta ou indireta, de dados pessoais;
XXIV
falha ou erro de processamento durante a execução de operações de tratamento;
XXV
reidentificação indevida de dados pseudonimizados ou com anonimizações deficientes;
XXVI
técnicas de engenharia social que acarretem o ilícito tratamento de dados pessoais, inclusive a indevida inclusão de dados pessoais inexatos;
XXVII
fundamentação do tratamento em base legal equivocada ou com erro grosseiro; e
XXVIII
quaisquer outras violações aos princípios e às normas protetivas de dados pessoais.