VI - outras circunstâncias específicas relativas à transferência.
Art. 35. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas
contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e
códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade
nacional.
§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as
condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios
desta Lei.
§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à
aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências
de verificação quanto às operações de tratamento, quando necessário.
§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no
caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.
§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso
em desconformidade com esta Lei, submetidos a revisão ou anulados.
§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular
referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais
adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei.
Art. 36. As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais
de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à
autoridade nacional.
CAPÍTULO VI
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Seção I
Do Controlador e do Operador
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais
que realizarem, especialmente quando baseado no legítimo interesse.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à
proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados,
nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a
descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das
informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de
risco adotados.
Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que
verificará a observância das próprias instruções e das normas sobre a matéria.
Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade,
livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista
especialmente a necessidade e a transparência.
Seção II
Do Encarregado pelo Tratamento de Dados Pessoais