Obrigações do Controlador
Art. 29. Compete ao Controlador:
I - Garantir a transparência no tratamento de dados pessoais baseado em legítimo interesse;
II - Aprovar o relatório de impacto à proteção de dados pessoais;
III - Garantir que a instituição mantenha o registro das operações de tratamento de dados pessoais;
IV - Indicar o Encarregado pelo Tratamento de Dado s Pessoais;
V - Orientar os Operadores quanto ao tratamento de dados pessoais, com base na legislação e regulamentação vigentes;
VI - Reparar danos patrimoniais, morais, individuais ou coletivos causados por violação à legislação de proteção de dados pessoais;
VII - Comunicar à Autoridade Nacional de Proteção de Dados e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
VIII - Garantir que a instituição adote medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
IX - Adotar regras de boas práticas e de governança que estipulem condições de organização, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, mecanismos internos de supervisão e mitigação de riscos, bem como outros aspectos relacionados ao tratamento de dados pessoais, desde que respeitadas suas competências;
X - Demais obrigações previstas na LGPD e na legislação e regulamentação correlatas.