Entrou em vigor em 18/09/2020 a Lei no 13.709, de 14/08/2018, conhecida como Lei Geral de Proteção de Dados (LGPD).
Após a sua publicação, a LGPD foi alterada pelas Leis nos 13.853, de 08/07/2019 e 14.010 de 10/06/2020.
A Lei se constitui em marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais.
Antes se sua publicação, o tema era tratado parcialmente em diversas legislações, como por exemplo o Código de Defesa do Consumidor (Lei no 8.078, de 1990), a Lei do Habeas Data (Lei no 9.507, de 1997), Lei do Cadastro Positivo (Lei no 12.414, de 2011), Lei de Acesso à Informação (Lei no 12.527, de 2011) e o Marco Civil da Internet (Lei no 12.965, de 2014).
Mais de 120 países no mundo já adotaram normas específicas de proteção e dados, dentre estes, seis são da América do Sul: Chile, Argentina, Uruguai, Paraguai, Peru e Colômbia.
A Lei se aplica a qualquer operação de tratamento de dados, realizada por pessoa natural ou por pessoa jurídica (direito público ou privado), independentemente do país de sua sede ou do país onde estejam localizados os dados, desde que:
- Seja realizada no território nacional;
- Tenha por objetivo a oferta ou o fornecimento de bens ou serviços;
- Seja de indivíduos localizados no território nacional, ou;
- Os dados pessoais tenham sido coletados no território nacional.
A LGPD define tratamento de dados como toda operação realizada com dados pessoais, tais como coleta, utilização, acesso, distribuição, processamento, armazenamento, avaliação ou controle da informação, comunicação, transferência, difusão, extração, etc.
São protegidas pela referida Lei qualquer informação pessoal, como por exemplo nome, endereço, e-mail, idade, estado civil e situação patrimonial. Além disso, faz tratamento diferenciado para dados classificados como sensíveis, como por exemplo, dados sobre: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato, organização de caráter religioso, filosófico ou político; saúde; vida sexual; características genéticas ou biométricas.
Além disso, a Lei especifica as hipóteses em que se admite o tratamento de dados, cabendo destacar:
- Quando houver consentimento do titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Quando necessário para a execução de contrato ou de sua preparação, do qual seja parte o titular;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para a tutela da saúde;
- Para a proteção do crédito.
Os dados sensíveis têm hipóteses restritas de utilização.
O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse.
As atividades de tratamento de dados pessoais deverão observar entre outros, os seguintes aspectos:
- Atendimento à finalidade específica informada ao titular, sendo vedado tratamento posterior incompatível com a finalidade original;
- Limitação do tratamento ao mínimo necessário para a realização de suas finalidades;
- Garantia de acesso aos dados pelos seus titulares;
- Utilização de medidas técnicas e administrativas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- Prevenção contra a ocorrência de danos em virtude do tratamento de dados pessoais;
- Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Os agentes de tratamento de dados, que descumprirem às normas previstas na lei, ficam sujeitos às seguintes sanções administrativas, tais como: advertência; multa; suspensão parcial do funcionamento do banco de dados a que se refere a infração; suspensão temporária do exercício da atividade de tratamento dos dados pessoais; proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. A lei ressalva que os dispositivos que tratam da aplicação de sanções administrativas entrarão em vigor em 01/08/2021.
Por fim a Lei cria o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade e a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.
Compete ao Conselho propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD.
Por sua vez, compete à ANPD, dentre outras, as seguintes atividades:
- Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação;
- Solicitar às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado;
- Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade;
- Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a lei.