A Lei nº 13.709/2018 foi publicada em 14/08/2018 com o objetivo de regular as atividades de tratamento de dados pessoais em todo o território brasileiro. A LGPD se aplica a qualquer pessoa, natural ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais.
A exemplo do que está sendo realizado em diversos países, a LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia e publicada com a finalidade de criar um ambiente de segurança jurídica por meio da padronização de normas e práticas para a proteção, de forma igualitária, de dados pessoais no Brasil.
Por conseguinte, a Lei brasileira, de proteção de dados, firmou os seguintes fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A LGPD trouxe definições para facilitar o entendimento de quem são as figuras detentoras dos dados e os responsáveis pelos tratamentos dos dados pessoais:
Titular – pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, ou seja, são os donos dos danos pessoais e sensíveis.
Controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
Encarregado – pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Além disso, definiu o que seja “tratamento de dados pessoais”, bem como, as bases legais para o tratamento:
Tratamento – toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Bases Legais – hipóteses que garantem a finalidade e legalidade do tratamento.
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Para além, estabeleceu os princípios que regem o tratamento de dados pessoais para que todas as atividades de tratamento observem a boa-fé.
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Ademais, a Lei Geral de Proteção de Dados é regulamentada e sua aplicação é fiscalizada pela Autoridade Nacional de Proteção de Dados – ANPD, órgão governamental federal, que tem por objetivo, além de outros, estimular a cultura de proteção de dados pessoais e sensíveis, no país, através das normativas regulatórias e fiscalizatórias adotadas e, por meio delas, promover o debate amplo da proteção de dados e a aplicabilidade da LGPD junto à sociedade.