Em 14 de agosto de 2018, o Congresso Nacional promulgou a Lei 13.709, a qual tem como preocupação central o do tema da proteção de dados pessoais. Esta lei ficou popularmente conhecida pela sigla LGPD que se traduz em Lei Geral de Proteção de Dados Pessoais.
A partir de seus 65 artigos, divididos em 10 capítulos, a lei define alguns conceitos importantes sobre o tema, dizendo, pela primeira vez, o que vem a ser dado pessoal e definindo também como tais dados devem ser protegidos quando estiverem em poder de outrém.
Outro conceito importante, apresentado no texto da LGPD, é a definição de tratamento de dados que também vem acompanhada dos requisitos para que esse tratamento seja considerado legítimo e legal.
Em essência, ao proteger os dados pessoais, a LGPD cria meios de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, todos previstos na Constituição Federal de 1988.
A LGPD institui os seguintes fundamentos para o tratamento dos dados pessoais:
No capítulo I da LGPD vamos encontrar as disposições gerais que contém os princípios que fundamentam a proteção de dados pessoais (art. 2º), o âmbito da aplicação territorial da lei (art. 3º) e conceitos básicos (art. 5º).
Entre os conceitos apresentados pela LGPD, destaca-se o de dados pessoais, que são informações relacionadas à pessoa natural identificada ou identificável (art. 5º, I).
Neste sentido, são protegidas pela lei tanto a informação que identifica de forma direta a pessoa natural como também aquela que, através do cruzamento com outras, permite a identificação da pessoa proprietária.
A LGPD define ainda os "dados pessoais sensíveis", que se caracterizam por serem dados pessoais "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural" (art. 5º, I).
"Titular dos dados", por sua vez, é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V).
Já o tratamento é qualquer ação que se faça com os dados pessoais ou dados pessoais sensíveis. A LGPD aponta como tratamento "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (art. 5º, X).
No capítulo II são apresentados os requisitos para o tratamento de dados pessoais, dados pessoais sensíveis, dados pessoais de criança e de adolescente, e as hipóteses de término do tratamento de dados.
Os direitos dos titulares são apresentados no capítulo III, com a descrição dos prazos e formas para o atendimento das requisições dos titulares.
O capítulo IV é dedicado ao tratamento de dados pessoais pelo Poder Público e a sua responsabilização em caso de infração à LGPD.
O capítulo V trata da transferência internacional de dados, e o capítulo VI se ocupa dos agentes de tratamento de dados pessoais, da responsabilidade dos agentes e do ressarcimento de danos.
Segundo a definição da LGPD, os agentes de tratamento de dados pessoais são três: o controlador, o operador e o encarregado pelo tratamento de dados pessoais.
Conforme os conceitos apresentados pela própria LGPD, o controlador é a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais" (art. 5º, VI), enquanto o operador é a "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador" (art. 5º, VII).
O encarregado pelo tratamento de dados pessoais, por seu turno, é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".
O capítulo VII trata da segurança e das boas práticas a serem adotadas no tratamento de dados pessoais, enquanto o capítulo VIII trata da fiscalização da proteção de dados pessoais, com destaque para o rol de sanções administrativas que podem ser aplicadas pela ANPD.
A Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade são especificados no capítulo IX.
Por fim, o capítulo X é dedicado às disposições finais e transitórias.