A lei define claramente o que são dados pessoais e explica que alguns estão sujeitos a cuidados ainda mais específicos, como as informações sensíveis e sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que a partir de protocolos seguros e/ou para cumprir exigências legais.

Na LGPD, o consentimento do cidadão é considerado elemento essencial para que dados pessoais possam ser tratados. Somente é possível tratar dados sem consentimento, em casos excepcionais, como para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não viole direitos fundamentais do cidadão.

A lei traz várias garantias ao cidadão, como: poder solicitar que dados sejam deletados; revogar consentimento; transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão.

Quem fiscaliza?

Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição também terá as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. No entanto, não basta a ANPD – que está em formação – e é por isso que a Lei Geral de Proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas organizações, como: o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional. Este último pode ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados.

Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados. Como todos os agentes de tratamento estão sujeitos à lei, é importante ressaltar que as organizações e as subcontratadas para tratar dados respondem em conjunto por eventuais danos causados. As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e enviará alertas e orientações antes de aplicar sanções às organizações.