A nova lei geral de proteção aos dados, entra em vigor em agosto de 2020. A intenção da lei é garantir ao usuário mais privacidade e controle sobre seus dados, a fim de evitar mal-uso pela parte de terceiros. A lei também serve para esclarecer quando uma empresa pode tratar um dado pessoal, ou seja, quando ela pode armazenar, processar e transferir esses dados. A importância de ter uma lei que regularize o tratamento de dados pessoais e abre oportunidade para discutir como funciona a LGPD.
Dados pessoais: é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais
Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
Pseudo-anonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudo-anonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Em seu artigo 18, a LGPD traz os direitos dos titulares de dados pessoais. Os titulares poderão solicitar, a qualquer momento: Confirmação da existência de tratamento; Acesso aos seus dados; Correção de dados incompletos, inexatos ou desatualizados; Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD; Portabilidade dos dados a outro fornecedor de serviço ou produto; Eliminação dos dados pessoais tratados; Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; Revogação do consentimento; Revisão por pessoa natural de decisões automatizadas.
A lei entrará em vigor 24 meses após a sua publicação no Diário Oficial da União, ou seja, a partir de agosto de 2020. As infrações deverão ser aplicadas pela ANPD ( Agencia nacional de proteção aos dados). A criação da ANPD havia sido vetada pelo presidente Michel Temer,[23] criando o questionamento sobre a efetividade da lei caso a autoridade nacional não fosse criada.
Dentre as competências da ANPD estabelecidas na legislação, estão a de zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções nos casos de descumprimento da legislação, promover o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade; realizar auditorias e celebrar compromissos para eliminação de irregularidades. A lei entrou em vigor na data de sua publicação (9 de julho de 2019).
As penalidades previstas a quem descumprir as diretrizes da LGPD não são nada amenas. Entre outras punições previstas está a multa por descumprimento, que pode chegar, dependendo da violação, a 2% do faturamento da empresa e seus grupos, em seu último exercício fiscal, limitada a R$ 50 milhões.