A Lei nº 13.709/2018, conhecida como LGPD, é uma das mais importantes leis que entraram em vigor recentemente. Ela dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme seu art. 1º.

São previstos requisitos básicos para aplicação da lei: que a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional e que os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Por outro lado, há situações de tratamento de dados em que a LGPD não será aplicável:

• Quando realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
• Quando realizado para fins exclusivamente:

1. a) jornalístico e artísticos; ou
2. b) acadêmicos, desde que com o consentimento expresso e específico do titular;

• Quando realizado para fins exclusivos de:

1. a) segurança pública;
2. b) defesa nacional;
3. c) segurança do Estado; ou
4. d) atividades de investigação e repressão de infrações penais.

• Quando provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Em regra, o tratamento de dados somente poderá ser realizado em algumas hipóteses, a exemplo das seguintes:

• com o consentimento fornecido pelo titular; 
• para o cumprimento de obrigação legal ou regulatória pelo controlador;
• para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
• quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); 
• para a proteção da vida ou da incolumidade física do titular ou de terceiro;

O consentimento do titular dos dados é um dos pontos centrais da lei, que estabelece algumas regras a respeito:

• O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
• É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na lei.
• O controlador que obteve o consentimento e que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na lei.
• A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

Além disso, o consentimento deverá ser fornecido por escrito ou outro meio que demonstre a manifestação de vontade do titular. Caso seja por escrito, deverá constar de cláusula destacada das demais no contrato. Ainda, deverá se referir a finalidades determinadas, sendo nulas as autorizações genéricas.

O ônus de provar que o consentimento foi obtido de acordo com a lei é do controlador dos dados e é vedado expressamente na lei o tratamento de mediante vício de consentimento.

É importante mencionar que o consentimento pode ser revogado a qualquer momento por meio de manifestação expressa do titular, por procedimento gratuito e facilitado, como também que ele tem direito ao acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso.

A LGPD também dispõe que a entrada em vigor das regras de fiscalização e aplicação de sanções administrativas ocorre em 1º de agosto de 2021, isto é, há poucos dias.

Espera-se que nesse início de supervisão a Autoridade Nacional de Proteção de Dados (ANPD) tenha uma conduta mais informativa, embora já haja autorização legal para aplicar sanções, que podem ser simples advertências, multa diária ou de até 2% do faturamento da pessoa jurídica – limitada a R$ 50.000.000,00 por infração) e, em casos mais graves, proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados, entre outras.

As sanções poderão ser aplicadas de forma gradativa, isolada ou cumulativa, após procedimento administrativo que permita a ampla defesa, observando as peculiaridades do caso concreto e alguns critérios, como exemplos a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator e a sua condição econômica. 

A LGPD ainda ressalva que as medidas previstas não substituem as sanções administrativas, civis ou penais previstas no Código de Defesa do Consumidor e em outras leis.

Portanto, é fundamental que as empresas já estejam se adequando às normas de proteção de dados.