A LGPD (Lei Geral de Proteção de Dados) foi aprovada em agosto de 2018, com vigência a partir de agosto de 2020. Tendo como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, a LGPD foca na criação de um cenário de segurança jurídica, práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil e a padronização de regulamentos, tudo de acordo com os parâmetros internacionais já existentes.
A lei esclarece que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação e define o que são dados pessoais, explicando que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes.
Na LGPD, o consentimento do titular dos dados é considerado elemento essencial para o tratamento, regra excepcionada nos casos previstos no art. 11, II, da Lei.
A lei garante ao cidadão poder solicitar que os seus dados pessoais sejam excluídos, que os dados sejam transferidos para outro fornecedor de serviços e revogação do consentimento, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns requisitos, tais como finalidade e necessidade, a serem previamente acertados e deixando titular ciente.
O Brasil conta com a ANPDP (Autoridade Nacional de Proteção de Dados Pessoais), para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD. A instituição tem como tarefa regular e orientar, preventivamente, sobre como aplicar a lei.
Além da ANPD (Lei nº 13.853/2019), a Lei Geral de Proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas organizações, tais como o controlador que é quem toma as decisões sobre o tratamento, o operador que realiza o tratamento em nome do controlador, e o encarregado que interage com os titulares dos dados pessoais e a autoridade nacional.
Em relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve adotar medidas preventivas de segurança, replicar boas práticas e certificações existentes no mercado, redigir normas de governança, elaborar planos de contingência, resolver incidentes com agilidade e fazer auditorias, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados.
As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e irá alertar e orientar antes de aplicar sanções às organizações.