A Lei n० 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais (LGPD)) dispõe sobre o tratamento pelos agentes com fim econômico dos dados pessoais, inclusive digitais.
O tratamento de dados pessoais devem observar a boa-fé, serem usados para fins lícitos, de acordo com a necessidade restrita, com transparência, segurança e prestação de contas do uso dos dados.
O seu tratamento exige o consentimento do titular (escrito ou por outro meio de manifestação) ou para cumprimento de obrigação legal, para estudos com sigilo, para atender pedido judicial, para a proteção da vida ou incolumidade física, para a proteção de crédito.
O titular tem direito de acesso às informações sobre o tratamento dos seus dados, como a finalidade, forma e duração, identificação do controlador, etc.
Os dados pessoais sensíveis (raça, etnia, convicção religiosa, opinião política, filiação a sindicato ou organização, dados de saúde e vida sexual, dado genético ou biométrico) exigem maior controle do consentimento e do seu uso.
Os dados pessoais de crianças e adolescentes somente poderão ser utilizados com o consentimento de, pelo menos, um dos pais ou pelo responsável legal, salvo a coleta uma única vez para contactar os pais ou responsável legal.
Os dados pessoais deverão ser eliminados após o término do tratamento dos dados.
O titular dos dados pessoais tem direito a confirmação de sua existência, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação de compartilhamento e revogação do consentimento.
O controlador ou operador de dados que causar dano patrimonial ao titular dos dados é obrigado a fazer devida reparação.
Os agentes devem adotar medidas de segurança para proteger os dados, ter regras de boas práticas e de governança (canais de reclamações e petições, normas de segurança, padrões técnicos, ações educativas, mitigação de riscos, resposta a incidentes, etc).
No dia 01.08.2021 passou a valer os artigos 52, 53 e 54, os quais contém sanções administrativas para os infratores das normas da LGPD, com previsão de advertência com prazo para correção, multa de até 2% do faturamento, multa diária, publicização da infração, bloqueio e eliminação de dados, suspensão do banco de dados ou da atividade de tratamento de dados, proibição do exercício de atividades, etc.
Na dosimetria das penalidades serão consideradas a gravidade das infrações, a boa-fé do infrator, a vantagem auferida ou pretendida, as condições do infrator (econômica, reincidência, cooperação, existência de mecanismos internos para minimizar o dano, implementação boas práticas e governança, execução de medidas corretivas), o grau do dano, proporcionalidade entre a falta e a sanção.
De modo geral, a LGPD exige dos agentes econômicos a adoção de procedimentos internos para garantia do tratamento dos dados dentro dos limites legais, sob pena de virem a incorrer em infrações e, com isso, sofrerem sanções.
