A Lei Geral de Proteção de Dados Pessoais (LGPD), tem como objeto o tratamento de dados pessoais, em meios físicos ou digitais, por pessoa natural ou jurídica, de direito público ou privado, tendo como finalidade a proteção dos direitos fundamentais de liberdade e de privacidade. Essa proteção alcança apenas os dados de pessoas naturais, ou seja, a LGPD não almeja guardar ou defender dados de pessoas jurídicas, como empresas. Isso porque a privacidade é um direito próprio dos indivíduos, não de entidades. A LGPD é muito importante no âmbito interno, pois faz com que aqueles que tratam dados pessoais sejam obrigados a cumprir com certos deveres, sendo vedada a utilização abusiva dos dados dos cidadãos – como a venda, a utilização para fins diversos, entre outros. Por meio da LGPD, os indivíduos também terão mais acesso a informações e controle sobre o que é feito com os seus dados pessoais. Também é muito relevante no âmbito internacional, pois é desejável que os dados pessoais sejam protegidos e tratados adequadamente no território brasileiro, para viabilizar o estabelecimento de relações diversas – por exemplo, comerciais – com países estrangeiros e com organismos internacionais, como a Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

A LGPD não é aplicada ao tratamento de dados pessoais: • realizado por pessoa natural para fins exclusivamente particulares e não econômicos; • realizado para fins exclusivamente jornalístico, artísticos ou acadêmicos; • realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; • provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Dados pessoais são qualquer informação relacionada a pessoa natural identificada ou identificável. Exemplos de dados pessoais são: nome, CPF, telefone, endereço, escolaridade, endereço, entre outros. Para compreender a diferença entre “identificada” e “identificável”, é preciso entender que nem sempre um dado, sozinho, pode identificar o seu titular. Contudo, quando combinado com outros dados, pode gerar uma informação que identifica o titular de dados. Por exemplo, não é tão fácil identificar uma pessoa sabendo apenas qual é a sua idade. Todavia, se se tem conhecimento também de seu CPF, seu telefone, seu endereço, sua escolaridade e outros, talvez seja mais fácil descobrir a quem esses dados dizem respeito, mesmo sem saber, num primeiro momento, o seu nome. Os dados pessoais também podem se tornar dado pessoal sensível, quando analisados sob a ótica do contexto e da consequência. Um nome como Hussain Al-Baghdadi indica a origem étnica do indivíduo “árabe”, o que em determinados contextos pode criar uma situação de constrangimento ou descriminação.

Por sua vez, dados pessoais sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Esses dados devem ser ainda mais protegidos, pela lei e por aqueles que os tratam, pois, se mal utilizados, podem violar direitos personalíssimos e até mesmo gerar situações de constrangimento, ameaça ou discriminação.

O art. 5° da LGPD determina que o tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. O tratamento de dados pessoais pode se dar tanto de forma física ou digital, verbal ou visual. Toda vez que os dados pessoais de alguém são pedidos para a realização de cadastro numa loja, numa escola, num serviço de saúde, entre outros, está ocorrendo o tratamento de dados pessoais. Não importa se os dados em questão não são sensíveis ou se, numa primeira vista, a situação parece ser inofensiva. O tratamento de dados pessoais deve respeitas os princípios e os direitos estabelecidos pela LGPD.

O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), mas sempre observando o seu melhor interesse.

O controlador de dados é o responsável por decidir a respeito do tratamento de dados. Pode ser uma pessoa natural ou jurídica, de direito público ou privado.

O operador, por sua vez, é aquele que realiza o tratamento de dados em nome do controlador. Também pode ser uma pessoa natural ou jurídica, de direito público ou privado.

O encarregado de dados é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado de dados pode responder por um grupo de empresas, desde que tenha capacidade para isso. O encarregado dever ter conhecimentos multidisciplinares, inerentes à função, como conhecimento jurídico, tecnológico e práticos no que se refere à proteção de dados.

A LGPD determina que as atividades de tratamento de dados pessoais devem observar, além da boa-fé, os seguintes princípios:
·      finalidade: o tratamento deve ter propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
·      adequação: o tratamento deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
·      necessidade: o tratamento deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
·      livre acesso: aos titulares é garantida a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
·      qualidade dos dados: aos titulares é garantida exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
·      transparência: aos titulares são garantidas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
·      segurança: devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
·      prevenção: devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
·      não discriminação: é vetada a realização do tratamento para fins discriminatórios ilícitos ou abusivos;
·      responsabilização e prestação de contas: o agente deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Os art. 18 e 20 da LGPD determinam que os titulares têm direito a:
confirmação da existência de tratamento;
acesso aos dados pessoais;
correção de dados incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados pessoais;
informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Solicitação da revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

A LGPD descreve no art. 7º, dez bases legais para o tratamento de dados pessoais. As bases legais são hipóteses que autorizam os controladores de dados a utilizar os dados pessoais dos titulares de dados, considerando os princípios da legislação e as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. As bases legais são: consentimento; cumprimento de obrigação legal ou regulatória pelo controlador; quando necessário para a execução de contratos ou procedimentos preliminares relacionados a contratos do qual seja parte o titular, a pedido do titular; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do titular; para a tutela da saúde; para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais; e para a proteção do crédito.

A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.

Em agosto de 221, entraram em vigor as sanções administrativas previstas pelo art. 52 da LGPD, que devem ser aplicadas pela ANPD. As sanções são as seguintes:
advertência, com indicação de prazo para adoção de medidas corretivas;
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
multa diária, observado o limite total a que se refere o inciso II;
publicização da infração após devidamente apurada e confirmada a sua ocorrência;
bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
eliminação dos dados pessoais a que se refere a infração;
suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  

Nesses casos, os titulares devem, primeiramente, entrar em contato com o controlador de dados e apresentar suas solicitações formalmente. Caso não sejam atendidas, devem entrar em contato com a ANPD, identificando a si mesmos, ao seu representante (se for o caso) e o agente de tratamento. Isso deve ser feito por meio do sistema de Peticionamento Eletrônico do Sistema, utilizando o Protocolo Central – Documentos para outras Unidades e Órgãos da Presidência da República.

A capacidade civil significa que uma pessoa tem aptidão para exercer direitos. A capacidade é a regra à qual algumas exceções: são absolutamente incapazes de exercer pessoalmente os atos da vida civil os menores de 16 (dezesseis) anos. Por sua vez, são relativamente incapazes os maiores de dezesseis e menores de dezoito anos; os ébrios habituais e os viciados em tóxico; e, aqueles que, por causa transitória ou permanente, não puderem exprimir sua vontade.
Nos casos em que um titular não tenha capacidade civil para exercer seus direitos, deve ser assistido por seus pais, tutores ou curadores.

A legitimidade é a capacidade de uma pessoa de adquirir e buscar a concretização de um determinado direito, sendo seu titular ativo ou seu representante legal de outra pessoa. Um aluno de 12 anos, por exemplo, deve ser representado por seu responsável, tutor ou curador, para ter acesso ao tratamento de seus dados pela escola. Caso um tio ou outro parente requisite o acesso em nome do aluno, não será possível, por não haver legitimidade para representá-lo.

Autenticidade se refere à veracidade da alegação de origem ou a autoria das informações. Se uma pessoa solicita acesso aos dados de um aluno a uma escola alegando ser seu representante legal, deve comprovar que de fato possui esse status. A comprovação da autenticidade pode ser feita por meio de uma foto do solicitante com o seu documento de identificação pessoal ao lado do rosto, por exemplo. Desse modo, a autenticidade deve ser comprovada para que se dê o exercício dos direitos dos titulares, seja pela requisição pessoal ou por seu representante legal.

É um procedimento para verificar/validar se o titular de dados realmente é quem alega ser. Este procedimento busca garantir, no caso de exercício dos direitos do titular, que as resposta serão encaminhadas a pessoa correta.