Após diversas situações de exposição de dados pessoais (como o ocorrido no caso da Cambridge Analytica) e inspirada na regulamentação da União Europeia (GDPR), o Brasil criou a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020, visando garantir ao usuário mais privacidade e controle sobre seus dados.

A LGPD objetiva estabelecer as regras para a coleta, uso, tratamento e armazenamento de dados pessoais, não só no ambiente digital como fora dele. Submete-se à LGPD qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer dado pelo qual se consiga identificar uma pessoa ou que com a união de outro dado possibilite essa identificação.

Os agentes de tratamento dos dados pessoais – operador e controlador – devem observar os princípios da LGPD, destacando-se a estrita observância da finalidade do tratamento dos dados pessoais, a adoção de medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e a transparênciagarantida aos titulares quanto à informações claras, precisas e facilmente acessíveis.

O tratamento dos dados pessoais está autorizado apenas em situações específica, tais como, cumprimento de obrigação legal, atendimento de interesses legítimos ou mediante o consentimento do titular dos dados pessoais. Neste último caso, o consentimento dado pelo usuário deve ser inequívoco e formalizado.

De acordo com a legislação, o titular dos dados tem direito de saber quais dados relacionados a ele a empresa armazena, podendo solicitar a correção dos dados, a portabilidade para outro fornecedor de serviço ou produto, bem como revogar o consentimento a qualquer tempo.

As penalidades pelo descumprimento da LGPD podem envolver desde a proibição total ou parcial de atividades relacionadas a tratamento de dados, indenizações às pessoas prejudicadas e pesada multas, que podem chegar até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. Vale lembrar que no começo deste ano o órgão regulador da França aplicou uma multa de 50 milhões de euros contra o Google por “falta de transparência, informação incorreta e ausência de consentimento válido na publicidade personalizada”.

Dessa forma, as empresas brasileiras que lidam com informações de pessoas físicas devem implementar medidas para proteger os dados pessoais, com vistas a evitar, combater ou minimizar a perda ou indisponibilidade desses dados.