A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) regulamenta o uso de dados pessoais e estabelece regras sobre seu tratamento, inclusive nos meios digitais, por pessoa jurídica (empresa) de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.

Pessoa natural (com finalidade econômica), ou jurídica de direito público ou privado, que realize tratamento de dados pessoais, a qualquer pretexto e independente da forma.

• Titular: A quem os dados se referem, como por exemplo alunos, professores, funcionários e comunidade externa.
• Controlador: pessoa natural (com finalidade econômica), ou jurídica de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
• Operador: pessoa natural (com finalidade econômica), ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
• Agentes de tratamento: São figuras, do Controlador e Operador. Uma mesma empresa pode ser Controlador e Operador, a depender das atividades de tratamento de dados.
• Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. Qualquer dado que possibilite identificar uma pessoa é considerado dado pessoal.
• Dado pessoal sensível: dado pessoal que traz origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado à uma pessoa natural. É aquela categoria de dados que se refere a esfera mais privada do titular de dados.
• Tratamento: é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução,
• transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A lei traz 10 princípios que precisam obrigatoriamente ser observados para que os dados do titular possam ser utilizados e tratados:

Finalidade, Adequação, Necessidade, Livre acesso, Qualidade dos dados, Segurança, Transparência, Prevenção, Não-discriminação, Responsabilização e prestação de contas.

• Ter acesso facilitado, de forma clara, adequada e ostensiva a seus dados pessoais;
• Ser informado da finalidade específica do tratamento, da forma da duração, observados os segredos comercial e industrial;
• Identificar Controlador e Operador, com as informações de contato;
• Ser informado sobre compartilhamento dos dados pelo controlador com outros agentes e a finalidade.

A LGPD foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, estabelece princípios e cria regras que devem ser observados tanto por organizações privadas quanto públicas, além da instituição de uma entidade reguladora específica para o tema.

A fiscalização referente à LGPD será realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade.

São as hipóteses permitidas pelas quais se tratam os Dados Pessoais

• O tratamento de dados pessoais somente poderá ser realizado:
• Com consentimento do titular;
• Para cumprimento de obrigação legal ou regulatória;
• Pela Administração Pública;
• Para realização de estudos por órgãos de pesquisa;
• Para execução de contratos, a pedido do titular;
• Em processos judiciais, administrativos ou arbitrais;
• Para proteção da vida;
• Para tutela da saúde;
• Em legítimo interesse do Controlador;
• Para proteção do crédito.

A LGPD estabelece que o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse. Para tratamento de dados de crianças até 12 anos de idade, é necessário consentimento específico e em destaque, dado por pelo menos um dos pais ou responsáveis legais.

DPO (Data Protection Officer) é o Encarregado de Dados que atuará como canal de comunicação entre o Controlador e Operador, os titulares dos dados e a ANPD.