A Lei Geral de Proteção de Dados (LGDP, Lei 13.709/2018), inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR, de maio de 2018), entrará em vigor após 24 meses da data de 14 de agosto de 2018, com dois objetivos centrais: o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado e a proteção dos direitos fundamentais de liberdade e de privacidade, bem como do livre desenvolvimento da personalidade da pessoa natural.
Nos termos da LGDP, o conceito de tratamento equivale a toda operação realizada com dados pessoais, a exemplo das que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração – sem prejuízo de outras operações que sejam realizadas no seio de dados pessoais. Vê-se que a lei traz um rol exemplificativo do que pode ser considerado tratamento de dados:
Art. 5º Para os fins desta Lei, considera-se:
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Analogamente ao Marco Civil, a LGDP consagra alguns requisitos para sua aplicação, quais sejam: a) que operação de tratamento seja realizada no território nacional; b) que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; c) que os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Ademais, também são estabelecidas hipóteses em que a LGPD não será aplicada, como nos casos de: a) tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos; b) tratamento realizado para fins exclusivamente (I) jornalísticos e artísticos; (II) acadêmicos; (III) de segurança pública; (IV) de defesa nacional; (V) de segurança do Estado; ou (VI) de atividades de investigação e repressão de infrações penais; b) tratamento de dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
A proteção de dados pessoais é fundamentada, de acordo com a LGPD, em diversos princípios, e a repercussão do tema é tão grande que já existem, inclusive, projetos de emenda constitucional (PEC 17/2019) para inclusão da proteção de dados no rol de direito e garantias fundamentais.
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.