• Número da Lei: 13.709
• Foi sancionada: 14 de agosto de 2018
• Entrou em vigor: 18 de setembro de 2020
• Passou a ser exigível: 1º de agosto de 2021
• A primeira multa: 06 de julho de 2023
• Deve obedecer os princípios da: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

Lei que estabelece diretrizes obrigatórias para a coleta, o processamento, o armazenamento e o uso de dados pessoais. Tem como objetivo regular o uso destes dados pelas empresas e também determina regras de transparência para o tratamento destas informações.

Dado pessoal: toda informação relacionada à pessoa identificada ou identificável. Ex.: nome e sobrenome, data e local de nascimento, RG, CPF, fotografia, endereço de morada, e-mail, número do cartão bancário, renda, histórico de pagamentos, hábitos de consumo, dados de localização (coletados por aplicativos de celular), endereço IP (endereço que o usuário usa para acessar à internet), cookies (informações que sites usam para proporcionar navegação customizada) e números de telefone.

Dado pessoal sensível: estes são os dados que exigem maior atenção. Ex.: dado sobre origem racial ou étnica, convicção religiosa, dado referente à vida sexual, opinião política, filiação a organização ou sindicato, dado referente à saúde, dado genético ou biométrico, quando quaisquer, vinculado a uma pessoa natural.

Quando o dado corresponder a menores de idade, o consentimento deve ser obtido por pelo menos um dos pais ou o responsável legal. Se por alguma ocasião for necessário contactar o pai ou responsável legal, pode ser coletado, sem consentimento e apenas uma vez, sem que este dado fique armazenado.

Os fundamentos da proteção de dados se aplicam a: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Esta lei não se aplica ao tratamento de dados pessoais quando realizado por pessoa natural para fins particulares e não econômicos, para fins jornalísticos ou artísticos ou acadêmicos (para este último precisa ser respeitado os artigos 7º e 11 desta mesma Lei), para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que esse país proporcione grau de proteção de dados pessoais compatível ao previsto nesta Lei.

Boa-fé e princípios para as atividades de tratamento de dados pessoais

Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: limitação do tratamento ao mínimo necessário, para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre integridade, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Hipóteses em que poderão ocorrer o tratamentos de dados pessoais

Mediante o fornecimento de consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória pelo controlador; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; para a realização de estudos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular de dados; para o exercício regular de direito em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); para a proteção da vida ou da incolumidade física do titular ou de terceiro; para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais, do titular que exijam, a proteção dos dados pessoais; ou para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente.

O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Hipóteses em que poderão ocorrer o tratamentos de dados pessoais sensíveis

Quando o titular ou seu responsável legal consentir, de forma específica e destacadas, para finalidades específicas; sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável (para cumprimento de obrigação legal ou regulatória pelo controlador, para o tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos, para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis, para o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem), para a proteção da vida ou da incolumidade física do titular ou de terceiro, para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais da saúde, serviços de saúde ou autoridade sanitária ou para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais da saúde, serviços de saúde, ou autoridade sanitária ou para a garantia de prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos, mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos a liberdades fundamentais do titular que exijam a proteção dos dados pessoais).

O término do tratamento de dados se dará quando a verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada, quando do fim do período de tratamento, quando pela comunicação do titular, inclusive no exercício de seu direito de revogação de consentimento, conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público ou quando da determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação quando no cumprimento de obrigação legal ou regulatória pelo controlador, quando para estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais, quando da transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei ou quando para o uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Toda pessoal natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e privacidade, nos termos desta Lei.

Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. As informações e os dados poderão ser fornecidos, a critério do titular por meio eletrônico, seguro e idôneo, para esse fim ou sob forma impressa.

Não deixem de conferir e lei na íntegra (link no final do texto). Ao meu ver foi um grande avanço nas leis brasileiras pois pelo conseguimos perceber se hoje você adquire um número novo de celular e não passa alguns meses já é possível notar que começa-se a receber ligações de números estranhos. Tudo indica que seus dados podem ter sido vendidos ou até mesmo você aceitou, escondido em letras pequenas e textos gigantescos, cláusulas que levam o usuário ao engano onde nestas dizem que seus dados poderiam ser repassados a outras empresas e/ou pessoas.

Leia esta Lei na íntegra:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm