A Lei Geral de Proteção de Dados vai entrar em vigor assim que for nomeado o diretor-presidente da Autoridade Nacional de Proteção de Dados (ANPD), criada nesta quinta-feira (27).

A lei foi assinada em 2018 por Michel Temer, com dispositivo para vigorar a partir de fevereiro de 2020, mas esse prazo foi prorrogado. Ontem, o Senado reverteu decisão da Câmara, que adiava a vigência da lei para 2021.

Entenda o que é a LGPD, para que serve, e o que muda.

De onde veio essa lei?

A LGPD brasileira é inspirada em um regulamento semelhante na União Europeia, a GDPR (Regulação Geral de Proteção de Dados, na sigla em inglês).

A nova lei atualiza o Marco Civil da Internet. O objetivo é dificultar vazamentos e proteger a privacidade, a intimidade e os interesses originais das pessoas ao registarem dados nas empresas e aplicativos.

A lei define que o tratamento de dados pessoais só pode ser feito “para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.

Quais as diferenças na prática?

A lei proíbe às empresas usar os dados pessoais para propósito diferente do original.

Assim, um aplicativo que mede indicadores de saúde não pode repassar ou vender esses dados para um plano de saúde, que poderia usar essas informações para cobrar mais caro de alguém fora de forma.

As empresas ganham também novas obrigações. Devem garantir “a consulta facilitada e gratuita” aos dados pessoais. E os clientes passam a ter direito de corrigir e atualizar os próprios dados.

E tem mais. O Artigo 23 obriga a indicação de um “encarregado”, termo brasileiro para a função que na GDPR europeia é chamada de Data Protection Officer (oficial de proteção de dados).

Esse encarregado, que pode ou não ser um novo funcionário, é especificamente responsável por aceitar reclamações dos clientes, prestar esclarecimentos e orientar a equipe a respeito da política da empresa sobre dados pessoais.

Tem multa?

Sim. A empresa que descumprir a lei está sujeita a bloqueio e eliminação dos dados envolvidos em infração, divulgação do erro e multa diária de até 2% do faturamento, limitada a R$ 50 milhões.