Para a lei, é “dado pessoal” qualquer informação que pode identificar uma pessoa. A lei ainda estabelece uma categoria de “dados sensíveis”, que inclui informações sobre etnia, opinião política e religiosa (bem como filiação a sindicatos ou organizações religiosas e filosóficas), informações sobre a saúde, vida sexual e dados genéticos ou biométricos. São abertas certas exceções para dados que a pessoa decidiu tornar público.

O Brasil chega a essa questão com muito atraso. A lei europeia GDPR, que entrou em vigor em maio, foi aprovada em 2016 e substituiu uma regulamentação da União Europeia de 1995, que já previa algumas das regras que o Brasil só agora vai passar a ter, como a obrigação de obter consentimento para processar dados pessoais.

O prazo para a lei entrar em vigor reconhece o trabalho que vem pela frente: 18 meses. Isso significa que a lei só deve começar a valer em março de 2020. Até lá, o governo também precisa propor uma alternativa à Autoridade Nacional de Proteção de Dados (ANPD), que foi vetada.

O governo esclareceu que o veto se deve às atribuições delineadas na Constituição, segundo a qual apenas a Presidência da República pode propor leis que abordem a “criação de cargos, funções ou empregos públicos na administração direta e autárquica”. Por isso, o governo deve redigir um novo projeto tratando apenas da criação desse órgão e enviá-lo ao Congresso.

Entre outras atribuições, caberá ao novo órgão fiscalizar o cumprimento da lei e definir padrões de segurança para a guarda de dados. Sendo assim, é praticamente obrigatório que o governo proponha a criação desse órgão ou setor e que ele esteja estruturado até 2020 para que a lei possa valer na prática.

Quando estiver valendo, a LGPD vai obrigar qualquer empresa que sofrer incidentes de segurança (como vazamentos) a relatarem o ocorrido para todas as pessoas impactadas. Será preciso informar quais dados a empresa acredita que pode ter perdido — exatamente como é nos Estados Unidos e na Europa. Hoje, as empresas não são obrigadas a vir público sobre esse tipo de incidente, o que significa que muitas vítimas de vazamentos jamais ficam sabendo que seus dados foram expostos.

O descumprimento da lei pode gerar multas de até R$ 50 milhões ou obrigar a empresa apagar os dados envolvidos. O governo vetou os artigos que previam a possibilidade de suspender as operações de processamento de dados de uma empresa por seis meses ou até indefinidamente.

Mesmo assim, a possibilidade de sofrer qualquer punição e de ser obrigado a provar que obteve consentimento das pessoas para armazenar e processar suas informações muda o raciocínio das empresas. Hoje pode valer a pena guardar alguma informação “só por guardar”, mesmo que ela não seja necessária. Com a LGPD, toda informação armazenada pode se transformar em uma dor de cabeça.

É isso que vai obrigar as empresas a pensarem melhor sobre quais dados vale a pena armazenar — e também de que forma isso será feito.

Consenso para armazenamento e processamento de dados: exigência prevista na Europa desde a Diretiva de Proteção de Dados, de 1995. Não há regra no Brasil hoje — a regra será nova com a LGPD.

Autorização dos pais para uso de dados de crianças: previsto desde 1998 pela lei COPPA nos Estados Unidos. De forma semelhante, a LGPD obriga a obtenção do consentimento dos pais.

Notificação de vazamento de dados: a primeira lei a exigir que empresas avisem consumidores sobre dados roubados ou vazados foi aprovada em 2002 no estado da Califórnia, nos Estados Unidos, e entrou em vigor no ano seguinte. A obrigação também valerá no Brasil quando a LGPD entrar em vigor, 17 anos após a lei californiana.

Cookies: o uso de cookies é regulamentado na Europa pela Diretiva de ePrivacidade de 2002. O termo “cookies” não consta na LGPD e a lei exclui das regras os “dados anonimizados”, como normalmente é o caso com cookies. Será preciso esperar a lei entrar em vigor e aguardar decisões da Justiça ou da autoridade competente sobre o tema.

Spam: o envio de mensagens comerciais é regulamentado na Europa pela Diretiva de ePrivacidade de 2002 e pela lei CAN-SPAM de 2003 nos Estados Unidos. O Brasil ainda não dispõe de regras sobre spam e não está claro qual vai ser o efeito da LGPD sobre a prática.