A lei entrou em vigor de forma gradual:
● Em 28 de dezembro de 2018, foram implementados os artigos que tratam da criação da ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP).
● Em 18 de setembro de 2020, a maioria dos artigos entrou em vigor, com exceção dos que preveem sanções administrativas.
● Em 1º de agosto de 2021, os artigos sobre sanções administrativas (arts. 52, 53 e 54) começaram a valer.

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por garantir o cumprimento da LGPD no Brasil. Ela tem a missão de proteger os direitos fundamentais de liberdade e privacidade, além de fiscalizar e aplicar sanções quando necessário. Suas atribuições incluem promover o conhecimento sobre a proteção de dados, cooperar com autoridades internacionais e emitir regulamentos sobre o tratamento de dados.

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, regula o tratamento de dados pessoais de pessoas físicas, definindo quando e como essas informações podem ser utilizadas por terceiros.

Tratamento de dados pessoais é qualquer operação realizada com dados, como coleta, armazenamento, uso, distribuição, compartilhamento ou eliminação.
O tratamento é permitido quando uma das bases legais previstas na LGPD for observada (art. 7º para dados pessoais e art. 11 para dados sensíveis).

A LGPD tem como foco a proteção dos direitos fundamentais relacionados à privacidade e à transparência no tratamento de dados. A legislação introduz novos direitos para garantir maior clareza no uso de dados pessoais e coloca o titular em posição de controle sobre suas informações.
Para empresas e instituições públicas, a LGPD proporciona a oportunidade de aprimorar políticas de governança de dados, adotando práticas que minimizem riscos e aumentam a confiança dos titulares de dados.

A LGPD protege os dados pessoais de pessoas físicas, independentemente de estarem em formato digital ou físico. A lei não se aplica a dados de pessoas jurídicas, já que estes não são considerados dados pessoais pela legislação.

Dados pessoais consistem em quaisquer informações relacionadas a uma pessoa física identificada ou identificável. Isso inclui nome, RG, CPF, endereço e outros elementos que permitam identificar uma pessoa, como histórico médico, filiação política e dados biométricos. Informações usadas para criar perfis comportamentais também podem ser consideradas dados pessoais, se forem associadas a um indivíduo.

Dados sensíveis são informações que a LGPD protege com maior rigor, por estarem ligadas a aspectos mais íntimos da personalidade de uma pessoa. Isso inclui dados sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação sindical, informações sobre saúde, vida sexual, dados genéticos ou biométricos.

Entre os direitos garantidos pela LGPD, destacam-se:
● Acesso facilitado e claro às informações sobre o tratamento dos dados;
● Confirmação da existência de tratamento;
● Correção de dados incompletos, inexatos ou desatualizados;
● Anonimização, bloqueio ou eliminação de dados tratados de forma inadequada;
● Portabilidade dos dados para outro fornecedor de serviço ou produto;
● Informação sobre entidades públicas e privadas com as quais houve compartilhamento de dados;
● Direito de revogar o consentimento, dentre outros.

Empresas e órgãos públicos precisam adotar medidas para identificar as bases legais que justificam o tratamento de dados, além de desenvolver políticas internas para garantir a conformidade com a lei. Isso envolve desde o mapeamento de dados até a criação de relatórios de impacto e monitoramento contínuo. A LGPD também exige que as organizações indiquem um Encarregado (DPO) para atuar como ponto de contato entre a organização, os titulares e a ANPD.

Sim, após procedimento administrativo que assegure a ampla defesa, a ANPD pode aplicar sanções como:
● Advertência;
● Multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração;
● Publicização da infração;
● Bloqueio ou eliminação dos dados relacionados à infração;
● Suspensão temporária ou definitiva do tratamento de dados pessoais.