A Lei Geral de Proteção de Dados Pessoais (LGPD) representa um marco no Direito brasileiro que acompanha uma tendência mundial. Na União Europeia, em 2016, teve início o Regulamento Geral para a Proteção de Dados (R. EU 2016/679) , do qual o nosso legislador teve forte inspiração — à semelhança dos europeus, estabelecemos o protagonismo do titular de dados pessoais nessa regulação: mesmo ao preservar os necessários equilíbrios econômicos do mercado, primando por inovação tecnológica e livre concorrência, estabelecemos que o titular dos dados pessoais deve ter poder de decisão sobre as suas informações, consagrando a chamada autodeterminação informacional.

Para nós, que diferentemente dos legisladores da UE não assistimos a disputas judiciais acaloradas em torno do uso de dados pessoais — especialmente pelo Estado, antes da iniciativa privada, sobretudo em censos populacionais —, essa questão normalmente ainda parece distante. Não raramente, questionamos: “mas isso vai pegar?”, “mas nossos dados já não estão disponíveis mesmo?”, entre outras perguntas ora feitas pelas gigantes dos dados (que lucram muito com eles), ora por empresas que não os têm por tão preciosos assim (afinal, não têm rendimentos a partir deles), ora pelos próprios titulares. Entretanto, não podemos nos enganar:
A proteção de dados constitui não apenas um direito fundamental entre outros: é o mais expressivo da condição humana contemporânea. Relembrar isto a cada momento não é verbosidade, pois toda mudança que afeta a proteção de dados tem seu impacto sobre o grau de democracia que nós podemos experimentar. (Stefano Rodotà. A vida na sociedade da vigilância: a privacidade hoje. Trad. Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008, p. 21).
O desvio de finalidade (ou mesmo o emprego a finalidades escusas) do tratamento de dados pessoais armou empreitadas desumanas no século passado (do nazismo ao genocídio ruandês de 1994). Mais recentemente, o centro gravitacional da preocupação em torno de informações sobre as pessoas passou a ser a prevenção contra influências indevidas em processos democráticos, a par da violação de privacidade dos titulares. Atentos a isso, governos em todo o mundo vêm regulando o uso de dados pessoais: quem pode tratá-los, quais dados podem ser utilizados, como, para quê, por quê, por quanto tempo, etc.
No Brasil, a resposta veio com a LGPD, que agora obriga todas as empresas, ainda sem exceção, a seguirem suas disposições, sujeitando-as a sanções rigorosas e facultando aos titulares de dados o requerimento de indenizações. Mais do que seguir a Lei, agora é preciso (paradoxalmente, para simplesmente segui-la) demonstrar isso — como o ditado popular: “não basta ser honesto, precisa parecer honesto”.
Trata-se de uma novidade cuja compreensão vem desafiando juristas em todo o País, um novo regime de responsabilidade civil, baseado na demonstração de boas práticas e na prestação de contas. Por um lado, o legislador não impôs às empresas (agentes de tratamento) a responsabilidade automática (objetiva) por fatos relacionados ao tratamento de dados pessoais; por outro lado, entretanto, exigiu-lhes a demonstração constante do cumprimento da legislação. Para tanto, todas as organizações, sobretudo por exigências mútuas no meio empresarial, vêm adotando diferentes estratégias de adequação à LGPD.