La Ley General de Protección de Datos Personales (LGPD) (Ley n.º 13.709, de 2018) regula el tratamiento de datos personales de personas naturales, define las circunstancias en las que dichos datos pueden ser utilizados legítimamente por terceros y establece mecanismos para proteger a los titulares de los datos contra usos inadecuados. La Ley es aplicable al tratamiento de datos realizado por personas naturales o por personas jurídicas de derecho público o privado, y tiene como objetivo, según el artículo 1º, proteger los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad de la persona natural.

La LGPD adopta, en el Artículo 5, inciso I, un concepto amplio de dato personal, definido como información relacionada con una persona natural identificada o identificable. Así, además de la información básica de identificación, como el nombre, número de inscripción en el Registro General (RG) o en el Cadastro Nacional de Pessoas Físicas (CPF) y la dirección residencial, también se consideran datos personales otros datos relacionados con una persona natural, como sus hábitos de consumo, apariencia y aspectos de su personalidad. De acuerdo con el Artículo 12, Párrafo 2, de la LGPD, los datos utilizados para formar el perfil conductual de una persona natural determinada, si se identifica, también pueden considerarse datos personales.

Los datos personales sensibles son aquellos a los que la LGPD ha otorgado una protección aún mayor, ya que están directamente relacionados con los aspectos más íntimos de la personalidad de un individuo. Así, de acuerdo con el Artículo 5, II, los datos personales sensibles son aquellos relacionados con el origen racial o étnico, las creencias religiosas, las opiniones políticas, la afiliación a un sindicato o a una organización de carácter religioso, filosófico o político, los datos referentes a la salud o la vida sexual, los datos genéticos o biométricos, cuando están vinculados a una persona natural.

El tratamiento de datos personales podrá realizarse en cualquiera de las siguientes situaciones indicadas en la LGPD, como lo previsto en el Artículo 7:

• Mediante el consentimiento del titular;
• Para el cumplimiento de una obligación legal o regulatoria por parte del controlador;
• Para la ejecución de políticas públicas por la administración pública;
• Para la realización de estudios por un organismo de investigación;
• Para la ejecución de un contrato o de procedimientos preliminares relacionados con un contrato del cual el titular sea parte, a pedido del titular de los datos;
• Para el ejercicio regular de derechos en procesos judiciales, administrativos o arbitrales;
• Para la protección de la vida o la integridad física del titular o de un tercero;
• Para la tutela de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridades sanitarias;
• Para atender a los intereses legítimos del controlador o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del titular que exijan la protección de los datos personales; y
• Para la protección del crédito.

Las bases legales para el tratamiento de datos personales sensibles están previstas en el Artículo 11 de la LGPD. En el caso de transferencia internacional de datos personales, es necesario cumplir con las hipótesis legales indicadas en el Artículo 33.

La ANPD es el organismo de la administración pública federal responsable de velar por la protección de datos personales y por regular, implementar y fiscalizar el cumplimiento de la LGPD en Brasil.