No dia 14 de agosto, o presidente Michel Temer sancionou a lei que define regras para a proteção de dados pessoais, regulamentando o uso, a proteção e a transferência de informações como nome, endereço, e-mail, idade, estado civil e situação patrimonial. O texto aprovado entrará em vigor dentro de um ano e meio e afetará as empresas que recolhem e processam dados pessoais no Brasil, seja on-line ou off-line.
A aprovação da medida afetará bancos, operadoras de saúde e governo, visto que a coleta de dados necessitará de consentimento dos usuários e, para que as empresas possam compartilhá-los, será exigida uma autorização explícita por parte do cidadão. Caso haja o descumprimento desta obrigação pelas empresas, estas poderão incorrer em advertência ou em pagamento de multa, cujo valor será proporcional à extensão do dano, variando de 2% do faturamento da empresa infratora até o máximo de R$ 50 milhões. Para além de tais penalidades, há, na Lei sancionada, previsão de multas diárias e divulgação da infração após a devida apuração e confirmação da ocorrência.
A Lei aduz que a proteção de dados tem como fundamento o respeito à privacidade; a liberdade de expressão; a inviolabilidade da intimidade, da honra e da imagem; a defesa do consumidor; os direitos humanos e o exercício da cidadania. O projeto, que estava em debate há anos, ganhou força com o episódio do uso de dados pelo Facebook com a finalidade de influenciar o resultado das eleições americanas. O Brasil, até então, tinha leis dispersas sobre esta matéria, agora consolidadas em uma norma única.
O presidente Michel Temer vetou alguns pontos da norma, como os artigos que tratavam sobre criação da Autoridade Nacional de Proteção de Dados (ANPD). Vinculada ao Ministério da Justiça, a autoridade teria a função de órgão regulador para fiscalizar as normas de proteção de dados e aplicar sanções para quem infringisse a legislação. Isso porque, no entendimento do governo, caberia ao Poder Executivo propor a criação desta autoridade. Ademais, o presidente vetou algumas punições que seriam aplicáveis às empresas, como a suspensão parcial ou total do funcionamento do banco de dados e a proibição parcial ou total do exercício das atividades das empresas relacionadas ao tratamento de dados.