A Lei Federal 13.709/18, Lei Geral de Proteção de Dados (LGPD), foi sancionada em agosto de 2018 e entrou em vigor em agosto de 2020 tendo por finalidade regular o tratamento de dados de todos os cidadãos brasileiros e como missão proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural. Assegura a lei aos cidadãos a titularidade sobre seus dados pessoais ao exigir consentimento para o uso e penalidades no caso de descumprimento.
Esta lei tem por origem o Regulamento Geral de Proteção de Dados da União Europeia e consiste, em seu principal pilar, na proteção dos dados pessoais, assegurada por uma Política de Segurança da Informação (PSI), determinando regras claras quanto a captação, tratamento, compartilhamento e eliminação de informações pessoais por parte de todas as empresas (de direito público ou privado).
Tem como fundamentos o respeito à: privacidade, liberdade de expressão, livre iniciativa, inviolabilidade da intimidade, dignidade, direitos humanos e defesa do consumidor. Apresenta como princípios: finalidade, adequação, necessidade, livre acesso, transparência, segurança, prevenção e responsabilização quanto ao uso de informações pessoais.
Em síntese, o que antes era tido como boas práticas de segurança da informação, norteadas pela ISO-27000, agora torna-se obrigatório e, concluindo, com a vigência da LGPD, as empresas precisam incorporar à sua Governança Corporativa o Compliance de Tecnologia da Informação.