Qualquer informação relacionada a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, tais como nomes, números, códigos, endereços e até mesmo outras informações, que dentro de um contexto ou por meio de cruzamento com outras informações, permita a sua identificação.

Desta forma pode-se dizer que todas as empresas estão sujeitas as suas determinações, visto que dificilmente alguma empresa consiga realizar suas atividades sem a utilização de dados pessoais.

Vale ressaltar que a lei impõe regras adicionais quando tratar-se de dados pessoais sensíveis, que são informações pessoais que possam gerar algum tipo de discriminação, tais como: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Toda operação ou atividade realizada com o dado pessoal, podendo ser:

Acesso, Armazenamento, Arquivamento, Avaliação, Classificação, Coleta, Comunicação, Controle, Difusão, Distribuição, Eliminação, Extração, Processamento, Produção, Recepção, Reprodução, Transferência, Transmissão, Utilização.

A lei determina que a pessoa física ou jurídica que realize o tratamento de dados pessoais respeite, os princípios e as bases legais por ela definidos, nas atividades de tratamento, impõe ainda um conjunto de obrigações que visam a garantia da segurança nas operações de tratamento e a transparência com os titulares dos dados pessoais no contexto do tratamento realizado.

Vale ressaltar que a LGPD impõe mudanças importantes na organização para que esta consiga trabalhar em conformidade legal, estabelecendo papéis e responsabilidades, desta forma se faz necessário a implementação de um Programa de Governança que permita a organização demonstrar a sua adequação e operacionalizar rotinas para atender as suas obrigações e o direito dos titulares.

A lei diz que a organização deve, ao realizar as atividades de tratamento, observar a boa-fé e os seguintes princípios:

Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A lei diz que o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

• Mediante o fornecimento de consentimento pelo titular.
• Cumprimento de obrigação legal ou regulatória.
• Execução de políticas públicas pela administração pública.
• Estudos por órgão de pesquisa.
• Execução de contrato ou de procedimentos preliminares relacionados.
• Exercício regular de direitos em processo judicial, administrativo ou arbitral.
• Proteção da vida ou bem-estar físico do titular ou de terceiros.
• Tutela da saúde. 
• Legítimo interesse do controlador.
• Proteção do crédito.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Autoridade Nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

A lei impõe diversas obrigações à organização que realiza o tratamento de dados pessoais, destacando-se:

• Nomear um encarregado para atual como canal de comunicação entre o controlador, os titulares de dados pessoais e a Autoridade Nacional de Proteção aos Dados.
• Implementar um programa de governança em privacidade que estabeleçam políticas, procedimentos, normas de segurança, padrões técnicos, ações educativas, mecanismos de supervisão e mitigação de riscos.
• Demonstrar a efetividade do seu programa de governança em privacidade.
• Manter um registro de todas as operações de tratamento de dados pessoais realizadas.
• Elaborar um relatório de impacto à proteção de dados que demonstre os processos de tratamento de dados pessoais realizados e as medidas de segurança adotadas a fim de mitigar os riscos relacionados.
• Manter uma estrutura técnica e administrativa capaz de identificar, analisar, avaliar e tratar incidentes de segurança envolvendo dados pessoais, observando a comunicação, em prazo razoável, aos titulares dos dados envolvidos e a Autoridade Nacional de Proteção de Dados.
• Atender ao exercício de direito dos titulares de dados pessoais.

A lei determina diversos direitos aos titulares de dados pessoais perante o controlador, destacando-se:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei.
• Portabilidade dos dados a outro fornecedor de serviço ou produto.
• Eliminação dos dados pessoais tratados com o consentimento do titular.
• Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento.