Principais pontos de comparação entre a LGPD brasileira e a GDPR europeia
A LGPD brasileira (Lei Geral de Proteção de Dados) e a GDPR europeia (General Data Protection Regulation) são leis com objetivos muito parecidos. Elas visam maior controle e transparência no uso de dados pessoais por parte de empresas e organizações.
Neste contexto, LGPD e GDPR determinam como as empresas devem tratar tais dados, quais direitos os proprietários das informações têm e quais penalidades se aplicam se as regras forem violadas.
A GDPR é a irmã mais velha da LGPD. É uma lei que abrange a União Europeia e foi implementada em 2018. A GDPR é considerada uma referência, uma das leis mais abrangentes e completas quando se trata de privacidade e segurança de dados. Por outro lado, a LGPD é a lei brasileira que foi criada com base na legislação europeia. Mas ela entrará em vigor apenas no segundo semestre de 2020.
Embora as duas leis tenham finalidades parecidas, há pontos importantes e algumas diferenças entre elas que merecem ser destacados. E é sobre isso o que falaremos hoje: os principais pontos de comparação entre a GDPR e a LGPD.
Clique aqui para assistir ao webinar da Gatefy spbre proteção de dados na LGPD.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
LGPD e GDPR: pontos-chave de comparação
1. Definição do que é considerado dado pessoal e sensível
Ambas as leis têm uma definição similar a respeito do significado de dados pessoais. Segundo a GDPR (Artigo 4) e a LGPD (Artigo 5), dados pessoais são quaisquer informações relacionadas a uma pessoa identificada ou identificável.
No entanto, há um tipo de dado pessoal que é diferenciado pelas leis, como, por exemplo, origem racial ou étnica, crença religiosa e opinião política. Este tipo de dado é chamado pela GDPR de “categoria especial de dado pessoal” (Artigo 9) e pela LGPD de “dado pessoal sensível” (Artigo 5).
2. Tratamento de dados pessoais
Em relação ao tratamento e processamento de dados pessoais, a LGPD é uma lei mais específica do que a GDPR. De acordo com a lei europeia (Artigo 6), há 6 casos em que o processamento de dados é permitido: consentimento do proprietário, execução contratual, compliance ou conformidade, interesse vital, interesse público e interesse legítimo.
Já a lei brasileira aponta 10 casos (Artigo 7), acrescentando à lista estudos de órgãos e agências de pesquisa, exercício regular de direitos em processos judiciais, proteção ao crédito e proteção à saúde.
3. Tratamento de dados sensíveis ou especiais
Sobre o tratamento de dados sensíveis, a lei brasileira estabelece que esse tipo de dado pode ser processado pelas empresas desde que haja consentimento do proprietário ou titular das informações ou em 7 casos específicos, como por exemplo, o cumprimento de obrigações legais e a proteção à vida (Artigo 11).
Neste caso, a GDPR é mais incisiva e proíbe o tratamento de dados sensíveis ou especiais, determinando 10 exceções, como, por exemplo, para dados que já foram tornados públicos pelo proprietário e obrigações legais (Artigo 9).
4. Dados de crianças e adolescentes
O processamento de dados pessoais envolvendo crianças e adolescentes difere entre as duas leis. Segundo a LGPD (Artigo 14), qualquer pessoa menor de 18 anos deve ter o consentimento de um representante legal. Enquanto isso, de acordo com a lei europeia, a idade mínima é de 16 anos (Artigo 8).
5. Direito de acesso à informação e proteção de dados
Ambas as leis determinam que os proprietários das informações têm direito de controlar os seus próprios dados (LGDP: Artigo 18, GDPR: Artigo 12). Na prática, eles podem solicitar acesso aos dados, portabilidade, correção e até exclusão. No geral, as empresas devem prestar esse serviço gratuitamente.
A LGPD diz que as empresas têm 15 dias para responder a uma solicitação de acesso. Por outro lado, a GDPR estipula que o prazo é de 30 dias. A lei europeia estabelece ainda que, em casos excessivos, as empresas podem cobrar pela solicitação, levando em conta custos administrativos.
6. Quem são os atores
Tanto a GDPR quanto a LGPD têm atores que são pessoas, empresas ou organizações envolvidas em todo esse processo de tratamento e segurança de informações e dados (LGDP: Artigo 5, GDPR: Artigos 4 e 37).
Basicamente, existem 4 atores: o proprietário dos dados ou titular, o controlador, o operador ou processador e o encarregado ou Data Protection Officer (DPO).
7. Encarregado dos dados ou DPO
Sob a GDPR, somentem empresas que trabalham com processamento de dados em larga escala são obrigadas a nomear um DPO (artigo 37). Já no caso da LGPD a lei é mais abrangente e diz que as empresas precisam definir um DPO.
No entanto, a lei brasileira afirma que a autoridade responsável pode editar normas que dispensem a função de DPO dependendo do tamanho da empresa ou do volume de dados processados (Artigo 41).
8. Vínculo entre o controlador e o operador
A GDPR exige um contrato ou um vínculo jurídico entre o controlador e o operador, que é o responsável pelo tratamento dos dados (Artigo 28). A lei brasileira não faz tal exigência, apenas afirmando que o operador deve realizar o tratamento das informações segundo as instruções do controlador (Artigo 39).
9. Escopo territorial
A LGPD e a GDPR se aplicam basicamente a quaisquer empresas e organizações que operam, respectivamente, no Brasil (Artigo 3) e na União Europeia (Artigo 3). O lugar onde essas empresas estão sediadas não importa.
10. Multas por descumprimento da lei
A multa da LGPD é de até 2% da receita da empresa no ano anterior, limitada a R$ 50 milhões (aproximadamente EUR 11 milhões) por infração (Artigo 52). Já a GDPR limita as multas em EUR 20 milhões ou até 4% do volume de negócios da empresa no ano anterior (Artigo 83).
11. Responsabilização do controlador e do operador
Em caso de problemas, segundo a GDPR, multas e sanções não se aplicam ao controlador e processador se eles provarem que estão em conformidade com a lei ou que não são os responsáveis pelo evento que deu origem ao dano (Artigo 82).
No caso da LGPD, foi acrescentada uma terceira cláusula (Artigo 43). Se o dano é decorrente de culpa exclusiva do proprietário dos dados, o controlador e o processador estão absolvidos.
12. Incidentes de segurança e vazamentos de dados
A LGPD e a GDPR são bastante explícitas quando o assunto são incidentes de segurança. Caso um vazamento ocorra, a GDPR diz que as empresas devem notificar a autoridade competente dentro do prazo de 72 horas (Artigo 33).
A LGPD não estipula um prazo mas determina que, além da autoridade, os titulares dos dados também devem ser notificados (Artigo 48).
13. Relatório de impacto e proteção de dados
A lei europeia é bem clara em relação à criação de um relatório de proteção de dados. Quando o tratamento das informações pode resultar em um alto risco para os direitos das pessoas envolvidas, a empresa deve criar o relatório (Artigo 35).
Por outro lado, a lei brasileira é mais genérica, dizendo que a autoridade responsável pode determinar os casos em que o relatório é exigido (Artigo 38).
14. Fiscalização e aplicação da lei
No caso da lei brasileira, a autoridade responsável pela aplicação da lei é chamada de ANPD (Autoridade Nacional de Proteção de Dados) (Artigo 55). No caso da GDPR, é o Comitê Europeu de Proteção de Dados (Artigo 68).
Em resumo
Na prática, se a sua empresa já está em compliance com a GDPR, facilmente ela estará em compliance com a LGPD também; e vice-versa. Não são necessárias grandes alterações, já que existe uma convergência bem visível entre a LGPD e a GDPR. Na verdade, isso já era esperado, uma vez que a lei europeia é uma referência quando se trata de regulamentação de privacidade e segurança de dados.
O fato é que ambas as leis ainda precisam de tempo para ganhar maturidade e serem melhor avaliadas. Mas apenas por fazerem parte de um movimento mundial em prol de uma web mais segura e transparente já merecem a nossa atenção.
GDPR e LGPD na íntegra
Quer conferir a íntegra da LGPD, clique aqui (em português), e da GDPR, clique aqui (em inglês).