LGPD vs. GDPR: as maiores diferenças

LGPD vs. GDPR: as maiores diferenças

O Brasil aprovou sua lei geral abrangente de proteção de dados, a Lei Geral de Proteção de Dados (LGPD) do Brasil, em 14 de agosto de 2018. Adaptada a seu primo europeu, o Regulamento Geral de Proteção de Dados (GDPR), a nova legislação visa substituir e complementar a legislação existente às normas regulamentando o uso de dados pessoais pelos setores público e privado.

Previsto para entrar em vigor em 15 de agosto de 2020, após seu prazo inicial de 18 meses ter sido prorrogado por mais 6 meses pelo Presidente Michel Temer, dúvidas sobre a futura aplicação da LGPD surgiram quando o mesmo presidente vetou vários atos do projeto antes de sua aprovação, mais notavelmente aqueles necessários para criar a autoridade de proteção de dados do Brasil, a Autoridade Nacional de Proteção de Dados (ANPD).

Todas as incertezas já foram postas de lado: em 8 de julho de 2019, o novo presidente do Brasil, Jair Bolsonaro, promulgou a Lei nº 13.853 / 2019 que altera alguns dispositivos da LGPD e prevê a criação da ANPD. Com sua autoridade de proteção de dados agora uma realidade, o Brasil está avançando a todo vapor para a aplicação da LGPD.

Muitas empresas que passaram pela corrida para o cumprimento do GDPR consideram o regulamento europeu o mais exaustivo de seu tipo no mundo hoje, mas existem diferenças notáveis entre ele e o LGPD, o que significa que o cumprimento do GDPR não garante a conformidade com LGPD, embora é definitivamente um passo na direção certa. Vejamos algumas das principais diferenças.

Dados Protegidos

Embora tanto o GDPR quanto o LGPD protejam qualquer informação relativa a uma pessoa física identificada ou identificável, ao contrário do GDPR, o LGPD não fornece uma definição detalhada de que tipo de informação se refere, tornando seu escopo muito amplo.

Dados anônimos estão fora do escopo de ambas as leis, desde que medidas razoáveis tenham sido tomadas para garantir que eles não possam ser identificados novamente. A LGPD, entretanto, faz uma exceção: os dados são considerados pessoais quando usados para o perfil de comportamento de uma pessoa física específica, se essa pessoa for identificada.

Dados pseudônimos, entretanto, caem no escopo do GDPR, pois são considerados informações sobre uma pessoa física identificável, mas o LGPD não os menciona, exceto no contexto de pesquisas realizadas por agências de saúde pública.

Alcance territorial

Tanto o GDPR quanto o LGPD têm alcance extraterritorial: aplicam-se a todas as empresas que oferecem bens ou serviços a titulares de dados na UE ou no Brasil, independentemente de onde estejam.

Há uma diferença notável entre eles: o GDPR inclui explicitamente organizações que não estão estabelecidas na UE, mas que monitoram o comportamento dos indivíduos nela localizados. O LGPD não tem essa disposição. A LGPD também não se aplica a fluxos de dados originados fora do Brasil e que são apenas transmitidos, mas não processados posteriormente no país.

Base legal para processamento de dados

Uma das principais diferenças entre as duas leis são as bases jurídicas para o processamento de dados. O GDPR lista seis, enquanto o LGPD vai além e inclui dez. Aos seis originais do GDPR: consentimento explícito, desempenho contratual, tarefa pública, interesse vital, obrigação legal e interesse legítimo, o LGPD adiciona mais quatro: estudos por um órgão de pesquisa, exercício de direitos em processos judiciais, proteção à saúde e proteção ao crédito.

O acréscimo mais interessante a essa lista é a proteção ao crédito, uma disposição exclusiva do Brasil, que sem dúvida foi incluída devido às discussões atuais sobre a reforma de uma das leis que regulamentam a pontuação de crédito no Brasil, a Lei do Histórico de Crédito Positivo.

Oficiais de proteção de dados

De acordo com o GDPR, os controladores e processadores de dados cujas atividades principais consistem em operações de processamento que exigem monitoramento regular e sistemático dos titulares dos dados em grande escala, ou processamento em grande escala de categorias especiais de dados, são obrigados a nomear um oficial de proteção de dados (DPO).

O LGPD, por outro lado, requer apenas que os controladores de dados designem um DPO. No entanto, isso não limita as circunstâncias em que um DPO deve ser nomeado, o que significa que todas as empresas, independentemente do seu tamanho, tipo ou volume de dados que coletam, precisarão de um DPO. Posto isto, estando assim as coisas neste momento, a ANPD pode ajustar esta disposição e, agora que a sua criação está assegurada, espera-se que edite normas complementares para limitar a aplicabilidade deste determinado requisito.

Solicitações de acesso do titular dos dados

O direito de um indivíduo ao acesso aos dados é garantido tanto pelo GDPR quanto pelo LGPD. De acordo com ele, os titulares dos dados podem solicitar acesso aos dados que uma empresa coletou sobre eles e podem solicitar outras ações a respeito: sua portabilidade, exclusão ou correção. O GDPR concede às organizações 30 dias para responder às solicitações de acesso dos titulares dos dados, enquanto o LGPD concede apenas 15 dias.

Também há uma diferença no custo das solicitações: o LGPD torna-se obrigatoriamente gratuito, enquanto o GDPR torna opcional a gratuidade.

Notificações de violação de dados obrigatórias

Embora ambas as leis tornem as notificações de violação de dados obrigatórias, seus requisitos diferem um pouco. Enquanto o GDPR impõe 72 horas estritas nas quais as empresas são obrigadas a notificar as Autoridades de Proteção de Dados (DPAs) sobre violações de dados, as organizações que se enquadram na incidência da LGPD devem fazê-lo dentro de um tempo “razoável” indefinido. Este prazo, entretanto, também está sujeito a ajustes da ANPD. O LGPD exige que as empresas também notifiquem os titulares dos dados sobre violações de dados, algo que não é um requisito do GDPR.

Penalidades

As notórias multas do GDPR permitem que as DPAs em toda a Europa emitam multas de até 4% do faturamento anual global de uma empresa ou € 20.000.000 (cerca de US $22.000.000), o que for mais alto. De acordo com o LGPD, as organizações enfrentam penalidades semelhantes, embora um pouco menos graves: até 2% de sua receita total no Brasil no ano anterior ou até 50 milhões de reais (aproximadamente $13 milhões), o que for mais alto. O LGPD também lista possíveis penalidades diárias para fazer cumprir a lei.

As agências governamentais estão fora do escopo das multas LGPD, enquanto o GDPR deixa para as DPAs decidirem sobre esse assunto.

Em conclusão

Embora haja um grande número de semelhanças entre a LGPD e o GDPR, existem pontos como as bases jurídicas e as notificações de violação de dados obrigatórias em que a LGPD vai além da legislação europeia.

Existem também muitas disposições amplas na legislação brasileira que estão sujeitas a ajustes da ANPD e que a nova autoridade deve resolver nos meses que antecedem a aplicação da LGPD. Resta saber se as regras complementares que vai emitir irão aproximar ou afastar o LGPD do GDPR.

SOLICITE UMA DEMO
check mark

Seu pedido de Endpoint Protector foi enviado!
Um de nossos representantes entrará em contato com você em breve para agendar uma demonstração.

* Nós não compartilhamos suas informações pessoais com ninguém. Confira nossa Política de Privacidade Para mais informações.