Com a Lei em vigor, quais as diferenças entre a LGPD e GDPR?

As diferenças entre LGPD e GDPR existem, embora a lei nacional tenha se inspirado na europeia.

Desde que foi anunciada a Lei Geral de Proteção de Dados, já sabíamos que ela seria fortemente baseada na recém lançada General Data Protection Regulation. Mas os cenários aos quais são aplicadas, são bem diferentes.

Neste artigo, iremos entender um pouco sobre a difença entre elas.

Mas antes, caso você queira saber mais sobre todas as novidades em relação a LGPD, não deixe de conferir nosso artigo mais completo sobre o tema.

Diferenças entre LGPD e GDPR

Tanto a LGPD quanto a GDPR são legislações funcionais para abordar a segurança e proteção de dados pessoais utilizados em corporações e organizações governamentais, mas para entender melhor a diferença entre uma e outra, precisamos considerar fatores que muitas vezes são mais relacionados a própria cultura local. Afinal, a LGPD foi assumidamente baseada na GDPR.

Sendo neste cenário a primeira a exigir e entrar em vigor, a GDPR foi aprovada em meados de 2016 e aplicada em toda União Europeia, sua sigla significa General Data Protection Regulation, e com todas as alterações até ser efetivamente aplicada, passou a funcionar meses antes da nossa LGPD ser aprovada: em maio de 2018.

Desde então, a GDPR é considerada uma das maiores referências de uma leii de proteção de dados no mundo.

Sendo a GDPR válida apenas no território da União Europeia, outros países sentiram a necessidade de ter uma lei semelhante para manter os direitos dos seus dados exportados, e foi exatamente daí que surgiu a demanda de uma versão brasileira.

Em geral, a LGPD é muito parecida com a GDPR, mas a lei brasileira ainda possui lacunas e menos especificações do que sua base de inspiração, e por isso existem alguns pontos de divergência aos quais precisamos nos atentar, de modo geral.

Por exemplo, a lei europeia é bem mais específica em relação a determinados fatores, como os parâmetros que devem ser considerados para determinar quando uma pessoa é potencialmente identificável. No caso da LGPD, essa especificação ainda não existe.

O regulamento europeu também possui termos que detalham melhor as categorias especiais de dados pessoais, por exemplo, existe a diferenciação de categorias envolvendo “dados de saúde”, “dados biométricos” e “dados genéticos.

Na versão brasileira, essas categorias não existem, e são mencionadas de maneira discreta pelo termo “dados pessoais sensíveis”, e como não existe ainda uma definição muito objetiva para o que pode ser considerado um dado sensível, o termo passa a ser subjetivo.

Outro ponto chave é a definição de aviso de vazamento de dados, pois a lei brasileira apenas menciona solicita que seja realizado o comunicado a pessoa física “dentro de um tempo razoável”, enquanto a versão europeia especifica a quantidade de dias, para evitar que esse tempo torne-se subjetivo.

Diferenças entre LGPD e GDPR e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

• Como entender a jornada da LGPD
• ANPD: Como funcionará a gestão da LGPD
• LGPD e os primeiros passos para entrar em compliance
• Como criar uma cultura de privacidade de dados corporativos
• Como funcionará o tratamento de dados com a LGPD?

Diferenças entre LGPD e GDPR – Tabela Comparativa

Conforme mencionamos, a LGPD e GDPR são facilmente confundíveis em alguns momentos. Inclusive, muitas das informações não amplamente explícitas na LGPD são deduzidas com a informação disponibilizada na LGPD, embora sejam diferentes.

Preparamos uma tabela comparativa para que você entenda, na prática, as diferenças essenciais da LGPD para a GDPR. Confira:

Tratamento de dados sensíveis

• LGPD (Brasil) – Art 11, II, ‘b’ e ‘g

Estabelece proteção especial aos dados sensíveis. O tratamento poderá ocorrer apenas nas hipóteses previstas na lei, independente do consentimento do titular.

• GDPR (União Europeia) – Art 9, §2º, ‘d’ e ‘e’

Proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções.

Tratamento de dados de menores

LGPD (Brasil) – Art 14, §1º

• LGPD (Brasil) – Art 14, §1º

A todos os menores de 18 anos, é necessário que o consentimento seja dado pelos pais ou responsáveis.

• GDPR (União Europeia) – Art 8, §1º

Aceita o consentimento dado por crianças, desde que tenham pelo menos 16 anos. Para o caso de menores de 16 anos, o consentimento deve ser dado pelos pais.

Políticas de proteção de dados

• LGPD (Brasil) – Art 50

A lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados.

• GDPR (União Europeia) – Art 24, §2º

Atribui aos controladores de dados a obrigação de adotar medidas técnicas e administrativas adequadas para assegurar o comprimento da legislação.

Representantes

• LGPD (Brasil) – Art 61

Prevê que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.

• GDPR (União Europeia) – Art 27

A figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.

Responsabilização dos agentes

• LGPD (Brasil) – Art 42 e seguintes

Existem três hipóteses em que o controlador/operador não é responsabilizado:

1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação,
3. Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

• GDPR (União Europeia) – Art 82

Existem duas hipóteses em que o controlador ou operador não é responsabilizado:

1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação.

Marketing direto

• LGPD (Brasil) – Art 61

Aplicam-se as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.

• GDPR (União Europeia) – Art 21

O titular dos dados tem o direito de se opor a qualquer momento ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.

Relação Entre Controlador e Operador

• LGPD (Brasil) – Art 39

O operador deverá realizar o tratamento de dados conforme a instrução do controlador. Não há exigência de formalização por meio de contrato.

• GDPR (União Europeia) – Art 28 §3º

Prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.

Relatório de Impacto

• LGPD (Brasil) – Art 38

Não foram especificadas em quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, delegando a uma regulamentação posterior o tratamento desta matéria.

• GDPR (União Europeia) – Art 25

Está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. A GDPR traz ainda uma detalhada descrição do que deve ser abordado neste relatório.

Transferência Internacional de Dados

• LGPD (Brasil) – Art 33 e seguintes

Permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto.

A lei é breve quanto a este procedimento e elementos a serem considerados como adequados.

A LGPD estabelece apenas diretrizes genéricas a serem observadas pelas autoridades nacionais.

• GDPR (União Europeia) – Art 44 e seguintes

Alega que a transferência internacional dos dados pode ser realizada independente de autorização específica caso a comissão europeia reconheça que o país terceiro assegure um nível de proteção adequado.

Caso não, a transferência internacional estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente.

Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.

Órgão Regulador

• LGPD (Brasil) – Art 68 e seguintes

Previa a criação da Autoridade Nacional de Proteção de Dados em sua origem, seguido a mesma linha do regulamento europeu.

Porém, os dispositivos que previam a sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo.

• GDPR (União Europeia) – Art 68 e seguintes

Estabelece a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR.

Diferenças entre LGPD e GDPR nos prazos e multas

Seguindo exemplo da GDPR, a LGPD estabelece previsão de sanções administrativas para infrações. A multa pode chegar a R$ 50 milhões por infração.

No entanto, a aplicação da multa é equivalente a até 2% do faturamento bruto da empresa em seu último exercício, sendo o valor de R$ 50 milhões um teto. Vale lembrar, ainda, que a multa pode ser aplicada para cada instância de irregularidade.

A empresa ainda pode sofrer penalidades que determinam a suspensão de atividades que envolvam o tratamento de dados pessoais. Da mesma forma, pode ser determinada a suspensão de atividades da empresa como um todo no mercado até a regularização.

Com penalidades tão extensas, a adaptação das empresas à LGPD torna-se uma prioridade.

Por sua vez, a lei europeia aplica multas de até 20 milhões de euros ou 4% do volume de negócios global da empresa (o que for maior). Também estão previstas na GDPR advertências, determinações de bloqueio ou eliminação de dados e suspensão total, ou parcial do banco de dados correspondente.

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.