LGPD vs GDPR: as maiores diferenças
O Brasil aprovou a Lei Geral de Proteção de Dados (LGPD) em agosto de 2018. A lei brasileira é inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR) que veio substituir e complementar as normas legais existentes na União Europeia.
Agora é a vez do Brasil se mover a toda velocidade em direção à aplicação da LGPD.
Apesar de terem objetivos em comum, existem diferenças notáveis entre as duas leis. Na verdade, cumprir as exigências do GDPR não garante conformidade com a LGPD.
Vamos olhar para algumas das suas principais diferenças.
Dados protegidos
Tanto o GDPR como a LGPD protegem qualquer informação relacionada a uma pessoa natural identificada ou identificável. Porém, a LGPD não define detalhadamente de que tipo de informação se refere, tornando o seu âmbito muito amplo.
Os dados anônimos estão fora do escopo de ambas as leis, desde se tomem medidas para garantir que não possam ser reidentificados.
A LGPD faz uma exceção: os dados são considerados pessoais quando usados para criar o perfil de comportamento de uma determinada pessoa, se essa pessoa for identificada.
Escopo territorial
Ambas as leis têm um alcance extraterritorial. Aplicam-se a todas as empresas que oferecem bens ou serviços a titulares de dados na UE ou no Brasil, independentemente de onde estão localizados.
Ainda assim, há uma diferença notável entre as duas leis. O GDPR inclui explicitamente organizações que não estão estabelecidas na UE, mas que monitoram o comportamento dos indivíduos aí localizados. Em contrapartida, a LGPD não inclui tal disposição.
Oficiais de Proteção de Dados
De acordo com o GDPR, organizações cujas principais atividades consistem em operações de processamento que exigem monitoramento sistemático de titulares de dados em larga escala, ou processamento em larga escala de categorias especiais de dados, são obrigadas a nomear um oficial de proteção de dados (DPO).
Por outro lado, a LGPD exige apenas que os controladores de dados nomeiem um DPO. No entanto, não limita as circunstâncias em que um DPO deve ser nomeado. Isto significa que todas as empresas, independentemente do seu tamanho, tipo, ou o volume dos dados que recolhem, precisarão de um DPO.
Bases legais para o processamento de dados
Uma das principais diferenças entre as duas leis são as bases legais para o processamento de dados.
Aos seis originais do GDPR, a LGPD acrescenta mais quatro:
- consentimento explícito
- desempenho contratual
- função pública
- interesse vital
- obrigação legal
- interesse legítimo
- realização de estudos por órgão de pesquisa
- exercício de direitos em processo judicial
- tutela da saúde
- proteção de crédito.
Solicitações de acesso de titulares de dados
O direito de um indivíduo ao acesso aos dados é garantido tanto no GDPR como na LGPD. Os titulares de dados podem solicitar acesso aos dados que uma empresa coletou sobre eles. Além disso, podem também solicitar outras ações: sua portabilidade, exclusão ou correção.
Há uma diferença no custo das solicitações: a LGPD os torna obrigatoriamente gratuitos, enquanto que para o GDPR a gratuidade é opcional.
Sanções
As multas do GDPR permitem que as DPAs em toda a Europa emitam multas de:
- até 4% do volume de negócios anual global de uma empresa ou € 20.000.000, o que for maior.
De acordo com a LGPD, as organizações enfrentam penalidades semelhantes, ainda que um pouco menos graves:
- até 2% de sua receita total no Brasil no ano anterior ou até 50.000.000 reais brasileiros, o que for maior.
As agências governamentais estão fora do escopo das multas da LGPD. O GDPR, pelo contrário, deixa para as DPAs a decisão deste assunto.
Notificações obrigatórias de violação de dados
Embora ambas as leis tenham tornado obrigatórias as notificações de violação de dados, seus requisitos diferem ligeiramente.
O GDPR impõe 72 horas rigorosas em que as empresas são obrigadas a notificar as Autoridades de Proteção de Dados (DPAs) de violações de dados.
As organizações que se enquadram na incidência da LGPD devem fazê-lo dentro de um tempo “razoável” indefinido.
A LGPD exige que as empresas também notifiquem os titulares de dados de violações de dados, algo que não é um requisito do GDPR.
Conclusão
Como vimos, apesar das semelhanças entre a LGPD e o GDPR, existem certas diferenças. Estas incluem as bases jurídicas e notificações obrigatórias de violação de dados, em que a LGPD vai mais longe do que a legislação europeia.
Há também muitas disposições amplas na lei brasileira sujeitas ao ajuste da Autoridade Nacional de Proteção de Dados (ANPD). Por isso, espera-se que a nova autoridade as aborde nos meses que antecederem à execução do LGPD.
Agora já sabe que a conformidade com o GDPR não garante conformidade com a LGPD. O seguinte passo é preparar-se para a entrada em vigor da lei brasileira em agosto de 2020.
Desenvolvemos o GetComplied para ajudar empresas a cumprirem as leis de proteção de dados e é super fácil! Com o GetComplied pode editar suas políticas, cookies e direitos de usuários em uma só plataforma!