LGPD vs RGPD: as maiores diferenças

O Brasil aprovou a Lei Geral de Proteção de Dados (LGPD) em agosto de 2018. A lei brasileira é inspirada no Regulamento Geral sobre a Proteção de Dados (RGPD) que veio substituir e complementar as normas legais existentes na União Europeia.

Agora é a vez do Brasil mover-se a toda velocidade em direção à aplicação da LGPD.

Apesar de terem objetivos em comum, existem diferenças notáveis entre as duas leis. Na verdade, cumprir as exigências do RGPD não garante conformidade com a LGPD.

Vamos agora nomear algumas das suas principais diferenças.

 

Dados protegidos

Tanto o RGPD como a LGPD protegem qualquer informação relacionada a uma pessoa natural identificada ou identificável. Porém, a LGPD não define detalhadamente de que tipo de informação se refere, tornando o seu âmbito muito amplo.

Os dados anonimizados estão fora do escopo de ambas as leis, desde que se tomem medidas para garantir que não possam ser reidentificados.

A LGPD faz uma exceção: os dados são considerados pessoais quando usados para criar o perfil de comportamento de uma determinada pessoa, se essa pessoa for identificada.

 

Escopo territorial

Ambas as leis têm um alcance extraterritorial. Aplicam-se a todas as empresas que oferecem bens ou serviços a titulares de dados na UE ou no Brasil, independentemente de onde estão localizados.

Ainda assim, há uma diferença notável entre as duas leis. O RGPD inclui explicitamente organizações que não estão estabelecidas na UE, mas que monitorizam o comportamento dos indivíduos aí localizados. Em contrapartida, a LGPD não inclui tal disposição.

 

Oficiais de Proteção de Dados

De acordo com o RGPD, organizações cujas principais atividades consistem em operações de processamento que exigem a monitorização sistemática de titulares de dados em larga escala, ou processamento em larga escala de categorias especiais de dados, são obrigadas a nomear um oficial de proteção de dados (DPO).

Por outro lado, a LGPD exige apenas que os controladores de dados nomeiem um DPO. No entanto, não limita as circunstâncias em que um DPO deve ser nomeado. Isto significa que todas as empresas, independentemente do seu tamanho, tipo, ou o volume dos dados que recolhem, precisarão de um DPO.

No entanto, a Autoridade Nacional de Proteção de Dados (ANPD) está autorizada a ajustar esta disposição. Logo, espera-se que emita regras complementares para limitar a aplicabilidade deste requisito.

Bases legais para o processamento de dados

Uma das principais diferenças entre as duas leis são as bases legais para o processamento de dados.

Aos seis originais do RGPD, a LGPD acrescenta mais quatro:

  • consentimento explícito
  • desempenho contratual
  • função pública
  • interesse vital
  • obrigação legal
  • interesse legítimo
  • realização de estudos por órgão de pesquisa
  • exercício de direitos em processo judicial
  • tutela da saúde
  • proteção de crédito.

 

Solicitações de acesso de titulares de dados

O direito de um indivíduo ao acesso aos dados é garantido tanto no RGPD como na LGPD. Os titulares de dados podem solicitar o acesso aos dados que uma empresa recolheu sobre eles. Além disso, podem também solicitar outras ações: sua portabilidade, exclusão ou correção.

Há uma diferença no custo das solicitações: a LGPD torna-os obrigatoriamente gratuitos, enquanto que para o RGPD a gratuitidade é opcional.

 

Sanções

As multas do RGPD permitem que as DPAs em toda a Europa emitam multas de:

  • até 4% do volume de negócios anual global de uma empresa ou € 20.000.000, o que for maior.

De acordo com a LGPD, as organizações enfrentam penalidades semelhantes, ainda que um pouco menos graves:

  • até 2% de sua receita total no Brasil no ano anterior ou até 50.000.000 reais brasileiros, o que for maior.

As agências governamentais estão fora do escopo das multas da LGPD. O RGPD, pelo contrário, deixa para as DPAs a decisão deste assunto.

Notificações obrigatórias de violação de dados

Embora ambas as leis tenham tornado obrigatórias as notificações de violação de dados, os seus requisitos diferem ligeiramente.

O RGPD impõe 72 horas rigorosas em que as empresas são obrigadas a notificar as Autoridades de Proteção de Dados (DPAs) de violações de dados.

As organizações que se enquadram na incidência da LGPD devem fazê-lo dentro de um tempo “razoável” indefinido.

A LGPD exige que as empresas também notifiquem os titulares de dados de violações de dados, algo que não é um requisito do RGPD.

 

Conclusão

Como vimos, apesar das semelhanças entre a LGPD e o RGPD, existem certas diferenças. Estas incluem as bases jurídicas e notificações obrigatórias de violação de dados, em que a LGPD vai mais longe do que a legislação europeia.

Há também muitas disposições amplas na lei brasileira sujeitas ao ajuste da Autoridade Nacional de Proteção de Dados (ANPD). Por isso, espera-se que a nova autoridade as aborde nos meses que antecederem à execução do LGPD.

Agora já sabe que a conformidade com o RGPD não garante conformidade com a LGPD. O seguinte passo é preparar-se para a entrada em vigor da lei brasileira em agosto de 2020.

Desenvolvemos o GetComplied para ajudar empresas a cumprirem as leis de proteção de dados e é super fácil! Com o GetComplied pode editar suas políticas, cookies e direitos de usuários em uma só plataforma!

Was this post helpful?