Inspirada pelo Regulamento Geral de Proteção de Dados (General Data Protection Regulation ou GDPR) da União Europeia, a Lei Geral de Proteção de Dados Pessoais ou LGPD brasileira regula como as empresas coletam, armazenam, tratam e compartilham dados pessoais.

Quem é impactado pela LGPD

A LGPD, Lei nº 13.709, de 14 de agosto de 2018. alterada pela Lei nº 13.853, de 8 de julho de 2019, visa proteger a privacidade e os direitos fundamentais das pessoas cujos dados pessoais são coletados e processados no Brasil. Como resultado, a LGPD, assim como a GDPR tem efeitos extraterritoriais. Com isso, as organizações no Brasil e em qualquer outro lugar do mundo que processam dados pessoais de pessoas físicas localizadas no Brasil, deverão cumprir a LGPD.

Similaridades e diferenças

Escopo Territorial

Tanto a LGPD quanto a GDPR se aplicam a qualquer indivíduo ou empresa que processe dados pessoais em suas respectivas jurisdições, independentemente de onde esse processamento seja realizado.

Dados pessoais

A LGPD e a GDPR definem dados pessoais de forma semelhante, ou seja, informações relacionadas ou relacionadas a uma pessoa física identificada ou identificável. Ambas as leis também definem proteções diferenciadas para dados pessoais sensíveis, que definem de forma semelhante. Nenhuma das leis se aplica a dados anônimos.

Processamento e princípios de privacidade

As organizações sujeitas à LGPD também verão semelhanças com os princípios de processamento da GDPR. A GDPR estabelece seis princípios de processamento: legalidade, imparcialidade e transparência; limitação de propósito; uso do mínimo de dados; precisão; limitação de armazenamento; integridade e confidencialidade; e responsabilização. A LGPD, entretanto, especifica dez princípios: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; e responsabilização e prestação de contas. Assim, as organizações sujeitas à LGPD terão que garantir que seu processamento seja compatível com os princípios estabelecidos, mesmo que não se enquadrem na GDPR.

Bases jurídicas para processamento

Tanto a GDPR quanto a LGPD exigem que os controladores estabeleçam uma base legal para processar dados pessoais. Ambas as leis fornecem bases semelhantes, mas cada uma contém algumas variações. Na verdade, a GDPR estabelece seis bases legais, enquanto a LGPD permite dez bases legais, descritas no seu Artigo 7º.

Relacionamento entre controlador e operador

A GDPR estabelece requisitos mais rigorosos para a relação entre controlador e operador. Exige que seja realizado um contrato com disposições específicas ou outras disposições legais para reger a relação entre o controlador e o operador. A LGPD exige apenas que o operador execute o processamento de acordo com as instruções do controlador e que o controlador verifique a conformidade das atividades do operador.

Direitos do Titular dos Dados

As organizações familiarizadas com a GDPR reconhecerão as semelhanças dessa lei com os direitos do titular dos dados definidos pela LGPD. Ambas as leis concedem aos indivíduos direitos semelhantes em relação aos seus dados pessoais. De acordo com cada lei, por exemplo, os titulares dos dados têm o direito, mediante requisição, de confirmar a existência de tratamento; acessar; corrigir dados incompletos, inexatos ou desatualizados; exigir a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; portabilidade; eliminar seus dados pessoais; ser informado sobre o uso de seus dados e revogar o consentimento para uso de seus dados.

As leis contêm algumas diferenças. Por exemplo, a GDPR é mais prescritivo, a LGPD concede aos indivíduos o direito de tornar os dados anônimos em certas circunstâncias e, embora a LGPD conceda aos titulares dos dados o direito de revisar decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, não lhes concede o direito de revisão humana de tais decisões.

Transferências internacionais de dados pessoais

Tanto a LGPD quanto a GDPR colocam restrições à transferência de dados pessoais para países terceiros ou organizações internacionais, permitindo tais transferências apenas por motivos específicos. Por exemplo, cada lei reconhece o conceito de adequação da proteção de dados de países terceiros, bem como regras corporativas globais e regras corporativas vinculativas, cláusulas contratuais padrão, certificados e códigos de conduta. Sobre esse tópico, a Autoridade Nacional de Proteção de Dados (ANPD) do Brasil ainda deve tomar as decisões de adequação e estabelecer regras para os outros mecanismos legais para as transferências.

Registros de processamento dos dados

A LGPD e a GDPR exigem que as organizações mantenham registros de suas atividades de processamento. No entanto, a GDPR especifica com mais detalhes as informações sujeitas à manutenção dos registros.

Avaliações de impacto de proteção de dados

As duas leis exigem que os controladores conduzam avaliações de impacto da segurança dos dados, para avaliar o risco de certas atividades de processamento. No entanto, a GDPR detalha quando tais avaliações são necessárias, bem como os aspectos que as avaliações devem cobrir. A LGPD, por outro lado, simplesmente afirma que a ANPD pode decidir quando um controlador deve realizar tal avaliação e não detalha os critérios de avaliação.

Nomeação do responsável pela proteção dos dados

Tanto a GPDR quanto a LGPD exigem a nomeação de responsáveis pela proteção dos dados (Data Protection Officers ou DPOs). Embora a GDPR exija que controladores e operadores designem os DPOs, a LGPD exige apenas que os controladores o façam. Além disso, a GDPR contém exceções que definem quando os DPOs não são necessários.

Segurança de dados e violações de dados

Tanto a GDPR quanto a LGPD exigem que os controladores e operadores implementem medidas de segurança adequadas para proteger os dados pessoais sensíveis. A GDPR é mais prescritiva nesse sentido. No Brasil, a ANPD tem autoridade para emitir orientações sobre as medidas de segurança específicas a serem adotadas.

Em caso de violação de dados, tanto a GDPR quanto a LGPD exigem que os controladores notifiquem a autoridade nacional, bem como os titulares dos dados afetados, em determinadas circunstâncias. A GDPR exige que um controlador relate uma violação de dados dentro de 72 horas após sua descoberta e não prevê nenhuma notificação se a violação não atingir um determinado limite de gravidade. A LGPD exige relatórios apenas em um “período de tempo razoável”, e a ANPD tem autoridade para estabelecer as diretrizes e regras para definir esse período.

Sanções administrativas e multas

A não conformidade ou as violações da LGPD e da GDPR sujeitarão os controladores e operadores a multas, sanções administrativas e processos civis. As penalidades ou sanções específicas em cada lei são diferentes. De acordo com a GDPR, que está em vigor desde maio de 2018, dependendo do tipo de violação, a penalidade pode ser de até 2% do faturamento anual global da organização limitados a € 10 milhões, o que for maior; ou 4% do faturamento anual global limitados a € 20 milhões, o que for maior.

Com relação à LGPD, dependendo da natureza e da gravidade das infrações, a partir de 21/08/2021 a ANPD poderá aplicar sanções administrativas e multas de até 2% do faturamento da organização no Brasil no exercício anterior, excluindo impostos, até o máximo total de R$ 50 milhões por infração.

Conclusão

Apesar das semelhanças entre a LGPD e a GDPR, o cumprimento da LGPD não garante o cumprimento da GDPR e vice-versa. Considerando que a LGPD já está em vigor, as organizações que processam dados pessoais no Brasil devem considerar imediatamente a revisão de seus processos e a estrutura atual de seus dados, para identificar e resolver quaisquer lacunas de conformidade com a LGPD.

Para se tornar aderente à LGPD, não basta apenas ter um projeto. É preciso entender que se trata de uma jornada, que deve envolver toda a organização e é composta por etapas de planejamento, assessment, análise de gap, definição de roadmap, implementação e auditoria.

Nossa equipe de Consultoria Especializada LGPD pode ajudar sua organização em todo o processo de adequação à LGPD, entendendo suas necessidades e indicando as soluções que sua empresa precisa. Conte com nossa experiência e conhecimento. Agende uma conversa aqui.

Referências:

[1] LGPD vs GDPR, OneTrust, 2020.

[2] Consultoria especializada LGPD, Leadcomm, 2020.