LGPD e GDPR: quais são as semelhanças e diferenças das leis?

Você provavelmente já sabe que as leis LGPD e GDPR tratam de um assunto em comum, a privacidade e proteção dos dados pessoais. Mas você sabe quais os pontos que diferem ou aqueles que são semelhantes entre as duas leis?

Ambas, LPGD e GDPR, possuem pontos convergentes, uma vez que a criação da primeira teve como base a segunda. Contudo, ainda assim é possível observar diferenças entre os textos que precisam ser entendidas.

O que é LGPD e GDPR?

A LGPD e GDPR são leis sobre privacidade e proteção de dados pessoais, que determinam os direitos do titular sobre suas informações, bem como estabelecem regras e sanções para organizações que tratam desses dados.

Portanto, em suma, as duas legislações foram criadas para regularizar a coleta, o uso, armazenamento e o tratamentos dos dados pessoais pelas empresas.

Para entender cada uma em suas individualidades, vamos realizar uma breve comparativo LGPD e GDPR.

GDPR

O GDPR, ou General Data Protection Regulation, é a regulamentação europeia para a proteção de dados pessoais.

Para os europeus, possuir leis que regulamentam o tema não é uma novidade. Isso porque o GDPR constitui uma evolução de uma lei já antes existente, a Diretiva Europeia de 1995 (Diretiva 95/46/CE).

Isso quer dizer que o bloco econômico já se preocupa com o assunto há cerca de 25 anos. Além disso, está mais preparado culturalmente para lidar com tais mudanças.

A decisão da criação de uma nova regulamentação relacionada à privacidade veio da desatualização da sua antiga lei, que já não correspondia ao cenário tecnológico atual.

O GDPR começou a ser idealizada em 2012, a fim de evitar que as organizações abusassem do poder sobre o uso desses dados.

Contudo, a legislação foi aprovada em 2016, entrando em vigor apenas dois anos depois, em maio de 2018.

Portanto, a principal proposta do GDPR  é que o usuário saiba quais informações está fornecendo aos serviços dos quais usufrui, bem como impor que as entidades justifiquem a finalidade do uso desses dados.

Desse modo, a lei institui direitos aos titulares e deveres às organizações que tratam dados.

LGPD

Por sua vez, a LGPD ou Lei Geral de Proteção de Dados, é a primeira lei brasileira que regulamenta, de forma efetiva, a proteção e privacidade de dados pessoais de forma vasta.

Isso porque as leis anteriores regiam de forma muito esparsa o assunto. Exemplo disso são o Código Civil, o Código de Defesa do Consumidor e o Marco Civil da Internet.

Outro fator que levou à criação da LGPD foi o próprio GDPR, já que, segundo a lei europeia, todo país que realiza tratamento de dados europeu está sujeito à legislação.

Esse fato trouxe muita confusão às organizações brasileiras que precisavam se adaptar ao GDPR e contavam com um raso posicionamento da legislação brasileira.

Além disso, a lei também institui que os dados europeus apenas poderiam ser transferidos para países de legislação semelhante.

Desse modo, concluiu-se que a ausência de uma lei brasileira mais precisa poderia trazer prejuízos ao país.

Portanto, no mesmo ano em que o GDPR entrou em vigor, a LGPD começou a tomar forma no Brasil e sua inspiração foi a própria lei europeia.

Com isso, a LGPD propõe uma mudança cultural significativa no Brasil quanto à proteção de dados pessoais, fornecendo diretrizes mais claras para que as empresas brasileiras e os titulares possam zelar por seus dados.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Quais são as semelhanças e diferenças entre a LGPD e GDPR?

Como já dissemos anteriormente, a nível de comparação LGPD e GDPR possuem muito mais pontos em comum que distintos. Isso é nítido em algumas definições trazidas pelas duas leis.

Assim, observamos como as principais semelhanças LGPD e GDPR:

• Disposições semelhantes em relação ao consentimento dos titulares dos dados pessoais;
• Ônus da comprovação da obtenção do consentimento;
• Direito de informação dos titulares sobre eventuais incidentes e outros aspectos;
• Portabilidade de dados;
• Responsabilidade dos agentes;
• Indicação do encarregado pelo tratamento de dados;
• Previsão de parâmetros de segurança para o tratamento, guarda e manuseio.

Contudo, também é preciso considerar que a lei europeia é mais incisiva que a brasileira em diversos pontos, caracterizando algumas diferenças LGPD e GDPR.

Apesar das duas trazerem definições sobre “dados sensíveis”, por exemplo, o GDPR procura abordar outros termos com nível maior de detalhamento, como “dados biométricos”, dados de saúde” e “dados genéticos”.

A seguir, vamos pontuar mais detalhadamente as semelhanças e diferenças entre as leis, realizando um LGPD vs GDPR. Nesse comparativo você vai conferir pontos sobre:

1. Tratamento de dados sensíveis
2. Tratamento de dados de menores
3. Políticas de proteção de dados
4. Representantes
5. Responsabilização dos agentes
6. Marketing direto
7. Relação entre Controlador e Operador
8. Relatório de impacto
9. Consulta prévia
10. Transferência Internacional de Dados
11. Autoridades de proteção de dados

Tratamento de dados sensíveis

• GDPR: proíbe o tratamento de dados sensíveis, mas estabelece exceções à proibição. Dentre elas, duas não foram contempladas na lei brasileira, sendo:
  • dados tornados públicos pelo seu titular e
  • dados relativos a atuais ou ex-membros de fundação, associação ou organização sem fins lucrativos tratados para fins legítimos e com medidas de segurança apropriadas. (Art. 9, §2º, ‘d’ e ‘e’)
• LGPD: estabelece proteção especial aos dados sensíveis, cujo tratamento apenas poderá ocorrer nas hipóteses expressamente prevista em lei. Diferentemente do GDPR, a lei brasileira dispõe que os dados sensíveis poderão ser tratados, independentemente do consentimento do seu titular, as hipóteses em que for indispensável para:
  • a execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; ou
  • garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. (Art. 11 II, ‘b’, ‘g’)

Tratamento de dados de menores

• GDPR: aceita o consentimento dado por crianças para o tratamento de dados pessoais, desde que elas tenham pelo menos 16 anos. Caso tenham idade inferior, o GDPR exige que o consentimento seja dado ou autorizado pelos responsáveis legais da criança; (Arti. 8º, §1º)
• LGPD: aplica o mesmo regime a crianças e adolescentes, isto é, a todos os menores de 18 anos, nos termos da definição trazida pelo Estatuto da Criança e do Adolescente. Assim, em regra, a LGPD requer o consentimento dos pais ou responsáveis legais para o tratamento de dados pessoais de menores de 18 anos. (Art.14, §1º)

Políticas de proteção de dados

• GDPR: atribui aos controladores de dados a obrigação de adotar medidas técnicas e organizativas que forem adequadas para assegurar que o tratamento de dados é realizado em conformidade com a legislação; (Art. 24, §2º)
• LGPD: trata a implementação de programa de governança em privacidade como faculdade dos controladores de dados. (Art. 50)

Representantes

• GDPR: o controlador e/ou operador devem constitui, por escrito, um representante seu em um dos Estados-Membros; (Art. 27)
• LGPD: apesar de não haver previsão equivalente, prevê que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil. (Art. 61).

Responsabilização dos agentes

• GDPR: estabelece as hipóteses em que o controlador e/ou operador serão responsabilizados pelos danos causados aos titulares dos dados pessoais.
  Contudo, as penalidade não se aplicam quando a pessoa física ou jurídica não estiver envolvida com o tratamento de dados e/ou quando, a despeito do dano, o tratamento foi realizado em conformidade com a legislação; (Art. 82)
• LGPD: além das hipóteses previstas no GDPR, elenca uma hipótese adicional de isenção de responsabilidade: quando os agentes comprovarem que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros. (Art. 42 e seguintes).

Marketing direto

• GDPR: apresenta previsões específicas sobre o tratamento de dados para fins de marketing direto. O titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta; (Art. 21)
• LGPD: é silente sobre o tema, aplicando-se as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.

Relação entre Controlador e Operador

• GDPR: prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o operador ao controlador. Além disso, indica quais são as matérias que devem ser previstas nesse contrato; (Art.35)
• LGPD: embora estabeleça que o operador deverá realizar o tratamento de dados conforme as instruções do controlador, não exige a formalização por meio de contrato. (Art. 38)

Relatório de impacto

• GDPR: prevê que o controlador deve realizar um relatório de impacto à proteção dados pessoais, quando o tratamento resultar em um elevado risco para os direitos e liberdades das pessoas. Traz, ainda, uma detalhada descrição do que deve ser abordado nesse relatório; (Art. 35)
• LGPD: não deixou claro em quais hipóteses o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, relegando a um posterior regulamento o tratamento dessa matéria. (Art. 38)

Consulta prévia

• GDPR: quando o relatório de impacto à proteção de dados pessoais indicar que o tratamento resultará em alto risco caso não sejam adotadas medidas de mitigação, o controlador deverá realizar consulta à autoridade de controle antes de iniciar o tratamento; (Art. 36)
• LGPD: não tem previsão equivalente, considerando-se que os dispositivos que previam a criação da Autoridade Nacional de Proteção de Dados (ANPD) foram vetados. (Art. 36)

Transferência Internacional de Dados

• GDPR: estabelece que a transferência internacional de dados pessoais pode ser realizada, independentemente de autorização específica, se a Comissão Europeia reconhecer que o país terceiro assegura um nível de proteção de adequação, a transferência internacional estará condicionada a garantias adequadas a serem asseguradas pelo agente.
  Diferentemente do que ocorre na lei brasileira, o procedimento e elementos a serem considerados pela Comissão durante a avalização da adequação do nível de proteção, bem como as próprias medidas adequadas a serem adotadas pelos agentes são detalhadamente previstos pelo GDPR; (Art. 44 e seguintes)
• LGPD: embora também permita a transferência de dados pessoais para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto, a lei é lacônica no que se refere ao procedimento e elementos a serem considerados como adequados. A lei brasileira estabelece tão somente diretrizes genéricas a serem observadas pela autoridade nacional. (Art. 33 e seguintes)

Autoridades de proteção de dados

• GDPR: estabelece a criação do Comitê Europeu para a Proteção de Dados , responsável por assegurar aplicação coerente do GDPR.
• LGPD: prevê a criação da Autoridade Nacional de Proteção de Dados. Contudo, os dispositivos que previam a sua criação e responsabilidades foram vetados por incorrerem em inconstitucionalidade do processo legislativo, na medida em que a criação da ANPD, como órgão da administração pública, seria de iniciativa privativa do presidente da República.

Mesmo com suas diferenças, não há dúvidas de que a LGPD e GDPR têm enorme importância nos dias atuais, especialmente em um contexto de constante evolução da internet e novas tecnologias.