fbpx

GDPR: o que é e qual a diferença em relação à LGPD?

  • 18 agosto, 2021

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709 de 14 de agosto de 2018 foi promulgada. De maneira geral, trata-se de um dispositivo legal que busca fornecer às pessoas, a gente comum, um efetivo controle de seus dados pessoais. Porém, a LGPD não é uma invenção brasileira. Ao contrário, a LGPD possui inspiração em uma legislação europeia de proteção de dados pessoais. Estamos falando do Regulamento Geral sobre a Proteção de Dados ou, em inglês, o General Data Protection Regulation, mais conhecido como GDPR.

GDPR

Há muito se sabe que os dados pessoais de qualquer pessoa são solicitados por praticamente todas as entidades, públicas e privadas e, uma vez fornecidos, pouco controle temos sobre eles, apesar de sermos os titulares desses dados. Ou seja, somos os donos do nosso CPF, RG, número de telefone pessoal, endereço, etc. Sim, apesar de não parecer, estes dados nos pertencem. O uso indiscriminado da internet no compartilhamento de dados só trouxe mais complexidade ao problema.

A LGPD e o GDPR

A União Europeia iniciou a discussão sobre o GDPR em 2012, sendo publicada em abril de 2016 e, finalmente, entrando em vigor em maio de 2018. Pode-se dizer que o GDPR é a vanguarda do direito de privacidade de dados pessoais e possui amplitude a todo cidadão membro da União Europeia. Mais que isso, cada vez mais são exigidos de países que realizam transações comerciais com o bloco europeu a adequação ao GDPR.

A LGPD veio, então, para criar instrumentos efetivos de controle do uso de qualquer dado pessoal de qualquer cidadão, seja utilizado por uma empresa privada, como uma clinica médica, por exemplo, ou um órgão público, como uma prefeitura. A LGPD brasileira tem influência direta do GDPR, pela sua característica vanguardista, mas também por questões comerciais, como ocorre frequentemente com normativos regulamentadores, nas mais diversas áreas.

Apesar de haver muitas similaridades entre a LGPD e o GDPR, os dois dispositivos possuem diferenças importantes. Antes de apresentá-las, vamos relembrar uma sequência de fatos históricos que impulsionaram tanto o GDPR quanto a brasileira LGPD.

Cronologia de Eventos de Proteção de Dados

  • 2011 – Lei de Acesso à Informação (Lei nº 12.527/2011) relacionada ao acesso à informações sigilosas.
  • 2012 – Lei Carolina Dieckmann (Lei 12.737/2012) criminalizando a obtenção e uso indevido de dados pessoais através de aparelhos eletrônicos.
  • 2012 – Inicia a discussão do General Data Protection Regulation (GDPR) na União Europeia, entrando em vigor em 2018. Torna-se referência para diversos países.
  • 2013 – Estoura o escândalo Edward Snowden sobre exposição de dados pessoais. Snowden era técnico do National Security Agency (NSA) e da CIA, agência de segurança e de espionagem americanas, respectivamente.
  • 2013 – O escândalo Snowden teria acelerado a discussão do Marco Civil da Internet no Brasil.
  • 2018 – Escândalo Cambridge Analytics, sobre uso de dados colhidos pelo Facebook sem autorização dos usuários.
  • 2019 – A Lei 13.853/2019 prorroga a entrada em vigor da LGPD por mais seis meses, para agosto de 2020.
  • 2020 – A Lei 14.010/2020 é aprovada e define em seu artigo 20º que as sanções administrativas previstas na LGPD entrariam em vigor em agosto de 2021.
  • 2021 – A LGPD, que já vigorava desde 2020, passa a prever as multas milionárias dependendo da sanção aplicada, a partir de agosto.

Nota-se o encadeamento de eventos envolvendo uso inadequado ou, com exposição sem controle de dados pessoais de qualquer cidadão, em escala mundial, acelerando o processo de aprovação da LGPD no Brasil, como também de leis similares em outros países.

Muitas empresas brasileiras iniciaram o processo de adequação ao normativo nacional desde seu início, em 2018. Contudo, a esmagadora maioria ainda não iniciou qualquer planejamento, e já está exposta às sanções previstas.

LGPD versus GDPR

Tanto a LGPD, quanto o GDPR, aplicam-se a qualquer empresa ou pessoa que trate dados pessoais dentro, claro, de suas respectivas jurisdições. A LGPD em território brasileiro, o GDPR no âmbito da União Europeia.

Além disso, a LGPD e o GDPR definem de forma muito similar o conceito de dados pessoais. Ou seja:
Dados Pessoais: Informações relacionadas ou referentes a uma pessoa física identificada ou identificável.

Elaboramos a seguir um quadro comparativo, explicitando as principais diferenças entre a LGPD e o GDPR. Algumas diferenças são sutis, outras apresentam consequências mais concretas, algumas vezes podendo trazer certa confusão, especificamente no caso brasileiro.

LGPDGDPR
Princípios de Tratamento e Privacidade
  1. Finalidade
  2. Adequação
  3. Necessidade
  4. Livre acesso
  5. Qualidade dos dados
  6. Transparência
  7. Segurança
  8. Prevenção
  9. Não discriminação
  10. Responsabilização
  1. Licitude
  2. Lealdade
  3. Transparência
  4. Limitação das finalidades
  5. Minimização dos dados
  6. Exatidão
  7. Limitação da conservação
  8. Integridade e confiabilidade
  9. Responsabilidade
Bases Legais para Tratamento
LGPD estabelece 10 bases legais.GDPR estabelece seis bases legais.
Relação Entre Controlador de Dados e Operador de Dados
A LGPD requer somente que o Operador execute o tratamento dos dados conforme orientação do controlador.GDPR estabelece a exigência de um contrato entre Controlador e Operador de Dados, que explicite o tratamento dos dados.
Transferências Internacionais de Dados Pessoais
A LGPD também impõe restrições, mas a Autoridade Nacional de Dados (ANPD) ainda deve estabelecer regras de transferências.A GDPR impõe restrições à transferência de dados pessoais para países terceiros. São necessários acordos e ajustes específicos para tal compartilhamento.
Registro de Tratamentos de Dados
A LGPD exige registro de tratamento dos dados pessoais.A GDPR exige o registro de tratamento de dados pessoais e especifica as informações sujeitas à manutenção de registros.
Avaliação de Impacto sobre a Proteção de Dados
A LGPD exige que o controlador de dados realize uma avaliação de impacto para avaliar os riscos de certas atividades de tratamento. Contudo, deixou a cargo da ANPD determinar quando essa avaliação é necessária.A GDPR exige que o controlador de dados realize uma avaliação de impacto para avaliar os riscos e detalha quando requer tal avaliação e o que exatamente as avaliações devem cobrir.
Encarregado de Dados (DPO)
A LGPD exige que o controlador de dados pessoais nomeie um Encarregado de Dados.

A GDPR exige que o controlador e o operador de dados pessoais nomeie um Encarregado de Dados.

A GDPR explicita quando os DPOs não são necessários.

Segurança e Violações de Dados

A LGPD exige que o controlador de dados implemente medidas de segurança de dados. A LGPD determina que a ANPD emitirá orientações.

A LGPD determina que a ANPD seja informada, como também o titular do dado, em caso de ocorrência de evento.

A GDPR exige que o controlador de dados implemente medidas de segurança de dados. A GDPR normatiza as medidas.

A GDPR determina que a comunicação com a autoridade de dados ocorra em até 72 horas em caso de evento, e dispensa essa comunicação de acordo com a severidade do evento.

Penalidades e Sanções
A LGPD define multas, sanções e processos civis a controladores e operadores, de acordo com o tipo de evento e severidade.A GDPR define multas, sanções e processos civis a controladores e operadores, de acordo com o tipo de evento e severidade.

 

Conclusão

O GDPR pode ser considerado uma norma mais restritiva e mais detalhada que a LGPD. Possui mais especificações, principalmente no que diz respeito ao papel do Encarregado de Dados, ou Data Protection Officer (DPO) no termo em inglês, termo usado costumeiramente no Brasil para esse profissional.

Outro ponto de diferença relevante entre a LGPD e o GDPR diz respeito à necessidade ou não da confecção da Avaliação de Riscos.

Essa Avaliação de Riscos, chamada de Relatório de Impacto de Proteção de Dados, nada mais é que uma análise de riscos de segurança de dados pessoais. Ou seja, analisa-se a atividade de uma determinada empresa ou pessoa, e os riscos de exposições de dados inerentes a essa atividade. Posteriormente, avalia-se o sistema de proteção existente para verificar se há ou não vulnerabilidades que propiciem que os eventos de riscos identificados venham a se concretizar. Nada de novo. Contudo, vem gerando preocupação e confusão no âmbito da LGPD, principalmente para micro e pequenas empresas, devido aos custos envolvidos e tal tipo de trabalho técnico. Nesse ponto, o GDPR define de maneira muito mais clara quando tal Avaliação de Riscos deve ser realizada.

Por fim, a LGPD deixou muitas lacunas para a ANPD preencher. Certo é que ainda há muito que avançar, e que as atividades comerciais que tratam dados pessoais, ou seja, praticamente todas, terão que se adaptar aos novos tempos.

Empresas de segurança, instituições públicas, o ramo médico, enfim, os desafios são enormes para diversas áreas. A LGPD deve evoluir, assim como o GDPR vem evoluindo na União Europeia.

    Comente sobre este artigo