A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709 de 14 de agosto de 2018 foi promulgada. De maneira geral, trata-se de um dispositivo legal que busca fornecer às pessoas, a gente comum, um efetivo controle de seus dados pessoais. Porém, a LGPD não é uma invenção brasileira. Ao contrário, a LGPD possui inspiração em uma legislação europeia de proteção de dados pessoais. Estamos falando do Regulamento Geral sobre a Proteção de Dados ou, em inglês, o General Data Protection Regulation, mais conhecido como GDPR.

Há muito se sabe que os dados pessoais de qualquer pessoa são solicitados por praticamente todas as entidades, públicas e privadas e, uma vez fornecidos, pouco controle temos sobre eles, apesar de sermos os titulares desses dados. Ou seja, somos os donos do nosso CPF, RG, número de telefone pessoal, endereço, etc. Sim, apesar de não parecer, estes dados nos pertencem. O uso indiscriminado da internet no compartilhamento de dados só trouxe mais complexidade ao problema.

A LGPD e o GDPR

A União Europeia iniciou a discussão sobre o GDPR em 2012, sendo publicada em abril de 2016 e, finalmente, entrando em vigor em maio de 2018. Pode-se dizer que o GDPR é a vanguarda do direito de privacidade de dados pessoais e possui amplitude a todo cidadão membro da União Europeia. Mais que isso, cada vez mais são exigidos de países que realizam transações comerciais com o bloco europeu a adequação ao GDPR.

A LGPD veio, então, para criar instrumentos efetivos de controle do uso de qualquer dado pessoal de qualquer cidadão, seja utilizado por uma empresa privada, como uma clinica médica, por exemplo, ou um órgão público, como uma prefeitura. A LGPD brasileira tem influência direta do GDPR, pela sua característica vanguardista, mas também por questões comerciais, como ocorre frequentemente com normativos regulamentadores, nas mais diversas áreas.

Apesar de haver muitas similaridades entre a LGPD e o GDPR, os dois dispositivos possuem diferenças importantes. Antes de apresentá-las, vamos relembrar uma sequência de fatos históricos que impulsionaram tanto o GDPR quanto a brasileira LGPD.

Cronologia de Eventos de Proteção de Dados

• 2011 – Lei de Acesso à Informação (Lei nº 12.527/2011) relacionada ao acesso à informações sigilosas.
• 2012 – Lei Carolina Dieckmann (Lei 12.737/2012) criminalizando a obtenção e uso indevido de dados pessoais através de aparelhos eletrônicos.
• 2012 – Inicia a discussão do General Data Protection Regulation (GDPR) na União Europeia, entrando em vigor em 2018. Torna-se referência para diversos países.
• 2013 – Estoura o escândalo Edward Snowden sobre exposição de dados pessoais. Snowden era técnico do National Security Agency (NSA) e da CIA, agência de segurança e de espionagem americanas, respectivamente.
• 2013 – O escândalo Snowden teria acelerado a discussão do Marco Civil da Internet no Brasil.
• 2018 – Escândalo Cambridge Analytics, sobre uso de dados colhidos pelo Facebook sem autorização dos usuários.
• 2019 – A Lei 13.853/2019 prorroga a entrada em vigor da LGPD por mais seis meses, para agosto de 2020.
• 2020 – A Lei 14.010/2020 é aprovada e define em seu artigo 20º que as sanções administrativas previstas na LGPD entrariam em vigor em agosto de 2021.
• 2021 – A LGPD, que já vigorava desde 2020, passa a prever as multas milionárias dependendo da sanção aplicada, a partir de agosto.

Nota-se o encadeamento de eventos envolvendo uso inadequado ou, com exposição sem controle de dados pessoais de qualquer cidadão, em escala mundial, acelerando o processo de aprovação da LGPD no Brasil, como também de leis similares em outros países.

Muitas empresas brasileiras iniciaram o processo de adequação ao normativo nacional desde seu início, em 2018. Contudo, a esmagadora maioria ainda não iniciou qualquer planejamento, e já está exposta às sanções previstas.

LGPD versus GDPR

Tanto a LGPD, quanto o GDPR, aplicam-se a qualquer empresa ou pessoa que trate dados pessoais dentro, claro, de suas respectivas jurisdições. A LGPD em território brasileiro, o GDPR no âmbito da União Europeia.

Além disso, a LGPD e o GDPR definem de forma muito similar o conceito de dados pessoais. Ou seja:
Dados Pessoais: Informações relacionadas ou referentes a uma pessoa física identificada ou identificável.

Elaboramos a seguir um quadro comparativo, explicitando as principais diferenças entre a LGPD e o GDPR. Algumas diferenças são sutis, outras apresentam consequências mais concretas, algumas vezes podendo trazer certa confusão, especificamente no caso brasileiro.

Conclusão

O GDPR pode ser considerado uma norma mais restritiva e mais detalhada que a LGPD. Possui mais especificações, principalmente no que diz respeito ao papel do Encarregado de Dados, ou Data Protection Officer (DPO) no termo em inglês, termo usado costumeiramente no Brasil para esse profissional.

Outro ponto de diferença relevante entre a LGPD e o GDPR diz respeito à necessidade ou não da confecção da Avaliação de Riscos.

Essa Avaliação de Riscos, chamada de Relatório de Impacto de Proteção de Dados, nada mais é que uma análise de riscos de segurança de dados pessoais. Ou seja, analisa-se a atividade de uma determinada empresa ou pessoa, e os riscos de exposições de dados inerentes a essa atividade. Posteriormente, avalia-se o sistema de proteção existente para verificar se há ou não vulnerabilidades que propiciem que os eventos de riscos identificados venham a se concretizar. Nada de novo. Contudo, vem gerando preocupação e confusão no âmbito da LGPD, principalmente para micro e pequenas empresas, devido aos custos envolvidos e tal tipo de trabalho técnico. Nesse ponto, o GDPR define de maneira muito mais clara quando tal Avaliação de Riscos deve ser realizada.

Por fim, a LGPD deixou muitas lacunas para a ANPD preencher. Certo é que ainda há muito que avançar, e que as atividades comerciais que tratam dados pessoais, ou seja, praticamente todas, terão que se adaptar aos novos tempos.

Empresas de segurança, instituições públicas, o ramo médico, enfim, os desafios são enormes para diversas áreas. A LGPD deve evoluir, assim como o GDPR vem evoluindo na União Europeia.