Diferenças entre a GDPR e a LGPD

Para quem já opera na União Europeia o assunto lei geral de proteção de dados não é novidade, afinal nas terras europeias o assunto já é tratado como lei desde 1995. Deste período temos a Diretiva 95/46/CE, que se refere à proteção das pessoas singulares e o que diz respeito ao tratamento de dados pessoais e a livre circulação desses dados.

Em 2018 na UE foi aprovada a GDPR (General Data Protection Regulation), que veio para reforçar alguns pontos e atualizar a então Diretiva, a revogando. Inspirado nisso, o Senado brasileiro, que já tinha em pauta algumas discussões sobre leis de proteção de dados, sancionou em Agosto/2018 a Lei Geral de Proteção de Dados.

Com caráter de regulamentação, ela veio para regulamentar a coleta, utilização e tratamento dos dados de pessoas identificadas e identificáveis, e sua vigência começa em 2020. Para quem não cumprir, cabe suspensão da atividade de coleta de dados, ampla divulgação da infração para a imprensa e a possibilidade de multa por infração, que é baseada no faturamento da organização.

Veja abaixo as principais diferenças entre a LGPD e a GDPR:

 

  •  Tratamento de Dados Sensíveis:

LGPD

GDPR

A lei brasileira estabelece proteção especial aos  dados sensíveis, cujo tratamento poderá ocorrer apenas nas hipóteses expressamente previstas na Lei. Sem equivalência na GDPR, dispõe ainda que os dados sensíveis poderão ser tratados, independente do consentimento do titular, nas hipóteses em que for indispensável para:

1.       A execução, pela administração pública prevista em lei ou regulamento,

2.       Garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

A lei europeia proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções à proibição. Duas delas não foram incluídas na lei brasileira:

1.       Dados tornados públicos pelo titular,

2.       Dados relativos a atuais ou ex-membros de fundações, associações ou organizações sem fins lucrativos, tratados para fins legítimos e com medidas de segurança apropriadas.

 

  •  Tratamento de Dados de Menores:

LGPD

GDPR

Perante a lei brasileira, é obrigatório o consentimento dos responsáveis legais para o tratamento de dados pessoais para todos os menores de 18 anos, nos termos da definição trazida pelo ECA (Estatuto da Criança e do Adolescente).

A lei europeia aceita o consentimento dado por menores, desde que eles tenham pelo menos 16 anos. Abaixo disso, é obrigatório o consentimento do responsável legal.

 

  •   Políticas de Proteção de Dados:

LGPD

GDPR

A lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados.

Já a lei europeia atribui aos controladores de dados a obrigação de adotar medidas técnicas e de organização que forem adequadas para assegurar que o tratamento de dados é realizado em conformidade com a legislação

 

  •  Representantes:

LGPD

GDPR

A regulamentação brasileira prevê que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.

Diferente da lei brasileira, na regulamentação europeia a figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.

 

  •  Responsabilização dos Agentes:

LGPD

GDPR

Existem três hipóteses em que o controlador/operador não é responsabilizado:

1.       Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;

2.       Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação,

3.       Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

A diferença para a lei brasileira é que na lei europeia constam apenas os itens 1 e 2 descritos ao lado, que são:

1.       Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;

2.       Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação,

 

 

  •  Marketing Direto:

LGPD

GDPR

A lei brasileira aplica as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.

A regulamentação europeia apresenta previsões específicas. O titular dos dados tem o direito de se opor a qualquer momento ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.

 

  •  Relação Entre Controlador e Operador:

LGPD

GDPR

Embora a lei brasileira estabeleça que o operador deverá realizar o tratamento de dados conforme a instrução do controlador, não há exigência de formalização por meio de contrato.

Por sua vez, a lei europeia prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.

 

  •  Relatório de Impacto

LGPD

GDPR

A lei brasileira não deixou claro em quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, delegando a uma regulamentação posterior o tratamento desta matéria.

Na lei europeia está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. A GDPR traz ainda uma detalhada descrição do que deve ser abordado neste relatório.

 

  •  Transferência Internacional de Dados:

LGPD

GDPR

A lei brasileira permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto. A lei é breve quanto a este procedimento e elementos a serem considerados como adequados. A LGPD estabelece apenas diretrizes genéricas a serem observadas pelas autoridades nacionais.

A regulamentação europeia alega que a transferência internacional dos dados pode ser realizada independente de autorização específica caso a comissão europeia reconheça que o país terceiro assegure um nível de proteção adequado. Caso não, a transferência internacional estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente. Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.

 

  •  Fiscalização do Cumprimento da Lei:

LGPD

GDPR

O projeto de lei que originou a LGPD previa a criação da Autoridade Nacional de Proteção de Dados, seguido a mesma linha do regulamento europeu. Porém, os dispositivos que previam a sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo.

Já a regulamentação europeia estabelece a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR.

 

Embora já exista uma data para início da vigência, muitas pessoas ainda acreditam que esta data pode ser adiada. Entendemos que essa possibilidade seja muito remota, uma vez que a União Europeia estabelece barreiras para relações comerciais para países que não possuam regulamentação para proteção de dados pessoais.

 

Conheça a nossa solução EBX, que já está pronta para o compliance.

Logo Orchestra