Para as organizações que já operam na União Europeia, a proteção de dados não é novidade, afinal por lá o assunto já é tratado como lei desde 1995. Deste período temos a Diretiva 95/46/CE, que se refere à proteção das pessoas singulares e o que diz respeito ao tratamento de dados pessoais e a livre circulação desses dados.
Em 2018, na UE, foi aprovada a GDPR (General Data Protection Regulation), que veio para reforçar alguns pontos e atualizar a então Diretiva, a revogando. Inspirado nisso, o Senado brasileiro, que já tinha em pauta algumas discussões sobre leis de proteção de dados, sancionou em Agosto/2018 a Lei Geral de Proteção de Dados.
Com caráter de regulamentação, ela veio para regularizar a coleta, utilização e tratamento dos dados de pessoas identificadas e identificáveis, e sua vigência começa em Agosto de 2020. Para quem não cumprir, cabe suspensão da atividade de coleta de dados, ampla divulgação da infração para a imprensa e a possibilidade de multa por infração, que é baseada no faturamento da organização.
Veja abaixo as principais diferenças entre a LGPD e a GDPR:
Tratamento de Dados Sensíveis:
LGPD
A lei brasileira estabelece proteção especial aos dados sensíveis, cujo tratamento poderá ocorrer apenas nas hipóteses expressamente previstas na Lei. Sem equivalência na GDPR, dispõe ainda que os dados sensíveis poderão ser tratados, independente do consentimento do titular, nas hipóteses em que for indispensável para: 1. A execução, pela administração pública prevista em lei ou regulamento, 2. Garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
GDPR
A lei europeia proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções à proibição. Duas delas não foram incluídas na lei brasileira: 1. Dados tornados públicos pelo titular, 2. Dados relativos a atuais ou ex-membros de fundações, associações ou organizações sem fins lucrativos, tratados para fins legítimos e com medidas de segurança apropriadas.
Políticas de Proteção de Dados:
LGPD
A lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados.
GDPR
Já a lei europeia atribui aos controladores de dados a obrigação de adotar medidas técnicas e de organização que forem adequadas para assegurar que o tratamento de dados é realizado em conformidade com a legislação
Representantes:
LGPD
A regulamentação brasileira prevê que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.
GDPR
Diferente da lei brasileira, na regulamentação europeia a figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.
Responsabilização dos Agentes:
LGPD
Existem três hipóteses em que o controlador/operador não é responsabilizado:
1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação,
3. Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
GDPR
A diferença para a lei brasileira é que na lei europeia constam apenas os itens 1 e 2 descritos ao lado, que são: 1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados; 2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação,
Marketing Direto:
LGPD
A lei brasileira aplica as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.
GDPR
A regulamentação europeia apresenta previsões específicas. O titular dos dados tem o direito de se opor a qualquer momento ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.
Relação Entre Controlador e Operador:
LGPD
Embora a lei brasileira estabeleça que o operador deverá realizar o tratamento de dados conforme a instrução do controlador, não há exigência de formalização por meio de contrato.
GDPR
Por sua vez, a lei europeia prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.
Relatório de Impacto
LGPD
A lei brasileira não deixou claro em quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, delegando a uma regulamentação posterior o tratamento desta matéria.
GDPR
Na lei europeia está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. A GDPR traz ainda uma detalhada descrição do que deve ser abordado neste relatório.
Transferência Internacional de Dados:
LGPD
A lei brasileira permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto. A lei é breve quanto a este procedimento e elementos a serem considerados como adequados. A LGPD estabelece apenas diretrizes genéricas a serem observadas pelas autoridades nacionais.
GDPR
A regulamentação europeia alega que a transferência internacional dos dados pode ser realizada independente de autorização específica caso a comissão europeia reconheça que o país terceiro assegure um nível de proteção adequado. Caso não, a transferência internacional estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente. Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.
Fiscalização do Cumprimento da Lei
LGPD
O projeto de lei que originou a LGPD previa a criação da Autoridade Nacional de Proteção de Dados, seguido a mesma linha do regulamento europeu. Porém, os dispositivos que previam a sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo.
GDPR
Já a regulamentação europeia estabelece a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR.
Quer saber mais?
Se você deseja aprofundar-se em como nossas soluções podem transformar os resultados da sua empresa, nossa equipe está pronta para atender você. Entre em contato e descubra como podemos ajudar a otimizar processos, reduzir custos e gerar ainda mais valor para o seu negócio.
