Inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), a Lei Geral de Proteção de Dados do Brasil (LGPD) regula como as empresas coletam, armazenam, tratam e compartilham dados pessoais.
Quem é impactado pela LGPD?
A LGPD visa a proteger a privacidade e os direitos fundamentais dos indivíduos cujos dados pessoais são coletados e/ou tratados no Brasil. Como resultado, a LGPD – assim como o GDPR – terá efeitos extraterritoriais. Sendo assim, organizações no Brasil, bem como em qualquer outro lugar do mundo que tratam os dados pessoais de indivíduos localizados no Brasil, deverão estar em conformidade com a LGPD.
Similaridades e diferenças entre a LGPD e o GDPR
Escopo territorial
Tanto a LGPD quanto o GDPR se aplicam a qualquer indivíduo ou empresa que trate dados pessoais dentro de suas respectivas jurisdições, independentemente de onde esse tratamento é realizado.
Dados pessoais
Tanto o GDPR quanto a LGPD definem dados pessoais de forma semelhante – ou seja, informações relacionadas ou referentes a uma pessoa física identificada ou identificável. Ambos também estabelecem proteções aprimoradas para dados pessoais sensíveis, definidos de forma semelhante. Nenhuma das leis se aplica a dados anônimos.
Princípios de tratamento e privacidade
As organizações sujeitas ao GDPR também perceberão as semelhanças com os princípios de tratamento da LGPD. O GDPR estabelece seis princípios de tratamento: Licitude, lealdade e transparência; limitação das finalidades; minimização do dados; exatidão; limitação da conservação; integridade e confidencialidade; e responsabilidade. No entanto, a LGPD especifica dez princípios: Finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; e responsabilização. Dessa forma, as organizações sujeitas à LGPD deverão garantir seu tratamento de acordo com os princípios recentemente estabelecidos, caso não sejam abrangidos pelos princípios do GDPR.
Bases legais para o tratamento
Tanto o GDPR quanto a LGPD exigem que os controladores estabeleçam uma base legal para tratar dados pessoais. Ambas as leis fornecem bases semelhantes, mas cada uma contém algumas variações. De fato, o GDPR estabelece seis bases legais, enquanto a LGPD permite dez bases legais.
Relações entre controlador e operador
O GDPR estabelece requisitos mais rigorosos para a relação controlador-operador. Ele exige que um contrato com condições específicas ou outras condições legais oriente a relação entre o controlador (também conhecido como responsável pelo tratamento) e o operador (também conhecido como subcontratante ou processador). A LGPD, por sua vez, requer apenas que o operador execute o tratamento de acordo com as instruções do controlador, e que o controlador verifique a conformidade do operador.
Direitos do titular dos dados
As organizações familiarizadas com o GDPR reconhecerão os direitos dos titulares de dados sob a LGPD. Ambas as leis concedem direitos similares aos indivíduos no que diz respeito aos seus dados pessoais. De acordo com cada lei, por exemplo, o titular dos dados tem o direito de apagar/eliminar, ser informado, acessar, revogar o consentimento, corrigir dados inexatos ou desatualizados, não discriminação e portabilidade de dados, entre outros. Contudo, as leis apresentam diferenças. Por exemplo, o GDPR é mais normativo, a LGPD dá aos indivíduos o direito de anonimizar dados em determinadas circunstâncias e, embora a LGPD dê aos titulares dos dados o direito de revisar decisões automatizadas, ela não concede o direito de revisão humana de tais decisões.
Transferências internacionais de dados pessoais
Tanto o GDPR quanto a LGPD impõem restrições à transferência de dados pessoais para países terceiros ou organizações internacionais, permitindo tais transferências somente de acordo com fundamentos específicos. Por exemplo, cada lei reconhece o conceito de adequação da proteção de dados de países terceiros, assim como regras corporativas globais/regras corporativas vinculadas às empresas, cláusulas contratuais padrão e certificados/códigos de conduta. No entanto, a Autoridade Nacional de Proteção de Dados do Brasil (ANPD) ainda deve tomar as decisões de adequação e estabelecer regras para os demais mecanismos legais de transferência.
Registros de tratamento de dados
Tanto o GDPR quanto a LGPD exigem que as organizações mantenham registros de suas atividades de tratamento. Entretanto, o GDPR especifica de forma mais detalhada as informações sujeitas à manutenção de registros.
Avaliação de impacto sobre a proteção de dados
Tanto o GDPR quanto a LGPD exigem que os controladores realizem avaliações de impacto sobre a proteção de dados para avaliar o risco de certas atividades de tratamento. Entretanto, o GDPR detalha quando requer tais avaliações, assim como os aspectos que as avaliações devem cobrir. A LGPD, por outro lado, simplesmente declara que a ANPD pode decidir quando um controlador deve conduzir tal avaliação e não dispõe de detalhes sobre os critérios para essa avaliação.
Nomeação do responsável pela proteção de dados
Tanto o GPDR quanto a LGPD exigem a nomeação de responsáveis pela proteção de dados (DPOs). Enquanto o GDPR exige que tanto os controladores quanto os operadores nomeiem os DPOs, a LGPD exige apenas que os controladores o façam. No entanto, o GDPR contém exceções sobre quando não são necessários DPOs.
Segurança de dados e violações de dados
Tanto o GDPR quanto a LGPD exigem que os controladores e operadores implementem medidas de segurança apropriadas para proteger os dados pessoais. O GDPR é mais normativo a este respeito, enquanto a ANPD possui autoridade para emitir orientações sobre medidas de segurança específicas a serem adotadas. Em caso de violação de dados, tanto o GDPR quanto a LGPD exigem que os controladores notifiquem a autoridade de supervisão, assim como os titulares dos dados afetados, em determinadas circunstâncias. Entretanto, o GDPR exige que um controlador informe uma violação de dados dentro de 72 horas após sua descoberta, e dispensa a notificação se a violação não atingir um certo limite de severidade. A LGPD apenas exige a comunicação dentro de um prazo razoável, cabendo à ANPD estabelecer diretrizes ou regras sobre este período.
Execução – Penalidades monetárias, sanções, etc.
O não cumprimento ou a violação do GDPR ou da LGPD sujeitará os controladores e operadores a potenciais multas, sanções ou processos civis. As penalidades ou sanções específicas de cada lei são diferentes. Sob o GDPR, por exemplo, dependendo do tipo de violação, a penalidade pode ser de: 2% do faturamento anual global da organização ou 10 milhões de euros, o que for maior; ou 4% do faturamento anual global ou 20 milhões de euros, o que for maior. Em relação à LGPD, dependendo do tipo de violação, a ANPD pode emitir uma multa de até 2% do faturamento de uma organização no Brasil (de acordo com o seu último exercício, excluindo impostos), até um total máximo de 50 milhões de reais por infração.
Considerações finais
Apesar das semelhanças entre as leis, a conformidade com o GDPR não garante a conformidade com a LGPD. Considerando que a implementação da conformidade com a LGPD está bem próxima, as organizações que tratam os dados pessoais de indivíduos do Brasil ou que tratam dados pessoais no Brasil devem considerar imediatamente a revisão de seus processos e da estrutura de dados atuais de modo a identificar e resolver quaisquer falhas de conformidade com a LGPD.
As soluções OneTrust para LGPD são apoiadas por informações robóticas de IA e pesquisas regulatórias. Solicite uma demonstração para elaborar, adaptar e amadurecer o seu programa LGPD.