29/11/2022doc9

LGPD e GDPR: saiba o que significam e as diferenças

imagem de linhas de programação em tela
via: unsplash

A Lei Geral de Proteção de Dados ou LGPD é uma das leis mais importantes vigentes na legislação brasileira. Ela é responsável por regulamentar o tratamento de dados e garantir a privacidade do povo brasileiro.

O Regulamento Geral sobre Proteção de Dados ou, no inglês original, General Data Protection Regulation (GDPR) foi a lei que inspirou a LGPD e, por isso, elas se assemelham em diversos pontos.

Ambas a LGPD e GDPR regulamentam e determinam sanções em caso de violação das normas de tratamento de dados, mas uma no Brasil e a outra na Europa, respectivamente.

Apesar de serem leis irmãs, a LGPD e a GDPR se divergem em algumas coisas devido ao contexto de exercício das leis. Para esclarecer todas as dúvidas e te deixar a par de todos os detalhes sobre a LGPD e a GDPR, preparamos este artigo. Boa leitura.

LGPD e GDPR: O que significam essas siglas?

LGPD e GDPR são siglas para a Lei de Proteção Geral de Dados Pessoais e a General Data Protection Regulation, respectivamente.

A LGPD, como explicamos acima, é a lei de proteção de dados brasileira. Criada em 2018, a Lei de Proteção Geral de Dados trabalha em conjunto com a Autoridade Nacional de Proteção de Dados (ANPD), sancionada oficialmente pela Lei n°13.853, para garantir a proteção de dados pessoais por empresas e organizações.

Em ação desde 2018, a GDPR tem o mesmo objetivo que a LGPD, porém é vigente no território europeu.

Quando foram implementadas?

Apesar de ter sido criada em 2018, a lei Nº 13.709 ou LGPD só foi implementada em 2020, após emenda proveniente da Medida Provisória n° 869/2018  e sancionada pela lei Nº 13.853.

Já a General Data Protection Regulation já está em prática desde o ano de 2018 e todos os países dentro da União Europeia estão submetidos às suas regras.

LGDP x GDPR: Similaridades e diferenças

Para qualquer pessoa que está no mundo corporativo, entender as similaridades e diferenças entre a LGPD e a GDPR é algo essencial. 

Na hora de fazer negócios ou compartilhar conhecimento com clientes ou parceiros internacionais é preciso estar atento às leis de proteção do país de origem do colaborador.

Dessa maneira, você evita multas e sanções por erros que poderiam ter sido evitados facilmente. Para que você esteja ciente das semelhanças e diferenças entre as duas leis, selecionamos as mais importantes. Veja:

Escopo territorial

Tanto a LGPD quanto a GDPR se aplicam a todo e qualquer indivíduo ou empresa que trate dados pessoais dentro de suas respectivas jurisdições. 

Isso quer dizer que independentemente de onde o tratamento é realizado, se a empresa atuar no Brasil está submetida à LGPD e se atuar na União Europeia está submetida à GDPR, mesmo se a sede não for dentro do território.

Os atores

As duas leis têm atores que são indivíduos, empresas ou organizações e estão envolvidas em qualquer parte do processo de tratamento e segurança de informações e dados.

Os quatro atores descritos nas leis são basicamente: o titular dos dados, o controlador, o operador e o encarregado ou DPO (Data Protection Officer). Essa especificação está detalhada no art 5 da LGPD. Leia: 

Art. 5º Para os fins desta Lei, considera-se:

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;

VIII – encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados; (Redação dada pela Medida Provisória nº 869, de 2018)

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019) Vigência

IX – agentes de tratamento: o controlador e o operador;

desenvolvedor de software negro olhando para monitor
via: freepik

Dados pessoais

A LGPD e a GDPR tem uma definição semelhante do que é dado pessoal: é uma informação relacionada ou referente a uma pessoa física identificável.

Nenhuma das duas se aplica a dados anônimos, porém ambas garantem proteções mais rigorosas para dados pessoais sensíveis. 

O ponto que encontramos uma diferenciação nas leis é na classificação como dados pessoais sensíveis em questões como origem racial ou étnica, crença religiosa e opinião política. 

No artigo 9 da GDPR, este tipo de dado é chamado de “categoria especial de dado pessoal” enquanto na LGPD o artigo 5 classifica apenas como “dado pessoal sensível”. Confira o texto na íntegra:

LGPD

Art. 5º Para os fins desta Lei, considera-se:

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

GDPR (texto no inglês original)

Art. 9 GDPR

Processing of special categories of personal data

  1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

Princípios de tratamento e privacidade

Quando o assunto é princípios de tratamento de privacidade, a Lei Geral de Proteção de Dados é mais detalhada que a GDPR, visto que a primeira tem dez princípios e a segunda apenas seis. São eles:

LGPD

  1. Finalidade
  2. Adequação
  3. Necessidade
  4. Livre acesso
  5. Qualidade dos dados
  6. Transparência
  7. Segurança
  8. Prevenção
  9. Não discriminação
  10. Responsabilização  

GDPR

  1. Licitude, lealdade e transparência
  2. Limitação das finalidades
  3. Minimização do dados
  4. Exatidão
  5. Limitação da conservação
  6. Integridade e confidencialidade
  7. Responsabilidade 

Bases Legais para Tratamento

As duas leis de proteção de dados exigem a determinação de uma base legal para tratar dados pessoais por parte dos controladores. Porém a LGPD estabelece dez bases legais, enquanto a GDPR estabelece apenas seis.

Relação Entre Controlador de Dados e Operador de Dados

Neste quesito, o Regulamento Geral sobre Proteção de Dados tem requisitos mais severos que a Lei de Proteção Geral de Dados. Ele exige que seja feito um contrato com condições específicas para orientar a relação entre controlador e operador.

A LGPD por outro lado apenas exige que as demandas do controlador sejam cumpridas e fica a cargo do controlador verificar se a atuação do operador está de acordo com as orientações.

Transferências Internacionais de Dados Pessoais

Existem restrições rigorosas quanto à transferência de dados pessoais para países terceiros ou organizações internacionais em ambas as leis.

Essa transferência é permitida apenas por meio de acordo com fundamentos específicos relacionados ao nível de segurança e a qualidade da proteção de dados nos países envolvidos.

Além das leis nacionais, também são consideradas as regras corporativas globais e/ou relacionadas às empresas.

programador digitando em notebook com ologramas que sugerem segurança de dados
via: freepik

Registro de Tratamentos de Dados

Em ambas as jurisdições é preciso manter registros das atividades de tratamento, mas a GDPR tem especificações mais detalhadas sobre como deve ser esse registro.

Avaliação de Impacto sobre a Proteção de Dados

Tanto a LGPD quanto a GDPR exigem a realização de avaliações de impacto sobre a proteção de dados para analisar melhor o risco de certas atividades de tratamento. Tal atividade fica a cargo dos controladores.

A diferença principal é que novamente as especificações da GDPR sobre o que deve ser analisado e quando são mais detalhadas. A LGPD deixa a decisão de quando e como os dados devem ser analisados a cargo da ANPD.

Encarregado de Dados (DPO)

No caso das duas leis, os responsáveis pela proteção de dados devem ser nomeados. Porém, no caso da LGPD, os controladores são os únicos que nomeiam os DPOs, enquanto no GDPR essa atividade fica a cargo dos controladores e dos operadores.

Segurança e Violações de Dados

Ambas as leis exigem a implementação de medidas de segurança para garantir a proteção dos dados pessoais. O GDPR é mais normativo, enquanto a LGDP deixa a autoridade de definir as medidas de segurança a cargo da ANPD.

Para entender melhor sobre a ANPD, confira nosso texto ANDP: saiba o que é, importância e como funciona.

Em caso de violação das normas de proteção de dados, ambas pedem que os controladores notifiquem a irregularidade aos órgãos de supervisão, assim como aos titulares dos dados afetados, tirando algumas ressalvas. 

As leis se diferem quanto aos regulamentos para a notificação da violação. Enquanto a GDPR exige que a violação seja notificada dentro de 72 horas e dispensa a notificação em casos mais brandos, a LGPD dá um período maior a ser determinado pela ANPD.

Penalidades e Sanções

Tanto a GDPR quanto a LGPD aplicam sanções, multas e até processos civis no caso de violação das normas de proteção de dados, porém o teor dessas sanções é diferente nos dois regulamentos.

No GDPR, a penalidade pode ser de 2% do faturamento anual global da organização ou 10 milhões de euros, o que for maior ou de 4% do faturamento anual global ou 20 milhões de euros, o que for maior.

Sob a LGPD, uma violação pode custar de 2% do faturamento de uma organização no Brasil até 50 milhões de reais. Veja à seguir as sanções específicas que a ANPD pode aplicar em caso de violação:

  • Advertência, com prazo para corrigir as infrações;
  • Multa simples de até 2% do faturamento da empresa no ano anterior, até o limite de R$50 milhões por infração;
  • Multa diária de até 2% do faturamento da empresa no ano anterior, até um limite de R$50 milhões por infração;
  • Tornar pública a infração cometida;
  • Bloqueio dos dados pessoais relacionados à infração;
  • Eliminação dos dados pessoais relacionados à infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  • Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  • Proibição parcial ou total das atividades relacionadas a tratamento de dados.

A melhor forma de evitar advertências ou multas por quebra da LGPD, é certificando-se que todos os dados estão sendo compartilhados de forma segura, principalmente os certificados digitais.

Se você quer ter controle sobre os acessos a certificados digitais e limitar a distribuição, e se adequar às normas da LGPD, o Whom é a solução que você precisa. 

O Whom é um gerenciador de certificados digitais que utilizam tokens de acesso únicos e criptografados para assegurar a segurança, o controle e adequação total na hora de usar seus certificados digitais.

Investir em um gerenciador de certificados digitais, como o Whom pode te livrar de muita dor de cabeça e evitar problemas na relação com a Autoridade Nacional de Proteção de Dados.

Não deixe de agendar uma conversa conosco para entender melhor como funciona o Whom e como adotá-lo em sua empresa!

Teclado de notebook sendo digitado com olograma de informações
via: freepik

Conclusão 

No mundo digital em que vivemos, as leis de proteção de dados pessoais ficam cada vez mais importantes para garantir a segurança e a privacidade dos cidadãos.

Os diferentes contextos políticos e socioeconômicos pedem leis diferentes, cada uma com suas particularidades em prol do melhor para a população que vive sob aquela jurisdição.

Foi com essa realidade em mente que foram desenvolvidas a LGPD e a GDPR. Apesar de terem algumas diferenças, os dois regulamentos criados se assemelham em seus conceitos gerais e visão a segurança da população.

Para garantir que você e sua empresa estejam sempre atualizados sobre os detalhes em torno da lei de dados e outras alterações na legislação a respeito de trâmites digitais, não deixe de checar os outros conteúdos aqui do blog da Whom.

Por aqui você encontra artigos completos sobre LGPD, criptografia, proteção de dados e dicas para evitar fraudes e golpes.

Lorem ipsum dolor sit amet

Lorem ipsum dolor sit amet consectetur. A vestibulum diam tincidunt mi odio aliquam tellus aliquam dictum. 

SAIBA MAIS

Compartilhe:

MAIS CONTEÚDOS PARA VOCÊ

Recompensa em Dinheiro

LEIA MAIS

Saiba Como um Advogado Correspondente pode Facilitar a Rotina da sua Empresa

LEIA MAIS

Robôs Extinguirão as Carreiras Jurídicas! Só que não

LEIA MAIS
Assine a Newsletter e fique por dentro das novidades.