LGPD x GDPR – Conheça Suas Diferenças e Semelhanças
Fake News é Crime? Conheça as Consequências Legais da Divulgação de Notícias Falsas
30 de setembro de 2021
Compliance: Tudo o que Você Precisa Saber!
14 de outubro de 2021
LGPD x GDPR. Nos últimos tempos, tanto empresas quanto clientes foram apresentados à Lei Geral de Proteção de Dados (LGPD), que basicamente preza pela segurança e privacidade de informações pessoais coletadas por qualquer tipo de negócio que precise coletá-las, tratá-las, compartilhá-las e descartá-las.
Mas esse tipo de prática não é exclusividade do território nacional. Em Maio de 2018, entrou em vigor o GDPR (Regulamento Geral de Proteção de Dados), que abrange a União Europeia e o Espaço Econômico Europeu, e serviu de inspiração para a Lei que está vigente no Brasil desde Setembro de 2020.
E apesar de a Lei europeia ter influenciado na criação da LGPD, não significa que tenham as mesmas regras e modo de funcionamento, por exemplo. Continue a leitura deste artigo para saber quais são as Diferenças e Semelhanças existentes entre elas.
Quais São as Diferenças entre as Leis?
Apesar de as duas siglas tratarem sobre a proteção de dados pessoais, a primeira diferença que podemos citar é com base na relação entre o controlador (que decide por que e como as informações vão ser processadas, ou seja, é responsável pelo tratamento) e o operador de dados (que processa os dados em nome do controlador).
As normas que regem a União Europeia exigem um contrato com condições específicas ou legais que orientem a relação entre os responsáveis por cada área. Enquanto a LGPD orienta que o operador deve executar o tratamento de acordo com as instruções do controlador e que este deve verificar se o trabalho do primeiro está em conformidade com o que foi solicitado.
Entre elas também há divergências em seus princípios de tratamento que incluem:
- LGPD – finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização;
- GDPR – legalidade, justiça e transparência, limitação das finalidades, minimização dos dados, exatidão, limitação de armazenamento, integridade e confidencialidade, e responsabilidade.
Igualmente é válido citarmos as bases legais para o tratamento, em que é exigido que os controladores tenham uma específica para tratar os dados pessoais. E por mais que essa obrigatoriedade seja para os dois termos, o número varia de acordo com os princípios de tratamento, conforme mencionado.
Em relação ao vazamento de dados, as normas da União Europeia são mais severas, porque a empresa que sofreu a quebra de sigilo deve comunicar às autoridades em até 72 horas após o ocorrido, assim como os usuários devem ser notificados dependendo da gravidade da situação.
A LGPD, por outro lado, também exige que os titulares sejam avisados sobre o ocorrido e os riscos, mas não determina um prazo máximo para que a ação seja feita, o que pode ser determinado pela ANPD (Autoridade Nacional de Proteção de Dados).
Outra diferença observada é em relação ao consentimento: enquanto o GDPR pode obrigar as detentoras dos dados a esclarecerem como conseguiram as autorizações para captação, a LGPD possui algumas situações em que eles podem ocorrer sem o consentimento do cliente ou usuário.
Semelhanças Existentes entre LGPD e GDPR
A primeira semelhança que podemos destacar é em relação à abrangência territorial, por se aplicarem a qualquer pessoa, sendo ela física ou jurídica, que trate de dados pessoais dentro de suas jurisdições, independentemente de onde ele for realizado.
Portanto, quando uma empresa de qualquer lugar do mundo for tratar de dados pessoais de indivíduos localizados no Brasil, precisará respeitar as regras vigentes no País e o mesmo se aplica em relação ao GDPR.
O segundo tópico está relacionado à definição de dados pessoais: ambos consideram as informações que tornam uma pessoa física identificada ou identificável. Assim como também estendem a proteção para os dados pessoais sensíveis (conteúdo íntimo que pode causar prejuízos aos titulares se vazarem) e não englobam os anônimos.
Outra função que existe em ambos é a portabilidade de dados: caso o titular deseje, a empresa que detém as informações não pode dificultar ou impedir que migrem para outra companhia, e nem reter nenhum conteúdo.
2 em 1
Além de tudo que já foi abordado, existem regras com características diferentes e semelhantes, como acontece no caso dos direitos dos titulares dos dados, em que ambas as leis os reconhecem e de forma similar, já que o conteúdo pode ser apagado ou eliminado, acessado, corrigido e a pessoa pode anular o consentimento, por exemplo.
Porém, o GDPR é mais normativo, enquanto a lei que vigora no nosso País permite que os dados sejam anonimizados em algumas situações e por mais que autorize os usuários a revisarem decisões automatizadas, não concede revisão humana dessas decisões.
Foi observado também que apesar de o GDPR abordar o assunto mais detalhadamente, as duas leis também exigem que os negócios mantenham registros de suas atividades de tratamento. E o mesmo se repete em relação à avaliação de impacto sobre a proteção de dados, em que os controladores devem avaliar o risco de algumas atividades de tratamento.
Outro fator que podemos considerar como semelhança, mas se diverge em relação às maneiras distintas de atuação envolve as técnicas de segurança. A legislação brasileira orienta que os dados sejam tratados de forma segura e que a ANPD pode especificar como devem ser feitas.
Enquanto isso, o GDPR exige que sejam criptografados e passem pelo processo de pseudonimização (em que apenas um profissional consegue relacionar os dados aos seus respectivos titulares se houver necessidade) para que os bancos de dados se mantenham seguros.
Diante de tudo que foi abordado até aqui, é fundamental explicarmos que a existência de uma lei não garante que os princípios da outra sejam aplicados da mesma forma ou que uma anule as normas da outra.
Por isso, é importante você, como empresa, analisar onde reside a pessoa da qual está coletando os dados pessoais para que a respectiva legislação seja aplicada e não descumpra com nenhuma norma.
