A Lei Geral de Proteção de Dados (ou LGPD) do Brasil traz esclarecimentos extremamente necessários ao arcabouço legal brasileiro. A LGPD lei tenta unificar os mais de 40 estatutos diferentes que atualmente regem os dados pessoais, tanto online como offline, substituindo certos regulamentos e complementando outros. Esta unificação de regulamentos anteriormente díspares e muitas vezes contraditórios é apenas uma semelhança que compartilha com o Regulamento Geral de Proteção de Dados da UE, um documento do qual claramente se inspira.
Outra semelhança é que a LGPD se aplica a qualquer empresa ou organização que processe os dados pessoais de pessoas no Brasil, independentemente de onde essa empresa ou organização em si possa estar localizada. Portanto, se sua empresa tem algum cliente ou cliente no Brasil, você deve começar a se preparar para a conformidade com a LGPD. Felizmente, você ainda tem tempo antes que a lei entre em vigor. E se você já está em conformidade com a GDPR, então você já fez a maior parte do trabalho necessário para cumprir com a LGPD.
Cookie Consent Manager | Faça um teste grátis por 2 semanas
Faça um teste gratuito de 2 semanas para os nossos planos pagos ou crie uma conta grátis …
Semelhanças entre o GDPR e o LGPD lei
Além de sua aplicação extraterritorial, a LGPD e a GDPR concordam em vários princípios básicos quando se trata de proteção de dados.
Dados pessoais | LGPD lei
Embora a LGPD não tenha uma única definição para dados pessoais, se você ler o texto na íntegra, poderá ver ecos da definição de dados pessoais da GDPR. A LGPD afirma em vários lugares que dados pessoais podem significar quaisquer dados que, por si só ou combinados com outros dados, poderiam identificar uma pessoa física ou sujeitá-los a um tratamento específico. Embora esta definição seja provavelmente esclarecida à medida que o Brasil se aproxima da implementação da LGPD, como atualmente afirmado, a LGPD tem uma visão ampla dos dados que se qualificam como dados pessoais, ainda mais expansiva do que a GDPR.
Direitos do sujeito dos dados | LGPD lei
O artigo 18 é outra seção da LGPD que parecerá familiar às empresas que lidaram com o cumprimento do GDPR. Ele explica os nove direitos fundamentais que os sujeitos dos dados têm, que incluem:
- O direito à confirmação da existência do processamento;
- O direito de acessar os dados;
- O direito de corrigir dados incompletos, imprecisos ou desatualizados;
- O direito de anonimizar, bloquear ou apagar dados desnecessários ou excessivos ou dados que não estejam sendo processados em conformidade com a LGPD;
- O direito à portabilidade dos dados para outro fornecedor de serviços ou produtos, por meio de um pedido expresso
- O direito de apagar os dados pessoais processados com o consentimento da pessoa interessada;
- O direito à informação sobre entidades públicas e privadas com as quais o controlador tenha compartilhado dados;
- O direito à informação sobre a possibilidade de negar o consentimento e as conseqüências de tal negação; e
- O direito de revogar o consentimento.
Embora a GDPR seja conhecida por conceder a seus sujeitos de dados oito direitos fundamentais, eles são essencialmente os mesmos direitos que a LGPD menciona. Parece que a LGPD dividiu “O direito à informação sobre entidades públicas e privadas com as quais o controlador compartilhou dados” do “Direito a ser informado” mais geral da GDPR para torná-lo mais explícito.
Diferenças entre o LGPD lei e o GDPR
Apesar de seus objetivos semelhantes e da aparente influência que o GDPR teve sobre os legisladores brasileiros, há algumas diferenças fundamentais a serem observadas entre as duas legislações.
Oficiais de proteção de dados | LGPD lei
Ambos os atos exigem que as empresas e organizações contratem um encarregado da proteção de dados (DPO). No entanto, enquanto a GDPR delineia quando um RPD é necessário, o artigo 41 da LGPD diz simplesmente: “O responsável pelo tratamento nomeará um encarregado encarregado do processamento de dados”, o que sugere que qualquer organização que processe os dados de pessoas no Brasil precisará contratar um RPD. Esta é outra área que provavelmente receberá mais esclarecimentos, mas, como escrito, é uma das poucas áreas em que a LGPD é mais rigorosa do que a GDPR.
Base legal para o processamento de dados
Possivelmente a diferença mais significativa entre o LGPD e o GDPR diz respeito ao que se qualifica como uma base legal para o processamento de dados. A GDPR tem seis bases legais para o processamento, e um controlador de dados deve escolher uma delas como justificativa para utilizar as informações de uma pessoa interessada. Entretanto, no artigo 7, a LGPD lista 10. Elas são:
- Com o consentimento da pessoa em questão;
- Para cumprir com uma obrigação legal ou regulamentar do responsável pelo tratamento;
- Para executar políticas públicas previstas em leis ou regulamentos, ou baseadas em contratos, acordos ou instrumentos similares;
- Realizar estudos por entidades de pesquisa que garantam, sempre que possível, a anonimização dos dados pessoais;
- Executar um contrato ou procedimentos preliminares relacionados a um contrato do qual o envolvido é parte, a pedido do envolvido;
- Exercer direitos em procedimentos judiciais, administrativos ou de arbitragem;
- Para proteger a vida ou a segurança física do envolvido ou de um terceiro;
- Para proteger a saúde, em um procedimento realizado por profissionais da saúde ou por entidades de saúde;
- Para atender aos interesses legítimos do responsável pelo tratamento ou de terceiros, exceto quando prevalecerem os direitos e liberdades fundamentais do titular dos dados, que exigem proteção de dados pessoais; ou
- Para proteger o crédito (referindo-se a uma pontuação de crédito).
Ter a proteção do crédito como base legal para o processamento de dados é de fato um afastamento substancial do GDPR.
Você é uma agência, webdesigner ou outro revendedor?
Ganhe 30% de comissão, veja o nosso modelo de revendedor ou contacte-nos para números superiores a 500 clientes
Comunicação de violações de dados | LGPD lei
Embora tanto a GDPR quanto a LGPD exijam que as organizações comuniquem violações de dados à autoridade local de proteção de dados, o nível de especificidade varia muito entre as duas leis. A GDPR é explícita: uma organização deve comunicar uma violação de dados dentro de 72 horas de sua descoberta (embora diferentes organizações já estejam testando esse prazo).
A LGPD não dá nenhum prazo firme: O artigo 48 diz apenas que “o controlador deve comunicar à autoridade nacional e ao envolvido a ocorrência de um incidente de segurança que possa criar risco ou danos relevantes aos envolvidos… num período de tempo razoável, conforme definido pela autoridade nacional”. Como a agência nacional de proteção de dados ainda não foi estabelecida, não há orientação sobre o que constitui um “período de tempo razoável”.
Multas | LGPD lei
Um regulamento é apenas tão forte quanto seus dentes. É por isso que as multas máximas do GDPR são substanciais, exigindo que as organizações que cometem graves violações do GDPR paguem até 20 milhões de euros ou 4% da receita global anual, o que for mais alto.
As multas sob a LGPD são muito menos severas. O artigo 52 estabelece que a multa máxima para uma violação é de “2% da receita de uma pessoa jurídica privada, grupo ou conglomerado no Brasil, para o ano fiscal anterior, excluindo impostos, até um total máximo de 50 milhões de reais” (isto se aplica a cerca de 11 milhões de euros). As multas da LGPD estão em linha com as multas da GDPR por infrações menos graves, mas 11 milhões de reais não vão dizer respeito aos maiores processadores de dados do mundo.
Esta não é uma visão exaustiva da LGPD, mas deve tranquilizar os empresários que, na maioria dos aspectos, se você tiver alcançado a conformidade com a GDPR, você já está no caminho certo para cumprir a LGPD. As leis de proteção de dados estão começando a ser consideradas em todo o mundo, desde a Índia até os EUA. A GDPR.eu estará aqui para ajudá-lo a acompanhar os últimos desenvolvimentos e atingir a conformidade.