O Brasil aprovou a Lei Geral de Proteção de Dados em 2018, e ela entrará em vigor em fevereiro de 2020. Este artigo examina o GDPR versus LGPD, como ele difere e o que os proprietários de negócios precisam fazer globalmente para se preparar.
A Lei Geral de Proteção de Dados (LGPD) do Brasil traz um esclarecimento extremamente necessário ao arcabouço jurídico brasileiro. O LGPD tenta unificar os mais de 40 estatutos diferentes que atualmente regem os dados pessoais, tanto online quanto offline, substituindo certos regulamentos e complementando outros. Essa unificação de regulamentos anteriormente díspares e muitas vezes contraditórios é apenas uma semelhança que compartilha com o Regulamento Geral de Proteção de Dados da UE, um documento no qual claramente se inspira.
Outra semelhança é que a LGPD se aplica a qualquer empresa ou organização que processe dados pessoais de pessoas no Brasil, independentemente de onde essa empresa ou organização esteja localizada. Portanto, se sua empresa tem algum cliente ou cliente no Brasil, você deve começar a se preparar para a conformidade LGPD. Felizmente, você ainda tem tempo antes que a lei entre em vigor. E se você já é compatível com o GDPR, então já realizou a maior parte do trabalho necessário para estar em conformidade com o LGPD.
Semelhanças entre o GDPR e o LGPD
Além de sua aplicação extraterritorial, o LGPD e o GDPR concordam em vários fundamentos quando se trata de proteção de dados.
Dados pessoais
Embora o LGPD não tenha uma definição única para dados pessoais, se você ler todo o texto, poderá ver ecos da definição de dados pessoais do GDPR. A LGPD afirma em vários locais que dados pessoais podem significar quaisquer dados que, por si só ou combinados com outros dados, possam identificar uma pessoa singular ou submetê-la a um tratamento específico. Embora essa definição provavelmente seja esclarecida conforme o Brasil se aproxima da implementação do LGPD, como afirmado atualmente, o LGPD tem uma visão ampla de quais dados são qualificados como dados pessoais, ainda mais abrangente do que o GDPR.
Direitos do titular dos dados
O Artigo 18 é outra seção do LGPD que parecerá familiar para as empresas que lidaram com a conformidade com o GDPR. Ele explica os nove direitos fundamentais dos titulares dos dados, que incluem:
- O direito à confirmação da existência do tratamento;
- O direito de acessar os dados;
- O direito de corrigir dados incompletos, imprecisos ou desatualizados;
- O direito de tornar anônimo, bloquear ou excluir dados desnecessários ou excessivos ou dados que não estejam sendo processados em conformidade com a LGPD;
- Direito à portabilidade dos dados para outro prestador de serviços ou produtos, mediante solicitação expressa
- O direito de apagar dados pessoais processados com o consentimento do titular dos dados;
- O direito à informação sobre entidades públicas e privadas com as quais o controlador compartilha dados;
- O direito à informação sobre a possibilidade de negar o consentimento e as consequências de tal negação; e
- O direito de revogar o consentimento.
Embora o GDPR seja conhecido por conceder aos titulares dos dados oito direitos fundamentais, eles são essencialmente os mesmos direitos mencionados pelo LGPD. Parece que a divisão LGPD “O direito à informação sobre entidades públicas e privadas com as quais o controlador compartilhou dados” do “Direito a ser informado” mais geral do GDPR para torná-lo mais explícito.
Diferenças entre o LGPD e o GDPR
Apesar de seus objetivos semelhantes e da aparente influência que o GDPR teve sobre os legisladores brasileiros, existem algumas diferenças importantes a serem observadas entre os dois atos legislativos.
Oficiais de proteção de dados
Ambos os atos exigem que empresas e organizações contratem um Oficial de Proteção de Dados (DPO). No entanto, enquanto o GDPR descreve quando um DPO é necessário, o Artigo 41 do LGPD simplesmente diz: “O controlador deve nomear um oficial responsável pelo processamento de dados”, o que sugere que qualquer organização que processe os dados de pessoas em O Brasil precisará contratar um DPO. Essa é outra área que provavelmente receberá mais esclarecimentos, mas, conforme escrito, é uma das poucas áreas em que o LGPD é mais rigoroso do que o GDPR.
Base legal para processamento de dados
Possivelmente, a diferença mais significativa entre o LGPD e o GDPR diz respeito ao que se qualifica como uma base legal para o processamento de dados. O GDPR possui seis bases legais de processamento, e um controlador de dados deve escolher uma delas como justificativa para usar as informações do titular dos dados. No entanto, no Artigo 7, a LGPD lista 10. São eles:
- Com o consentimento do titular dos dados;
- Para cumprir uma obrigação legal ou regulamentar do controlador;
- Executar políticas públicas previstas em leis ou regulamentos, ou com base em contratos, acordos ou instrumentos semelhantes;
- Realizar estudos por entidades de investigação que garantam, sempre que possível, o anonimato dos dados pessoais;
- Executar um contrato ou procedimentos preliminares relacionados com um contrato do qual o titular dos dados seja parte, a pedido do titular dos dados;
- Exercer direitos em procedimentos judiciais, administrativos ou arbitrais;
- Para proteger a vida ou a segurança física do titular dos dados ou de terceiros;
- Proteger a saúde, em procedimento realizado por profissionais de saúde ou por entidades de saúde;
- Para atender aos legítimos interesses do responsável pelo tratamento ou de terceiros, exceto quando prevaleçam os direitos e liberdades fundamentais do titular dos dados, que exigem a proteção de dados pessoais; ou
- Para proteger o crédito (referindo-se a uma pontuação de crédito).
Ter a proteção do crédito como base jurídica para o processamento de dados é, de fato, um afastamento substancial do RGPD.
Relatório de violações de dados
Embora o GDPR e o LGPD exijam que as organizações relatem violações de dados à autoridade local de proteção de dados, o nível de especificidade varia amplamente entre as duas leis. O GDPR é explícito: uma organização deve relatar uma violação de dados dentro de 72 horas de sua descoberta (embora diferentes organizações já estejam testando esse prazo).
A LGPD não fornece qualquer prazo firme: o artigo 48 apenas declara que “o responsável pelo tratamento deve comunicar à autoridade nacional e ao titular dos dados a ocorrência de um incidente de segurança que possa criar risco ou dano relevante aos titulares dos dados … em um prazo razoável período, conforme definido pela autoridade nacional. ” Uma vez que a agência nacional de proteção de dados ainda não foi estabelecida, não há orientação sobre o que constitui um “período de tempo razoável”.
Objetivos
Um regulamento é tão forte quanto seus dentes. É por isso que as multas máximas do GDPR são substanciais, exigindo que as organizações que cometem violações graves do GDPR paguem até € 20 milhões ou 4% da receita global anual, o que for mais alto.
As multas sob o LGPD são muito menos severas. O artigo 52 estabelece que a multa máxima por infração é de “2% da receita de pessoa jurídica privada, grupo ou conglomerado no Brasil, no exercício fiscal anterior, sem impostos, até um máximo total de 50 milhões de reais” (funciona cerca de 11 milhões de euros). As multas LGPD estão em linha com as multas do GDPR por infrações menos flagrantes, mas € 11 milhões não afetarão os maiores processadores de dados do mundo.
Esta não é uma visão geral exaustiva do LGPD, mas deve tranquilizar os proprietários de empresas de que, na maioria dos aspectos, se você alcançou a conformidade com o GDPR, já está no caminho certo para cumprir o LGPD. As leis de proteção de dados estão começando a ser consideradas em todo o mundo, da Índia aos EUA. GDPR.eu estará aqui para ajudá-lo a acompanhar os desenvolvimentos mais recentes e obter conformidade. Na dúvida, é sempre importante consultar um advogado especialista.