A Lei Geral de Proteção de Dados (LGPD) foi modelada pelo GDPR (Regulamento Geral de Proteção de Dados) da EU que a precedeu. Ele também tem jurisdição global, uma vez que qualquer site em qualquer lugar que processe dados pessoais de indivíduos no Brasil é obrigado a cumpri-lo.

Direitos do titular dos dados

Primeiro, quando se trata do número de direitos dados aos titulares de dados em cada lei, o LGPD e o GDPR variam um pouco, mas apenas superficialmente: o GDPR fornece aos titulares de dados oito direitos fundamentais, enquanto o LGPD concede nove direitos.

Isso ocorre em parte porque o LGPD dividiu o “direito de ser informado” mais geral no GDPR ao “direito de ser informado das partes com as quais o controlador compartilhou os dados” e o “direito de ser informado sobre a possibilidade de negar consentimento”.

Bases legais para processamento de dados

Em segundo lugar, o LGPD difere apenas superficialmente do GDPR quando se trata de sua estrutura para o que constitui base legal para o processamento de dados. Novamente, o LGPD e o GDPR basicamente se alinham, com pequenas variações.

Onde o GDPR possui seis bases legais para processamento, o LGPD possui dez.

Novamente, o GDPR e o LGPD basicamente se alinham, mas o LGPD divide a redação mais geral do GDPR em disposições mais específicas.

A base legal do GDPR de “salvar a vida de alguém” foi dividida em primeiro “proteger a vida ou a segurança física” e, em segundo lugar, “proteger a saúde, em um procedimento realizado por profissionais de saúde ou por entidades de saúde” na LGPD.

Outras cisões incluem o GDPR “necessário para executar uma tarefa de interesse público” no LGPD “para executar políticas públicas” e “para realizar estudos por entidades de pesquisa”. Além disso, o LGPD inclui uma base legal que o GDPR não possui, a base da proteção de crédito.

Dados pessoais

Os dados pessoais têm uma definição mais ampla no LGPD do que no GDPR.

Segundo o LGPD, dados pessoais são qualquer coisa relacionada a uma pessoa singular identificável. No GDPR, isso é especificado com exemplos como nomes, endereços e sexo.

Dados sensíveis são – como no GDPR – uma categoria separada dos dados pessoais que incluem dados sobre raça, etnia, crenças religiosas, convicções políticas, saúde, sexualidade, genética e biometria. As restrições para o processamento de dados confidenciais no LGPD são mais rígidas que no GDPR.

O LGPD não fornece definições ou disposições sobre dados pseudônimos, assim como o GDPR, exceto no contexto de pesquisas realizadas por organizações de saúde pública. Onde o GDPR é muito específico em seus requisitos para o processamento de dados pessoais para fins de marketing, o LGPD não especifica nada.

DPO, DPIA e violações de dados

No GDPR, é instituída a chamada DPIA (Avaliação de Impacto na Proteção de Dados) para avaliar os riscos potenciais do processamento de dados. Também exige que os processadores notifiquem suas respectivas autoridades de proteção de dados se forem avaliados os riscos altos associados ao processamento de dados.

O LGPD também institui DPIAs, mas não especifica como eles devem ser usados, nem estabelece requisitos para notificação de quaisquer autoridades de supervisão.

O LGPD torna obrigatório que as empresas tenham um oficial de proteção de dados (DPO), enquanto isso é exigido apenas em determinadas circunstâncias no GDPR.

As limitações de tempo para a notificação de violações de dados são definidas nitidamente no GDPR como 72 horas, enquanto o LGPD determina livremente que as violações de dados sejam relatadas às autoridades em “tempo razoável”.

Multas

Comparado com o GDPR, o LGPD é muito menos severo em sua capacidade de multar e penalizar violações e não conformidade.

As multas máximas por não conformidade no GDPR são fixadas em 20 milhões de euros ou 4% do faturamento global anual de uma empresa. O LGPD define suas multas máximas em 50 milhões de reais (cerca de 11 milhões de euros) ou 2% do faturamento anual de uma empresa no Brasil por violação.

Aplicações territoriais

O LGPD trata a transferência de dados pessoais internacionalmente da mesma maneira que o GDPR, avaliando se o país estrangeiro possui um nível adequado de leis de proteção de dados em vigor. E, é claro, com base no consentimento prévio, específico e expresso do titular dos dados.

No entanto, o LGPD (ao contrário do GDPR) não determina que os dados sejam transmitidos pelo Brasil sem processamento adicional.

É preciso estar adequado!

Com a nova Lei Geral de Proteção de Dados Pessoais (LGPDP) do Brasil, o país está obtendo uma nova estrutura legal para proteção de dados que ultrapassa o alcance setorial, inclui todo o processamento e coleta de dados no território do país e pode muito bem chegar a uma decisão de adequação com a EU, uma vez que o LGPD é baseado no GDPR.

Fale com a Arbit, e entenda como podemos te ajudar nesta adequação.