LGPD e GDPR: entenda as diferenças e semelhanças entre as leis

Diferenças entre GDPR e LGPD.

A LGPD (Lei Geral de Proteção de Dados) e a GDPR (General Data Protection Regulation) são leis muito similares. Mas isto não acontece à toa, já que a GDPR, na Europa, foi a base de inspiração para a criação da LGPD, no Brasil. Inclusive, há quem diga que a GDPR é a irmã mais velha da LGPD.

Tanto a LGPD quanto a GDPR são leis de proteção de dados. De maneira geral, as duas leis procuram determinar a maneira como empresas e organizações devem tratar dados pessoais. Isto é, como elas devem coletar, processar, compartilhar e fazer uso das informações de terceiros.

Por falar nisso, o tratamento de dados, de acordo com a LGPD e a GDPR, deve sempre respeitar alguns princípios básicos, como a segurança dos dados, o uso ético das informações e a garantia dos direitos dos titulares dos dados.

Portanto, como se pode perceber, os propósitos da LGPD e da GDPR são praticamente os mesmos. Mas há alguns pontos e diferenças que são interessantes de serem analisados e destacados, até pelo contexto em que as leis estão inseridas.

Confira a seguir os principais pontos de comparação entre a LGPD e a GDPR.

Confira neste artigo!

Precisa se adequar à LGPD?

Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.

Fale conosco
Faça um diagnóstico

1. Quando a GDPR e a LGPD foram implementadas?

A GDPR foi implementada em 2018, enquanto a LGPD entrou em vigor apenas em 2020.

2. Qual é a abrangência ou escopo territorial das leis?

A LGPD vale para empresas que operam no Brasil (Artigo 3), já a GDPR é aplicada a empresas que atuam na União Europeia (Artigo 3). Ponto importante: ambas as leis continuam válidas caso a empresa esteja sediada fora do país.

3. Quais são as multas por descumprimento da LGDP e da GDPR?

As empresas que não estiverem em cumprimento com a LGPD podem sofrer ações, sanções e multas de até 2% da receita da empresa no ano anterior, limitada a R$ 50 milhões por incidente (Artigo 52).

A GDPR, por outro lado, limita as multas em até 4% do volume de negócios da empresa no ano anterior ou € 20 milhões (Artigo 83).

4. Quais são os órgãos responsáveis pela fiscalização das leis?

ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável pela fiscalização da LGPD (Artigo 55), enquanto o Comitê Europeu de Proteção de Dados é responsável pela GDPR (Artigo 68).

5. Quem são as partes ou os atores envolvidos no tratamento de dados?

A LGPD (Artigo 5) e a GDPR (Artigos 4 e 37) são bem claras quanto aos papéis envolvidos no tratamento de dados. São eles:
  • Controlador.
  • Operador.
  • Encarregado (DPO).

6. Como funciona o relacionamento entre o controlador e o operador?

A GDPR (Artigo 28) obriga que o relacionamento entre o controlador e o operador seja regido por um contrato ou outro ato jurídico. A LGPD (Artigo 39) não é tão exigente, determinando apenas que o operador realize o tratamento segundo as instruções fornecidas pelo controlador.

7. Como funciona a função de DPO ou encarregado dos dados?

De acordo com a GDPR (Artigo 37), basicamente, devem designar um DPO todas as empresas que trabalham diretamente com processamento de dados pessoais em larga escala.

De outro lado, a LGPD (Artigo 41) determina que todas as empresas que fazem uso de dados pessoais devem indicar um DPO, exceto no caso de startups e pequenas empresas, em que o cargo é opcional.

8. O que são dados pessoais segundo a LGPD e a GDPR?

Segundo a LGPD (Artigo 5) e a GDPR (Artigo 4), dados pessoais são informações relacionadas a uma pessoa identificada ou identificável.

Para se referir a esta pessoa, que é a proprietária dos dados, a LGPD usa o termo “titular”, enquanto a GDPR faz uso do termo “data subject”.

9. O que são dados pessoais sensíveis?

As duas leis diferenciam alguns tipos de dados pessoais, como informações que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas e orientação sexual.

Na LGPD (Artigo 5), este tipo de informação é chamado de “dado pessoal sensível”. Já na GDPR (Artigo 9) é conhecido como “special categories of personal data” ou categorias especiais de dado pessoal.

Inclusive, de maneira geral, tanto a lei brasileira (Artigo 11) quanto a lei europeia (Artigo 9) determinam que dados sensíveis sejam tratados apenas em casos específicos, como, por exemplo, caso a empresa tenha consentimento do titular ou esteja cumprindo uma determinação prevista em outra lei.

Baixe a cartilha gratuita sobre LGPD

Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!

10. Quando o tratamento dos dados é considerado legal?

No quesito processamento de dados pessoais, a LGPD (Artigo 7) e a GDPR (Artigo 6) estipulam que o tratamento só pode ser realizado dentro de situações específicas, como consentimento do titular, execução de contrato, compliance, interesse vital, interesse público e interesse legítimo.

Além destes pontos, a lei brasileira considera legal o tratamento de dados nos casos de estudos de órgãos e agências de pesquisa, de exercício regular de direitos em processos judiciais, de proteção ao crédito e de proteção à saúde.

11. Como funciona o tratamento de dados de crianças e adolescentes?

No caso de dados pessoais de crianças e adolescentes, o tratamento deve ter o consentimento de um representante legal para menores de 18 anos segundo a LGPD (Artigo 14) e de 16 anos de acordo com a GDPR (Artigo 8).

A lei europeia diz ainda que os países que integram a União Europeia podem prever por lei uma idade inferior, desde que não seja menor do que 13 anos.

12. Quais são os direitos dos titulares segundo a LGPD e a GDPR?

Ambas as leis garantem aos titulares dos dados direitos que precisam ser respeitados pelas empresas, como acesso às informações e poder de correção de dados e exclusão. Neste sentido, a GDPR descreve em mais detalhes os direitos (Artigo 12 a 23), enquanto a LGPD é mais enxuta (Artigo 18).

13. Quanto tempo para responder a uma solicitação do titular?

A lei brasileira (Artigo 19) estipula o prazo de 15 dias para respostas a solicitações de acesso do titular, enquanto a lei europeia (Artigo 12) determina como prazo 30 dias.

14. Como proceder em casos de incidentes e vazamentos de dados?

No caso de incidentes e vazamentos, a LGPD (Artigo 48) e a GDPR (Artigo 33 e 34) pontuam que, de maneira geral, o controlador deve comunicar à autoridade e ao titular a ocorrência de incidentes e vazamentos. A GDPR exige ainda que a comunicação seja feita dentro do prazo de 72 horas.

15. Como funciona o relatório de impacto e proteção de dados?

A GDPR (Artigo 35) exige que as empresas que tratam dados pessoais que possam resultar em um alto risco para os direitos e a liberdade dos titulares mantenham um relatório de impacto e proteção de dados.

Por outro lado, a LGPD (Artigo 38) afirma que o órgão responsável pode determinar as circunstâncias em que o relatório é obrigatório.

Adeque a sua empresa a leis de proteção de dados

Se a sua empresa precisar de ajuda em processos de adequação e conformidade com leis de proteção de dados, como a LGPD e a GDPR, conte com a Get Privacy.

Oferecemos soluções personalizadas que abrangem três pilares imprescindíveis à adequação: jurídico, compliance e segurança da informação.

Ligue para (41) 2391-0966 (Whatsapp) ou escreva para a gente. 

Fale conosco para saber mais:

acompanhe
nossas redes
Linkedin Instagram Facebook Twitter
receba
mais notícias

CONFIRA
OUTROS POSTS