GDPR e LGPD — Qual É A Relação?
A Lei Geral de Proteção de Dados, que entrou em vigor no Brasil em 2020, tem uma “irmã mais velha”: o Regulamento Geral de Proteção de Dados (General Data Protection Regulation), válido na União Europeia. A norma brasileira foi inspirada nessa legislação e, por este motivo, a GDPR e a LGPD têm muita coisa em comum.
Inclusive, uma vez que a nossa lei é muito recente, é natural que, com o tempo, nossa cultura fique mais aderente a uma lei tão respeitada quanto a europeia. Por isso, é válido entender do que se trata a GDPR até para prever o que pode vir por aí.
Neste artigo, entenda melhor a relação entre a GDPR e a LGPD.
Principais diferenças e semelhanças entre a GDPR e a LGPD
Primeiramente, as duas leis versam sobre o tratamento de dados pessoais, indicando como deve ser feito. Portanto, elas têm basicamente o mesmo objetivo: garantir privacidade e transparência aos titulares das informações utilizadas.
Porém, apesar disso, elas ainda têm algumas diferenças entre si.
1. Princípios de tratamento
Ambas as leis estabelecem princípios para o tratamento de dados. Ou seja, as informações só podem ser utilizadas se respeitarem essas determinações.
- GDPR: determina 9 princípios (licitude, lealdade, transparência, limitação das finalidades, minimização dos dados, exatidão, limitação da conservação, integridade e confiabilidade, responsabilidade);
- LGPD: estabelece 10 princípios (finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização).
2. Bases legais para o tratamento
As bases legais são as hipóteses que os dados podem ser tratados. Portanto, eles só podem ser coletados, armazenados e compartilhados se o motivo para isso estiver na lei.
- GDPR: estabelece 6 bases legais (consentimento do titular, execução de contrato, cumprimento de uma obrigação legal, interesse vital, interesse público e interesse legítimo);
- LGPD: além das que estão na GDPR, a lei brasileira ainda acrescenta mais 4 casos (estudo de órgãos e agências de pesquisa, exercício regular de direitos em processos judiciais, proteção ao crédito e proteção à saúde).
3. Partes envolvidas no tratamento de dados
Existem 4 partes normalmente envolvidas nos processos de tratamento de dados:
- o controlador — a quem compete as decisões referentes ao seu uso;
- o operador — pessoas que realiza o tratamento em nome do controlador;
- o encarregado (DPO) — profissional que é o canal de comunicação entre controladores, órgãos fiscalizadores e titulares;
- o titular — indivíduos que são donos do dados e têm direito sobre eles.
Apesar disso estar disposto nas suas leis, elas estabelecem regras de relacionamento diferentes entre si.
- GDPR: exige um contrato entre o controlador e o operador obrigando a este seguir as diretrizes da lei e também explica em que casos o encarregado é necessário.
- LGPD: não pede contrato entre controladores e operadores, exigindo somente que este siga as orientações daquele. No caso do DPO, exige que haja a nomeação, com algumas exceções.
4. Exigência de avaliação de impacto e risco
O Relatório de Impacto é um documento que aponta quais são os riscos envolvidos no tratamento dos dados sob responsabilidade do controlador.
- GDPR: deve ser feito sempre que a utilização de dados representar alto risco para os direitos do titulares e em alguns casos específicos mencionados na própria lei;
- LGPD: o relatório é recomendado quando houver tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos dos titulares, e pode ser exigido pontualmente a partir de uma solicitação do órgão fiscalizador brasileiro (ANPD).
5. Multas
Por fim, mas não menos importante, aquelas empresas que não cumprem com as duas leis podem sofrer penalidades, entre elas, multas.
- GDPR: limita as multas em até 20 milhões de euros ou até 4% do faturamento total do negócio no ano anterior;
- LGPD: é um pouco mais branda e exige até 2% da receita da organização no ano anterior, limitado a 50 milhões de reais, por infração.
A GDPR foi a inspiração para a LGPD. Por isso, deve ser só uma questão de tempo para a lei brasileira tomar mais maturidade e ficar mais respeitada com sua “irmã”.
Veja, neste artigo, como se preparar para isso e implementar a LGPD na sua empresa.