Comparativo entre LGPD x GDPR

Inspirada na General Data Protection Regulation (GDPR), a Lei Geral de Proteção de Dados (LGPD) guarda diversas semelhanças com a regulamentação europeia, ainda que a fiscalização da proteção e privacidade de dados pessoais tenha começado tardiamente no Brasil – na Europa, para se ter uma ideia, o debate e a legislação sobre esse assunto existem desde os anos 90. Por esse motivo, a GDPR acaba sendo mais detalhada e completa do que a lei brasileira. 

Entre os muitos pontos similares entre as duas leis está o consentimento, conceito que explicita a importância do poder de decisão, autonomia e controle do titular sobre suas próprias informações. Tanto na GDPR quanto na LGPD, o consentimento é uma responsabilidade do controlador e deve ser dado por escrito, em uma cláusula separada das demais. 

Ambas as legislações exigem a nomeação, por parte dos responsáveis pelo tratamento, de profissionais específicos para o cumprimento adequado das normas – na Europa, o Data Protection Officer deve avaliar e analisar o nível de adequação da organização com a GDPR. No Brasil, existe a figura do encarregado, que recebe comunicações e reclamações dos titulares, além de orientar funcionários sobre questões relacionadas à proteção de dados pessoais. 

Entrando na parte das diferenças, enquanto a GDPR – que passou a vigorar no dia 25 de maio de 2018 na Europa – é fundamentada em seis bases legais, a LGPD abrange dez bases legais para justificar o tratamento de dados pessoais.  

Uma exclusividade da lei brasileira é a determinação da proteção do crédito como base legal para o tratamento. Além disso, a LGPD é menos detalhista, deixa muitos pontos em aberto e é menos rigorosa em relação às sanções impostas aos infratores. 

No quadro abaixo, você pode conferir um comparativo entre a LGPD e a GDPR: 

GDPR LGPD
Quem está sujeito à lei? 
Empresas que atuam na União Europeia, independentemente de sua localização física, e que manipulam dados de pessoas naturais que estejam na região. Pessoas jurídicas de direito público ou privado que:
-Realizam tratamento de dados em território brasileiro;
– Cuja atividade de tratamento vise a oferta de bens e serviços ou realize tratamento de dados de indivíduos em território nacional;
– Ou cujos dados de tratamento tenham sido coletados em território nacional. 
Sobre o tratamento de dados pessoais sensíveis
Segundo a GDPR, dados pessoais sensíveis merecem proteção especial e não devem ser tratados, exceto em situações específicas como o cumprimento de uma obrigação legal ou o exercício de funções do interesse público. Já a LGPD diz que o tratamento de dados pessoais sensíveis pode ocorrer somente se o titular autorizar, em situações específicas, ou quando estes forem indispensáveis para fins como o cumprimento de obrigação legal pelo controlador, exercício regular de direitos e até mesmo a proteção da vida do titular ou de terceiros.
Consentimento
A legislação europeia não considera como livre o consentimento onde não há possibilidade de escolha, ou se o titular não puder retirar o consentimento sem ser prejudicado. Na LGPD, o consentimento será considerado nulo somente se as informações apresentadas forem de conteúdo enganoso, ou se não tiverem sido mostradas de forma clara e transparente. 
Transferência extraterritorial de dados
A transferência de dados entre paises é permitida pela GDPR, desde que comprovado o alto nível de proteção do país receptor e com a autorização da Comissão Europeia.A norma brasileira e também autoriza a transferência de dados pessoais entre países e órgãos internacionais, mas é necessário que estes tenham o nível de proteção adequado ao que é estebelecido pela regulamentação.
Terceirização do tratamento de dados
Caso o controlador queira terceirizar o tratamento de dados, a GDPR exige que seja celebrado um contrato junto ao operador.A LGPD não determina a celebração de contratos para esse caso. 
Relatórios de Impacto
A GDPR é bem clara neste item: em casos onde houver risco elevado aos direitos e liberdades individuais, o responsável pelo tratamento dos dados deve realizar um relatório de impacto. Caso os riscos não sejam passíveis de mitigação, a organização deve consulltar a autoridade de controle antes de prosseguir o tratamento. A LGPD coloca o ponto do relatório de impacto de forma vaga, apenas mencionando que este poderá ser exigido pela Autoridade Nacional de Proteção de Dados. 
Sobre o tratamento de dados pessoais de crianças e adolescentes
A GDPR autoriza o tratamento de dados pessoais de crianças e adolescentes abaixo de 16 anos, somente mediante consentimento do responsável legal. O tratamento de dados pessoais de crianças e adolescentes somente é permitido com o consentimento dado por pelo menos um dos pais ou responsável legal. A exceção acontece quando a coleta for necessária para entrar em contato com os pais ou responsáveis legais. 
Sanção em caso de descumprimento da lei
Em caso de descumprimento da lei, a GDPR determina sanção de 4% do volume global da organização ou uma multa prevista em 20 milhões de euros – o que vale é o maior valor. No Brasil, a infratora fica sujeita a diversos tipos de sanções, como advertências, multas diárias e multas simples de até 2% do faturamento (em caso de pessoa jurídica de direito privado), limitada em R$50 milhões. 
Tempo de adaptação
A GDPR estabeleceu o prazo de dois anos para que as empresas sujeitas à lei se adaptassem. No caso da LGPD, foram dados – inicialmente- 18 meses para que as organizações estivessem em compliance com a lei. O prazo foi ampliado para dois anos. 
Uso compartilhado de dados
O uso compartilhado de dados não é autorizado pela regulamentação europeia. O poder público pode compartilhar dados pessoais, desde que para atender a finalidades específicas de políticas públicas ou atribuição legal pelos órgãos e entidades públicas. 
Por Karina Menezes - 12/08/2019
Posts relacionados
Destrinchamos cada um dos 65 artigos da Lei Geral de Proteção de Dados para que ...Leia mais
Prevista para entrar em vigor em agosto de 2020, a lei nº 13.709 - também ...Leia mais
A Autoridade Nacional de Proteção de Dados (ANPD) foi criada pela Lei 13.853, publicada no ...Leia mais
Nesta seção, separamos alguns dos termos mais importantes da Lei Geral de Proteção de Dados ...Leia mais