Comparativo entre LGPD x GDPR

Inspirada na General Data Protection Regulation (GDPR), a Lei Geral de Proteção de Dados (LGPD) guarda diversas semelhanças com a regulamentação europeia, ainda que a fiscalização da proteção e privacidade de dados pessoais tenha começado tardiamente no Brasil – na Europa, para se ter uma ideia, o debate e a legislação sobre esse assunto existem desde os anos 90. Por esse motivo, a GDPR acaba sendo mais detalhada e completa do que a lei brasileira. 

Entre os muitos pontos similares entre as duas leis está o consentimento, conceito que explicita a importância do poder de decisão, autonomia e controle do titular sobre suas próprias informações. Tanto na GDPR quanto na LGPD, o consentimento é uma responsabilidade do controlador e deve ser dado por escrito, em uma cláusula separada das demais. 

Ambas as legislações exigem a nomeação, por parte dos responsáveis pelo tratamento, de profissionais específicos para o cumprimento adequado das normas – na Europa, o Data Protection Officer deve avaliar e analisar o nível de adequação da organização com a GDPR. No Brasil, existe a figura do encarregado, que recebe comunicações e reclamações dos titulares, além de orientar funcionários sobre questões relacionadas à proteção de dados pessoais. 

Entrando na parte das diferenças, enquanto a GDPR – que passou a vigorar no dia 25 de maio de 2018 na Europa – é fundamentada em seis bases legais, a LGPD abrange dez bases legais para justificar o tratamento de dados pessoais.  

Uma exclusividade da lei brasileira é a determinação da proteção do crédito como base legal para o tratamento. Além disso, a LGPD é menos detalhista, deixa muitos pontos em aberto e é menos rigorosa em relação às sanções impostas aos infratores. 

No quadro abaixo, você pode conferir um comparativo entre a LGPD e a GDPR: 

GDPR LGPD
Quem está sujeito à lei? 
Empresas que atuam na União Europeia, independentemente de sua localização física, e que manipulam dados de pessoas naturais que estejam na região. Pessoas jurídicas de direito público ou privado que:
-Realizam tratamento de dados em território brasileiro;
– Cuja atividade de tratamento vise a oferta de bens e serviços ou realize tratamento de dados de indivíduos em território nacional;
– Ou cujos dados de tratamento tenham sido coletados em território nacional. 
Sobre o tratamento de dados pessoais sensíveis
Segundo a GDPR, dados pessoais sensíveis merecem proteção especial e não devem ser tratados, exceto em situações específicas como o cumprimento de uma obrigação legal ou o exercício de funções do interesse público. Já a LGPD diz que o tratamento de dados pessoais sensíveis pode ocorrer somente se o titular autorizar, em situações específicas, ou quando estes forem indispensáveis para fins como o cumprimento de obrigação legal pelo controlador, exercício regular de direitos e até mesmo a proteção da vida do titular ou de terceiros.
Consentimento
A legislação europeia não considera como livre o consentimento onde não há possibilidade de escolha, ou se o titular não puder retirar o consentimento sem ser prejudicado. Na LGPD, o consentimento será considerado nulo somente se as informações apresentadas forem de conteúdo enganoso, ou se não tiverem sido mostradas de forma clara e transparente. 
Transferência extraterritorial de dados
A transferência de dados entre paises é permitida pela GDPR, desde que comprovado o alto nível de proteção do país receptor e com a autorização da Comissão Europeia.A norma brasileira e também autoriza a transferência de dados pessoais entre países e órgãos internacionais, mas é necessário que estes tenham o nível de proteção adequado ao que é estebelecido pela regulamentação.
Terceirização do tratamento de dados
Caso o controlador queira terceirizar o tratamento de dados, a GDPR exige que seja celebrado um contrato junto ao operador.A LGPD não determina a celebração de contratos para esse caso. 
Relatórios de Impacto
A GDPR é bem clara neste item: em casos onde houver risco elevado aos direitos e liberdades individuais, o responsável pelo tratamento dos dados deve realizar um relatório de impacto. Caso os riscos não sejam passíveis de mitigação, a organização deve consulltar a autoridade de controle antes de prosseguir o tratamento. A LGPD coloca o ponto do relatório de impacto de forma vaga, apenas mencionando que este poderá ser exigido pela Autoridade Nacional de Proteção de Dados. 
Sobre o tratamento de dados pessoais de crianças e adolescentes
A GDPR autoriza o tratamento de dados pessoais de crianças e adolescentes abaixo de 16 anos, somente mediante consentimento do responsável legal. O tratamento de dados pessoais de crianças e adolescentes somente é permitido com o consentimento dado por pelo menos um dos pais ou responsável legal. A exceção acontece quando a coleta for necessária para entrar em contato com os pais ou responsáveis legais. 
Sanção em caso de descumprimento da lei
Em caso de descumprimento da lei, a GDPR determina sanção de 4% do volume global da organização ou uma multa prevista em 20 milhões de euros – o que vale é o maior valor. No Brasil, a infratora fica sujeita a diversos tipos de sanções, como advertências, multas diárias e multas simples de até 2% do faturamento (em caso de pessoa jurídica de direito privado), limitada em R$50 milhões. 
Tempo de adaptação
A GDPR estabeleceu o prazo de dois anos para que as empresas sujeitas à lei se adaptassem. No caso da LGPD, foram dados – inicialmente- 18 meses para que as organizações estivessem em compliance com a lei. O prazo foi ampliado para dois anos. 
Uso compartilhado de dados
O uso compartilhado de dados não é autorizado pela regulamentação europeia. O poder público pode compartilhar dados pessoais, desde que para atender a finalidades específicas de políticas públicas ou atribuição legal pelos órgãos e entidades públicas. 
Por Karina Menezes - 12/08/2019