O Brasil aprovou sua abrangente Lei Geral de Proteção de Dados (LGPD) em 14 de agosto de 2018. Adaptada ao seu primo europeu, o Regulamento Geral de Proteção de Dados (GDPR), a nova legislação – prevista para entrar em vigor no dia 15 de agosto de 2020 – tem como objetivo substituir e complementar as leis legais existentes regulamentando o uso de dados pessoais pelos setores público e privado.
Muitas empresas que passaram pela corrida para o cumprimento do GDPR consideram o regulamento europeu o mais exaustivo do gênero no mundo atualmente, mas existem diferenças notáveis entre ele e o LGPD, o que significa que o cumprimento do GDPR não garante a conformidade com o LGPD, embora é definitivamente um passo na direção certa.
Vejamos algumas das principais diferenças:
Dados protegidos
Embora o GDPR e o LGPD protejam qualquer informação relacionada a uma pessoa física identificada ou identificável, diferentemente do GDPR, o LGPD não fornece uma definição detalhada de que tipo de informação se refere, tornando seu escopo muito amplo.
Os dados anonimizados estão fora do escopo de ambas as leis, desde que sejam tomadas medidas razoáveis para garantir que eles não possam ser identificados novamente. O LGPD, no entanto, abre uma exceção: os dados são considerados pessoais quando usados para o perfil de comportamento de uma pessoa natural em particular, se essa pessoa for identificada.
Enquanto isso, os dados pseudonimizados se enquadram no escopo do GDPR, pois são considerados informações sobre uma pessoa natural identificável, mas o LGPD não o menciona, exceto no contexto de pesquisas realizadas por órgãos de saúde pública.
Âmbito territorial
Tanto o GDPR quanto o LGPD têm um alcance extraterritorial: eles se aplicam a todas as empresas que oferecem bens ou serviços a titulares de dados na UE ou no Brasil, independentemente de onde estejam localizados.
Há uma diferença notável entre eles: o GDPR inclui explicitamente organizações que não estão estabelecidas na UE, mas que monitoram o comportamento das pessoas localizadas nela. O LGPD não tem essa disposição. O LGPD também não se aplicará a fluxos de dados que se originam fora do Brasil e são meramente transmitidos, mas não processados no país.
Bases legais para processamento de dados
Uma das principais diferenças entre as duas leis são as bases legais para o processamento de dados. O GDPR lista seis, enquanto o LGPD vai além e inclui dez. Aos seis originais do GDPR: consentimento explícito, desempenho contratual, tarefa pública, interesse vital, obrigação legal e interesse legítimo, a LGPD acrescenta mais quatro: estudos de um órgão de pesquisa, exercício de direitos em processos judiciais, proteção à saúde e proteção ao crédito.
A adição mais interessante a esta lista é a proteção de crédito, uma provisão exclusiva para o Brasil, que foi sem dúvida incluída devido às discussões atuais sobre a reforma de uma das leis que regulamenta a pontuação de crédito no Brasil, a Lei do Histórico de Crédito Positivo.
Responsáveis pela proteção de dados
Sob o GDPR, os controladores e processadores de dados cujas atividades principais consistem em operações de processamento que requerem monitoramento regular e sistemático dos titulares de dados em larga escala ou processamento em larga escala de categorias especiais de dados, são obrigados a nomear um responsável pela proteção de dados (DPO).
O LGPD, por outro lado, exige apenas que os controladores de dados nomeiem um DPO. No entanto, não limita as circunstâncias em que um DPO deve ser nomeado, o que significa que todas as empresas, independentemente do tamanho, tipo ou volume dos dados coletados, precisarão de um DPO. Dito isto, enquanto é assim que as coisas estão no momento, a ANPD está autorizada a ajustar essa disposição e, agora que sua criação foi garantida, deve emitir regras complementares para limitar a aplicabilidade desse requisito específico.
Solicitações de acesso de titulares de dados
O direito de um indivíduo ao acesso a dados é garantido tanto pelo GDPR quanto pelo LGPD. De acordo com ele, os titulares dos dados podem solicitar acesso aos dados que uma empresa coletou sobre eles e solicitar outras ações a respeito: portabilidade, exclusão ou correção. O GDPR permite às organizações 30 dias para responder às solicitações de acesso dos titulares de dados, enquanto o LGPD oferece apenas 15 dias.
Há também uma diferença no custo dos pedidos: o LGPD os torna obrigatoriamente gratuitos, enquanto o GDPR torna a gratuidade opcional.
Notificações obrigatórias de violação de dados
Embora ambas as leis tornem obrigatórias as notificações de violação de dados, seus requisitos diferem ligeiramente. Enquanto o GDPR impõe um período estrito de 72 horas em que as empresas são obrigadas a notificar as Autoridades de Proteção de Dados (DPAs) sobre violações de dados, as organizações que estão sob a incidência do LGPD devem fazê-lo dentro de um prazo “razoável” indefinido. Esse prazo, no entanto, também está sujeito a ajustes da ANPD. O LGPD exige que as empresas também notifiquem os titulares de dados sobre violações de dados, algo que não é um requisito do GDPR.
Sanções
As multas notórias do GDPR permitem que os DPAs da Europa emitam multas de até 4% do faturamento anual global de uma empresa ou € 20.000.000 (aproximadamente US $ 22.000.000), o que for maior. Sob o LGPD, as organizações enfrentam multas semelhantes, embora um pouco menos graves: até 2% de sua receita total no Brasil no ano anterior ou até 50.000.000 de reais (aproximadamente US $ 13.000.000), o que for maior. O LGPD também lista possíveis sanções diárias para reforçar a conformidade.
As agências governamentais estão fora do escopo das multas da LGPD, enquanto o GDPR deixa a cargo dos DPAs decidir sobre esse assunto.
Em conclusão
Embora exista um grande número de semelhanças entre o LGPD e o GDPR, há pontos como as bases legais e as notificações obrigatórias de violação de dados, nas quais o LGPD vai além da legislação europeia.
Também existem muitas disposições deixadas amplas na lei brasileira que estão sujeitas a ajustes da ANPD e que a nova autoridade provavelmente enfrentará nos meses que antecederam a execução da LGPD. Resta ver se as regras complementares que serão emitidas trarão o LGPD para mais perto ou mais longe do GDPR.
Endpoint Protector
Apesar da lei ainda não estar em vigor, o risco de vazamento de dados já existe e os prejuízos de um vazamento são consideráveis. Se você é um empreendedor que se enquadra na lei, não deixe para depois as melhorias de segurança de seu negócio.
O Endpoint Protector é o serviço de proteção de dados da CoSoSys. Quer saber mais? Clique aqui.