LGPD e GDPR: diferenças e semelhanças das leis de proteção de dados

Provavel­mente você já ouviu falar em LGPD (Lei Ger­al de Pro­teção de Dados) e GDPR (Reg­u­la­men­to Ger­al de Pro­teção de Dados), e talvez até sai­ba que a primeira é a nova lei brasileira que entra em vig­or no próx­i­mo ano e que a segun­da é o reg­u­la­men­to europeu, imple­men­ta­do em 2018. 

Mas já que essas duas siglas tratam sobre o mes­mo assun­to, o que difere uma da out­ra? E o que elas têm em comum? São essas per­gun­tas que vamos respon­der a par­tir de agora! 

Conceitos principais

Nesse que­si­to as duas dire­ti­vas são bas­tante semel­hantes já que ver­sam sobre a pro­teção de dados pes­soais – infor­mações que aju­dam a iden­ti­ficar uma pes­soa, como nome, CPF, endereço e e‑mail, por exemplo.

Tan­to a LGPD quan­to o GDPR cobrem aspec­tos como: quais são os dire­itos do tit­u­lar sobre suas infor­mações pes­soais, como as empre­sas podem ou não recol­her e proces­sar dados e quais as punições caso des­cumpram as regras. 

Ambas tam­bém deter­mi­nam o con­ceito de dado pes­soal sen­sív­el: uma infor­mação ínti­ma que pre­cisa de trata­men­to espe­cial, porque sua divul­gação ou uti­liza­ção inad­e­qua­da pode causar pre­juí­zos para o tit­u­lar. São con­sid­er­a­dos sen­síveis os dados sobre origem étni­ca, ori­en­tação sex­u­al, posi­ciona­men­to políti­co, saúde e religião, por exemplo. 

Técnicas de segurança 

Nesse aspec­to LGPD e GDPR pare­cem cam­in­har jun­tos, mas a leg­is­lação da União Europeia é bem mais especí­fi­ca do que a brasileira. 

A nos­sa leg­is­lação ori­en­ta ape­nas que os dados pes­soais sejam trata­dos de maneira segu­ra e afir­ma que a Autori­dade Nacional de Pro­teção de Dados (ANPD) pode descr­ev­er a for­ma como isso será feito. Já o GDPR não perde tem­po e exige medi­das como encrip­tação e pseudoanon­i­miza­ção para man­ter os ban­cos de dados mais seguros. 

Como a cri­ação da ANPD só foi for­mal­iza­da nos últi­mos dias 2018, ain­da não podemos diz­er com segu­rança quais serão os seus padrões de segu­rança. Por hora, as empre­sas devem bus­car seus próprios meios para mel­ho­rar a sua segu­rança dig­i­tal e estar aten­tas para novi­dades que devem vir nos próx­i­mos meses. 

Aplicação internacional  

Aqui GDPR e LGPD voltam a ter dis­cur­sos muito pare­ci­dos. Ambas deter­mi­nam que suas regras valem tan­to para os dados dos nativos quan­to para qual­quer pes­soa ou empre­sa que ten­ham oper­ações em seu território. 

Ou seja, empre­sas que coletem, armazen­em e uti­lizem dados de cidadãos da União Europeia, este­jam local­izadas ou ofer­tem pro­du­tos e serviços para a região pre­cisam aten­der o GDPR. E a LGPD vale para todos os casos em que os dados foram cole­ta­dos e manip­u­la­dos em ter­ritório nacional ou sejam de brasileiros. 

Isso pode sig­nificar que empre­sas brasileiras que ten­ham oper­ações na UE podem ter que ado­tar os padrões das duas leg­is­lações, a nacional e a europeia. 

Portabilidade de dados 

Esse con­ceito foi difun­di­do pelo GDPR e ado­ta­do em vários país­es que estão desen­vol­ven­do suas próprias nor­mas de pro­teção, incluin­do o Brasil. 

A porta­bil­i­dade de dados garante ao tit­u­lar o dire­ito de mover suas infor­mações pes­soais de uma empre­sa para a out­ra. Nesse caso, a com­pan­hia que det­inha os dados não pode difi­cul­tar o proces­so e nem reter nen­hu­ma informação. 

Bons exem­p­los de porta­bil­i­dade seri­am a migração de seus dados de um ban­co para o out­ro, ou de uma cor­re­to­ra de seguros para outra. 

Vazamento de dados

Esse é um dos pon­tos em que o GDPR é mais severo: em casos de vaza­men­to de dados a empre­sa que sofreu a que­bra de sig­i­lo deve comu­nicar as autori­dades em, no máx­i­mo, 72 horas depois do ocor­ri­do. Os usuários tam­bém devem ser noti­fi­ca­dos depen­den­do da gravi­dade da situação. 

A LGPD tam­bém deman­da que a autori­dade nacional e as víti­mas sejam avisadas sobre o vaza­men­to e seus riscos. Mas não estip­u­la um pra­zo máx­i­mo para essa comu­ni­cação. Por hora, há ape­nas a infor­mação de que os detal­h­es deste pro­ced­i­men­to serão cri­a­dos pela ANPD. 

Consentimento para captação 

Garan­tir que o con­sum­i­dor não só está ciente, mas per­mite que uma empre­sa recol­ha e use seus dados para final­i­dades especí­fi­cas é um dos pilares prin­ci­pais de qual­quer políti­ca de pro­teção de dados. 

No GDPR o con­sen­ti­men­to é necessário e a com­pan­hia pode ser obri­ga­da, inclu­sive, a demon­strar para as autori­dades como con­seguiu a per­mis­são do tit­u­lar. Mas na LGPD este aspec­to ficou um pouco con­fu­so, prin­ci­pal­mente depois das mudanças feitas pela MP 869/18.

Atual­mente, o arti­go 11, da LGPD tem sete situ­ações em que as empre­sas podem cole­tar dados pes­soais – inclu­sive os sen­síveis – sem con­sen­ti­men­to do tit­u­lar. Ess­es pon­tos incluem con­ceitos que ain­da não estão muito claros e que podem acabar sendo inter­pre­ta­dos das mais diver­sas for­mas, como “tutela da saúde” ou “garan­tia da pre­venção à fraude”, por exemplo. 

No futuro essas deter­mi­nações dev­erão ser muito bem expli­cadas para que empre­sas não se aproveit­em de con­ceitos muito amp­los para cole­tar infor­mações que não deveriam.

Ain­da tem dúvi­das sobre a LGPD e o GDPR? Pre­cisa de aju­da para imple­men­tar as mudanças na sua empre­sa? Entre em con­ta­to com os advo­ga­dos espe­cial­iza­dos em pro­teção de dados do Assis e Mendes Advo­ga­dos!