Conheça as principais diferenças entre a LGPD e a GDPR
Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra
Sabemos que a LGPD – Lei Geral de Proteção de Dados não surgiu “do dia para a noite”. Ela foi o resultado de audiências públicas, pressão da sociedade civil e várias reviravoltas, recebendo maior atenção somente após a entrada em vigor da GDPR – General Data Protection Regulation na União Europeia, que estabeleceu um novo nível de exigências nas práticas de tratamento de dados pessoais. O principal motivo desta forte influência no nosso projeto de lei, que até então evoluía de forma lenta, foi a aplicação extraterritorial que impactou as atividades de multinacionais em todo o mundo todo.
Mas o regulamento europeu de proteção de dados representou bem mais que um “empurrãozinho” para a concretização da LGPD. A redação da lei brasileira foi completamente inspirada na GDPR e traz em si uma semelhança considerável.
A Lei Geral de Proteção de Dados traz 10 hipóteses que tornam o tratamento de dados lícito; o consentimento é apenas uma delas. O art. 7.º traz as seguintes possibilidades:
- Mediante o fornecimento de consentimento pelo titular (deve atender a uma finalidade específica e pode ser retirado a qualquer momento).
- Para o cumprimento de obrigação legal ou regulatória pelo controlador.
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas (por meio da previsão legal ou contratual).
- Para a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais).
- Quando necessário para a execução de contrato ou de procedimentos relacionados a contrato do qual o titular seja parte (caso solicitado).
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
- Para a proteção da vida ou da integridade física (do titular ou de terceiro).
- Para a tutela da saúde (em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias).
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (devendo observar se os interesses são razoáveis e como eles afetam os direitos e liberdades fundamentais do titular).
- Para a proteção do crédito.
Das 10 hipóteses de legalidade[1] mencionadas acima, a única diferença entre as duas legislações está na possibilidade de tratamento de dados pessoais com a finalidade de proteção de crédito[2], trazida exclusivamente pela LGPD. Quanto aos demais dispositivos, falamos das mesmas hipóteses da GDPR, onde talvez algumas palavras se mostrem um pouco diferentes.
De forma geral, a lei brasileira segue o mesmo padrão em todo o seu texto. Eventualmente, a LGPD é mais permissiva ou menos detalhada. A GDPR tem um maior cuidado com as definições e até a presença de “rols exemplificativos”, já a LGPD traz definições mais breves e menos minuciosas.
Portanto, estar em compliance com a GDPR, de forma geral, significa estar em compliance com a LGPD. Porém, nem sempre o contrário é válido e é preciso um cuidado especial com isso.
Como já mencionamos, a nossa lei se mostra consideravelmente mais permissiva e deixa algumas questões em aberto – por exemplo o prazo para notificar a autoridade: a LGPD estabelece apenas que a comunicação deve ser feita em “prazo razoável”[3], enquanto a GDPR estipula exatas 72 horas[4]. Algumas previsões da GDPR sequer são equivalentes na nossa legislação (infelizmente).
Assim, ainda que o ideal seja uma adequação com “check” nas duas legislações, é interessante considerar o seguinte: se a empresa irá iniciar a sua adequação do zero e o seu modelo de negócio se enquadra em ambas legislações, o ideal é começar a implementação do programa de compliance digital pela GDPR.
O que impera é, sem dúvida, uma redação um tanto próxima. Essa compatibilidade entre as legislações traz uma maior tranquilidade para as empresas e pode significar oportunidades de negócios internacionais de transferência de dados, bem como uma aproximação importantíssima com a União Europeia.
Neste sentido, vale lembrar que a Comissão Europeia estabeleceu que as transferências internacionais de dados só podem ser feitas para países que ofereçam um nível adequado de proteção de dados. Até o presente momento, menos de 15 países estão nesta lista.
Termos as mesmas hipóteses de legalidade é algo que facilita, consideravelmente, a adaptação das atividades empresariais, sem a necessidade de alterar absurdamente a oferta de produtos e serviços entre os clientes de ambos continentes.
Aqui, colocamos que a LGPD pode ser transformada em uma vantagem competitiva e que a sua chegada deve colocar o Brasil no cenário da economia digital mundial.