Conheça as principais diferenças entre a LGPD e a GDPR
Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra
Sabemos que a LGPD – Lei Geral de Proteção de Dados não surgiu “do dia para a noite”. Ela foi o resultado de audiências públicas, pressão da sociedade civil e várias reviravoltas, recebendo maior atenção somente após a entrada em vigor da GDPR – General Data Protection Regulation na União Europeia, que estabeleceu um novo nível de exigências nas práticas de tratamento de dados pessoais. O principal motivo desta forte influência no nosso projeto de lei, que até então evoluía de forma lenta, foi a aplicação extraterritorial que impactou as atividades de multinacionais em todo o mundo todo.
Mas o regulamento europeu de proteção de dados representou bem mais que um “empurrãozinho” para a concretização da LGPD. A redação da lei brasileira foi completamente inspirada na GDPR e traz em si uma semelhança considerável.
A Lei Geral de Proteção de Dados traz 10 hipóteses que tornam o tratamento de dados lícito; o consentimento é apenas uma delas. O art. 7.º traz as seguintes possibilidades:
- Mediante o fornecimento de consentimento pelo titular (deve atender a uma finalidade específica e pode ser retirado a qualquer momento).
- Para o cumprimento de obrigação legal ou regulatória pelo controlador.
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas (por meio da previsão legal ou contratual).
- Para a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais).
- Quando necessário para a execução de contrato ou de procedimentos relacionados a contrato do qual o titular seja parte (caso solicitado).
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
- Para a proteção da vida ou da integridade física (do titular ou de terceiro).
- Para a tutela da saúde (em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias).
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (devendo observar se os interesses são razoáveis e como eles afetam os direitos e liberdades fundamentais do titular).
- Para a proteção do crédito.
Das 10 hipóteses de legalidade[1] mencionadas acima, a única diferença entre as duas legislações está na possibilidade de tratamento de dados pessoais com a finalidade de proteção de crédito[2], trazida exclusivamente pela LGPD. Quanto aos demais dispositivos, falamos das mesmas hipóteses da GDPR, onde talvez algumas palavras se mostrem um pouco diferentes.
De forma geral, a lei brasileira segue o mesmo padrão em todo o seu texto. Eventualmente, a LGPD é mais permissiva ou menos detalhada. A GDPR tem um maior cuidado com as definições e até a presença de “rols exemplificativos”, já a LGPD traz definições mais breves e menos minuciosas.
Portanto, estar em compliance com a GDPR, de forma geral, significa estar em compliance com a LGPD. Porém, nem sempre o contrário é válido e é preciso um cuidado especial com isso.
Como já mencionamos, a nossa lei se mostra consideravelmente mais permissiva e deixa algumas questões em aberto – por exemplo o prazo para notificar a autoridade: a LGPD estabelece apenas que a comunicação deve ser feita em “prazo razoável”[3], enquanto a GDPR estipula exatas 72 horas[4]. Algumas previsões da GDPR sequer são equivalentes na nossa legislação (infelizmente).
Assim, ainda que o ideal seja uma adequação com “check” nas duas legislações, é interessante considerar o seguinte: se a empresa irá iniciar a sua adequação do zero e o seu modelo de negócio se enquadra em ambas legislações, o ideal é começar a implementação do programa de compliance digital pela GDPR.
O que impera é, sem dúvida, uma redação um tanto próxima. Essa compatibilidade entre as legislações traz uma maior tranquilidade para as empresas e pode significar oportunidades de negócios internacionais de transferência de dados, bem como uma aproximação importantíssima com a União Europeia.
Neste sentido, vale lembrar que a Comissão Europeia estabeleceu que as transferências internacionais de dados só podem ser feitas para países que ofereçam um nível adequado de proteção de dados. Até o presente momento, menos de 15 países estão nesta lista.
Termos as mesmas hipóteses de legalidade é algo que facilita, consideravelmente, a adaptação das atividades empresariais, sem a necessidade de alterar absurdamente a oferta de produtos e serviços entre os clientes de ambos continentes.
Aqui, colocamos que a LGPD pode ser transformada em uma vantagem competitiva e que a sua chegada deve colocar o Brasil no cenário da economia digital mundial.
[1] Artigo 7º e seus respectivos incisos.
[2] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: […] X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
[3] Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional […].
[4] Article 33.
Notification of a personal data breach to the supervisory authority
1- “In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay”.
Advogada em proteção de dados/senior data protection analyst no Banco Safra. Graduada em Direito pela Faculdade de Direito de São Bernardo do Campo (FDSBC) e certificada em Financial Markets pela Yale University. Palestrante convidada na EACH-USP e na FDSBC. ISO/IEC 27001 (Information Security) certified. Coautora do capítulo “Regulation of Personal Data Processing” na International Encyclopaedia of Laws (IEL) for Cyber Law. Professora na Associação Brasileira de Propriedade Intelectual (ABPI) e na Privacy Academy.
