Com a evolução continua da tecnologia e a expansão da economia digital, cidadãos e governos de todo mundo passaram a adotar mudanças legais em relação ao modo como os dados pessoais são armazenados.
A LGPD (Lei Geral de Proteção de Dados) do Brasil e o GDPR (General Data Protection Regulation) da União Europeia exemplificam bem essa necessidade de alteração do ambiente legal em relação aos dados, já que muitas das leis de privacidade atuais estão desatualizadas e não funcionam corretamente para lidar com as grandes quantidades de dados pessoais digitais que estão sendo armazenados atualmente.
VEJA TAMBÉM: LGPD: Tramitação, consequências e riscos
Lei Geral de Proteção de Dados (LGPD)
Após um longo período de incertezas, partir do dia 01 de agosto, a Autoridade Nacional de Proteção de Dados (ANPD) poderá fiscalizar e aplicar punições a empresas e órgãos públicos que infringirem a Lei Geral de Proteção de Dados (LGPD).
A LGPD é a primeira lei brasileira a oferecer uma estrutura abrangente que regula o uso e o processamento de todos os dados pessoais. A lei define “dados pessoais” como “informações sobre uma pessoa física identificada ou identificável”. Dados pessoais confidenciais no LGPD são semelhantes ao GDPR, mas também incluem informações sobre afiliações religiosas e filosóficas.
General Data Protection Regulation (GDPR)
O GDPR foi aprovado oficialmente em 25 de maio de 2018, substituindo a Diretiva de Proteção de Dados aprovada em 1995. Agora, cada um dos 28 países da União Europeia deve seguir os regulamentos, ao contrário da Diretiva de Proteção de Dados, que permitia mais flexibilidade, dependendo da situação dentro de cada nação.
A razão para a substituição da diretiva foi que ela não foi escrita para o atual estágio digital e muitos de seus regulamentos não abordavam de forma efetiva como os dados são coletados e armazenados no contexto atual.
Diferentemente da definição brasileira de “dados pessoais”, a União Europeia os define como “qualquer informação relativa a uma pessoa física identificada ou identificável (titular dos dados); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, nomeadamente em referência a um identificador ”.
O GDPR difere da LGPD porque cita exemplos de dados pessoais e os divide em “categorias especiais de dados pessoais”, que incluem informações sobre opiniões políticas, saúde pessoal, antecedentes raciais ou étnicos, dados biométricos e dados genéticos.
Semelhanças e diferenças entre LGPD e GDPR
É importante destacar que a LGPD e o GDPR têm muito mais semelhanças do que diferenças. Isso porque o texto da LGPD foi inspirado no do GDPR. Confira um comparativo dos trechos mais importantes:
Tratamento de dados sensíveis
LGPD (Brasil) – Art 11, II, ‘b’ e ‘g’
Estabelece proteção especial aos dados sensíveis. O tratamento poderá ocorrer apenas nas hipóteses previstas na lei, independente do consentimento do titular.
GDPR (União Europeia) – Art 9, §2º, ‘d’ e ‘e’
Proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções.
Tratamento de dados de menores
LGPD (Brasil) – Art 14, §1º
A todos os menores de 18 anos, é necessário que o consentimento seja dado pelos pais ou responsáveis.
GDPR (União Europeia) – Art 8, §1º
Aceita o consentimento dado por crianças, desde que tenham pelo menos 16 anos. Para o caso de menores de 16 anos, o consentimento deve ser dado pelos pais.
Políticas de proteção de dados
LGPD (Brasil) – Art 50
A lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados.
GDPR (União Europeia) – Art 24, §2º
Atribui aos controladores de dados a obrigação de adotar medidas técnicas e administrativas adequadas para assegurar o comprimento da legislação.
Representantes
LGPD (Brasil) – Art 61
Prevê que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.
GDPR (União Europeia) – Art 27
A figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.
Responsabilização dos agentes
LGPD (Brasil) – Art 42 e seguintes
Existem três hipóteses em que o controlador/operador não é responsabilizado: 1 - Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados; 2 - Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação, 3- Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
GDPR (União Europeia) – Art 82
Existem duas hipóteses em que o controlador ou operador não é responsabilizado: 1 - Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados; 2 - Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação.
Marketing direto
LGPD (Brasil) – Art 61
Aplicam-se as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.
GDPR (União Europeia) – Art 21
O titular dos dados tem o direito de se opor a qualquer momento ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.
Relação Entre Controlador e Operador
LGPD (Brasil) – Art 39
O operador deverá realizar o tratamento de dados conforme a instrução do controlador. Não há exigência de formalização por meio de contrato.
GDPR (União Europeia) – Art 28 §3º
Prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.
Relatório de Impacto
LGPD (Brasil) – Art 38
Não foram especificadas em quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, delegando a uma regulamentação posterior o tratamento desta matéria.
GDPR (União Europeia) – Art 25
Está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. A GDPR traz ainda uma detalhada descrição do que deve ser abordado neste relatório.
Transferência Internacional de Dados
LGPD (Brasil) – Art 33 e seguintes
Permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto. A lei é breve quanto a este procedimento e elementos a serem considerados como adequados. A LGPD estabelece apenas diretrizes genéricas a serem observadas pelas autoridades nacionais.
GDPR (União Europeia) – Art 44 e seguintes
Alega que a transferência internacional dos dados pode ser realizada independente de autorização específica caso a comissão europeia reconheça que o país terceiro assegure um nível de proteção adequado. Caso não, a transferência internacional estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente. Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.
SAIBA MAIS: LGPD: Sanções e multas que podem chegar a R$ 50 milhões começam a ser aplicadas esse mês
Multas e Punições
O GDPR e a LGDP têm penalidades para as empresas que não seguirem os regulamentos, mas as sanções sob cada lei são diferentes. Para o GDPR, dependendo da gravidade da violação, a penalidade monetária pode ser 2% da receita global do grupo ou 10 milhões de euros, o que for maior.
Na LGPD, as penalidades vão de advertências até pagamentos iguais a 2% do faturamento (limitados a R$ 50 milhões). A ANPD também pode proibir que essas empresas e órgãos públicos mantenham atividades relacionadas ao tratamento de dados.
Fontes: Identity Review e Milvus
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
