GDPR e LGPD: entenda quais são as diferenças entre eles
Privacidade, preservação de dados pessoais, segurança da informação, proteção do usuário. Esses termos devem ser bastante familiares, não é mesmo? Tais conceitos ganharam evidência nos últimos anos, com a transformação digital, e conquistaram maior importância diante da promulgação de leis na Europa e no Brasil (respectivamente, GDPR e LGPD) sobre o tema.
A General Data Protection Regulation (GDPR) é a legislação vigente nos países europeus, na qual a Lei Geral de Proteção de Dados Pessoais (LGPD) se inspirou. Você já ouviu falar sobre elas? Sabe quais são seus pontos de semelhança e diferenças? Principalmente, conhece os seus direitos e deveres relativos à privacidade, tanto de seus dados quanto de terceiros?
Vale destacar que o respeito às regras estabelecidas pela LGPD é fundamental, uma vez que a legislação já foi sancionada no Brasil, em setembro de 2020.
Continue lendo nosso artigo e saiba mais sobre o tema!
Entenda o que é a GDPR
A GDPR é a legislação implementada na União Europeia acerca do uso de dados pessoais por parte das empresas e do governo, para garantir a proteção dos usuários no que concerne a direitos individuais, como privacidade. É considerada um exemplo em todo o mundo, servindo de base para a criação de outras leis semelhantes, incluindo a brasileira.
A lei europeia, que estabelece várias regras para preservar a segurança dos dados, foi implementada em maio de 2018. Depois disso, as empresas passaram a ter que tratar os dados de seus clientes de forma mais transparente. Da mesma maneira, os consumidores se conscientizarem de que suas informações pessoais têm valor.
Por esse motivo, as empresas precisam do consentimento para usar dados privados. A violação das regras estabelecidas pela GDPR pode levar à aplicação de multas de até 20 milhões de euros ou 4% do volume anual de negócios da empresa infratora.
Saiba mais sobre a LGPD
Inspirada na lei europeia, a LGPD é responsável por nortear e regulamentar o uso dos dados pelas empresas — de qualquer porte, desde grandes corporações até microempreendedores individuais (MEIs) — e o governo em todo o território nacional. Ela entrou em vigor em 18 de setembro de 2020, após ter sido sancionada pelo presidente.
A LGPD chegou a ser adiada para maio de 2021, pela Medida Provisória 959/2020, em função da pandemia do novo coronavírus e seus reflexos na economia. Contudo, o artigo que previa o adiamento foi excluído pelo Senado, fazendo com que a vigência realmente fosse a partir de setembro do ano passado. A lei também criou a Autoridade Nacional de Proteção de Dados (ANPD), organismo que deve assegurar o cumprimento das normas e pode aplicar penas às empresas infratoras.
Confira os pontos comuns e as diferenças entre a GDPR e a LGPD
Embora a LGPD tenha sido bastante inspirada na norma europeia, existem diferenças entre as duas legislações. A principal razão é que na Europa a cultura de proteção de dados já existia antes da formalização legal. As empresas já tratavam as informações pessoais de seus clientes de forma adequada e os consumidores, por sua vez, tinham consciência da importância da privacidade.
Com a digitalização crescente de todas as atividades comerciais, os dados dos consumidores são extremamente valiosos para as empresas. Exemplos disso não faltam: as organizações conseguem entender quais produtos têm melhor aceitação em determinadas regiões ou faixas etárias, podem direcionar ações de marketing e, inclusive, precificar suas mercadorias e serviços.
Entretanto, o uso das informações deve ser responsável, com a proteção dos dados e o consentimento do chamado titular, ou seja, a pessoa (física ou jurídica) proprietária das informações.
A seguir, confira os pontos comuns e as diferenças entre a lei brasileira e a europeia.
Histórico das leis de proteção de dados
A GDPR surgiu em 2018, em um contexto no qual a discussão dos limites do uso de dados pessoais acontecia em todo o mundo, principalmente após escândalos sobre o tema (como o caso Snowden).
No Brasil, as discussões sobre a proteção da privacidade já tinham sido debatidas, embora de forma pontual, sem regulamentação. Entretanto, com o crescimento de serviços de e-commerce, maior uso de informações para estratégias de marketing e o início da conscientização dos consumidores, o assunto ganhou força e as regras passaram a ser elaboradas.
Vale destacar que, embora a base da LGPD seja semelhante à GDPR, outras legislações também foram consideradas. Nos Estados Unidos, por exemplo, embora não exista uma lei única para todos os estados, há várias regulamentações que garantem a proteção de dados. Atender a essas regras é essencial para que empresas brasileiras consigam expandir seus negócios para fora do país.
Aliás, a semelhança da LGPD com a legislação da Europa é fundamental para garantir o acordo de adequação com a União Europeia, que é um dos fatores essenciais para que o Brasil passe a integrar a Organização para Cooperação e Desenvolvimento Econômico (OCDE).
Consentimento do usuário
Um ponto importante da LGPD e que também está presente na GDPR é a necessidade do consentimento do usuário para a obtenção dos dados. O titular tem o direito de saber exatamente quais são as informações armazenadas e de que forma elas realmente são necessárias para as atividades da empresa.
Aqui, ainda, temos um ponto importante: a organização precisa justificar que as informações coletadas são, de fato, necessárias para o core business da empresa. Caso contrário, ela não tem direito de obtê-las. Por exemplo, uma companhia da área bancária não tem motivos para recolher informações sobre a saúde do usuário. Por isso, essa coleta não pode ser feita, a não ser que exista uma justificativa para tanto.
No Brasil, muitos titulares ainda não se deram conta de que seus dados são usados de forma inadequada. Ao comprar um medicamento em uma farmácia, por exemplo, é comum que o CPF do consumidor seja solicitado para a obtenção de descontos. Por que apenas com essa informação o desconto é concedido?
O registro serve para que os laboratórios farmacêuticos entendam o comportamento de compra, precifiquem produtos e melhorem a distribuição. O mesmo vale para compras em supermercados, e-commerces e em qualquer outro tipo de comércio, físico ou virtual. Para as empresas, esses informações são bastante valiosas. Contudo, o uso e o armazenamento depende do consentimento do titular, que tem o direito de saber a finalidade e, também, pedir a exclusão de seus dados do sistema, caso assim deseje.
Informações pessoais de crianças e adolescentes
Tanto na GDPR quanto na LGPD, o tratamento de dados de crianças e adolescentes deve ser autorizado por seus pais ou responsáveis legais. De acordo com o artigo 14 da LGPD, as informações poderão ser coletadas sem o consentimento, quando necessárias para a sua proteção ou saúde.
No Brasil e em alguns países integrantes da União Europeia, como Portugal, a partir dos 13 anos o indivíduo pode consentir o uso de seus dados. No entanto, na maior parte da região coberta pela GDPR, a idade mínima é de 16 anos.
Direitos dos titulares dos dados
Outro ponto de convergência entre as legislações diz respeito aos direitos dos titulares de dados pessoais. Segundo a lei nacional, são os seguintes:
- confirmação da existência de tratamento;
- consentimento do uso de informações;
- acesso aos dados coletados;
- correção de possíveis dados incompletos, inexatos ou falhos;
- anonimidade, bloqueio ou eliminação do que for desnecessário para a empresa;
- portabilidade dos dados coletados para outros fornecedores de serviços ou produtos, diante de requisição expressa feita pelo usuário;
- eliminação das informações pessoais, conforme pedido do usuário;
- saber quais foram as entidades públicas e privadas com as quais o controlador dividiu os dados coletados;
- saber que tem o direito a não consentir o fornecimento e as possíveis consequências da negativa;
- poder revogar o consentimento dado, em qualquer momento;
- entender que os gestores ou agentes que coletam e armazenam os dados têm responsabilidade pela sua privacidade.
Definição e uso dos dados sensíveis
A LGPD define o que são dados sensíveis, como uma espécie de subcategoria dos dados pessoais. Na verdade, são informações que podem dar margem a discriminação ou mesmo perseguição:
- origem racial ou étnica;
- crença religiosa;
- opinião política;
- associação sindical ou religiosa;
- participação ou apoio a organização política;
- dados relativos à saúde ou opção sexual do usuário;
- dados biométricos ou genéticos.
O uso das informações consideradas sensíveis é limitado e regulamentado. Quando tais dados são liberados (por exemplo, para pesquisas científicas), deve-se garantir a sua anonimidade. Na Europa, não se pode fazer tratamento de dados sensíveis, salvo apenas algumas exceções.
Multas e sanções
A GDPR é mais rígida em suas punições, se comparada à LGPD. Na Europa, as empresas que cometerem violações graves podem pagar até 20 milhões de euros ou 4% da sua receita global anual, valendo o maior valor. Já a LGPD determina que a multa máxima não poderá ultrapassar 2% do faturamento da pessoa jurídica ou R$50 milhões por infração.
Quebras de sigilo
Ambas legislações orientam que as empresas ou órgãos governamentais notifiquem o usuário sobre a quebra de sigilo à autoridade nacional de proteção de dados. Ou seja, em caso de problemas, como roubos e vazamento de dados, a autoridade deverá ser notificada, mesmo que ainda não esteja especificado o prazo máximo para isso.
Para tanto, é fundamental que os gestores incluam questões sobre o tema em sua gestão de riscos, para saber como proceder em caso de problemas e minimizar possíveis questões que possam levar a vazamento ou roubo de informações.
Descubra a importância de cumprir a legislação
Todas as organizações, nacionais ou internacionais, com atuação no Brasil estão sob a jurisdição da LGPD. Ou seja, se o seu negócio ainda não se adequou aos dispositivos legais, é hora de começar a investir nisso quanto antes.
O atendimento às regras é imprescindível, não apenas para evitar multas, mas também como ferramenta para garantir a confiança do cliente. Empresas que permitem que seus consumidores sejam protagonistas de suas informações conquistam sua confiança e se destacam no mercado.
Para tanto, é fundamental investir em tecnologias que preservem os dados e garantam o seu sigilo, instituindo políticas de proteção claras e de fácil entendimento por parte dos usuários. O mesmo cuidado vale para empresas que mantêm negócios com países europeus.
As regras estabelecidas pela GDPR devem ser atendidas, mesmo que a organização não esteja sediada na União Europeia, sendo necessário considerar esse ponto na gestão de dados. Em caso de problemas, as organizações ficam sujeitas às sanções definidas pelas respectivas leis, além de perderem a credibilidade perante seus clientes.
Como é possível perceber, a GDPR e a LGPD são legislações fundamentais para garantir a privacidade e a proteção dos dados, além da competitividade da empresa. Além disso, a adequação auxilia na melhoria das rotinas internas em seu setor de TI (por exemplo, maior investimento em segurança de dados, adesão ao compliance e governança corporativa).
Gostou de saber mais sobre a importância das leis de privacidade? Para ficar por dentro de outras dicas para seu negócio e se destacar no mercado, siga nossas redes sociais! Estamos no Facebook, Instagram, YouTube e LinkedIn!