GDPR e LGPD: entenda quais são as diferenças entre eles

Privacidade, dados pessoais, segurança da informação, proteção do usuário. Alguns desses termos devem ser bastante familiares para você, não é mesmo? Eles têm se tornado cada vez mais evidentes nos últimos anos, com a transformação digital, e ganham maior importância diante da promulgação das legislações nacionais e mundiais sobre o tema.

Sobre esse assunto, há duas legislações principais que devem ser observadas: a europeia GDPR e LGPD (brasileira). Você já ouviu falar sobre elas? Sabe quais são seus principais pontos de semelhança e diferenças? Continue lendo nosso artigo e saiba mais sobre o tema.

O que é o GDPR?

O GDPR (General Data Protection Regulation) é a legislação implementada na União Europeia acerca do uso de dados pessoais por parte das empresas e governo, para garantir a proteção do usuário comum no que concerne a direitos individuais, como privacidade. É considerada um exemplo em todo o mundo, servindo de base para a criação de outras legislações semelhantes, incluindo a brasileira.

O que é a LGPD?

A LGPD é a Lei Geral de Proteção de Dados Pessoais, responsável por nortear e regulamentar o uso dos dados pelas organizações e governo em território nacional, bem como indicar quais são os direitos da população civil quanto a esse tema. Ela entra em vigor em agosto de 2020. Seus dispositivos são baseados no Regulamento Geral de Proteção de Dados (GDPR).

Quais as principais comparações entre as duas legislações?

As duas legislações têm pontos em comum e de divergência, que merecem atenção por parte dos diretores das organizações. Veja os principais pontos a seguir.

Histórico

O GDPR surge, em 2018, em um contexto no qual se amplia a discussão dos limites dos usos de dados pessoais em todo o mundo, principalmente após escândalos sobre o tema (como o caso Snowden). O Brasil é, atualmente, o maior mercado de internet na América Latina e, diante disso, já vinha trabalhando algumas questões de regulamentação, mas ainda de forma pontual.

Diante de todo o contexto internacional de discussões sobre privacidade e o uso de dados pessoais, a LGPD foi sancionada em 2018, com apoio de especialistas técnicos e entidades da sociedade civil, junto aos legisladores. A semelhança com a legislação europeia deve-se ao fato, também, de facilitar um acordo de adequação com a União Europeia. Sendo assim, poderia ocorrer, com maior praticidade, um acordo de fluxo livre de dados entre as partes.

Consentimento do usuário

Um ponto importante da LGPD e que também está presente na GDPR é a necessidade do consentimento do usuário para a obtenção dos dados. O titular dos dados tem o direito de saber exatamente quais são os pontos que são recolhidos e de que forma eles realmente são necessários para as atividades da empresa.

Aqui, ainda, temos um ponto importante: a organização precisa justificar que as informações coletadas são, de fato, necessárias para o core business da empresa. Caso contrário, ela não tem direito de obtê-los. Por exemplo, uma empresa da área bancária não tem motivos para recolher informações sobre a saúde do usuário. Por isso, essa coleta não pode ser realizada, a não ser que tenha uma justificativa plausível para esse fim.

Direitos dos titulares dos dados

Outro ponto de convergência entre as legislações diz respeito aos direitos dos titulares de dados pessoais. Segundo a lei nacional, os titulares têm 9 direitos fundamentais:

  • confirmação da existência do tratamento dos dados;
  • acesso aos dados coletados sobre si;
  • correção de possíveis dados incompletos, inexatos ou falhos sobre si;
  • anonimização, bloqueio ou eliminação dos dados desnecessários para a empresa;
  • portabilidade dos dados coletados para outros fornecedores de serviços ou produtos, diante de requisição expressa feita pelo usuário;
  • eliminação dos dados pessoais, segundo o consentimento do usuário;
  • saber quais foram as entidades públicas e privadas que o controlador dividiu os dados coletados;
  • saber que ele tem o direito a não consentir o fornecimento de dados pessoais e as possíveis consequências da negativa;
  • poder revogar o consentimento dado, em qualquer momento.

Uso dos dados sensíveis

A LGPD define o que são dados sensíveis, como uma espécie de subcategoria dos dados pessoais. São considerados assim aqueles que dizem respeito a:

  • origem racial ou étnica;
  • crença religiosa;
  • opinião política;
  • associação sindical ou religiosa;
  • filosófica;
  • relacionada a organização política;
  • dados relativos à saúde ou vida sexual do usuário;
  • dados biométricos.

O uso, nesses casos, é limitado e regulamentado, pois podem ser utilizados para fins de discriminação ou favorecimento indevido em alguns casos. Quando são liberados para uso (por exemplo, para pesquisas científicas), deve-se garantir a anonimização das informações. Na Europa não se pode realizar tratamento de dados sensíveis, salvo apenas algumas exceções.

Multas e sanções

A GDPR é mais rígida em suas punições, se compararmos com a LGPD. Na Europa, as empresas que cometerem violações graves, podem pagar até 20 milhões de euros ou 4% da sua receita global anual, valendo o maior valor. Já a LGPD determina que a multa máxima não poderá ultrapassar 2% do faturamento da pessoa jurídica ou, então, R$50 milhões de reais por infração (em comparação, atualmente, é aproximadamente 11 milhões de euros).

Quebras de sigilo

Ambas as legislações orientam que as empresas ou órgãos governamentais notifiquem o usuário sobre a quebra de sigilo de dados à autoridade nacional de proteção de dados. Ou seja, em caso de problemas, como roubos e vazamento de dados, a autoridade deverá ser notificada, mesmo que ainda não esteja especificado o prazo máximo para isso.

Para tanto, é fundamental que os gestores incluam questões sobre o tema em sua gestão de riscos, para saber como proceder em caso de problemas e minimizar possíveis questões que possam levar a vazamentos ou roubo de informações.

Qual a importância de as empresas cumprirem o disposto legal?

Todas as organizações nacionais e as internacionais que atuem, em alguma medida, em território nacional, estão sob a jurisdição da LGPD. Ou seja, se o seu negócio ainda não se dedicou a realizar a adequação necessária aos dispostos legais, é hora de começar a investir nisso, já que ela passará a entrar em vigor em agosto de 2020.

O mesmo cuidado vale para a GDPR. Todas as organizações que atuem, em alguma medida, em países da União Europeia precisam estar atentas para cumprir todas as regras estabelecidas, mesmo que não estejam sediadas no país, sendo necessário considerar esse ponto na gestão de dados.

Em caso de problemas, elas poderão estar sujeitas às sanções definidas pelas respectivas leis, o que, como mostramos, são valores altos e podem comprometer o funcionamento do negócio.

GDPR e LGPD são legislações importantes que estão de acordo com os dispositivos legais sobre um tema tão importante para os dias atuais: privacidade e proteção de dados. A própria adequação à legislação pode auxiliar a melhorar as rotinas internas em seu setor de TI (por exemplo, maior investimento em segurança de dados, adesão ao compliance e melhora da governança corporativa.

Gostou deste conteúdo? Então, compartilhe em suas redes sociais e mostre a importância desse tema para outros colegas da área.