Lei Geral de Proteção de Dados (LGPD), instituída pela Lei nº 13.709/2018, entrou em vigor em 18 de setembro de 2020 e as sanções administrativas vigoram desde 1º de agosto de 2021.

Apesar disso, ainda há dúvidas sobre quem fiscaliza, sobre os prazos, dentre outras. A seguir apresentamos estas questões a fim de auxiliar as instituições a se adequarem à LGPD.

Origem da LGPD
A LGPD teve origem no Projeto de Lei da Câmara nº 53/2018, aprovado por unanimidade e em regime de urgência pelo Plenário do Senado em julho de 2018. O texto se aplica até mesmo a empresas com sede no exterior, desde que a operação de tratamento de dados seja realizada em território nacional.

A aprovação da LGPD inclui o Brasil no grupo de países que têm uma lei específica para proteção de dados. Além de útil para a relação com mercados internacionais, isso estimula investimentos e a ampliação dos negócios e relacionamentos globais.

Órgão fiscalizador da LGPD no Brasil
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.

LGPD e GDPR
Por sua vez, o Regulamento Geral sobre a Proteção de Dados (GDPR – sigla em inglês), Regulamento n. 2016/679, de 27 de abril de 2016, está em vigor desde 2018 e disciplina a proteção de dados na União Europeia, sendo também aplicável a todos os indivíduos integrantes do Espaço Econômico Europeu.

Tanto a LGPD quanto o GDPR regulamentam a segurança e a proteção de dados pessoais utilizados por corporações e organizações governamentais. Apesar de a LGPD ter sido criada tendo por base o GDPR, tendo ambos finalidades semelhantes, há pontos importantes e algumas diferenças entre elas.

De modo geral, se a empresa já atende às exigências contidas no GDPR, não terá dificuldades para atender à LGPD. O oposto também é válido.

De modo geral, se a empresa já atende às exigências contidas no GDPR, não terá dificuldades para atender à LGPD. O oposto também é válido.

Comparativo entre a LGPD e o GDPR:

  • Aplicação

a) LGPD (Brasil)
Provoca efeitos internacionais em dados que sejam tratados fora do Brasil se a coleta tiver ocorrido em território nacional, por oferta de produto ou serviço para indivíduo no território nacional, ou se esta oferta estiver no Brasil.

b) GDPR (União Europeia)
Aplica-se somente ao território da União Europeia, mas, como a LGPD, também provoca efeitos internacionais se a coleta de dados pessoais tiver ocorrido naquele território, mesmo que o tratamento seja efetuado fora da União Europeia.

  • Multas por descumprimento da lei

a) LGPD (Brasil) – Art. 52

A multa é de até 2% da receita da empresa no ano anterior, limitada a R$ 50 milhões (aproximadamente EUR 11 milhões) por infração.

b) GDPR (União Europeia) – Art. 83
Limita as multas a EUR 20 milhões ou a até 4% do volume de negócios da empresa no ano anterior.

  • Tratamento de dados sensíveis

a) LGPD (Brasil) – Art. 11
Estabelece proteção especial aos dados sensíveis. O tratamento poderá ocorrer apenas nas hipóteses previstas em lei, independente do consentimento do titular.

b) GDPR (União Europeia) – Art. 9
Proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções.

  • Políticas de proteção de dados

a) LGPD (Brasil) – Art. 50
A lei brasileira trata a implementação de programa de governança e privacidade como função dos controladores de dados.

b) GDPR (União Europeia) – Art. 24, §2º
Atribui aos controladores de dados a obrigação de adotar medidas técnicas e administrativas adequadas para assegurar o comprimento da legislação.

  • Representantes

a) LGPD (Brasil) – Art. 61
Prevê que a empresa estrangeira será notificada e intimada na pessoa do agente representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.

b) GDPR (União Europeia) – Art. 27
A figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.

  • Responsabilização dos agentes

a) LGPD (Brasil) – Art. 42 e seguintes
Existem três hipóteses em que o controlador/operador não é responsabilizado:

  1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
  2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação,
  3. Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

b) GDPR (União Europeia) – Art. 82
Existem duas hipóteses em que o controlador ou operador não é responsabilizado:

  1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
  2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação.

Marketing direto

a) LGPD (Brasil) – Art. 61
Aplicam-se as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.

b) GDPR (União Europeia) – Art. 21
O titular dos dados tem que dar o seu consentimento de forma explícita e tem ainda o direito de se opor, a qualquer momento, ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.

Relação entre controlador e operador

a) LGPD (Brasil) – Art. 39
O operador deverá realizar o tratamento de dados conforme a instrução do controlador. Não há exigência de formalização por meio de contrato.

b) GDPR (União Europeia) – Art. 28
Prevê que o tratamento de dados realizado por operador tem que ter autorização, prévia e por escrito, que vincule o controlador ao operador.

Relatório de Impacto

a) LGPD (Brasil) – Art.38
Não foram especificadas em quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, delegando a uma regulamentação posterior o tratamento desta matéria.

b) GDPR (União Europeia) – Art.25
Está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais quando o tratamento resultar em um elevado risco para o direito e à liberdade das pessoas. A GDPR detalha o que deverá ser abordado neste relatório.

Transferência internacional de dados

a) LGPD (Brasil) – Art. 33 e seguintes
Permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto.

b) GDPR (União Europeia) – Art. 44 e seguintes
Alega que a transferência internacional dos dados pode ser realizada independente de autorização específica desde que a comissão europeia reconheça que o país terceiro assegure um nível de proteção adequado.

Caso contrário, a transferência internacional estará condicionada a garantias adequadas que devem ser asseguradas pelo agente.

Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.

Tratamento de dados de menores

a) LGPD (Brasil) – Art. 14
A todos os menores de 18 anos é necessário que o consentimento seja dado pelos pais ou responsáveis.

b) GDPR (União Europeia) – Art. 8
Para o caso de menores de 16 anos, o consentimento deve ser dado pelos pais.

Saiba mais sobre as legislações e obrigações aplicáveis à sua empresa por meio de nosso serviço Siawise com o âmbito de Proteção de Pessoas e Dados.