Diferença entre LGPD e GDPR?

Com a LGPD, o Brasil se propõe a harmonizar uma infinidade de estatutos em um conjunto unificado de padrões. Ele fortalece os direitos de privacidade de dados dos cidadãos brasileiros por meio de controles mais rígidos sobre como as empresas podem armazenar e processar dados pessoais.

Ele também foi projetado para promover as práticas recomendadas de privacidade e ajudar as empresas a alavancar a conformidade como uma oportunidade de gerar mais receita. Além disso, libera a concorrência ao permitir que empresas privadas processem dados pessoais para uso pelo setor público.

Embora menos extensa do que as regulamentações europeias, a LGPD visa atingir os mesmos objetivos de privacidade. Como resultado, as duas leis são notavelmente semelhantes, compartilhando um foco comum em responsabilidade, segurança, minimização de dados, limitação de propósito e privacidade desde o projeto.

Abaixo iremos mostrar alguns pontos referente as duas versões.

Em relação ao âmbito territorial de cada lei, o LGPD e o GDPR seguem o mesmo princípio básico. Ou seja, eles se aplicam a qualquer organização que armazene ou processe dados pessoais sobre os cidadãos na jurisdição territorial que cobrem, independentemente de onde eles estejam localizados no mundo.

Em outras palavras, onde quer que você esteja, se sua empresa oferece bens e serviços para o mercado brasileiro, você precisará adotar medidas para cumprir o LGPD.

Enquanto o GDPR é muito específico sobre o que constitui dados pessoais, no LGPD ele é bem menos definido. No entanto, isso pode mudar no futuro, à medida que a lei entrar no uso diário.

Por outro lado, a LGPD espelha o GDPR ao designar certos tipos de informações, como as relativas à origem racial ou étnica, saúde ou filiação sindical de um indivíduo, como dados pessoais confidenciais, onde regras especiais se aplicam.

Tal como acontece com o GDPR, o LGPD estabelece uma lista de motivos legais para o processamento de dados pessoais. Esses são amplamente semelhantes, como para cumprir uma obrigação legal ou contratual ou quando o indivíduo deu consentimento para que você processe seus dados pessoais para uma finalidade específica.

No entanto, com a LGPD, o Brasil permite explicitamente base legal para o uso de dados pessoais que não são diretamente cobertos pelo GDPR: processar os dados pessoais de alguém com o objetivo de proteger sua pontuação de crédito. No entanto, na maioria dos casos, o GDPR ainda interpretaria isso como uma base apropriada para o processamento, com o fundamento de que é do interesse legítimo do consumidor.

Tanto para a Europa quanto para o Brasil, a lei de privacidade de dados envolve segurança de dados. De acordo com o LGPD e o GDPR, você deve implementar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, divulgação, alteração ou destruição.

O órgão brasileiro responsável por fazer cumprir a proteção de dados, a Autoridade Nacional de Proteção de Dados (ANPD), tem a tarefa de fornecer orientações mais detalhadas sobre os padrões técnicos mínimos que você deverá adotar.

O GDPR não especifica diretamente as medidas de segurança que você deve adotar. No entanto, as agências nacionais de fiscalização, como o Information Commissioner’s Office (ICO) no Reino Unido, oferecem, cada uma, um amplo guia para cumprir suas obrigações de segurança.

A LGPD segue a mesma linha do GDPR ao proibir a transferência de dados pessoais para fora do território brasileiro, exceto em certas circunstâncias ou para países que oferecem um forte nível regulatório de proteção de dados.

Isso pode ter implicações na residência de dados para empresas sediadas nos Estados Unidos, que atualmente seguem uma abordagem de colcha de retalhos de regulamentações de proteção de dados de cada estado, em vez de uma estrutura jurídica nacional unificada.

Ambas as leis concedem essencialmente aos titulares dos dados os mesmos direitos básicos. Por exemplo:

Consentimento: você só pode processar e armazenar dados sobre um indivíduo brasileiro com seu consentimento, que pode ser revogado a qualquer momento.

Solicitações de acesso de titulares de dados (DSARs): A LGPD concede aos brasileiros os mesmos direitos fundamentais de acesso, incluindo direito de correção e direito de apagamento, que o GDPR concede aos cidadãos da UE.

No entanto, de acordo com o LGPD, você deve responder a um DSAR dentro de 15 dias. Isso pode significar que você precisará melhorar seus procedimentos de resposta do DSAR, pois é um período significativamente mais curto do que o mês permitido pelo GDPR. Cumprir esse tipo de prazo apertado dependerá muito de sua capacidade de automatizar seus relatórios DSAR.

Considerando que o GDPR aplica regras estritas ao marketing por e-mail e mensagens de texto, é uma área não diretamente coberta pelo LGPD.

No entanto, como acontece com o GDPR, ainda faz sentido buscar a aprovação de um indivíduo para receber e-mails de marketing e mensagens de texto, pois essa atividade provavelmente constituirá uma forma de processamento de dados que requer consentimento.

A abordagem LGPD para obter consentimento é muito semelhante à do GDPR. De acordo com a LGPD, o consentimento do cliente deve ser específico, informado, inequívoco e dado livremente. Em outras palavras, você deve ser sincero sobre o que exatamente uma pessoa está consentindo e dar a ela um controle proativo sobre como você usa seus dados.

Essas são algumas comparações entre a LGPD brasileira e a europeia. Podemos ver que a europeia foi implementada há bem mais tempo do que a brasileira, mas podemos ver que elas são bem parecidas. Tem alguma dúvida sobre a LGPD? Sua empresa já está se adequando?

Entre em contato com a CCM para uma consultoria!