Em um mundo cada vez mais digital, a proteção de dados pessoais tornou-se uma preocupação global, dando origem a regulamentos como a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia.
Apesar de terem o mesmo objetivo fundamental – proteger a privacidade e os dados pessoais dos indivíduos –, essas legislações apresentam diferenças significativas em seus escopos, aplicações e penalidades.
Este artigo explora essas diferenças para ajudar a compreender como cada lei opera dentro de seus respectivos territórios. Confira!
LGPD e GDPR: o que são?
A GDPR foi implementada dia 25 de maio de 2018. É uma regulamentação da União Europeia que se aplica a todas as empresas que processam dados pessoais de residentes da UE, independente de onde a empresa esteja localizada.
Seu escopo global revolucionou a forma como os dados pessoais são tratados fora e dentro da UE, estabelecendo padrões rigorosos para a coleta, uso e gerenciamento de informações pessoais.
A LGPD foi sancionada em agosto de 2018 no Brasil e entrou em vigor em setembro de 2020. Inspirada pelo GDPR, aplica-se a qualquer operação de tratamento de dados pessoais realizada por pessoa física ou jurídica, de direito público ou privado, independente do meio, do país de sua sede ou do país onde os dados estejam localizados, desde que a operação de tratamento seja realizada no território nacional, o dado tenha sido coletado no território nacional, ou que tenha por objetivo oferecer bens ou serviços a indivíduos localizados no território nacional.
Definição dos dados sensíveis
A LGPD é genérica na definição de dados sensíveis, porque não detalha o que são. Já na GDPR, a lei é mais minuciosa. Ela define os dados sensíveis como:
-
dados de saúde;
-
dados genéticos;
-
dados biométricos;
É importante ressaltar que os dados sensíveis precisam de um cuidado maior, porque evidenciam características reveladoras dos seus titulares e que podem levar à discriminação, por exemplo.
Base legal para o processamento de dados
Tanto a GDPR quanto a LGPD estabelecem bases legais específicas para o processamento de dados, incluindo o consentimento do titular dos dados, a necessidade de cumprir com uma obrigação legal, a proteção do interesse vital do titular ou de outra pessoa natural, entre outros.
A LGPD, assim como a GDPR, enfatiza a importância do consentimento explícito para categorias especiais de dados, mas também introduz conceitos como o “uso compartilhado de dados” para execução de políticas públicas ou a realização de estudos por órgão de pesquisa, mostrando uma adaptação às necessidades específicas do contexto brasileiro.
Relação entre Controlador, Operador de dados e DPO
Segundo a LGPD, o Operador deve conduzir o tratamento de dados de acordo com as orientações fornecidas pelo Controlador. De acordo com a GDPR, há a necessidade de um contrato entre o Controlador e o Operador de Dados, deixando explícito o tratamento dos dados.
A LGPD requer que o Controlador de Dados Pessoais designe um Encarregado de Dados (DPO), exceto no caso de pequenas empresas e startups, em que o cargo é opcional. Já a GDPR estabelece que tanto o Controlador quanto o Operador de dados pessoais, de empresas que trabalham diretamente com processamento de dados em larga escala, devem designar um Encarregado de Dados. A GDPR explicita quando os Encarregados de Proteção de Dados não são obrigatórios.
Notificação sobre quebra de sigilo
Em caso de quebra de sigilo, a LGPD prevê a necessidade de notificação à autoridade de proteção de dados, sem prazo definido. No entanto, a GDPR exige que a notificação seja feita em até 72 horas.
Como é o tratamento de dados de crianças e adolescentes?
Para os dados pessoais de crianças e adolescentes, é necessário para o tratamento ter o consentimento de um representante legal para menores de 18 anos, de acordo com a LGPD e de 16 anos, segundo a GDPR.
A GDPR também explicita que os países da União Europeia podem prever por lei uma idade inferior, mas não pode ser menor do que 13 anos.
Quais são os órgãos responsáveis pela fiscalização das leis?
A implementação e fiscalização da GDPR é feita pelas Autoridades de Proteção de Dados (DPAs) em cada estado-membro da UE, o que promove uma certa variabilidade na aplicação da lei.
A LGPD criou a Autoridade Nacional de Proteção de Dados (ANPD), um órgão centralizado responsável por fiscalizar e aplicar a lei no Brasil, facilitando uma aplicação mais uniforme, de acordo com o Artigo 55.
Quais são as penalidades por descumprimento da GDPR e da LGPD?
Um dos aspectos mais comentados do GDPR são suas penalidades severas por não conformidade, que podem chegar a 20 milhões de euros ou 4% do faturamento global anual de uma empresa, prevalecendo o valor mais alto.
A LGPD também estabelece multas, que podem chegar a 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração.
Apesar das duas legislações definirem multas pesadas, a GDPR é mais rigorosa nesse aspecto.
Conclusão
Enquanto o GDPR serviu de inspiração para a LGPD, cada lei foi desenvolvida dentro de contextos regulatórios e culturais distintos, levando a diferenças nas suas aplicações práticas e requisitos específicos. Ambas as legislações compartilham o objetivo comum de proteger os dados pessoais e a privacidade dos indivíduos, refletindo uma tendência global de maior conscientização e controle sobre informações pessoais na era digital.
A compreensão dessas diferenças é fundamental para empresas e organizações que operam internacionalmente, garantindo a conformidade e a proteção efetiva dos direitos dos indivíduos em diferentes jurisdições.
Como a ManageEngine pode te ajudar a atender os requisitos da LGPD?
Contamos com algumas soluções para que sua empresa se adeque às leis de proteção de dados. As duas principais são:
DataSecurity Plus
O DataSecurity Plus é uma solução de segurança e visibilidade que oferece descobrimento de dados, análise de armazenamento de arquivos e auditoria, alertas e relatórios em tempo real do servidor de arquivos do Windows. Ele também ajuda a atender a vários requisitos de conformidade e gera alertas instantâneos de e-mail definidos pelo usuário, enquanto realiza respostas pré-definidas automáticas quando potenciais ameaças de segurança ocorrem.
É uma opção que oferece segurança total para todos os dados coletados e armazenados, além de manter um controle de quem está acessando-os para evitar qualquer tipo de violação possível de dados.
Endpoint DLP Plus
O Endpoint DLP Plus protege os dados confidenciais em dispositivos de endpoint gerenciados contra divulgação e roubo de dados, aproveitando estratégias avançadas de prevenção de perda, que incluem a detecção e classificação de dados, bem como a definição de regras para uso autorizado e transmissão segura.
Ficou com alguma dúvida? Entre em contato pelo e-mail latam-sales@manageengine.com. Nossa equipe está pronta para te ajudar!
