O intuito deste artigo é demonstrar as principais diferenças entre as duas legislações, a Lei Geral de Proteção de Dados e o Regulamento Geral de Proteção de Dados.
Essas diferenças já se iniciam na promulgação das duas leis, onde a RGPD, Regulamento de número 2016/679, com sua origem na Europa e a sua promulgação em 25 de Maio de 2018, já a LGPD, Lei de número 13.709/2018, tem sua origem no Brasil com sua gênese em 14 de agosto de 2018, possui efeitos apenas para determinados dispositivos, e atingirá sua plena vigência na futura data de 3 de maio de 2021 (no entanto no dia 26 de agosto de 2020 o Projeto de Lei de Conversão (PLV) 34/2020, que teve origem na Medida Provisória (MP) nº 959/2020 tentando mudar o inicio da vigência dessa lei. Porém, o artigo 4º do texto, que visava adiar o início da vigência da Lei Geral de Proteção de Dados (LGPD) foi removido. O projeto agora segue para sanção presidencial. Com a retirada do artigo 4º do texto, em tese, o adiamento da LGPD já estaria suspenso, voltando a prevalecer o prazo previsto pela lei original, que definia que a LGPD passaria a vigorar no dia 14 de agosto passado. Assim, a lei entraria em vigor imediatamente – essa foi a informação passada inicialmente pelo Senado.
LGDP vs RGPD
| Título | Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709 de 2018 | General Data Protection Regulation (GDPR) – Regulamento 2016/679 | Fundamento Jurídico |
|---|---|---|---|
| QUANTO À ADEQUAÇÃO: A QUEM SE APLICA? | Empresa e órgão público que atua com coleta, armazenamento ou consulta de dados pessoais em território nacional. Art. 3º, incisos I, II e III. Vide: Art. 4º: situações nas quais a LGPD não se aplica, como tratamento de dados pessoais realizados para fins não econômicos por pessoa natural ou utilizados para fins jornalísticos e artísticos. | Empresas e órgãos governamentais que realizam o tratamento de dados pessoais em territórios da União Europeia. Importante frisar que empresas que possuem filiais nos países que compõem a União Européia devem se atentar às duas legislações. | Art.3 º da Lei 13.709/2018 LGPD Art. 2º do Regulamento 2016/679 |
| QUANTO AO TRATAMENTO DE DADOS SENSÍVEIS | Especial proteção aos dados sensíveis, e determinação das hipóteses nas quais o tratamento é permitido (independente do consentimento do titular). | Proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções. | Capítulo 2 da Lei 13.709/2018 Art 9, §2º, ‘d’ e ‘e’ do Regulamento 2016/67 |
| QUANTO AO TRATAMENTO DE DADOS DE MENORES | Menores de 18 anos consentimento deverá ser dado pelos pais ou responsáveis. | Menores de 16 anos consentimento deverá ser dado pelos pais. | Art. 14, §1º da Lei 13.709/2018 |
| QUANTO À POLÍTICA DE PROTEÇÃO DE DADOS | A lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados. | Atribui aos controladores de dados a obrigação de adotar medidas técnicas e administrativas adequadas para assegurar o comprimento da legislação. | Art. 50 da Lei 13.709/2018 Art. 24, §2º do Regulamento 2016/679 |
| QUANTO AOS REPRESENTANTES | Previsão de que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil. | A figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros. | Art. 61 da Lei 13.709/2018 Art. 27 do Regulamento 2016/679 |
| QUANTO AO ÓRGÃO REGULADOR | Autoridade Nacional de Proteção de Dados. | Criação do Comitê Europeu para Proteção de Dados. | Art. 68 e seguintes da Lei 13.709/2018 Art. 68 e seguintes do Regulamento 2016/67 |
| QUANTO AO PERÍODO DE ARMAZENAMENTO DOS DADOS / DIREITO A SER ESQUECIDO | Os Dados devem ser conservados até a verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada. | Os Dados devem ser conservados de uma forma que permita a identificação dos titulares dos mesmos apenas durante o período necessário para as finalidades para as quais são tratados. Exceto: Propósitos históricos, estatísticos e científicos, para saúde pública ou para exercer o direito de liberdade de expressão. | Arts. 15 e 16 da Lei 13.709/2018 Art. 5 º, 1, e, e Art. 17 do Regulamento 2016/67 |
| QUANTO À RESPONSABILIZAÇÃO DOS AGENTES | Hipóteses em que o controlador/operador não é responsabilizado: 1. Quando a PF ou PJ não estiver envolvida com o tratamento dos dados; 2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação, 3. Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros. | Hipóteses em que o controlador ou operador não é responsabilizado: 1. Quando a PF ou PJ não estiver envolvida com o tratamento dos dados; 2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação. | Art. 42 e seguintes da Lei 13.709/2018 Art. 82 do Regulamento 2016/679 |
| QUANTO À RELAÇÃO ENTRE CONTROLADOR E OPERADOR | O operador deverá realizar o tratamento de dados conforme a instrução do controlador. Não há exigência de formalização por meio de contrato. | O tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador. | Art. 39 da Lei 13.709/2018 Art. 28 §3º do Regulamento 2016/679 |
| QUANTO AO RELATÓRIO DE IMPACTO | A matéria não foi enfrentada, e uma regulamentação deverá ser tratada posteriormente. | O controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. O relatório deverá conter todas as descrições solicitadas na lei. | Não previsto na Lei 13.709/2018 Art. 35 do Regulamento 679/2016 |
| QUANTO AOS DADOS VIOLADOS | O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência da violação dentro de um prazo razoável, indeterminado. | Notificação de vazamento de Dados. Os titulares que tiverem seus dados violados devem ser avisados em até 72 horas após identificação da violação. | Art. 48, § 1º da Lei 13709/2018 Art. 33 do Regulamento 679/2016 |
| QUANTO À TRANSFERÊNCIA INTERNACIONAL DE DADOS | É permitido a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto. Trata do tema mediante diretrizes genéricas a serem observadas pelas autoridades nacionais. | É permitido a transferência internacional dos dados (independente de autorização específica) caso a comissão européia reconheça que o país terceiro assegure um nível de proteção adequado. Do contrário, estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente. Procedimentos e elementos estão descritos na GDPR. | Art. 33 da Lei 13.709/2018 Art. 44 e seguintes do Regulamento 2016/67 |
| QUANTO AOS PRAZOS E MULTAS LGPD X GDPR | Previsão de sanções administrativas para infrações. Aplicação da multa é equivalente a até 2% do faturamento bruto da empresa em seu último exercício, sendo o valor de R$ 50 milhões um teto (para cada instância de irregularidade). Demais penalidades: (i) suspensão de atividades que envolvam o tratamento de dados pessoais e (ii) suspensão de atividades da empresa como um todo no mercado até a regularização. | Previsão de multas de até 20 milhões de euros ou 4% do volume de negócios global da empresa (o que for maior). Demais penalidades: (i) advertências, (ii) determinações de bloqueio ou (iii) eliminação de dados e suspensão total, ou parcial do banco de dados correspondente. | Art. 52 da Lei 13.079/2018 Art. 83 do Regulamento 2016/679 |
| QUANTO A FISCALIZAÇÃO E O CUMPRIMENTO DA LEI DE PROTEÇÃO AOS DADOS | O projeto de lei que originou a LGPD previa a criação da Autoridade Nacional de Proteção de Dados, seguindo a mesma linha do regulamento europeu. Porém, os dispositivos que previam a sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo. | Já a regulamentação europeia estabelece a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR. | Art. 5º, XIX da Lei 13.079/2018 Art. 68 do Regulamento 2016/679 |
| QUANTO A NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS | A LGPD não possui um prazo detalhado para que seja feita a notificação de vazamento de Dados. | A GDPR determina que o vazamento de dados deve ser notificado num prazo de 72 horas. | Não previsto na Lei 13.079/2018 Art. 33 do Regulamento 2016/679 |
| QUANTO A SOLICITAÇÕES DE ACESSO DE TITULARES DE DADOS | A LGPD determina um prazo de 15 dias para que o titular dos dados tenha acesso aos seus dados pessoais. | A GPDR determina um prazo de um mês e pode ser prorrogado até dois meses, a depender da complexidade do pedido e números de pedidos, para que o titular dos dados tenha acesso aos seus dados pessoais. | Art. 18, §8º, II da Lei 13.709/2018 Art. 12, 3 do Regulamento 2016/679 |
| QUANTO AO MARKETING DIRETO | É preciso aplicar o regramento geral de consentimento, transparência e direito de objeção dos titulares dos dados pessoais. | Há a possibilidade de o titular dos dados se opor a qualquer momento ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta. | Art. 61 da Lei 13.709/2018 Art. 21 do Regulamento 2016/679 |
Este texto foi publicado por:
Agnes Christian: Advogada e mentora no projeto Mentoria Jurídica da OAB-RJ. Professora de Direito da Pontifícia Universidade Católica do Rio de Janeiro – PUC-Rio. Consultora Jurídica da Coordenação Central Cooperação Internacional/PUC Rio. Graduada em Direito pela PUC-Rio. Pós-graduação em tradução PUC-Rio. Mestre e Doutoranda em Direito pela Universidade da Santa Croce/ Roma.
Caio Felipe Martins Gonçalves: Advogado, graduado na UNESA, pós graduando em Direito Financeiro e Tributário pela Universidade do Estado do Rio de Janeiro.
REFERÊNCIAS
SCHULTZ, Felix. LGPD X GDPR : entenda a diferença entre a Lei brasileira e a européia. Milvus, 2020. Disponível em: <https://milvus.com.br/diferenca-entre-lgpd-e-gdpr/>. Acesso em 20/08/2020.
LGPD x GDPR : quais as semelhanças e diferenças, All Easy, 2020. Disponível em:< https://www.alleasy.com.br/2020/03/09/lgpd-x-gdpr-semelhancas-diferencas/>. Acesso em 20/08/2020.
