O intuito deste artigo é demonstrar as principais diferenças entre as duas legislações, a Lei Geral de Proteção de Dados e o Regulamento Geral de Proteção de Dados.

Essas diferenças já se iniciam na promulgação das duas leis, onde a RGPD, Regulamento de número 2016/679, com sua origem na Europa e a sua promulgação em 25 de Maio de 2018, já a LGPD, Lei de número 13.709/2018, tem sua origem no Brasil com sua gênese em 14 de agosto de 2018, possui efeitos apenas para determinados dispositivos, e atingirá sua plena vigência na futura data de 3 de maio de 2021 (no entanto  no dia 26 de agosto de 2020 o Projeto de Lei de Conversão (PLV) 34/2020, que teve origem na Medida Provisória (MP) nº 959/2020 tentando mudar o inicio da vigência dessa lei. Porém, o artigo 4º do texto, que visava adiar o início da vigência da Lei Geral de Proteção de Dados (LGPD) foi removido. O projeto agora segue para sanção presidencial. Com a retirada do artigo 4º do texto, em tese, o adiamento da LGPD já estaria suspenso, voltando a prevalecer o prazo previsto pela lei original, que definia que a LGPD passaria a vigorar no dia 14 de agosto passado. Assim, a lei entraria em vigor imediatamente – essa foi a informação passada inicialmente pelo Senado.

LGDP vs RGPD

TítuloLei Geral de Proteção de Dados (LGPD) – Lei nº 13.709 de 2018General Data Protection Regulation (GDPR) – Regulamento 2016/679Fundamento Jurídico
QUANTO À ADEQUAÇÃO: A QUEM SE APLICA?Empresa e órgão público que atua com coleta, armazenamento ou consulta de dados pessoais em território nacional. Art. 3º, incisos I, II e III. Vide: Art. 4º: situações nas quais a LGPD não se aplica, como tratamento de dados pessoais realizados para fins não econômicos por pessoa natural ou utilizados para fins jornalísticos e artísticos.Empresas e órgãos governamentais que realizam o tratamento de dados pessoais em territórios da União Europeia. Importante frisar que empresas que possuem filiais nos países que compõem a União Européia devem se atentar às duas legislações.Art.3 º da Lei 13.709/2018 LGPD Art. 2º do Regulamento 2016/679
QUANTO AO TRATAMENTO DE DADOS SENSÍVEISEspecial proteção aos dados sensíveis, e determinação das hipóteses nas quais o tratamento é permitido (independente do consentimento do titular).Proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções.Capítulo 2 da Lei 13.709/2018 Art 9, §2º, ‘d’ e ‘e’ do Regulamento 2016/67
QUANTO AO TRATAMENTO DE DADOS DE MENORESMenores de 18 anos consentimento deverá ser dado pelos pais ou responsáveis.Menores de 16 anos consentimento deverá ser dado pelos pais.Art. 14, §1º da Lei 13.709/2018
QUANTO À POLÍTICA DE PROTEÇÃO DE DADOSA lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados.Atribui aos controladores de dados a obrigação de adotar medidas técnicas e administrativas adequadas para assegurar o comprimento da legislação.Art. 50 da Lei 13.709/2018 Art. 24, §2º do Regulamento 2016/679
QUANTO AOS REPRESENTANTESPrevisão de que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.A figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.Art. 61 da Lei 13.709/2018 Art. 27 do Regulamento 2016/679
QUANTO AO ÓRGÃO REGULADORAutoridade Nacional de Proteção de Dados.Criação do Comitê Europeu para Proteção de Dados.Art. 68 e seguintes da Lei 13.709/2018 Art. 68 e seguintes do Regulamento 2016/67
QUANTO AO PERÍODO DE ARMAZENAMENTO DOS DADOS / DIREITO A SER ESQUECIDOOs Dados devem ser conservados até a verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada.Os Dados devem ser conservados de uma forma que permita a identificação dos titulares dos mesmos apenas durante o período necessário para as finalidades para as quais são tratados. Exceto: Propósitos históricos, estatísticos e científicos, para saúde pública ou para exercer o direito de liberdade de expressão.Arts. 15 e 16 da Lei 13.709/2018 Art. 5 º, 1, e, e Art. 17 do Regulamento 2016/67
QUANTO À RESPONSABILIZAÇÃO DOS AGENTESHipóteses em que o controlador/operador não é responsabilizado: 1. Quando a PF ou PJ não estiver envolvida com o tratamento dos dados; 2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação, 3. Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.Hipóteses em que o controlador ou operador não é responsabilizado: 1. Quando a PF ou PJ não estiver envolvida com o tratamento dos dados; 2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação.Art. 42 e seguintes da Lei 13.709/2018 Art. 82 do Regulamento 2016/679
QUANTO À RELAÇÃO ENTRE CONTROLADOR E OPERADORO operador deverá realizar o tratamento de dados conforme a instrução do controlador. Não há exigência de formalização por meio de contrato.O tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.Art. 39 da Lei 13.709/2018 Art. 28 §3º do Regulamento 2016/679
QUANTO AO RELATÓRIO DE IMPACTOA matéria não foi enfrentada, e uma regulamentação deverá ser tratada posteriormente.O controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. O relatório deverá conter todas as descrições solicitadas na lei.Não previsto na Lei 13.709/2018 Art. 35 do Regulamento 679/2016
QUANTO AOS DADOS VIOLADOSO controlador deverá comunicar à autoridade nacional e ao titular a ocorrência da violação dentro de um prazo razoável, indeterminado.Notificação de vazamento de Dados. Os titulares que tiverem seus dados violados devem ser avisados em até 72 horas após identificação da violação.Art. 48, § 1º da Lei 13709/2018 Art. 33 do Regulamento 679/2016
QUANTO À TRANSFERÊNCIA INTERNACIONAL DE DADOSÉ permitido a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto. Trata do tema mediante diretrizes genéricas a serem observadas pelas autoridades nacionais.É permitido a transferência internacional dos dados (independente de autorização específica) caso a comissão européia reconheça que o país terceiro assegure um nível de proteção adequado. Do contrário, estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente. Procedimentos e elementos estão descritos na GDPR.Art. 33 da Lei 13.709/2018 Art. 44 e seguintes do Regulamento 2016/67
QUANTO AOS PRAZOS E MULTAS LGPD X GDPRPrevisão de sanções administrativas para infrações. Aplicação da multa é equivalente a até 2% do faturamento bruto da empresa em seu último exercício, sendo o valor de R$ 50 milhões um teto (para cada instância de irregularidade). Demais penalidades: (i) suspensão de atividades que envolvam o tratamento de dados pessoais e (ii) suspensão de atividades da empresa como um todo no mercado até a regularização.Previsão de multas de até 20 milhões de euros ou 4% do volume de negócios global da empresa (o que for maior). Demais penalidades: (i) advertências, (ii) determinações de bloqueio ou (iii) eliminação de dados e suspensão total, ou parcial do banco de dados correspondente.Art. 52 da Lei 13.079/2018 Art. 83 do Regulamento 2016/679
QUANTO A FISCALIZAÇÃO E O CUMPRIMENTO DA LEI DE PROTEÇÃO AOS DADOSO projeto de lei que originou a LGPD previa a criação da Autoridade Nacional de Proteção de Dados, seguindo a mesma linha do regulamento europeu. Porém, os dispositivos que previam a sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo.Já a regulamentação europeia estabelece a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR.Art. 5º, XIX da Lei 13.079/2018 Art. 68 do Regulamento 2016/679
QUANTO A NOTIFICAÇÃO DE VIOLAÇÃO DE DADOSA LGPD não possui um prazo detalhado para que seja feita a notificação de vazamento de Dados.A GDPR determina que o vazamento de dados deve ser notificado num prazo de 72 horas.Não previsto na Lei 13.079/2018 Art. 33 do Regulamento 2016/679
QUANTO A SOLICITAÇÕES DE ACESSO DE TITULARES DE DADOS A LGPD determina um prazo de 15 dias para que o titular dos dados tenha acesso aos seus dados pessoais.A GPDR determina um prazo de um mês e pode ser prorrogado até dois meses, a depender da complexidade do pedido e números de pedidos, para que o titular dos dados tenha acesso aos seus dados pessoais.Art. 18, §8º, II da Lei 13.709/2018 Art. 12, 3 do Regulamento 2016/679
QUANTO AO MARKETING DIRETOÉ preciso aplicar o regramento geral de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.Há a possibilidade de o titular dos dados se opor a qualquer momento ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.Art. 61 da Lei 13.709/2018 Art. 21 do Regulamento 2016/679

Este texto foi publicado por:

Agnes Christian: Advogada e mentora no projeto Mentoria Jurídica da OAB-RJ. Professora de Direito da Pontifícia Universidade Católica do Rio de Janeiro – PUC-Rio. Consultora Jurídica da Coordenação Central Cooperação Internacional/PUC Rio. Graduada em Direito pela PUC-Rio. Pós-graduação em tradução PUC-Rio. Mestre e Doutoranda em Direito pela Universidade da Santa Croce/ Roma.

Caio Felipe Martins Gonçalves: Advogado, graduado na UNESA, pós graduando em Direito Financeiro e Tributário pela Universidade do Estado do Rio de Janeiro.

REFERÊNCIAS

SCHULTZ, Felix. LGPD X GDPR : entenda a diferença entre a Lei brasileira e a européia. Milvus, 2020. Disponível em: <https://milvus.com.br/diferenca-entre-lgpd-e-gdpr/>. Acesso em 20/08/2020.

LGPD x GDPR : quais as semelhanças e diferenças, All Easy, 2020. Disponível em:< https://www.alleasy.com.br/2020/03/09/lgpd-x-gdpr-semelhancas-diferencas/>. Acesso em 20/08/2020.