RGPD vs LGPD : Comparaison des lois européenne et brésilienne sur la protection des données
La LGPD (Lei Geral de Protecao de Dados) du Brésil a été étroitement modelée sur le RGPD et est entrée en vigueur en 2020. Bien que les deux lois partagent des principes similaires en matière de protection des données, la LGPD définit 10 bases juridiques pour le traitement (contre 6 pour le RGPD) et possède une structure de sanctions différente. L'ANPD (Autoridade Nacional de Protecao de Dados) est l'autorité d'application du Brésil.
| Caractéristique | GDPR | LGPD |
|---|---|---|
| Portée géographique | Union européenne et États membres de l'EEE | Brésil (s'applique au traitement des données des personnes au Brésil) |
| À qui cela s'applique | Toute organisation traitant les données des résidents de l'UE | Toute organisation traitant les données personnelles des personnes au Brésil, quel que soit son emplacement |
| Exigences de consentement | Consentement opt-in requis ; 6 bases juridiques pour le traitement | Consentement opt-in requis ; 10 bases juridiques pour le traitement |
| Règles sur les cookies et le suivi | Les cookies non essentiels nécessitent un consentement explicite préalable en vertu de la directive ePrivacy | Pas de loi spécifique sur les cookies, mais les principes de consentement s'appliquent au suivi en ligne |
| Droits individuels | Accès, rectification, effacement, portabilité, limitation, opposition | Accès, correction, anonymisation, suppression, portabilité, information sur le partage, révision des décisions automatisées |
| Sanctions maximales | Jusqu'à 20 millions d'EUR ou 4 % du chiffre d'affaires annuel mondial | Jusqu'à 2 % du chiffre d'affaires au Brésil, plafonné à 50 millions de BRL par infraction |
| Autorité de contrôle | Autorités nationales de protection des données dans chaque État membre de l'UE | ANPD (Autoridade Nacional de Protecao de Dados) |
Principales différences
La LGPD prévoit 10 bases juridiques pour le traitement des données personnelles, contre 6 pour le RGPD. En plus des bases familières que sont le consentement, le contrat, l'obligation légale, les intérêts vitaux, l'intérêt public et les intérêts légitimes, la LGPD inclut la protection du crédit, la protection de la santé, la recherche par des organismes d'étude et l'exercice régulier de droits dans le cadre de procédures judiciaires ou administratives.
Les sanctions diffèrent significativement en ampleur. Les amendes du RGPD peuvent atteindre 20 millions d'EUR ou 4 % du chiffre d'affaires annuel mondial. Les sanctions de la LGPD sont plafonnées à 2 % du chiffre d'affaires de l'entreprise au Brésil (et non mondial), jusqu'à 50 millions de BRL par infraction. Bien que ce montant soit substantiel, il est généralement considéré comme moins sévère que le calcul du RGPD basé sur le chiffre d'affaires mondial.
Les deux lois accordent des droits individuels similaires, mais la LGPD inclut un droit spécifique à l'information sur les entités publiques et privées avec lesquelles les données ont été partagées, et un droit de révision des décisions automatisées. Le RGPD a un droit plus large à la portabilité des données et des dispositions plus détaillées concernant la prise de décision automatisée, y compris le profilage.
Comment Pryvii vous aide
Pryvii prend en charge l'analyse par rapport aux exigences du RGPD et de la LGPD. Il vérifie la présence d'avis de confidentialité en portugais sur votre site web, les mécanismes de consentement appropriés et les déclarations requises sur le partage de données avec des tiers. L'analyse multi-réglementations met en évidence les lacunes spécifiques à chaque loi.
Questions fréquemment posées
La LGPD est-elle fondamentalement une copie du RGPD ?
La LGPD a été fortement influencée par le RGPD et partage de nombreux principes, mais elle n'est pas identique. Les différences clés incluent plus de bases juridiques pour le traitement (10 contre 6), une structure de sanctions différente (plafonnée à 2 % du chiffre d'affaires au Brésil) et certaines dispositions uniques concernant la protection du crédit et le traitement des données de santé.
Ai-je besoin d'un DPO en vertu des deux lois ?
Le RGPD exige un délégué à la protection des données dans des circonstances spécifiques, comme lorsque le traitement est effectué par une autorité publique ou implique un suivi systématique à grande échelle. La LGPD exige que tous les responsables du traitement désignent un DPO (appelé encarregado), bien que l'ANPD ait assoupli cette exigence pour les petites entreprises.
Puis-je transférer des données entre l'UE et le Brésil ?
Les transferts de données nécessitent des garanties appropriées en vertu des deux lois. Le Brésil ne dispose pas encore d'une décision d'adéquation du RGPD de la part de l'UE. Les transferts reposent généralement sur des clauses contractuelles types ou d'autres mécanismes approuvés. La LGPD restreint également les transferts internationaux et exige une protection adéquate dans le pays destinataire.
Comparaisons connexes
Vérifiez votre conformité
Analysez votre site web par rapport à plusieurs réglementations en quelques minutes.