GDPR vs LGPD: leis de privacidade da UE e do Brasil comparadas
A LGPD (Lei Geral de Proteção de Dados) do Brasil foi estreitamente modelada no GDPR e entrou em vigor em 2020. Embora ambas as leis partilhem princípios semelhantes em torno da proteção de dados, a LGPD define 10 bases jurídicas para o tratamento (comparadas com as 6 do GDPR) e tem uma estrutura de penalizações diferente. A ANPD (Autoridade Nacional de Proteção de Dados) serve como a autoridade de fiscalização do Brasil.
| Característica | GDPR | LGPD |
|---|---|---|
| Âmbito geográfico | União Europeia e estados-membros do EEE | Brasil (aplica-se ao tratamento de dados de pessoas no Brasil) |
| A quem se aplica | Qualquer organização que trate dados de residentes da UE | Qualquer organização que trate dados pessoais de pessoas no Brasil, independentemente da localização |
| Requisitos de consentimento | Consentimento opt-in obrigatório; 6 bases jurídicas para o tratamento | Consentimento opt-in obrigatório; 10 bases jurídicas para o tratamento |
| Regras de cookies e rastreamento | Cookies não essenciais requerem consentimento explícito prévio ao abrigo da Diretiva ePrivacy | Sem lei específica de cookies, mas princípios de consentimento aplicam-se ao rastreamento online |
| Direitos individuais | Acesso, retificação, apagamento, portabilidade, limitação, oposição | Acesso, correção, anonimização, eliminação, portabilidade, informação sobre partilha, revisão de decisões automatizadas |
| Penalizações máximas | Até EUR 20 milhões ou 4% do volume de negócios anual global | Até 2% da receita no Brasil, com máximo de BRL 50 milhões por infração |
| Entidade de fiscalização | Autoridades nacionais de proteção de dados em cada estado-membro da UE | ANPD (Autoridade Nacional de Proteção de Dados) |
Principais diferenças
A LGPD prevê 10 bases jurídicas para o tratamento de dados pessoais, comparadas com as 6 do GDPR. Para além das conhecidas bases de consentimento, contrato, obrigação legal, interesses vitais, interesse público e interesses legítimos, a LGPD inclui proteção do crédito, proteção da saúde, investigação por organismos de estudo e exercício regular de direitos em processos judiciais ou administrativos.
As penalizações diferem significativamente em escala. As multas do GDPR podem atingir até EUR 20 milhões ou 4% do volume de negócios anual global. As penalizações da LGPD estão limitadas a 2% da receita da empresa no Brasil (não global), com um máximo de BRL 50 milhões por infração. Embora substancial, é geralmente considerado menos severo que o cálculo do GDPR baseado no volume de negócios global.
Ambas as leis concedem direitos individuais semelhantes, mas a LGPD inclui um direito específico à informação sobre entidades públicas e privadas com quem os dados foram partilhados, e um direito de revisão de decisões automatizadas. O GDPR tem um direito mais amplo à portabilidade de dados e disposições mais detalhadas sobre a tomada de decisões automatizada, incluindo a definição de perfis.
Como o Pryvii ajuda
O Pryvii suporta a análise face aos requisitos do GDPR e da LGPD. Verifica o seu website quanto a avisos de privacidade em língua portuguesa, mecanismos de consentimento adequados e divulgações obrigatórias sobre a partilha de dados com terceiros. A análise multi-regulamento destaca lacunas específicas de cada lei.
Perguntas frequentes
A LGPD é basicamente uma cópia do GDPR?
A LGPD foi fortemente influenciada pelo GDPR e partilha muitos princípios, mas não é idêntica. As diferenças principais incluem mais bases jurídicas para o tratamento (10 vs 6), uma estrutura de penalizações diferente (limitada a 2% da receita no Brasil) e algumas disposições únicas em torno da proteção do crédito e do tratamento de dados de saúde.
Preciso de um DPO ao abrigo de ambas as leis?
O GDPR exige um Encarregado da Proteção de Dados em circunstâncias específicas, como quando o tratamento é realizado por uma autoridade pública ou envolve monitorização sistemática em grande escala. A LGPD exige que todos os responsáveis pelo tratamento nomeiem um DPO (encarregado), embora a ANPD tenha flexibilizado isto para pequenas empresas.
Posso transferir dados entre a UE e o Brasil?
As transferências de dados requerem salvaguardas adequadas ao abrigo de ambas as leis. O Brasil ainda não tem uma decisão de adequação do GDPR por parte da UE. As transferências baseiam-se tipicamente em Cláusulas Contratuais-Tipo ou outros mecanismos aprovados. A LGPD também restringe transferências internacionais e exige proteção adequada no país destinatário.
Comparações relacionadas
Verifique a sua conformidade
Analise o seu website face a múltiplos regulamentos em minutos.