PIPEDA vs LGPD: leis de privacidade do Canadá e do Brasil comparadas
A PIPEDA e a LGPD são ambas leis nacionais de proteção de dados inspiradas nos princípios de informação justa, mas diferem em quão prescritivas são. A PIPEDA adota uma abordagem flexível, baseada em princípios, com o consentimento significativo como norma. A LGPD é mais prescritiva e estreitamente modelada no GDPR, com bases jurídicas específicas, um conjunto mais amplo de direitos individuais e penalizações baseadas em percentagem.
| Característica | PIPEDA | LGPD |
|---|---|---|
| Âmbito geográfico | Canadá (lei federal de privacidade para o setor privado) | Brasil (aplica-se ao tratamento de dados de indivíduos no Brasil) |
| A quem se aplica | Organizações do setor privado em atividades comerciais no Canadá | Qualquer organização que trate dados pessoais de indivíduos no Brasil |
| Requisitos de consentimento | Consentimento significativo: implícito para não sensíveis, expresso para sensíveis | Uma das 10 bases jurídicas obrigatória; consentimento deve ser explícito e informado |
| Regras de cookies e rastreamento | Sem lei específica de cookies; princípios gerais de consentimento aplicam-se | Sem lei específica de cookies; consentimento e requisitos de base jurídica aplicam-se ao rastreamento |
| Direitos individuais | Acesso, correção, retirada do consentimento, queixa ao OPC | Acesso, correção, anonimização, eliminação, portabilidade, informação sobre partilha, revisão de decisões automatizadas |
| Penalizações máximas | Poderes de fiscalização limitados ao abrigo da PIPEDA atual; reforma em curso | Até 2% da receita no Brasil, com máximo de BRL 50 milhões por infração |
| Entidade de fiscalização | Office of the Privacy Commissioner of Canada (OPC) | ANPD (Autoridade Nacional de Proteção de Dados) |
Principais diferenças
A PIPEDA baseia-se em dez princípios de informação justa que proporcionam flexibilidade na forma como as organizações alcançam a conformidade. A LGPD, embora também baseada em princípios, inclui requisitos mais específicos e prescritivos semelhantes ao GDPR. A LGPD define explicitamente 10 bases jurídicas para o tratamento, enquanto a PIPEDA assenta no conceito mais amplo de consentimento significativo com exceções para determinados contextos empresariais.
A PIPEDA permite o consentimento implícito para informações não sensíveis onde a finalidade da recolha é óbvia. A LGPD exige uma das suas bases jurídicas enumeradas, sendo o consentimento explícito e informado. A LGPD inclui também bases jurídicas não encontradas na PIPEDA, como a proteção do crédito e o exercício regular de direitos em procedimentos legais.
As capacidades de fiscalização diferem significativamente. O Office of the Privacy Commissioner of Canada (OPC) tem tradicionalmente poderes de fiscalização limitados, emitindo principalmente conclusões e recomendações. A ANPD no Brasil pode impor penalizações administrativas até 2% da receita da empresa no Brasil, com máximo de BRL 50 milhões. A proposta canadiana Consumer Privacy Protection Act reforçaria significativamente os poderes de fiscalização do OPC.
Como o Pryvii ajuda
O Pryvii analisa o seu website para conformidade com a PIPEDA e a LGPD, testando a partir de localizações no Canadá e no Brasil. Verifica mecanismos de consentimento, divulgações de privacidade e práticas de recolha de dados face a ambos os quadros, destacando as diferenças no que cada lei exige e onde o seu site precisa de atualizações.
Perguntas frequentes
Qual lei é mais rigorosa, PIPEDA ou LGPD?
A LGPD é geralmente considerada mais rigorosa. Tem requisitos mais prescritivos, um conjunto mais amplo de direitos individuais e penalizações aplicáveis até 2% da receita no Brasil. A PIPEDA é mais flexível com a sua abordagem baseada em princípios, mas tem atualmente mecanismos de fiscalização mais fracos.
A PIPEDA tem um equivalente das 10 bases jurídicas da LGPD?
Não. A PIPEDA assenta no conceito de consentimento significativo como base primária para o tratamento, com algumas exceções para contextos empresariais onde o consentimento é impraticável. Não enumera bases jurídicas específicas como a LGPD. As bases adicionais da LGPD, como proteção do crédito e exercício de direitos, não têm equivalente direto na PIPEDA.
Ambas as leis exigem um Encarregado da Proteção de Dados?
A LGPD exige que os responsáveis pelo tratamento nomeiem um encarregado (equivalente ao DPO), embora a ANPD tenha flexibilizado isto para pequenas empresas. A PIPEDA exige que as organizações designem uma pessoa responsável pela conformidade com os princípios da lei, o que desempenha uma função semelhante mas é menos formalmente definido que o requisito da LGPD.
Comparações relacionadas
Verifique a sua conformidade
Analise o seu website face a múltiplos regulamentos em minutos.