O advento de novas tecnologias na última década trouxe consigo um intenso debate sobre a regulamentação das informações pessoais como a LGPD. O ambiente digital é mais rápido, mais interconectado e mais abrangente do que nunca, e isso significa que empresas, governos e usuários precisam garantir que os dados pessoais sejam protegidos.
Nos últimos anos, novas leis de proteção de dados foram criadas em todo o mundo para regular o uso de dados pessoais. No Brasil, temos a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigor em 2020. Na União Europeia, a GDPR (General Data Protection Regulation) foi criada em 2018. Estas são duas leis importantes de proteção de dados, com muitos elementos em comum, mas que possuem características distintas.
Nós da Expert LGPD, vamos examinar em detalhes a LGPD e a GDPR, descrevendo suas principais diferenças e impactos nas empresas. Além disso, olharemos para as sanções associadas à infração destas leis, e consideraremos as importâncias das leis para os usuários e empresas.
Para iniciar, vamos dar uma olhada na LGPD e na GDPR, descrevendo o que são, por que foram criadas e quais são os seus âmbitos.
O Que É A LGPD?
A Lei Geral de Proteção de Dados (LGPD) foi aprovada pelo Congresso Nacional brasileiro em agosto de 2018 e entrou em vigor em setembro de 2020. A LGPD estabelece um novo padrão para a proteção de dados pessoais no Brasil, o que significa que as organizações devem seguir regras e regulamentos para garantir o uso adequado e a segurança dos dados pessoais dos cidadãos brasileiros.
A LGPD estabelece uma série de princípios e diretrizes que devem ser seguidos ao coletar, processar e armazenar os dados pessoais dos cidadãos brasileiros. Estes incluem o princípio da finalidade, que estabelece que os dados devem ser coletados apenas para fins específicos; o princípio da necessidade, que limita a quantidade de dados que devem ser coletados; e o princípio da transparência, que exige que as organizações comuniquem claramente aos cidadãos brasileiros como seus dados serão usados.
A LGPD também estabelece que as organizações devem adotar medidas de segurança para proteger os dados pessoais dos cidadãos brasileiros. Estas medidas incluem a criptografia de dados, a restrição da distribuição de dados a terceiros e a monitoração contínua da segurança da informação. Além disso, as organizações também devem estar preparadas para lidar com incidentes de segurança, como vazamento de dados.
A LGPD também exige que as organizações tenham um mecanismo para fornecer acesso, correção e exclusão de dados. Além disso, as organizações devem garantir que os dados sejam utilizados apenas com o consentimento dos titulares de direitos e que os dados sejam armazenados de forma segura.
A LGPD também estabelece que as organizações devem ter uma estrutura de governança de dados para gerenciar as obrigações de privacidade de dados e responder às solicitações dos titulares dos direitos. Isso inclui a nomeação de um Encarregado de Proteção de Dados para supervisionar o cumprimento da LGPD e garantir que a organização esteja em conformidade com a lei.
Por último, a LGPD estabelece que as organizações devem fornecer um mecanismo para notificar as autoridades competentes e os titulares dos direitos em caso de violação de dados. Isso inclui a comunicação de incidentes de segurança e qualquer outro uso indevido de dados pessoais.
O Que É A GDPR?
A GDPR, ou General Data Protection Regulation (Regulamento Geral de Proteção de Dados), é uma lei europeia que foi criada para proteger os direitos e liberdades fundamentais dos cidadãos da União Europeia quando se trata de tratamento de dados pessoais. A GDPR foi adotada em abril de 2016 e entrou em vigor em maio de 2018.
A GDPR foi desenvolvida para garantir que as pessoas tenham mais controle sobre seus dados pessoais e para estabelecer regras e responsabilidades para garantir que as informações pessoais sejam devidamente tratadas. Ela também estabelece um conjunto de direitos para que as pessoas possam exercer seus direitos de proteção de dados, incluindo o direito de acesso, o direito de correção e o direito de apagar dados.
A GDPR tem um alcance global, pois afeta todas as empresas que coletam e processam dados pessoais de pessoas da UE. A lei aplica-se a qualquer empresa, organização ou pessoa que ofereça bens ou serviços para cidadãos europeus ou que monitorizem suas atividades.
A GDPR estabelece requisitos rigorosos para o tratamento de dados pessoais e exige que os titulares dos dados forneçam sua permissão explícita para qualquer processamento. Além disso, a GDPR estabelece requisitos específicos de segurança, como a notificação de violações de dados, a criptografia de dados confidenciais e a limitação do processamento de dados.
A GDPR exige também que as empresas mantenham registros detalhados de seu processamento de dados e forneçam dados de maneira clara e transparente. As empresas também têm a obrigação de realizar uma análise de impacto na proteção de dados (DPIA) antes de iniciar qualquer processamento de dados e de notificar a autoridade de supervisão nacional em caso de violação de dados.
A GDPR oferece aos titulares dos dados um nível de proteção mais alto do que o de qualquer outra lei de proteção de dados anterior. Ela também estabelece sanções severas para quem não cumprir os requisitos da lei, incluindo multas de até 20 milhões de euros ou 4% do faturamento mundial anual da empresa, o que for maior.
Diferenças Entre A LGPD E A GDPR
Além das semelhanças que a LGPD e a GDPR têm em comum, existem algumas diferenças entre elas que devem ser levadas em consideração. A seguir veremos os principais pontos de diferença entre as duas leis.
A primeira questão é a etapa de implementação: enquanto a GDPR entrou em vigor em 2018, o Brasil ainda está aguardando a entrada em vigor da LGPD. A previsão inicial era que entrasse em vigor em agosto de 2020, mas a pandemia de Covid-19 atrasou o processo, provavelmente para meados de 2021.
Outra diferença significativa entre a LGPD e a GDPR diz respeito às sanções previstas para violações. A GDPR prevê multas significativas de até 20 milhões de euros ou até 4% do faturamento total anual da empresa, dependendo de qual for maior. Por outro lado, a LGPD prevê multas significativas, mas não tão altas quanto às da GDPR, que podem chegar a até 2% do faturamento da empresa.
Além disso, a LGPD inclui uma cláusula de atenuação de penalidades (redução da penalidade) que pode ser usada pelo controlador de dados, desde que sejam dadas provas de que eles cumpriram os critérios do artigo 52 da lei. Isso não está previsto na GDPR.
A GDPR também prevê a possibilidade de processar ações de responsabilidade civil, enquanto a LGPD não.
Uma outra diferença entre as duas leis é que a LGPD dá mais poder às autoridades públicas para a realização de auditorias e investigações que a GDPR.
Outra importante diferença entre a LGPD e a GDPR é a abrangência geográfica. A GDPR cobre todos os países da União Europeia, enquanto a LGPD só se aplica ao território brasileiro.
Como é possível ver, existem algumas diferenças significativas entre a LGPD e a GDPR, e é importante entender as nuances entre elas para garantir que todas as diretrizes sejam cumpridas.
Impacto Das Leis Nas Empresas
A LGPD e a GDPR foram criadas com o objetivo de proporcionar mais segurança e proteção para os dados pessoais das pessoas. Para alcançar esse objetivo, as leis impõem requisitos rigorosos de privacidade de dados para as empresas e outras organizações. Estes requisitos afetam diretamente a forma como essas organizações tratam, armazenam e compartilham os dados de seus usuários.
O impacto das leis de proteção de dados para as empresas requer que elas se adaptem às novas exigências para se proteger de violações de dados. Elas devem criar políticas de proteção de dados, procedimentos de segurança, treinamento em segurança e outras medidas para garantir que os dados de seus usuários estejam seguros.
Isso exige que as empresas adotem procedimentos de segurança, como criptografia, autenticação de dois fatores e monitoramento contínuo dos dados. Além disso, elas também devem se certificar de que os dados não são compartilhados com terceiros sem o consentimento do usuário. Para garantir que as medidas de segurança sejam cumpridas, as empresas devem contratar profissionais de TI qualificados e treinados para monitorar e manter as medidas de segurança.
Além disso, as leis de proteção de dados também exigem que as empresas notifiquem qualquer violação de dados prontamente. As empresas devem ser transparentes sobre as violações de dados e fornecer as informações necessárias para que os usuários possam tomar as medidas de segurança adequadas.
As leis de proteção de dados também impõem responsabilidades aos controladores e processadores de dados. Os controladores são responsáveis por garantir que os dados são armazenados, processados e compartilhados de acordo com as leis de proteção de dados aplicáveis. Os processadores de dados são responsáveis por processar os dados de acordo com as instruções dos controladores de dados.
O impacto das leis de proteção de dados é claro: é preciso que as empresas tomem medidas para proteger os dados de seus usuários. As empresas devem adotar medidas de segurança adequadas, fornecer notificações prontas sobre violações de dados e garantir que os controladores e processadores de dados cumpram as leis. Se as empresas não adotarem as medidas necessárias, elas podem estar sujeitas a sanções severas.
Sanções da LGPD e da GDPR
As leis LGPD e GDPR prevêem vários tipos de sanções para aqueles que não cumprem as suas obrigações. Essas sanções podem variar desde advertências até multas.
No caso da LGPD, o Artigo 52 prevê o uso de medidas coercitivas como advertências, multas administrativas, a suspensão do tratamento de dados pessoais, entre outras. Estas medidas coercitivas serão aplicadas de acordo com a gravidade da infração cometida. A multa administrativa máxima prevista é de até R$ 50 milhões ou 2% do faturamento do último ano, dependendo do que for maior.
No caso da GDPR, o artigo 83 prevê o uso de advertências, multas e outras medidas coercitivas. O limite máximo da multa administrativa prevista é de até € 20 milhões ou 4% do faturamento mundial anual da empresa, dependendo do que for maior.
Além disso, as leis LGPD e GDPR prevêem a responsabilidade criminal em caso de violação dos direitos de privacidade. No caso da LGPD, a pena prevista é de reclusão de 3 meses a 2 anos, além de uma multa. No caso da GDPR, a pena prevista é de até 2 anos de prisão ou uma multa de até € 20 milhões.
Além disso, assim como na LGPD, a GDPR prevê o uso de outras sanções, tais como proibições de processamento de dados, a revogação de certificações de conformidade e a imposição de obrigações específicas, entre outras.
Em suma, tanto a LGPD quanto a GDPR prevêem o uso de sanções administrativas, criminais e outras medidas coercitivas para punir as violações às leis de proteção de dados. Essas sanções devem servir como uma forma de dissuasão para aplicar as leis de forma correta e evitar violações de dados.
Responsabilidades
Ao estabelecer as leis de proteção de dados, as legislações LGPD e GDPR também estabelecem as responsabilidades associadas ao controle e processamento de dados. Em conseqüência, os controladores e processadores de dados devem estar cientes de quais responsabilidades lhes são atribuídas por essas leis.
Responsabilidades do controlador de dados
De acordo com a LGPD e a GDPR, o controlador de dados é responsável por garantir que todos os processamentos de dados estejam em conformidade com as leis de proteção de dados. Além disso, o controlador de dados também tem a responsabilidade de garantir que os dados sejam processados de forma justa, leal e transparente, bem como com a finalidade especificada. O controlador de dados também é responsável por assegurar que o processamento de dados seja feito de acordo com os princípios de segurança, privacidade e proteção dos direitos dos titulares de dados.
Além disso, o controlador de dados também tem a responsabilidade de fornecer às autoridades de controle as informações necessárias para fins de auditoria, bem como de notificar os titulares de dados sobre qualquer violação às leis de proteção de dados. O controlador de dados também é responsável por estabelecer políticas, procedimentos e medidas de segurança adequadas para garantir a segurança e a proteção dos dados.
Responsabilidades do processador de dados
De acordo com a LGPD e a GDPR, o processador de dados é responsável por processar os dados apenas de acordo com as instruções fornecidas pelo controlador de dados, bem como por fornecer assistência técnica e administrativa necessárias ao controlador de dados. Além disso, o processador de dados também é responsável por apenas armazenar os dados por um período de tempo razoável, de acordo com a política de retenção de dados do controlador.
O processador de dados também tem a responsabilidade de assegurar que sejam adotadas as medidas de segurança adequadas para garantir a proteção dos dados, assim como de estabelecer procedimentos para lidar com os riscos de violação de dados. Além disso, o processador de dados é responsável por fornecer informações e documentação necessárias às autoridades de controle para fins de auditoria.
Considerações Finais
Conforme discutido, a LGPD e a GDPR são duas leis importantes que governam a proteção de dados. Embora as duas leis tenham muito em comum, elas também têm diferenças significativas. A LGPD foi criada para proteger os direitos e liberdades fundamentais dos brasileiros, enquanto a GDPR se concentra principalmente na proteção de dados de cidadãos europeus. A LGPD se aplica a empresas brasileiras e aquelas que atuam no Brasil, enquanto a GDPR se aplica a empresas europeias e aquelas que atuam na UE. O âmbito da LGPD é mais abrangente que a GDPR e inclui as empresas de comunicação, enquanto a GDPR não.
As leis de proteção de dados têm um impacto significativo nas empresas. Elas têm de se adaptar às novas leis se quiserem atuar legalmente no Brasil e na UE. Os requisitos de privacidade de dados das leis devem ser observados para evitar sanções. Estas incluem multas pecuniárias, punições administrativas e até mesmo a proibição da empresa. Além disso, os controladores e processadores de dados têm certas responsabilidades que devem ser observadas.
Em resumo, a LGPD e a GDPR são leis importantes para garantir a proteção dos dados dos usuários. Elas têm o objetivo de reforçar os direitos e liberdades fundamentais dos indivíduos e dos usuários da Internet. As empresas têm de se adaptar às novas leis para evitar sanções, e os controladores e processadores de dados têm responsabilidades importantes. É importante destacar que, embora as duas leis tenham muito em comum, elas também têm diferenças significativas, inclusive no âmbito de aplicação. Assim, é importante entender essas leis para garantir que os dados dos usuários sejam protegidos em todos os contextos.