Notícias e Artigos

12/9/2019

A Lei Geral de Proteção de Dados Pessoais do Brasil, ou LGPD, traz uma necessária classificação ao arcabouço legal brasileiro. A LGPD tenta unificar os mais de 40 diferentes estatutos que atualmente governam os dados pessoais, online e offline, substituindo certas regulações e suplementando outras. Esta unificação de regulamentos, publicados anteriormente e frequentemente díspares e contraditórios, é somente uma das similaridades que compartilha com o Regulamento Geral sobre a Proteção de Dados (GDPR, sigla do nome em inglês) da União Europeia, um documento do qual claramente tira inspiração.

Outra semelhança é que a LGPD se aplica a qualquer negócio ou organização que processa dados de pessoas no Brasil, independentemente de onde eles estejam localizados. Então, se sua companhia tem quaisquer clientes no Brasil, você deve se preparar para adequar-se à LGPD. Felizmente, você ainda tem tempo antes que a lei entre em vigor. E se você já está em conformidade com a GDPR, então você já fez o grosso do trabalho necessário para estar em conformidade com a LGPD.

Similaridades entre a GDPR e a LGPD

Além desta aplicação extraterritorial, a LGPD e o GDPR concordam em diversos aspectos básicos no tocante à proteção de dados.

• Dados pessoais

Embora a LGPD não tenha uma definição simples sobre dados pessoais, se alguém ler todo o texto, vai encontrar ecos da definição feita pelo GDPR. A LGPD declara em diversas partes que dados pessoais podem significar qualquer dado que, por si só ou combinado com outros, possa identificar uma pessoa natural ou submetê-la a um tratamento específico. Embora esta definição vá ser clarificada à medida que o Brasil se aproxima da implementação da lei, da forma como está declarado, a LGPD define com um amplo espectro quais dados se qualificam como dados pessoais, de forma mais expansiva que a GDPR.

• Direitos dos titulares de dados

O artigo 18 é outra seção da LGPD que vai soar familiar aos negócios que já lidaram com a conformidade em relação ao GDPR. Ele explica os nove direitos fundamentais que titulares de dados possuem, que incluem:
    • Confirmação da existência de tratamento;
    • Acesso aos dados;
    • Correção de dados incompletos, inexatos ou desatualizados;
    • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei;
    • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
    • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da lei;
    • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
    • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
    • Revogação do consentimento, nos termos do parágrafo 5º do artigo 8º da lei.

Embora o GDPR seja conhecido por garantir aos seus possuidores de dados oito direitos fundamentais, eles são essencialmente os mesmos direitos que a LGPD menciona. Aparentemente a LGPD dividiu “o direito a ser informado, pelo controlador, sobre com quais entidades públicas ou privadas ele compartilhou seus dados” da disposição mais geral da GDPR sobre o “direito de ser informado”, para torná-lo mais explícito.

Diferenças entre a LGPD e a GDPR

Apesar de seus objetivos similares e a aparente influência do GDPR sobre os legisladores brasileiros, existem algumas diferenças marcantes a serem notadas entre as duas legislações.

• Encarregados de proteção de dados

Ambos os textos legais demandam que os negócios e as organizações contratem um encarregado de proteção de dados. No entanto, enquanto a GDPR define quando um encarregado é necessário, o artigo 41 da LGPD diz, simplesmente: “O controlador deverá indicar encarregado pelo tratamento de dados pessoais”, o que sugere que qualquer organização que processa dados de pessoas no Brasil terá de contratar alguém para tal posto^* . Esta é outra área que provavelmente receberá maior clarificação, mas da forma como está escrito, é uma das áreas onde a LGPD é mais rígida que a GDPR.

• Base legal para processamento de dados

Possivelmente a mais significativa diferença entre a LGPD e o GDPR recai sobre o que se qualifica como base legal para processar dados. O GDPR tem seis bases legais para o processamento, e um controlador de dados deve escolher uma delas como justificativa para utilizar a informação de um titular de dados. No entanto, no seu artigo 7º, a LGPD lista dez. São eles:
    • Mediante o fornecimento de consentimento pelo titular;
    • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
    • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do capítulo IV da Lei;
    • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
    • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
    • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
    • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
    • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
    • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
    • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Ter a proteção do crédito como base legal para o processamento de dados é de fato uma diferença substancial em relação ao GDPR.

Avisos sobre quebra de sigilo de dados

Embora tanto o GDPR quanto a LGPD requeiram que as organizações avisem sobre quebra de sigilo de dados à autoridade nacional de proteção de dados, o nível de especificidade varia amplamente entre as duas leis. O GDPR é explícito: uma organização deve avisar sobre qualquer quebra de sigilo em até 72 horas a partir de sua descoberta (embora diferentes organizações já estejam testando este limite).

A LGPD não oferece nenhum limite definido: o artigo 48 simplesmente diz que “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (...) em prazo razoável, conforme definido pela autoridade nacional”. Uma vez que a agência nacional de proteção de dados não foi, até o momento, estabelecida, não há indicação sobre o que constitui “prazo razoável”.

Multas

Uma lei é tão forte quanto seus “dentes”. É por isso que as multas máximas do GDPR são substanciais, obrigando organizações que cometem violações graves da legislação europeia a pagarem até 20 milhões de euros, ou 4% de sua receita global anual, o que for maior.

As multas da LGPD são muito menos severas. O artigo 52 define que a multa máxima para uma violação é “de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões de reais por infração”, ou cerca de 11 milhões de euros. As multas da LGPD estão em linha com as multas da GDPR para infrações menores, mas 11 milhões de euros não vão preocupar os maiores processadores de dados do mundo.

Esta não é uma análise exaustiva da LGPD, mas deve reafirmar aos proprietários de negócios que, na maior parte dos assuntos, se você alcançou conformidade com o GDPR, você já está no caminho para estar conforme com a LGPD. As leis de proteção de dados estão começando a ser consideradas em todo o mundo, da Índia aos EUA.

* Nota do portal: o autor cita o artigo 41, mas sem fazer referência ao parágrafo 3º deste artigo: "A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade e o volume de operações de tratamento de dados".