Por Anna Irene Nunes Mendes de Paula[1]
A Lei Geral de Proteção de Dados Pessoais (LGPD), estabelecida pela Lei nº 13.709/2018 no Brasil, e a General Data Protection Regulation (GDPR), implementada na União Europeia, são marcos regulatórios que refletem a crescente preocupação global com a privacidade e a segurança dos dados pessoais em um mundo cada vez mais digital. Embora a LGPD tenha sido fortemente inspirada pela GDPR, existem nuances importantes que diferenciam as duas legislações, tanto em seus objetivos e princípios fundamentais quanto na aplicação prática e impacto.
Semelhanças entre a LGPD e a GDPR
Em termos de semelhanças, tanto a LGPD quanto a GDPR compartilham uma série de princípios e objetivos que guiam o tratamento de dados pessoais. Ambas as leis têm como objetivo principal garantir a proteção dos dados pessoais dos indivíduos, estabelecendo direitos robustos para os titulares dos dados e impondo obrigações claras para os controladores e operadores de dados.
Os princípios fundamentais que regem as duas regulamentações se aproximam bastante. Tanto a LGPD quanto a GDPR[2] defendem a necessidade de que os dados sejam processados de forma lícita, justa e transparente, o que reflete a preocupação com a clareza e a honestidade no tratamento de dados, garantindo que os titulares sejam devidamente informados sobre como estes estão sendo utilizados. Além disso, ambos os regulamentos promovem a minimização de dados, que assegura que apenas os dados estritamente necessários para atingir uma finalidade específica sejam coletados e processados. Com isso, há a redução da exposição desnecessária de informações pessoais e minimiza os riscos de violações de privacidade.
Outro aspecto em comum é a limitação de finalidade, que exige que os dados pessoais sejam coletados para fins específicos, explícitos e legítimos, e que não sejam posteriormente tratados de maneira incompatível com esse direcionamento. Essa limitação é fundamental para evitar o uso excessivo ou abusivo dos dados, garantindo que as informações sejam utilizadas de forma adequada e responsável.
No que tange aos direitos dos titulares de dados, ambas as legislações concedem direitos amplos e significativos. Tanto a LGPD[3] quanto a GDPR[4] asseguram o direito de acesso aos dados, permitindo que os indivíduos saibam que informações estão sendo mantidas sobre eles e para que fins. O direito de retificação também é protegido, permitindo a correção de dados incorretos ou desatualizados. Além disso, os titulares possuem o direito ao esquecimento, que garante a exclusão dos dados quando estes não forem mais necessários ou quando o consentimento for retirado. O direito à portabilidade dos dados, que permite a transferência das informações para outro controlador, e o direito de oposição, que possibilita ao titular contestar o processamento de seus dados em determinadas circunstâncias, são outras proteções garantidas tanto pela LGPD quanto pela GDPR.
Diferenças entre a LGPD e a GDPR
Apesar das semelhanças, as duas regulamentações apresentam diferenças significativas, refletindo os diferentes contextos legais e culturais nos quais foram desenvolvidas. Uma das principais diferenças está no âmbito territorial de aplicação. A GDPR possui um alcance extraterritorial bastante amplo, aplicando-se a qualquer organização que processe dados de cidadãos da União Europeia, independentemente da localização da empresa. Isso significa que empresas fora da UE, mas que oferecem bens ou serviços a cidadãos europeus ou monitoram o comportamento desses indivíduos, também estão sujeitas à GDPR. A LGPD, por outro lado, embora também tenha uma aplicação extraterritorial, é mais restrita, aplicando-se a organizações que processam dados pessoais no Brasil ou que oferecem produtos e serviços ao mercado brasileiro.
Outra diferença importante está na estrutura regulatória. A GDPR[5] criou um sistema descentralizado, no qual cada país-membro da UE possui sua própria autoridade de proteção de dados. Essas autoridades são responsáveis pela fiscalização do cumprimento da regulamentação em seus respectivos territórios, e elas colaboram entre si para assegurar a aplicação consistente da GDPR em toda a União Europeia. A LGPD, por sua vez, centralizou a fiscalização em uma única entidade, a Autoridade Nacional de Proteção de Dados (ANPD)[6]. A ANPD é responsável por monitorar, regulamentar e garantir a conformidade com a LGPD em todo o território brasileiro.
As bases legais para o tratamento de dados também diferem em alguns aspectos entre as duas legislações. Ambas oferecem diversas bases legais para o processamento de dados pessoais, incluindo consentimento, cumprimento de obrigação legal, execução de contrato e proteção de interesses vitais. No entanto, a GDPR inclui bases legais adicionais, como o tratamento de dados em casos de interesse público ou exercício de autoridade pública, categorias que não são explicitamente previstas na LGPD. Essa distinção pode influenciar a forma como diferentes setores, especialmente aqueles ligados a atividades governamentais ou de interesse público, tratam dados pessoais sob cada regulamentação.
Outra diferença reside na exigência de nomeação de um encarregado de proteção de dados (DPO). A GDPR torna obrigatória a nomeação de um DPO para organizações que processam grandes volumes de dados pessoais ou dados sensíveis, bem como para aquelas envolvidas em monitoramento sistemático em larga escala. A LGPD também exige a figura do encarregado[7], mas permite maior flexibilidade, especialmente para pequenas e médias empresas, que podem adotar uma abordagem proporcional à sua realidade.
No que se refere a multas e penalidades, ambos os dispositivos impõem sanções significativas para o descumprimento de suas disposições. A GDPR[8] estabelece multas que podem chegar a 20 milhões de euros ou 4% do faturamento global anual da empresa, o que for maior. As multas da LGPD, embora substanciais, são menores em comparação, com um teto de R$ 50 milhões por infração. Além disso, a LGPD[9] prevê a possibilidade de sanções administrativas, como advertências e publicização da infração, que podem impactar a reputação da organização.
As definições e o tratamento de dados sensíveis também apresentam variações. A GDPR[10] é mais detalhada ao tratar de certas categorias de dados, como dados genéticos e biométricos, refletindo uma preocupação maior com o avanço tecnológico e os novos tipos de informações pessoais que podem ser coletadas. A LGPD, embora também proteja dados sensíveis, possui definições mais gerais, abrangendo dados sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, e filiação a sindicatos ou organizações de caráter religioso, filosófico ou político.
CONCLUSÃO
A LGPD e a GDPR são legislações essenciais que estabelecem um novo patamar de proteção de dados pessoais no Brasil e na União Europeia, respectivamente. Enquanto a LGPD foi fortemente inspirada pela GDPR, ela foi adaptada para refletir o contexto jurídico e cultural brasileiro, resultando em algumas diferenças nas suas aplicações e exigências. As semelhanças entre as duas leis facilitam a adaptação de empresas multinacionais que operam em ambas as jurisdições, mas é crucial que as organizações compreendam as nuances de cada legislação para garantir plena conformidade. À medida que a privacidade de dados continua a ganhar importância no cenário global, a LGPD e a GDPR desempenham papeis centrais na proteção dos direitos dos indivíduos e na definição de práticas empresariais responsáveis em um mundo cada vez mais digital e interconectado.
[1]Graduanda em Direito pela Universidade de Brasília. Ex-presidente e membro do Conselho de Representantes. Colaboradora-discente do projeto de extensão HABEAS LIBER, sediado na Faculdade de Direito da Universidade de Brasília. Foi monitora de Teoria Geral do Processo 2, ministrada pelo docente Vallisney de Souza Oliveira e Sociologia Jurídica, por Alexandre Veronese na Faculdade de Direito da Universidade de Brasília. Coordenadora e pesquisadora do Centro de Estudos Constitucionais Comparados (CECC/UnB) e Pesquisadora voluntária do grupo de pesquisa ‘Direito, gênero e Famílias (CNPq/UnB).
[2]This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data. (EUROPEAN UNION. General data protection regulation (GDPR). Disponível em: <https://gdpr-info.eu/>.)1. This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data. (EUROPEAN UNION. General data protection regulation (GDPR). Disponível em: <https://gdpr-info.eu/>.)
³The free movement of personal data within the Union shall be neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. (EUROPEAN UNION. General data protection regulation (GDPR). Disponível em: <https://gdpr-info.eu/>.)
[3] Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I – confirmação da existência de tratamento; II – acesso aos dados; III – correção de dados incompletos, inexatos ou desatualizados; (LEI No 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>.)
[4] Art. 12. Transparent information, communication and modalities for the exercise of the rights of the data subject.1The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. 2In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject. (EUROPEAN UNION. General data protection regulation (GDPR). Disponível em: <https://gdpr-info.eu/>.)
[5] Art.51. Supervisory Authority. ¹Each Member State shall provide for one or more independent public authorities to be responsible for monitoring the application of this Regulation, in order to protect the fundamental rights and freedoms of natural persons in relation to processing and to facilitate the free flow of personal data within the Union (‘supervisory authority’). (EUROPEAN UNION. General data protection regulation (GDPR). Disponível em: <https://gdpr-info.eu/>.)
[6] Art. 55-A. Fica criada a Autoridade Nacional de Proteção de Dados (ANPD), autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal. (Redação dada pela Lei nº 14.460, de 2022) (LEI No 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>.)
[7] Art. 5º Para os fins desta Lei, considera-se: (…) VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019) (LEI No 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>.)
[8] Art. 83. General conditions for imposing administrative fines. ¹Each supervisory authority shall ensure that the imposition of administrative fines pursuant to this Article in respect of infringements of this Regulation referred to in paragraphs 4, 5 and 6 shall in each individual case be effective, proportionate and dissuasive. 5. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher (…) (EUROPEAN UNION. General data protection regulation (GDPR). Disponível em: <https://gdpr-info.eu/>.)
[9] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (LEI No 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>.)
[10] Art.9. Processing of Special Categories of Personal Data. 1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. (EUROPEAN UNION. General data protection regulation (GDPR). Disponível em: <https://gdpr-info.eu/>.)
