Quais as semelhanças e diferenças entre a LGPD do Brasil e GDPR da UE?

Nos dois casos, organizações que não cumprirem regras estarão sujeitas a multas que podem comprometer a saúde dos negócios

O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia entrou em vigor no dia 25 de maio de 2018, exigindo que empresas sediadas e que atuam na União Europeia cumpram determinadas exigências sobre o uso de dados de terceiros.

Outros países adotaram uma abordagem semelhante à proteção de dados, e o Brasil adotou uma lei que rege a forma como as organizações coletam, usam e compartilham os dados de clientes. A Lei Geral de Proteção de Dados (LGPD) entrará em vigor em agosto de 2020, o que significa que as empresas terão pouco mais de um ano para garantir a conformidade com os requisitos relacionados ao processamento e administração de dados pessoais e sensíveis.

A LGPD se aplica a qualquer pessoa ou organização, quer pública ou privada, envolvida em atividades que coletem dados pessoais que sejam conduzidas no Brasil, ou com a finalidade de oferecer e/ou fornecer bens e serviços no País.

A regulamentação brasileira sobre proteção de dados tem alcance extraterritorial e será aplicada a empresas multinacionais que atendam a esses critérios, independentemente de onde a empresa esteja sediada.

De acordo com a LGPD, os dados pessoais podem ser coletados e usados com o mesmo objetivo pelos quais os dados foram originalmente coletados ou postados, que não requer o consentimento duplo da pessoa (informações de interesse público) ou para um propósito diferente, mas somente se o controlador dos dados tiver identificado uma base legal válida para uso (proteção da vida ou exigência legal e/ou regulatória).

Os pontos em comum e as distinções

Assim como o GDPR, o novo regulamento de proteção de dados do Brasil dispõe sobre a definição de dados pessoais para incluir todas as informações relacionadas a uma pessoa identificável e inclui restrições especiais relacionadas ao processamento de dados pessoais confidenciais, incluindo gênero, etnia, religião e biometria, apenas para citar alguns. No entanto, a LGPD inclui algumas distinções do regulamento de proteção de dados da UE.

Ao contrário do GDPR, na LGPD alguns dados confidenciais podem ser considerados "dados pessoais" em circunstâncias anormais quando usados para criação de perfil. Geralmente este tipo de dado está isento dos requisitos do regulamento. No entanto, o Artigo 12 estabelece que eles possam ser considerados “dados pessoais” quando é usado para melhorar, desenvolver ou, de outra forma, criar perfis comportamentais sobre indivíduos. Da mesma forma, a LGPD não fornece incentivos amplos para os dados “pseudoanonimizados”, que é o processo de separar os dados dos identificadores diretos para dificultar o processo de reidentificação dos indivíduos.

Para o GDPR, as empresas sediadas ou atuando na União Europeia tinham dois anos para se preparar, já as empresas no Brasil têm pouco mais de um ano e meio, desde a aprovação da lei até a sua entrada em vigor, para garantir a conformidade com os seus requisitos. Mas o mais importante é que a lei brasileira é menos descritiva e não contém uma introdução explicativa com diretrizes para interpretação da norma legal, o que poderia tornar a implementação da regulamentação uma tarefa ainda mais desafiadora.

As organizações que não cumprirem com a LGPD também poderão estar sujeitas a multas de quase US$ 12 milhões, ou até dois por cento da receita bruta da empresa no Brasil no exercício anterior, o que for maior, por cada violação. Comparativamente, se as empresas não cumprirem o GDPR, poderão receber multas de até 4% do faturamento global anual ou 20 milhões de euros - o que for maior.

Após um ano de GDPR, foram aplicadas cerca de €56 milhões em penalidades e mais de 64 mil notificações de vazamentos, sendo 280 dos casos fora da UE. Ao mesmo tempo, são mais de 375 mil empresas com registro formal de um Data Protection Officer (DPO) e mais de 500 mil com o planejamento em registrar um profissional responsável pelos dados.

Como as empresas globais podem defender a adoção dos regulamentos de proteção de dados?

As violações de dados tornaram-se comuns nos noticiários, com empresas de alto padrão, incluindo Marriott, British Airways e Amazon sendo vítimas de ataques cibernéticos, resultando na exposição de informações pessoais de milhares, ou até mesmo milhões, de clientes. A função dos regulamentos após as consequências de tais casos é crucial. Historicamente, as empresas esperaram meses, até anos, para divulgar uma violação de dados a seus clientes. Mas com o GDPR da UE, as empresas precisam informar seus clientes dentro de 72 horas. Caso contrário, eles poderão enfrentar possíveis multas severas.

As empresas acima mencionadas atuam no mundo todo, portanto é essencial que elas sejam criteriosas e responsáveis com o uso, a coleta e o compartilhamento dos diversos dados de seus clientes. Sua presença global pode ser um grande trunfo, e estas mesmas empresas podem defender a adoção mundial de regulamentações de proteção e privacidade de dados.

*Michele Ischiara é General Counsel para América Latina da Thales