Se sua empresa atende clientes no Brasil e na Uniao Europeia, voce esta sujeito a dois dos marcos regulatorios de protecao de dados mais relevantes do mundo: a Lei Geral de Protecao de Dados Pessoais (LGPD, Lei n. 13.709/2018) e o Regulamento Geral sobre a Protecao de Dados (GDPR/RGPD) europeu. Embora ambas as leis tenham objetivos semelhantes e a LGPD tenha sido influenciada pelo GDPR, existem diferencas significativas que afetam diretamente a estrategia de conformidade da sua empresa. Este guia compara os dois marcos para ajuda-lo a construir uma abordagem integrada.
Origens e fundamentos
GDPR. Adotado em 2016 e em vigor desde maio de 2018, o GDPR e um regulamento diretamente aplicavel em todos os 27 Estados-membros da Uniao Europeia. Ele parte do principio de que a protecao de dados e um direito fundamental (Artigo 8 da Carta dos Direitos Fundamentais da UE). E prescritivo, detalhado e acompanhado de um vasto corpo de jurisprudencia e orientacoes das autoridades nacionais.
LGPD. Aprovada em 2018 e em vigor desde setembro de 2020, a LGPD foi amplamente inspirada no GDPR, mas adaptada ao contexto juridico brasileiro. Ela incorpora elementos do Codigo de Defesa do Consumidor, do Marco Civil da Internet e da Constituicao Federal (Artigo 5, incisos X e XII). A ANPD, criada em 2020, ainda esta em processo de construcao do arcabouco regulatorio completo.
Ambito de aplicacao
Quem e protegido
GDPR : Qualquer pessoa natural (titular dos dados) que se encontre na Uniao Europeia, independentemente de sua nacionalidade ou residencia.
LGPD : Qualquer pessoa natural cujos dados pessoais sejam tratados em operacoes realizadas no territorio brasileiro, que visem a oferta de bens ou servicos a individuos no Brasil, ou que envolvam dados coletados no Brasil (Artigo 3).
Quais empresas devem se conformar
GDPR : Qualquer organizacao, em qualquer lugar do mundo, que trate dados pessoais de individuos na UE, desde que ofereca bens ou servicos a residentes da UE ou monitore seu comportamento (Artigo 3). Sem limiar de faturamento ou volume de dados.
LGPD : Qualquer organizacao, em qualquer lugar do mundo, que realize operacoes de tratamento de dados nas condicoes do Artigo 3. Igualmente sem limiar de faturamento.
Ambas as leis tem alcance extraterritorial, o que significa que empresas fora do Brasil ou da UE podem ser obrigadas a cumpri-las. Para compreender em detalhe as obrigacoes da LGPD, consulte nosso guia completo da LGPD.
Bases legais para tratamento
Esta e uma das areas onde as duas leis mais se assemelham, mas com diferencas importantes.
GDPR : Seis bases legais (Artigo 6) — consentimento, execucao de contrato, obrigacao legal, interesses vitais, tarefa de interesse publico e interesses legitimos.
LGPD : Dez bases legais (Artigo 7) — as seis do GDPR mais protecao do credito, protecao da saude, realizacao de estudos por orgaos de pesquisa e exercicio regular de direitos.
| Base legal | GDPR | LGPD |
|---|---|---|
| Consentimento | Artigo 6(1)(a) | Artigo 7, I |
| Obrigacao legal | Artigo 6(1)(c) | Artigo 7, II |
| Execucao de contrato | Artigo 6(1)(b) | Artigo 7, V |
| Interesse legitimo | Artigo 6(1)(f) | Artigo 7, IX |
| Protecao da vida | Artigo 6(1)(d) | Artigo 7, VII |
| Tarefa publica | Artigo 6(1)(e) | Artigo 7, III |
| Protecao do credito | Nao previsto | Artigo 7, X |
| Protecao da saude | Incluido em interesses vitais | Artigo 7, VIII (base autonoma) |
| Pesquisa | Incluido em tarefa publica | Artigo 7, IV (base autonoma) |
| Exercicio de direitos | Incluido em obrigacao legal | Artigo 7, VI (base autonoma) |
A LGPD e mais granular nas bases legais, criando bases autonomas para situacoes que o GDPR trata como subcategorias de bases mais amplas.
Consentimento
GDPR : Deve ser livre, especifico, informado e inequivoco (Artigo 7). O onus da prova recai sobre o controlador. O consentimento para dados sensiveis deve ser explicito (Artigo 9).
LGPD : Deve ser livre, informado e inequivoco, fornecido por escrito ou por outro meio que demonstre a manifestacao de vontade do titular (Artigo 8). Para dados sensiveis, o consentimento deve ser especifico e em destaque (Artigo 11).
As diferencas praticas sao sutis mas relevantes. O GDPR exige que o consentimento seja “especifico” para cada finalidade, enquanto a LGPD exige que seja “para finalidades determinadas.” A LGPD tambem especifica que o consentimento dado por escrito deve constar de clausula destacada das demais clausulas contratuais.
Direitos dos titulares
Ambas as leis conferem um conjunto robusto de direitos, mas com diferencas notaveis:
| Direito | GDPR | LGPD |
|---|---|---|
| Acesso | Artigo 15 | Artigo 18, I e II |
| Retificacao | Artigo 16 | Artigo 18, III |
| Apagamento | Artigo 17 (direito ao esquecimento) | Artigo 18, IV (anonimizacao, bloqueio ou eliminacao) |
| Portabilidade | Artigo 20 | Artigo 18, V |
| Oposicao | Artigo 21 | Artigo 18, IV (parcialmente) |
| Revisao de decisoes automatizadas | Artigo 22 | Artigo 20 |
| Informacao sobre compartilhamento | Implicito nos Artigos 13-14 | Artigo 18, VII (direito explicito) |
| Prazo de resposta | 1 mes (extensivel a 3) | 15 dias para confirmacao; prazo razoavel para demais |
Uma diferenca notavel: a LGPD garante explicitamente o direito a informacao sobre entidades com as quais os dados foram compartilhados (Artigo 18, VII), enquanto o GDPR trata isso como parte das obrigacoes de transparencia. A LGPD tambem preve o direito a revisao de decisoes automatizadas (Artigo 20), mas sem a exigencia de intervencao humana que o GDPR estabelece no Artigo 22.
Dados sensiveis
GDPR : Categorias especiais de dados (Artigo 9) — origem racial ou etnica, opinioes politicas, conviccoes religiosas, filiacao sindical, dados geneticos, biometricos, de saude, vida sexual ou orientacao sexual. O tratamento e proibido, salvo excepcoes especificas.
LGPD : Dados sensiveis (Artigo 5, II) — origem racial ou etnica, conviccao religiosa, opiniao politica, filiacao a sindicato ou organizacao religiosa, filosofica ou politica, dados de saude, vida sexual, dados geneticos ou biometricos.
As categorias sao similares, mas nao identicas. A LGPD inclui “conviccao filosofica” e “filiacao a organizacao filosofica ou politica,” que nao tem equivalente direto no GDPR. O GDPR inclui explicitamente “opinioes politicas,” enquanto a LGPD usa “opiniao politica.”
Transferencias internacionais
GDPR : Transferencias fora do EEE exigem decisao de adequacao, clausulas contratuais-padrao (CCPs), regras corporativas vinculantes (BCRs) ou outro mecanismo aprovado (Capitulo V). O processo e rigido e bem regulamentado.
LGPD : O Artigo 33 lista varias hipoteses para transferencia internacional, incluindo paises com nivel adequado, clausulas contratuais especificas, clausulas-padrao, normas corporativas globais e consentimento especifico. A ANPD ainda esta regulamentando os mecanismos, e o arcabouco nao esta tao desenvolvido quanto o europeu.
Na pratica, as empresas que ja possuem CCPs do GDPR podem adapta-las para a LGPD, mas devem aguardar a regulamentacao final da ANPD para garantir conformidade plena.
Sancoes e aplicacao
| Aspecto | GDPR | LGPD |
|---|---|---|
| Multa maxima | 20 M EUR ou 4% do faturamento global | R$ 50 milhoes ou 2% do faturamento no Brasil |
| Base de calculo | Faturamento global | Faturamento no Brasil (nao global) |
| Autoridade | DPAs nacionais (CNIL, etc.) | ANPD |
| Poder sancionatorio direto | Sim | Sim |
| Sancoes nao pecuniarias | Proibicao de tratamento | Bloqueio, eliminacao, suspensao, proibicao |
| Direito de acao privada | Sim (Artigo 82) | Sim (Codigo Civil + CDC) |
O GDPR tem sancoes pecuniarias potencialmente muito maiores (base global vs base Brasil). Porem, a LGPD oferece sancoes nao pecuniarias severas — a suspensao ou proibicao de atividades de tratamento pode ser mais devastadora para uma empresa do que uma multa financeira.
DPO / Encarregado
GDPR : Obrigatorio para autorites publicas, monitoramento sistematico em larga escala, ou tratamento de dados sensiveis em larga escala (Artigo 37).
LGPD : Obrigatorio para todos os controladores (Artigo 41). A ANPD pode estabelecer dispensa para agentes de pequeno porte.
A LGPD e mais ampla nesta exigencia: enquanto o GDPR limita a obrigatoriedade a situacoes especificas, a LGPD a impoe como regra geral.
Estrategia para empresas bi-jurisdicionais
1. Parta do GDPR. As exigencias europeias sao geralmente mais restritivas. Uma conformidade solida com o GDPR cobre a maioria das obrigacoes da LGPD.
2. Acrescente os elementos especificos da LGPD. As quatro bases legais adicionais, o prazo de resposta de 15 dias para confirmacao, o direito explicito a informacao sobre compartilhamento, e as sancoes nao pecuniarias exigem atencao especifica.
3. Adapte a base de calculo das sancoes. O GDPR calcula sobre o faturamento global; a LGPD sobre o faturamento no Brasil. Isso pode afetar sua analise de risco.
4. Acompanhe a ANPD. A autoridade brasileira ainda esta construindo seu arcabouco regulatorio. Regulamentacoes sobre transferencias internacionais, relatorios de impacto e criterios de adequacao estao em desenvolvimento.
5. Documente tudo. Registros de tratamento (GDPR Artigo 30), registros de incidentes (ambos), e registros de solicitacoes de titulares (ambos) sao essenciais para demonstrar conformidade.
Para verificar a conformidade do seu site em segundos, utilize o nosso scanner de conformidade gratuito. Para aprofundar, consulte o nosso guia completo da LGPD e o nosso guia sobre a politica de privacidade LGPD.
Conclusao
A LGPD e o GDPR compartilham origens e objetivos, mas diferem em detalhes que importam na pratica. A LGPD tem mais bases legais, um escopo mais amplo para o DPO, e sancoes nao pecuniarias potencialmente mais severas. O GDPR tem sancoes financeiras maiores, direitos dos titulares mais detalhados e um arcabouco regulatorio mais maduro. Para empresas que operam nas duas jurisdicoes, a abordagem mais eficaz e construir sobre a conformidade com o GDPR e complementar com as especificidades da LGPD. A inacao nao e uma opcao: os riscos regulatorios nos dois lados do Atlantico continuam a crescer.