Home / Cyber Security / O que diz a Lei de Proteção de Dados? LGPD e GDPR.
lei de Proteção de Dados LGPD e GDPR.
lei de Proteção de Dados LGPD e GDPR.

O que diz a Lei de Proteção de Dados? LGPD e GDPR.

Afinal, o que é lei de proteção de dados? LGPD e GDPR? Quais as semelhanças e diferenças? Informe-se sobre as regulações de dados e veja como se adequar.

Lei de Proteção de Dados tem sido um assunto bastante em voga nos últimos meses. Desde maio de 2018, está em vigência a regulação da União Europeia: GDPR. A partir de agosto de 2020, entrará em vigor a lei nacional: LGPD. De forma bem objetiva, Lei de Proteção de Dados é uma regulação sobre o tratamento de informações relativas às pessoas. O aquecimento do tema tem óbvia ligação com os momentos de vigências das leis supracitadas e também com a necessidade de segurança em ambiente digital. Sendo este último inflacionado pelos casos de violação e vazamento de dados.

Apesar de serem leis que visam proteção de dados e com várias semelhanças, elas possuem algumas diferenças. Talvez você tenha pensado que a principal – e óbvia –  diferença seja que uma vale na UE e outra no Brasil. Entretanto, a dinâmica não é tão simples assim. Ambas têm validade global, porque o critério de abrangência é relacionado aos cidadãos. As duas regulações têm aplicação extraterritorial. Ou seja, as regras e as sanções não são limitadas às fronteiras, sendo válidas para empresas que não tenham estabelecimentos em território da UE, para a GDPR, ou no território brasileiro, no caso da LGPD.

Quanto às diferenças, a GDPR protege cidadãos europeus, onde quer que estes estejam. Enquanto a LGPD protege cidadãos brasileiros, também onde quer que eles estejam. Outro aspecto diverso é sobre o tratamento de dados pessoais de crianças e adolescentes. A lei de proteção de dados brasileira exige consentimento dos responsáveis legais para menores de 18 anos. Já a lei europeia exige consentimento dos responsáveis para menores de 16 anos.

Há outras diferenças e semelhanças, mas apenas para exemplificar, a respeito da relação operador e controlador, as leis têm uma abordagem desigual. Para a LGPD, brasileira, a lei estabelece que o operador deverá realizar o tratamento de dados conforme a instrução do controlador, não há exigência de formalização por meio de contrato. Na européia, é previsto contrato ou outro ato jurídico que vincule o controlador ao operador.

1° artigo do 1° capítulo da Lei 13.709/18, a LGPD

Lei de Proteção de Dados do Brasil.

Como descreve o 1° artigo do 1° capítulo da Lei 13.709/18, a LGPD “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. Para atender ao objetivo de proteção e privacidade, a regulação aborda vários itens.

No texto da lei, os direitos dos titulares (pessoas a que se referem os dados) são abordados em diversos controles. Objeções, restrições, exclusões, portabilidade e decisões automatizadas são usados para processar dados com consentimento e transparência. A lei também tem o propósito de aumentar a confiança dos clientes e usuários nas empresas. Isso acontece porque ao cumprir a regulação, as organizações adequam-se aos critérios de segurança da informação e gestão eficiente.

Detalhando um pouco mais os direitos mencionados acima, os titulares podem, por exemplo, solicitar, que suas informações sejam deletadas do banco de dados ou portadas para outro operador ou controlador. Estas solicitações podem ocorrer a qualquer momento e devem ser atendidas pelo agente de tratamento. A LGPD também trata de decisões automatizadas. Neste quesito, refere-se ao fato de que os titulares não podem ficar sujeitos aos julgamentos decorrentes de decisões totalmente automatizadas.

A lei de proteção de dados brasileira não define especificamente as hipóteses em que o processamento totalmente automatizado de dados pode ocorrer. Ainda que viável o tratamento de dados em decisões automatizadas, os titulares têm o direito de pedir explicações aos agentes de tratamento. É possível também impugnar a decisão automatizada e obter a intervenção de pessoa natural, seja para rever a decisão ou para explicar porque ela é adequada. Logo, a manutenção depende de explicação sobre os propósitos pretendidos.


Lei de Proteção de Dados: alterações da Lei 13.709/18.

Além das informações acima, você pode aprofundar seus estudos lendo mais sobre a LGPD aqui no blog. Junto a isso, conhecer as alterações da Lei 13.709/18 também é útil para sua atualização sobre o tema.

A Medida Provisória 869/18, criada no dia 27 de dezembro de 2018, mudou a previsão de vigência da LGPD e criou a ANPD (Autoridade Nacional de Proteção de Dados). A alteração da data de vigor da lei é inclusive reflexo da criação da ANPD. Como a medida está vigente apenas desde 28 de dezembro de 2018, foi preciso respeitar os 24 meses de preparação e adaptação às novas regras. Logo, a LGPD, que tinha vigor previsto para fevereiro de 2020, valerá a partir de agosto de 2020.

Ainda sobre as alterações, a ANPD, que antes era projetada como uma entidade independente, será vinculada à Presidência da República, terá 5 diretores e um Conselho Nacional de Proteção de Dados, com 23 representantes de diversos setores.

ANPD

Lei de Proteção de Dados brasileira x Lei de Proteção de Dados europeia.

Uma forma simplificada de conhecer mais sobre a Lei de Proteção de Dados é comparar a lei brasileira com a europeia. Indo além dos tópicos apresentados na introdução, avançamos o comparativo com mais alguns pontos.

 

  • As sanções da GDPR podem chegar a 20 milhões de euros ou 4% do faturamento anual global, o que for maior. Na LGPD, as penalidades são de 2% do faturamento global anual, limitadas a 50 milhões de reais por infração.
  • A LGPD foi bastante inspirada na GDPR, tanto que o vigor da lei européia apressou o processo brasileiro de regulação. Isso aconteceu também porque a lei da UE inclui avaliação e validação da Comissão Européia sobre os países que podem ter relação com o cenário de dados de europeus. Em linhas gerais, sem a existência de um sistema de proteção e privacidade de dados no Brasil, seria inviável fazer negócio e tratar dados de europeus, incluindo empresas que têm ligação com a UE, mas sem unidade física na região. Por englobar dados digitais, sede européia não é condição de relação.
  • As organizações européias tiveram 24 meses de preparação e adequação. Inicialmente, o Brasil teria 18 meses. Porém, o prazo foi alterado para 24 meses com a MP 869/18. Mais sobre esta mudança no trecho sobre alterações.
  • A GDPR trata o Marketing Direto de forma específica e garante aos titulares o direito de opor-se ao tratamento de seus dados pessoais na relação de comercialização direta. Na LGPD, não há especificidades. No Brasil, são aplicadas as regras gerais.

LGPD, GDPR e ISO 27001.

Outro aspecto viável de comparação entre a Lei de Proteção de Dados brasileira e a européia é o uso da ISO 27001 como auxílio na implantação. ISO 27001 é um padrão para sistemas de gestão da segurança da informação, há várias congruências com as exigências das leis. A norma com valor internacional dispõe sobre gestão de dados por tratar de implantação, operação, monitoramento, análise, manutenção e melhoria da segurança. Portanto, o paralelo é nítido e pode ser melhor entendido com a leitura do texto que explica a ISO 27001 com mais detalhes.

Sobre Helio Cordeiro

mm
Bacharel em sistemas de informação e MBA executivo internacional pela Fundação Instituto de Administração FIA, é executivo sênior em gestão e consultoria pela DARYUS. Possui mais de 15 anos de experiência em segurança da informação, tecnologia e inovação, incluindo engenharia de software, cyber security, governança, gestão de riscos e compliance, através de projetos realizados nos Estados Unidos, Europa e América Latina.

Confira tambem

Episódio “Smithereens”, de Black Mirror: até onde vai o uso de dados pessoais?

Série retrata situação extrema em que dados pessoais são utilizados em prol de uma resolução …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *