No geral, a Lei Geral de Proteção de Dados Pessoais (LGPD) e a General Data Protection Regulation (GDPR) são muito próximas. Afinal, a lei brasileira foi baseada na europeia. No entanto, existem algumas diferenças e considerações importantes para profissionais do compliance entenderem.

Abrangência

O principal fator, e o mais óbvio, é que, por ser uma legislação europeia, a princípio é referente a mais países. No entanto, a LGPD também foi razoavelmente abrangente no que diz respeito a quem pode ser afetado por ela.

Essa lei afeta todos aqueles que possuam alguma etapa do processo de tratamento de dados no Brasil. Ou seja, mesmo que a empresa seja do exterior, se o titular dos dados for brasileiro, a Lei se aplica a ela.

Já a GDPR é semelhante. Todas as empresas que tenham alguma parte do processo de tratamento dos dados na União Europeia terão que se adequar às normas dela. Ou seja, empresas brasileiras agora precisam se preocupar com a LGPD, e a GDPR se eles forem o detentor dos dados, o controlador ou o titular.

O texto

O texto das leis também é muito parecido. A grande diferença é que a LGPD é muito mais curta e muito menos específica. Por exemplo, a GDPR usa exemplos para explicar situações enquanto a LGPD deixa cenários mais abertos.

Outra coisa deixada em aberto pela lei brasileira é o prazo para entregar solicitações à autoridade competente (no nosso caso, a ANPD, provavelmente). Ela simplesmente diz “em um prazo razoável”. Já a Lei Europeia especifica que a entrega deve ser feita em, no máximo, 72 horas.

Quando o tratamento de dados é considerado legal?

Outra diferença importante que costuma ser citada é as hipóteses de legalidade. São os momentos em que é considerado legal fazer o tratamento de dados, independente das considerações da lei. 

Hipóteses de legalidade LGPD:

• Mediante o fornecimento de consentimento pelo titular (deve atender a uma finalidade específica e pode ser retirado a qualquer momento).
• Para o cumprimento de obrigação legal ou regulatória pelo controlador.
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas (por meio da previsão legal ou contratual).
• Para a realização de estudos por órgão de pesquisa (garantida, sempre que possível, a anonimização dos dados pessoais).
• Quando necessário para a execução de contrato ou de procedimentos relacionados a contrato do qual o titular seja parte (caso solicitado).
• No exercício regular de direitos em processo judicial, administrativo ou arbitral.
• Para a proteção da vida ou da integridade física (do titular ou de terceiro).
• Para a tutela da saúde (em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias).
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (devendo observar se os interesses são razoáveis e como eles afetam os direitos e liberdades fundamentais do titular).
• Para a proteção do crédito.

Na GDPR, as hipóteses de legalidade são as mesmas, tirando a última, em situações de proteção de crédito.

Faço meu programa de compliance digital baseado na GDPR ou na LGPD?

Como vimos, a GDPR é mais rígida e bem detalhada do que a LGPD. Além disso, empresas brasileiras em muitos casos terão que estar em compliance com a GDPR também. Por isso, recomendamos basear a atuação e os processos da sua empresa na legislação europeia.
No entanto, não deixe de conhecer bem a brasileira, porque ela pode conter algumas pequenas particularidades.