LGPD e GDPR: quais as diferenças e semelhanças?

Eu tive a oportunidade de trabalhar na Espanha e me lembro claramente de uma aula sobre conformidade empresarial realizada em dezembro de 2016 pelo ICAM – Ilustre Colégio de Abogados de Madrid (uma instituição comparável a OAB/RJ). Vale lembrar que o General Data Protection Regulation (GDPR) – Regulamento Geral sobre aProteção de Dados da União Europeia – fora adotado em abril de 2016 com data de vigência para maio de 2018.

Antes do GDPR vigorava a Diretiva de Proteção deDados de 1995, que obrigou todos os Estados Membros do Bloco a criar legislação na área. Assim, a proteção de dados estava longe de ser algo novo para meus colegas espanhóis. Em determinado momento a colega que ministrava o curso mencionou o GDPR, listando os direitos, obrigações e procedimentos criados.  Houve uma grande discussão sobre alguns detalhes técnicos e muitas dúvidas. Porém, a maioria dos presentes concordou: essa lei iria requerer mudanças significativas nos sistemas e na cultura das empresas. O tempo era curto.

Mas, o que é o GDPR?

A União Europeia está estruturada como uma entidade que tem o poder de editar leis e existem diferentes tipos de instrumentos legais disponíveis. Os instrumentos mais conhecidos são as diretivas e os regulamentos.

A diretiva é uma lei que estipula que cada país deverá criar regras, procedimentos e estruturas para atingir determinadas metas e objetivos. Cada Estado irá criar ou adaptar suas leis seguindo seus próprios processos e regras internas, mas com a finalidade de “copiar” da melhor forma possível o estabelecido pela diretiva. Esse processo costuma ser chamado de transposição.

O regulamento não depende de qualquer ato dos Estados. Assim, quando um regulamento entra em vigor, todos os países da União devem observar exatamente o que foi estipulado nesse instrumento. O regulamento em vigor passa a fazer parte do sistema jurídico de um país como se fosse uma lei realmente criada nesse país.

Existem diferenças mais técnicas, como o momento em que há efeito direto vertical, mas não é o objetivo aqui discuti-las.

O GDPR é um regulamento que busca proteger os dados pessoais dos indivíduos e simplificar as regras europeias sobre a transferência desses dados entre empresas e países. No dia em que entrou em vigor, o GDPR passou a ser aplicado em trinta e um[1] países e afastou[2] todas as leis que fossem incompatíveis. Esse é um detalhe importantíssimo, pois a legislação editada pela União Europeia tem hierarquia superior às leis internas dos Estados-Membros, inclusive suas normas constitucionais.

Desde maio de 2018 existem juízes, legisladores e habitantes de diferentes países usando o GDPR. Um tribunal superior em Berlin e um juiz de primeira instância em Bucareste julgam com base na mesma lei. A Europa, de qualquer forma, já tinha um histórico na produção de leis na área da proteção de dados, sendo o GDPR um capítulo muito importante na ampliação das proteções e na organização dos mecanismos de supervisão.

Mas, e por que as pessoas têm falado tanto do GDPR? O Brasil definitivamente não é membro da União Europeia.

A Lei Geral de Proteção de Dados Pessoais(LGPD) brasileira, que entra em vigor agora, possui semelhanças com o GDPR.  Inclusive, não é difícil perceber que muitos artigos da LGPD possuem clara inspiração na lei europeia. Por exemplo, no RECURSO ESPECIAL Nº 1.348.532 – SP de outubro de 2017, o Ministro Luiz Felipe Salomão, numa breve análise de direito comparado, faz referência direta ao Regulamento europeu e destaca que o conteúdo do artigo 5º, “(...)daquele documento (GDPR) consagra, entre os princípios fundamentais relativos aos dados pessoais, que a recolha dos dados somente poderá existir com fins específicos, além de estabelecer a minimização dos dados (apenas aquilo que for estritamente necessário), sempre para um fim concreto, além de estabelecer que referido processo seja transparente, leal e lícito.”  

A LGPD por sua vez, no artigo 6º, determina que o tratamento de dados pessoais deverá observar diversos princípios, dentre eles os princípios da finalidade, necessidade e transparência. O tratamento deve ser realizado para fins legítimos, específicos, explícitos e informados ao titular

 A similaridade é inegável e ela ocorre em diversos outros artigos. Inclusive, há uma identidade de objetivos, pois ambas querem proteger dados pessoais de indivíduos e apontam uma série de medidas para se garantir a segurança desses dados. A Europa fornece um conhecimento importante sobre como aspectos da LGPD podem ser interpretados e aplicados. Um Juiz brasileiro pode buscar o entendimento de como uma lei similar a uma norma brasileira está sendo utilizada em outro lugar. Dessa forma, recorrer ao GDPR não é uma estratégia equivocada, pois conhecê-lo é saber como conceitos da LGPD estão sendo empregados em mais de vinte países.

E quais são as semelhanças e diferenças entre as duas leis? 

Seria impossível discutir todas as semelhanças e diferenças entre elas num breve artigo. Há alguns pontos interessantes. Por exemplo, o GDPR tem cento e setenta e três consideradas e noventa e nove artigos. A LGPD, entretanto, não possui considerandas e tem apenas sessenta e cinco artigos.

O consideranda pode ter funções diversas, como apresentar um contexto sobre um artigo ou dar maiores explicações sobre como entender um outro dispositivo. Essa relação pode ser observada no vínculo do artigo 9º com o consideranda 51. A definição de dado pessoal sensível é feita no artigo 9º do GDPR e inclui informações biométricas quando usadas para identificar indivíduos de forma inequívoca. É muito comum perguntarem se uma foto seria um dado pessoal sensível, já que a foto é fonte de informações biométricas que podem ser utilizadas para a identificação de pessoas de forma inequívoca. Segundo o consideranda 51, o tratamento de uma foto não deveria ser automaticamente considerado tratamento de dados pessoais sensíveis e há explicações de como se deve proceder. Para a LGPD o dado pessoal sensível está definido no artigo 5º,II[3] e é quase uma cópia do dispositivo do GDPR, mas não há um consideranda relacionado. Na LGPD, a foto é um dado pessoal sensível?

 É muito importante que você se lembre que o consideranda não é um artigo da lei e os tribunais podem desconsiderá-lo. Porém, a prática é que os juízes usem os considerandas como um instrumento para interpretar e aplicar as normas.

Outra diferença interessante é com o sistema de supervisão. A LGPD cria a Autoridade Nacional de Proteção de Dados (ANPD) dispondo de apenas um artigo, o 55-A. Ele determina a criação do órgão, define sua composição, a competência, o poder sancionador exclusivo e as receitas.

O GDPR não. São dois capítulos e mais de dez considerandas. O Regulamento não se preocupa apenas com a criação de uma Autoridade de Proteção em cada país, mas também com a relação entre essas autoridades. Imagine a seguinte situação, que não é incomum:  dados pessoais de espanhóis são tratados na Holanda, por uma empresa sediada na França e com sócios da Irlanda e da Grécia. Ocorre uma violação de dados pessoais. Um espanhol afetado que mora na Bélgica e trabalha em Luxemburgo, faz uma reclamação para a autoridade Luxemburguesa.  Qual é a autoridade competente? Mais de uma? O GDPR tem regras para definir a resposta e, se não houver acordo entre as autoridades, elas podem recorrer ao European Data Protection Board (EDPB) – Comitê Europeu para a Proteção de Dados.  

O Comitê foi criado pelo GDPR e tem como objetivo principal buscar uma aplicação consistente do Regulamento nos países da União Europeia. É uma entidade que produz uma quantidade substancial de opiniões e referências sobre diversos aspectos da legislação de proteção de dados na Europa. Esse Comitê também funciona como mediador entre as autoridades dos diferentes países e tem mais de vinte atribuições. Em maio de 2018 o EDPB substituiu o Working Party 29 (WP29), que foi uma entidade criada pela Diretiva de Proteção de Dados de 1995 e que publicou muito material sobre a sua aplicação. 

Veja a complexidade do sistema, pois cada Estado-Membro analisa a mesma lei com a sua própria autoridade de proteção e com o seu próprio judiciário. A União Europeia, por seu lado, supervisiona a aplicação uniforme do Regulamento e possui mecanismos eficazes para exigir conformidade de todos os países. Contudo, vale ressaltar que um dos principais fins da adoção do GDPR é justamente harmonizar as regras de proteção de dados no Bloco. 

Outro ponto de similaridades e diferenças está em como as leis definem as responsabilidades dos controladores e operadores (ou processadores para o GDPR). Existem procedimentos com nomes similares e que buscam, em última análise, os mesmos resultados. O relatório de impacto de proteção de dados pessoais (RIPD), a notificação de ocorrência de violação de dados pessoais, o registro de operações de tratamento e a nomeação da mais nova celebridade empresarial – o Data Protection Officer (DPO) sãor egulados nas duas leis.  

Se nos focarmos no relatório de impacto, o artigo 5º, XVII da LGPD define RIPD como, “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.”  Segundo o artigo 10, a ANPD poderá solicitar um relatório de um controlador quando o tratamento de dados for baseado no legítimo interesse. O artigo 38, por outro lado, estabelece que a ANPD poderá, a qualquer momento, determinar que um controlador elabore um relatório de impacto. A lei brasileira foi econômica na regulação do RIPD e o seu tratamento desorganizado gera discussões sobre a obrigatoriedade de sua criação e sobre o seu conteúdo. Além disso, dada a inexistência de uma autoridade nacional, não há diretrizes ou procedimentos oficiais que possam auxiliar o controlador.  

O GDPR tem uma seção e mais de cinco considerandas dedicados ao RIPD. O controlador deverá fazer um relatório de impacto sempre que o tratamento de dados pessoais possivelmente resulte em alto risco aos direitos e liberdades dos indivíduos. O Regulamento define três casos em que há presunção de alto risco e os considerandas funcionam como um guia que complementa o disposto nos artigos. O controlador que não tenha certeza sobre como analisar se o seu tratamento possivelmente resultará em alto risco, poderá, dentre outras opções: buscar explicações no site da autoridade de proteção inglesa[4]; usar metodologias e um modelo de relatório criados pela autoridade francesa[5]; contrastar tudo com o que diz a autoridade irlandesa[6]; e estudar o documento[7] produzido pelo WP29 – Diretrizes sobre o relatório de proteção de dados e sobre determinar se o processamento de dados"possivelmente resulta em um alto risco" para os fins do GDPR. 

E o que significa tudo isso? 

Existem diferenças entre a LGPD e o GDPR, mas há muitas semelhanças e em pontos importantes. É sempre bom lembrar que al ei brasileira está baseada não apenas no GDPR, mas também na evolução histórica do direito nessa área, que hoje tem o Regulamento europeu como o seu destaque. Dessa forma, se você trabalha com a LGPD ou será afetado/a por ela e tem dúvidas sobres ua aplicação, busque o Regulamento europeu. Ao trabalhar com o GDPR você poderá ver como dezenas de autoridades de proteção e juízes estão interpretando conceitos que podem se ajustar ao seu caso.


[1]Vinte oito países da União Europeia (incluindo o Reino Unido) e Islândia, Noruega e Lichtenstein.

[2] A legislação da União Europeia não revoga as leis dos Estados Membros, mas suspende sua efetividade.

[3] “Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

[4] Information Commissioner´s Office –ICO https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/

[5] Commission Nationale deL’Informatique et des Libertés – CNIL https://www.cnil.fr/en/privacy-impact-assessment-pia

[6] Data Protection Commission –DPC https://www.dataprotection.ie/en/dpc-guidance

[7]https://ec.europa.eu/newsroom/document.cfm?doc_id=47711

____________________________________________________________________________________________________________________________________

Quer aprender o que é a LGPD e como ela pode auxiliar profissionais e empresas a se posicionarem melhor no mercado? Acesse o curso PROTEÇÃO DE DADOS (LGPD) FUNDAMENTALS.

 

Blog Post escrito por:
Lawrence King