Você já sabe que a Lei Geral de Proteção de Dados (13.709/2018) foi criada para proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade do titular de dados.
Por outro lado, você também já deve ter ouvido falar que a LGPD foi diretamente inspirada na GDPR (General Data Protection Regulation), a lei europeia de proteção de dados que passou a vigorar em maio de 2018. Contudo, não pense que a GDPR serve apenas como uma inspiração para a criação da LGPD no Brasil. Na verdade, a GDPR tem vigência, ainda que em território brasileiro.
Portanto, se você tem um aplicativo, uma startup ou uma empresa que trabalha com dados internacionais de clientes, é importante ficar atento e estar em compliance com esta legislação, pois, as consequências de um tratamento de dados inadequado de um cliente europeu, pode custar caro para o seu negócio.
Por isso, estou aqui para te mostrar algumas diferenças que a LGPD tem com relação à GDPR, para que você, que já está em compliance com a LGPD, fique de olhos abertos quanto à adequação à lei internacional, caso o manuseio de dados internacionais esteja presente no dia a dia da sua empresa.
Tratamento de dados de menores de idade
A primeira diferença significativa que sua empresa, aplicativo ou startup precisa ficar de olho quando o assunto é titular de dados europeu:
A LGPD estabeleceu que, obrigatoriamente, menores de 18 anos devem ter o consentimento dos responsáveis legais para que aconteça o tratamento de dados.
A GDPR, por sua vez, aceita o consentimento fornecido diretamente pelos menores que têm até 16 anos, sendo que, abaixo desta idade, exige-se o consentimento dos responsáveis legais do menor para que este tenha seus dados manuseados e tratados.
Logo, fique atento a esse detalhe que faz toda diferença na gestão do consentimento do titular do dado.
Leia também: Whatsapp e a LGPD: principais cuidados que a sua empresa deve ter | Amanda Michelin
Políticas de governança e proteção de dados nas empresas
A LGPD faculta às empresas controladoras de dados a implementação de políticas de governança.
Isso significa que não é requisito legal que a empresa, após sua adequação à LGPD, passe conhecimentos básicos sobre a lei para todos os seus setores, haja vista que todos de alguma forma lidam com informações de clientes, sejam dados financeiros, comerciais ou para a realização de ações de marketing.
Entretanto, aos olhos da GDPR, a empresa é obrigada a implementar um programa de governança e privacidade de dados sim, sendo que, por ser controladora de dados pessoais, as empresas devem adotar a medidas técnicas e de organização necessárias para um tratamento de dados de acordo com o que estabelece a lei de proteção de dados europeia.
Leia também: Sanções da LGPD, veja quais são e como evitar
Transferência internacional de dados
Quando o assunto é transferência internacional de dados, a LGPD estabelece diretrizes genéricas que devem ser observadas pelas autoridades nacionais para proceder o tratamento.
Dessa forma, a transferência internacional de dados é permitida, mas apenas para aqueles países que seguem as diretrizes de proteção de dados pessoais de acordo com as diretrizes previstas.
Para a GDPR, a autorização para a transferência internacional de dados é fornecida pelo comitê europeu, o qual dará o aval para a realização da transferência apenas países que tenham um nível de proteção e privacidade de dados adequado.
Leia também: Qual a diferença entre os termos de uso e a política de privacidade
LGPD X GDPR e o número de bases legais
Outro tema que confere mais um ponto de divergência entre a LGPD e a GDPR é o número de bases legais.
As bases legais são as justificativas permitidas por lei que as empresas têm para, de acordo com seus objetivos, coletar e tratar os dados pessoais.
Por exemplo: Na LGPD, vivenciamos na prática que, após o fornecimento dos nossos dados a determinado site, normalmente continuamos recebendo todas as ações de marketing do mesmo site.
Isso justamente porque a LGPD permite que a empresa use o legítimo interesse para fundamentar as ações de marketing, sem precisar coletar o consentimento do titular para isso.
O legítimo interesse é uma das 10 bases legais das quais a empresa pode se utilizar para legitimar a coleta e manuseio dos dados pessoais.
Por outro lado, na GDPR, existem apenas 6 bases legais.
Ou seja, aqui no Brasil a LGPD prevê 4 situações a mais que legitimam o tratamento de dados pessoais. São elas:
- Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Exercício regular de direitos em processos judicial, administrativo ou arbitral;
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Proteção do crédito;
Leia também: LGPD e Contratos: a importância da revisão de contratos para a adequação à LGPD
Até aqui você viu algumas das diferenças existentes entre a LGPD e a GDPR. Porém, existem diversas outras que, se não forem tratadas com a especificidade de cada lei, podem levar a sua empresa a ter dores de cabeça a nível internacional.
Se você tem uma empresa que trata de dados de clientes internacionais e precisa de uma advogada especialista em LGPD para te ajudar a encarar a proteção de dados da sua empresa de forma mais segura e não sabe por onde começar, solicite um diagnóstico comigo e darei a você a solução completa para que a sua empresa esteja em total compliance tanto com a LGPD como com a GDPR.