A General Data Protection Regulation (GDPR) é a norma europeia que regula a proteção de dados pessoais na Europa e que deu origem à Lei Geral de Proteção de Dados (LGPD) no Brasil. Essas normas possuem a finalidade de preservar a privacidade das pessoas.
Imagine que uma pessoa vá a uma empresa para comprar um livro. As únicas informações que o vendedor precisaria para concluir a venda seriam o nome do livro para realizar a venda e dados necessários para emissão de nota fiscal (se não for o caso de emissão de cupom fiscal), quais sejam o nome completo, CPF e endereço.
No entanto, muitas vezes os vendedores pedem dados desnecessários, como data de aniversário, telefone, estado civil, etc.
Com esses dados desnecessários, os vendedores poderiam violar seu tempo de trabalho ou de descanso enviando e-mails, ligações, mensagens, normalmente, com finalidade comercial.
Essa violação de seu tempo através de dados coletados anteriormente para outro fim (venda de um livro especificamente) pode ser considerada uma violação de privacidade.
A GDPR e a LGPD vieram justamente para proteger a privacidade das pessoas buscando evitar que esta fosse violada.
Continue a leitura para entender mais! 😉
O que é o GDPR?
O GDPR é a conclusão de uma evolução de normas europeias voltadas para a privacidade e para a proteção de dados pessoais. Pouco antes da Segunda Guerra Mundial (1939-1945), a Alemanha fez um censo para conhecer melhor as pessoas que lá residiam.
As informações coletadas neste censo foram suficientes para discriminar os judeus, inicialmente isolando-os em guetos e matando milhões. Isso mostra uma das potenciais consequências da quantidade de informação que uma pessoa detém de outras.
Com isso, passou-se a dar maior importância às informações características das pessoas (dados que pudessem identificá-las e diferenciá-las de outras), bem como o que é feito com essas informações.
Várias cidades e países da Europa criaram normas próprias para a proteção de dados pessoais e valorização da privacidade das pessoas.
No entanto, a primeira norma feita para toda a União Europeia foi criada em 1995, a Diretiva 95/46/CE e estudos decorrentes dessa diretiva geraram a edição do Regulamento 679/2016, também conhecido como GDPR, que entrou em vigor efetivamente em 25 de maio de 2018.
Toda essa preocupação europeia e a importância dessas normas, em especial o GDPR fez com que países fora da União Europeia voltassem seus olhos para a proteção de dados e para a privacidade das pessoas.
Muitas empresas fora da União Europeia já deveriam se adequar a padrões de segurança, proteção de dados e privacidade para viabilizar fazer negócios com empresas sediadas na União Europeia.
Isso porque a GDPR se aplica a todas as empresas sediadas na União Europeia que tratam dados de pessoas da União Europeia, bem como também às empresas sediadas fora da União Europeia, mas que tratem de dados de pessoas da União Europeia.
Este foco na privacidade e proteção de dados gerou a criação da LGPD no Brasil em 2018, entrando em vigor parcialmente em 2020 e em sua totalidade em 2021.
Percebe-se, assim, que tanto a GDPR quanto a LGPD foram criadas com a clara intenção de mostrar que os dados e informações das pessoas não podem ser utilizados de forma indiscriminada e a sua limitação no tratamento decorre justamente da necessidade de dar privacidade às pessoas.
Leia também: Direitos autorais: quem é dono das produções criadas por inteligência artificial?
Os princípios da GPDR e na LGPD
O GDPR aponta seus princípios no seu artigo quinto, quais sejam:
- licitude, lealdade e transparência;
- finalidade;
- minimização;
- qualidade dos dados;
- conservação;
- segurança;
- e responsabilidade.
Os princípios da GPDR
Licitude, lealdade e transparência
O tratamento de dados deve ser feito dentro dos limites da lei, de forma correta mostrando o que é, e porque está sendo tratado.
Finalidade
O tratamento de dados apenas pode ser realizado para a finalidade específica apontada, não podendo ser utilizado para outras finalidades.
Minimização
O tratamento de dados deve ser adequado. Ou seja, utilizando-se o mínimo de dados necessários para se atingir a finalidade buscada.
Qualidade dos dados
Os dados tratados devem estar corretos e atualizados.
Conservação
Os dados apenas podem ser conservados com a pessoa que os está tratando pelo tempo necessário para o tratamento.
Segurança
A confidencialidade, a integridade e a disponibilidade dos dados devem ser observados, evitando violação dos dados, tratamento indevido e vazamento de dados.
Responsabilidade
A pessoa que trata os dados é responsável pelo seu tratamento adequado, sob pena de ser responsabilizado por qualquer incidente que afete os dados protegidos pelo GDPR.
Princípios da LGPD
A LGPD apresenta princípios semelhante no seu artigo sexto, confira:
- finalidade;
- adequação;
- necessidade;
- livre acesso;
- qualidade dos dados;
- transparência;
- segurança;
- prevenção;
- não-discriminação;
- responsabilização e prestação de contas.
Finalidade
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação
Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Livre acesso
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Qualidade dos dados
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Transparência
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Não discriminação
Impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos.
Responsabilização e prestação de contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Após uma breve leitura destes dois artigos, percebe-se que apesar de a LGPD nomear um número maior de princípios, o conteúdo, e o que representam, de ambas as normas se assemelha bastante.
Como a ideia é proteger os dados pessoais, garantir a privacidade das pessoas, pode-se ver que estes princípios buscam exatamente este objetivo.
Estes princípios têm a utilidade de nortear a interpretação e a aplicação da GDPR e LGPD e percebe-se que a proteção dos dados pessoais e da privacidade vem sempre em primeiro lugar.
Essa afirmação decorre de uma análise dos princípios, uma vez que se deve tratar o mínimo de dados possíveis para atingir a finalidade do tratamento buscado. Sendo certo que este tratamento apenas pode ser feito dentro de limites da normatividade, devendo serem descartados logo após cumprirem seu objetivo.
Os dados a serem tratados devem estar corretos e atualizados, viabilizando um tratamento adequado dos mesmos, garantindo aos titulares a possibilidade de sempre que necessário corrigi-los/atualizá-los.
Questões inerentes à segurança da informação também são trazidas ao determinar que os dados sejam tratados observando:
- a confidencialidade (apenas deve ter acesso aos dados quem tiver liberação para tanto;
- a integridade (os dados não podem ser alterados de forma retroativa, mantendo o tratamento como possuídos naquele momento);
- e a disponibilidade (os dados devem estar sempre disponíveis para quem os está tratando, bem como para o próprio titular).
Quando o tratamento não for adequado, e acabar por gerar qualquer incidente que afete os dados (a forma mais conhecida é a violação), o agente que estiver tratando os dados será responsabilizado.
Com isso pode-se observar que a ideia da GDPR e da LGPD é cuidar dos dados pessoais, seja inicialmente com a ideia do porquê tratar até hora de seu descarte, passando pela responsabilidade pelo mau tratamento.
Viva com liberadade
Quanto antes você contrata, menos você paga
Aproveitar desconto *Confira o regulamentoQuais diferenças existem entre a GPDR e na LGPD
Não é segredo para ninguém que a LGPD foi criada em decorrência da GDPR e foi praticamente toda nela embasada, mas existem diferenças entre elas.
Vamos apontar algumas dessas diferenças:
Local de aplicabilidade
Já foi demonstrado acima que a GDPR pode ser aplicada tanto na União Europeia, quanto fora dela, se o tratamento de dados for de cidadãos da União Europeia.
A LGPD trata isso de uma forma um pouco diferente: Não importa onde os dados estiverem, se forem tratados no Brasi: se aplica a LGPD.
Se o tratamento tiver como objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional: se aplica a LGPD. E por fim, se a coleta dos dados for feita no Brasil: se aplica a LGPD.
Relação Controlador e Operador
A GDPR é um pouco mais rigorosa que a LGPD, uma vez que esta apenas menciona que o Operador é aquele que age em nome do Controlador e deve seguir os limites e orientações impostos.
Já a GDPR aponta a necessidade de existir um contrato entre o Controlador e o Operador, explicitando a forma de tratamento que deve ser feita. Além disso, na GDPR o Operador é chamado de processor literalmente traduzido como Processador.
Bases legais para tratamento de dados pessoais
A LGPD possui 4 bases legais para tratamento de dados pessoais sensíveis que a GDPR, são eles:
- Proteção da saúde em um procedimento realizado por profissionais de saúde;
- realização de estudos por um órgão de pesquisa;
- exercício de direitos em processos judiciais;
- proteção ao crédito.
Tratamento de dados pessoais sensíveis
A LGPD permite o tratamento de dados sensíveis se a hipótese de tratamento se enquadrar numa das bases legais descritas no art. 11.
Apesar de a regra ser praticamente a mesma na GDPR, a forma com que o conteúdo foi exposto mostra uma diferença. O art. 9, item 1 fala que o tratamento de dados pessoais sensíveis é proibido, trazendo as exceções (ou bases legais) no art. 9º, item 2.
Transferência internacional de dados
Apesar de ambas as normas constarem restrições, a Autoridade Nacional de Proteção de Dados (“ANPD”), órgão regulamentador da LGPD no Brasil, ainda não regulamentou essa questão.
Ao passo que na GDPR para fazer essa transferência são necessários acordos e ajustes específicos, podendo estes acordos serem entre países ou entre as partes que estiverem fazendo a transferência internacional de forma direta.
Um exemplo desta regulamentação são as binding corporate rules, normas de obrigação criadas pela Autoridade Supervisora a serem obedecidas pelas partes.
Registro de tratamento de dados
Ambas as normas dispõem que o Controlador e o Operador devem fazer o Registro de Operações de Tratamento de dados (conhecido como RoPA). A Diferença reside no fato de a LGPD apenas falar que deve ser feito, sem explicar como deve ser feito e o que deve constar nele.
Ao passo que na GDPR aponta no artigo 30 vários requisitos que devem ter, como o propósito do tratamento, o tempo para eliminar os dados (quando possível). Provavelmente a ANPD ainda deverá regulamentar o RoPA fazendo constar como deve ser feito, em que momento deve ser feito e o que deve conter.
Relatório de Impacto sobre a Proteção de Dados (DPIA)
A LGPD afirma que a ANPD poderá solicitar ao Controlador/Operador um Relatório de Impacto à Proteção de Dados em alguns casos, como se a base legal para tratamento de dados for o legítimo interesse.
Já a GDPR possui o Data Protection Impact Assessment (DPIA), descrito no art. 35, exige que o Controlador/Operador façam uma análise de impacto em suas atividades que possam causar um alto risco aos direitos da liberdade, como tratamento em larga escala dos dados pessoais, independentemente de solicitação da Autoridade Supervisora.
Este artigo ainda descreve os requisitos mínimos que devem conter nesta análise, no seu item 7.
Encarregado de Dados (DPO)
A LGPD aponta que todos os Controladores devem possuir um Encarregado de Dados Pessoais, podendo a ANPD restringir essa necessidade. A ANPD aprovou o regulamento da LGPD para empresas de pequeno porte (Resolução CD/ANPD nº 2, de 27 de janeiro de 2022), isentando estas empresas de ter um Encarregado de Dados Pessoais.
Já a GDPR apenas obriga os controladores/operadores a terem um Data Protection Officer (DPO) em algumas situações previstas no seu art. 37, quais sejam:
- O tratamento de dados por entes públicos;
- Atividade principal do controlador envolver tratamento de dados de forma sistemática e larga escala em razão de sua natureza;
- Tratamento de forma sistemática e larga escala de dados pessoais sensíveis.
Segurança de Dados
Tanto a LGPD quanto a GDPR exigem a implementação de medidas de segurança dos dados para seu tratamento. A principal diferença é que na LGPD a ANPD ainda precisa descrever que medidas são essas e como devem ser implementadas, ao passo que a GDPR já normatizou essas medidas no seu art. 32.
Violações de Dados
A LGPD impõe ao Controlador que informe tanto a ANPD quanto o Titular do dado, em caso de ocorrência de algum incidente de violação de dados. Essa informação deve ser num tempo razoável.
A GDPR também impõe esta obrigação ao Controlador, mas impõe um prazo de 72 horas para que isso seja feito, dispensando essa comunicação se o incidente não for relevante.
Penalidades
Por fim, a principal diferença entre as penalidades aplicadas entre a LGPD e a GDPR é que na primeira existe a possibilidade de aplicação de multa simples no importe de 2% da receita da empresa, limitado a 50 milhões de reais por violação.
Ao passo que a GDPR determina no seu art. 83, item 4, que as multas podem chegar a 20 milhões de euros ou 4% do faturamento anual da empresa, o que for maior.
Outras penalidades também podem igualmente ser aplicadas, como suspensão da atividade de processamento de dados pessoais, advertência, eliminação de dados, dentre outros, dependendo da gravidade da falta cometida/do incidente ocorrido.
Conclusão
As normas para proteção de dados e privacidade são de grande importância uma vez que os titulares de dados podem sofrer severos problemas decorrentes do mau uso destas informações.
Diante disso, as normas que vem proteger os titulares e seus dados são de importância ímpar nos ordenamentos jurídicos, sendo certo que vários países já vêm estudando esse tema há bastante tempo, criando normas robustas como é o caso de países da União Europeia.
O Brasil se viu obrigado a participar desta revolução protetiva, seja por motivos financeiros, seja porque os direitos tutelados são realmente muito importantes.
É importante fazer um estudo comparado entre a GDPR e a LGPD para verificar o que pode ser utilizado em outros países, como melhorar nossas normas e criar interpretações decorrentes de estudos mais profundos.
Mais conhecimento para você
Se você gostou deste texto e deseja seguir a leitura em temas sobre direito e advocacia, vale a pena conferir os seguintes materiais:
- O que é Animus Domini, como provar e seu significado na Usucapião
- Tire as principais dúvidas sobre a aposentadoria da pessoa com deficiência
- 6 vantagens do acompanhamento processual automatizado
- Confira as principais informações sobre os beneficiários do INSS
- Saiba o que é e como funciona a servidão de passagem
- Tutela no direito da família
- Entenda o que é a herança digital e qual a sua regulamentação
- Política de privacidade: o que é, objetivo e caso do Threads
- Contrato de Parceria: entenda o que é e requisitos
- Princípio da insignificância: o que é e exemplos de aplicação
Este conteúdo foi útil pra você? Conta aqui nos comentários 😉
Assine grátis a Aurum News e receba uma dose semanal de conteúdo no seu e-mail! ✌️
Conheça as referências deste artigo
BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, 14 de agosto de 2018.
FALK, Matheus. Os princípios jurídicos da LGPD e do GDPR: uma leitura a partir da Teoria dos Princípios de Humberto Ávila. In: WACHOWICZ, Marcos. (Org.). PROTEÇÃO DE DADOS PESSOAIS EM PERSPECTIVA LGPD e GPDR na ótica do direito comparado. Curitiba: Gendai, UFPR, 2020, pg. 148-185.
UNIÃO EUROPÉIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, Bruxelas, de 27 de abril de 2016.
Advogado (OAB 95264/MG). Bacharel em Direito pela Universidade FUMEC (2003). Pós-graduado lato sensu em Direito Processual Constitucional pelo Instituto Metodista Izabela Hendrix (2005) e em Direito, Estado e Constituição pela Jurplac (2008). Mestre em Direito Privado pela Universidade FUMEC (2018),...
Ler maisDeixe seu comentário e vamos conversar!
Deixe um comentário