RESUMO
Este estudo tem como objetivo analisar as convergências e divergências entre a LGPD e o GDPR, bem como avaliar os efeitos dessas legislações na proteção da privacidade e na segurança dos dados pessoais em seus respectivos contextos geográficos. É essencial destacar o tema central: Paralelo entre a Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral de Proteção de Dados Pessoais (GDPR). A metodologia deste trabalho baseia-se em uma pesquisa bibliográfica de natureza qualitativa, abrangendo autores clássicos e contemporâneos. Para embasar o estudo, foram utilizados artigos acadêmicos, livros e documentos oficiais. Foram abordados no referencial teórico: Lei nº 13.853/2018, Lei Geral de Proteção de Dados Pessoais (LGPD) e; o Regulamento Geral de Proteção de Dados Pessoais (GDPR) da União Europeia (UE) de 2016/679. Em resumo, o estudo comparativo entre a LGPD e o GDPR permite uma compreensão mais ampla das normas de proteção de dados em distintos contextos, destacando a relevância de regulamentações robustas para assegurar a privacidade e a segurança de dados pessoais em um cenário global cada vez mais digitalizado.
Palavras-chave: Proteção de Dados Pessoais. Privacidade. Segurança.
ABSTRACT
This study aims to analyze the convergences and divergences between the LGPD and the GDPR, as well as to evaluate the effects of these laws on the protection of privacy and the security of personal data in their respective geographic contexts. It is essential to highlight the central theme: Parallel between the General Data Protection Law (LGPD) and the General Data Protection Regulation (GDPR). The methodology of this work is based on a qualitative bibliographic research, covering classic and contemporary authors. To support the study, academic articles, books and official documents were used. The theoretical framework addressed: Law No. 13,853/2018, the General Data Protection Law (LGPD) and; the General Data Protection Regulation (GDPR) of the European Union (EU) of 2016/679. In summary, the comparative study between LGPD and GDPR allows a broader understanding of data protection standards in different contexts, highlighting the relevance of robust regulations to ensure the privacy and security of personal data in an increasingly digitalized global scenario..
(Um parágrafo, sem recuo, com 150 a 250 palavras, espaçamento simples, justificado, tamanho 12 contendo objetivo, breve tema, breve metodologia e breve conclusão)
Keywords: Personal Data Protection. Privacy. Security.
1 Introdução
Nos últimos anos, a proteção de dados pessoais tornou-se um tema central nas discussões sobre privacidade e segurança no mundo digital. Com o aumento do uso de tecnologias e o volume crescente de informações trafegadas e armazenadas online, tornou-se fundamental a criação de leis que garantam a privacidade dos indivíduos e regulamentem o tratamento de seus dados pessoais. Nesse contexto, surgem duas legislações que se destacam globalmente: a Lei Geral de Proteção de Dados (LGPD), no Brasil, Lei nº 13.709/2018, publicada no Diário Oficial da União (D.O.U.) alterada pela redação dada pela Lei nº 13.853 publicada em 8/7/2019, publicada no Diário Oficial da União (D.O.U.) em 9/7/2019, e o Regulamento Geral de Proteção de Dados Pessoais (GDPR) – General Data Protection Regulation, da União Europeia, Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho da União Europeia.
A saber, a LGPD, foi inspirada em grande parte no GDPR, que entrou em vigor em 2018. Ambas têm como objetivo estabelecer diretrizes para o tratamento de dados pessoais, garantindo a transparência, a segurança e o respeito aos direitos dos titulares de dados.
A relevância deste trabalho propõe uma análise comparativa entre a LGPD e o GDPR, buscando identificar as principais semelhanças e diferenças entre as duas legislações. A partir dessa análise, será possível entender como essas leis influenciam o comportamento de empresas e instituições, tanto no Brasil quanto na União Europeia.
O objetivo deste estudo é examinar as semelhanças e diferenças entre os dois regimes legais, além de discutir os impactos dessas legislações na proteção da privacidade e segurança de dados pessoais em seus respectivos territórios.
A metodologia desta atividade fundamenta-se em uma pesquisa bibliográfica e qualitativa, incorporando autores clássicos e contemporâneos. Para sustentar o estudo, serão utilizados artigos acadêmicos, livros e documentos oficiais.
Os temas principais a serem discutidos incluem: Analisar a história da Lei Geral de Proteção de Dados (LGPD), e do Regulamento Geral de Proteção de Dados (GDPR). A Lei LGPD e o GDPR surgiram em resposta às crescentes preocupações com a privacidade, visando garantir os direitos dos indivíduos e regulamentar o uso de seus dados pessoais; Identificar diferenças e semelhanças na segurança do tratamento de dados pessoais é um dos pilares centrais tanto da LGPD quanto no GDPR e; Comparar o regime de sanções e penalidades da LGPD e do GDPR, analisando a severidade das multas e outras medidas punitivas em cada caso. A comparação entre os regimes de sanções da LGPD e do GDPR evidencia abordagens distintas: enquanto o GDPR aplica penalidades mais severas para infrações, a LGPD adota uma abordagem gradual, ajustando as sanções conforme a gravidade da violação.
2 Paralelos entre a LGPD do Brasil e o GDPR da União Europeia.
2. 1 Breve Histórico
A LGPD e o GDPR são legislações essenciais que estabelecem normas para o tratamento de dados pessoais, visando proteger a privacidade e os direitos dos cidadãos em relação a como suas informações pessoais são coletadas, armazenadas e utilizadas.
O GDPR entrou em vigor em 25 de maio de 2018 na União Europeia e trouxe uma série de mudanças significativas para a proteção de dados na região. O GDPR foi criado para assegurar a proteção de dados pessoais, responsabilizando empresas pelo tratamento das informações dos cidadãos europeus. Os principais pontos do GDPR incluem consentimento explícito para o uso de dados, direito ao esquecimento, portabilidade de dados, transparência e severas multas por violações, além disso, o GDPR, sendo pioneiro, serviu de referência global, e sua influência pode ser vista na LGPD.
Inspirada no GDPR, a LGPD, Lei n° 13.709/2018, foi sancionada no Brasil em 14 de agosto de 2018 e entrou em vigor em setembro de 2020, visando estabelecer diretrizes claras para o tratamento de dados pessoais, aplicando-se a todas as operações realizadas por entidades públicas ou privadas.
A LGPD estabelece importantes pontos, como os direitos dos titulares, que incluem acesso, correção e exclusão de dados. A lei exige consentimento para a coleta de dados pessoais e é regulamentada pela Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar seu cumprimento. Além disso, a LGPD prevê sanções administrativas por violações, incluindo multas e suspensão do uso dos dados.
Masseno (2020) afirma que a LGPD do Brasil foi inspirada no GDPR da Europa, refletindo a influência das normas europeias na legislação brasileira sobre privacidade e proteção de dados pessoais.
Quanto às suas bases, a lei brasileira foi inspirada na legislação europeia, ou seja, no General Data Protection Regulation (GDPR), em português, Regulamento Geral sobre a Proteção de Dados (RGPD), que regula as regras de privacidade e proteção de dados pessoais em todos os Estados-membros da União Europeia (UE) (Masseno, 2020, p. 1-28).
Soares (2020) afirma que a LGPD foi inspirada no GDPR europeu devido aos avanços tecnológicos, às redes sociais e à crescente globalização do fluxo de dados pessoais.
A Lei Geral de Proteção de Dados é espelhada (GDPR) - Regulamento Geral de Proteção de Dados, da União Europeia a partir dos avanços dos recursos tecnológicos, o surgimento das redes sociais e a transmissão globalizada de informações, o trânsito de dados pessoais nunca atingiu um patamar tão elevado quanto no presente momento (Soares, 2020, p.16).
Como se vê, a LGPD foi inspirada no GDPR, adotando princípios semelhantes para proteger a privacidade e os direitos dos titulares em um contexto de crescente digitalização.
2. 2 Segurança do tratamento de dados pessoais
Ademais, tanto a LGPD quanto o GDPR visam garantir que os dados pessoais sejam tratados de forma segura e transparente. Essas legislações impõem requisitos rigorosos para o tratamento de dados, obrigando as organizações a adotar medidas técnicas e organizacionais para prevenir o uso indevido, vazamentos e acessos não autorizados.
O Capítulo II da LGPD define as condições para o tratamento de dados pessoais, o artigo 7º lista as hipóteses legítimas, como consentimento, obrigação legal ou políticas públicas.
Outrossim, o tratamento pode ocorrer para estudos de pesquisa, respeitando a anonimização dos dados, quando necessário para a execução de contratos ou em processos judiciais, administrativos ou arbitrais. A lei também permite o tratamento de dados para proteger a vida ou a integridade física do titular ou de terceiros, evidenciando um conjunto de proteções e exigências claras para o tratamento de dados, de acordo com os direitos fundamentais dos indivíduos.
Previsto no Art. 7º da LGPD (2018), o tratamento de dados pessoais só pode ocorrer nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
[...] (LGPD, 2018, n.p.).
Por sua vez, o artigo 32.º do GDPR (2018), na Seção 2 sobre segurança de dados pessoais, exige que responsáveis e subcontratantes adotem medidas técnicas e organizativas para proteger o tratamento de dados, incluindo pseudonimização, criptografia, proteção de integridade e confidencialidade, recuperação de dados e avaliação contínua das práticas de segurança. O uso de códigos de conduta e certificações aprovadas também ajuda a demonstrar conformidade, e o acesso a dados pessoais deve seguir as instruções do responsável, exceto quando exigido por lei:
1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
a) A pseudonimização e a cifragem dos dados pessoais;
b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
d) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
2. Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
3. [...]
4. [...] (GDPR, 2018. n.p.).
Porquanto, Cruz & Henrique (2020) ressaltam que a LGPD e o GDPR possuem vários princípios em comum, como a necessidade de consentimento dos titulares para o tratamento de dados pessoais, a obrigação de notificar em caso de violação, a proteção dos direitos dos titulares e a adoção de medidas de segurança para assegurar a proteção dos dados.
Sendo assim, A LGPD e o GDPR compartilham princípios essenciais, exigindo consentimento explícito do titular e notificações em caso de vazamento de dados, além de assegurarem direitos como acesso, retificação e exclusão das informações. Com a globalização dos serviços digitais e a interconectividade entre mercados, as organizações devem proteger os dados e garantir que o tratamento de informações transnacionais estejam em conformidade com ambas as legislações, alinhadas às sanções aplicáveis.
2. 3 Sanções e penalidades
As sanções e penalidades da LGPD brasileira e do GDPR europeu são rigorosas e visam garantir o cumprimento das normas de proteção de dados pessoais.
No caso da LGPD (2018), as penalidades para infrações relacionadas ao tratamento inadequado de dados pessoais estão dispostas no artigo 52, as sanções administrativas, que incluem advertências para infrações leves, com um prazo para a organização corrigir as irregularidades; multas simples que podem chegar a até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração; e multas diárias, até a regularização da infração, também limitadas a R$ 50 milhões. Outras sanções incluem a divulgação pública da infração, o que pode prejudicar a reputação da empresa; a suspensão temporária do uso dos dados pessoais relacionados à infração até que a situação seja regularizada; e a exclusão dos dados pessoais tratados de maneira inadequada.
Conforme o art. 52, da LGPD (2018) os agentes de tratamento de dados, em decorrência de violações às normas estabelecidas por esta Lei, está sujeitos a sanções administrativas determinadas pela autoridade nacional:
[...]
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência [...] (LGPD, 2018, n.p.).
Nos prismas de Dantas; Pacheco & Vale, as sanções:
As sanções administrativas, dentre outras funções, destinam-se, inclusive, a evitar condutas ilícitas no futuro, uma vez que impõem, por exemplo, a necessidade de adoção de medidas de segurança, com vistas a impossibilitar futuros vazamentos de dados. O caput do artigo 52 deixa claro que as penalidades serão aplicadas apenas contra os agentes de tratamento (controlador e operador), através de regular processo administrativo instaurado pela ANPD (atualmente a Resolução nº 01, de 28 de outubro de 2021, da ANPD, regula o processo de fiscalização e sanção) (Dantas; Pacheco & Vale, 2023, p.63).
Já o GDPR (2018), estabelece sanções no artigo 83.º, aplicando penalidades rígidas para infrações. As multas administrativas são divididas em dois níveis: até 10 milhões de euros ou 2% do faturamento anual global para infrações menores, como falhas na notificação de violações de dados; e até 20 milhões de euros ou 4% do faturamento global para infrações graves, como descumprimento de princípios fundamentais ou violação dos direitos dos titulares. As sanções são aplicadas pelas autoridades de proteção de dados de cada país membro da UE, levando em conta a gravidade da infração, o tipo de dados afetados e a colaboração da organização:
[...] 4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.º 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado: [...]
5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.º 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado: [...]
6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.º, n.º 2, está sujeito, em conformidade com o n.º 2 do presente artigo, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado [...] (GDPR, 2018. n.p.).
A ‘Consideração 148’ do GDPR (2018) destaca que a aplicação de sanções é essencial para garantir a efetividade das normas do regulamento. Nesse contexto, além das medidas corretivas que podem ser determinadas pela autoridade de controle, também são previstas multas para infrações ao regulamento. No entanto, em casos de infrações menores ou em situações em que a multa possa representar um ônus desproporcional para uma pessoa física, pode-se optar por uma advertência ao invés de uma penalidade financeira.
Conseguintemente, as sanções da LGPD e do GDPR visam garantir o respeito aos direitos dos titulares de dados e a adoção de práticas seguras e transparentes pelas organizações. As multas, advertências e penalidades são proporcionais à gravidade da infração e ao impacto sobre os direitos dos titulares, buscando promover a conformidade contínua, evitar reincidências e corrigir infrações rapidamente para minimizar danos.
3 Considerações Finais
A análise comparativa entre LGPD do Brasil e o GDPR da União Europeia revela as semelhanças e diferenças em suas abordagens e princípios, além das implicações para a proteção de dados pessoais em um mundo cada vez mais interconectado. Este estudo alcançou seus objetivos ao ilustrar: ‘Breve Histórico’: O objetivo de traçar um histórico da LGPD e do GDPR foi alcançado ao descrever a origem e a evolução de ambas as legislações. A comparação entre o GDPR, que entrou em vigor em 2018, e a LGPD, sancionada em 2018 e efetiva em 2020, foi bem estruturada, demonstrando como a LGPD foi influenciada pelo GDPR, especialmente em seus principais princípios de proteção de dados; ‘Segurança do Tratamento de Dados Pessoais’: O estudo abordou adequadamente a questão da segurança dos dados, detalhando as exigências de ambas as legislações em relação às medidas técnicas e organizacionais que devem ser adotadas pelas organizações. A comparação entre os requisitos de segurança da LGPD e do GDPR foi apresentada de forma clara, enfatizando a necessidade de proteção e transparência no tratamento de dados pessoais e; ‘Sanções e Penalidades’: O objetivo de discutir as sanções e penalidades aplicáveis foi atendido por meio de uma análise comparativa das penalidades previstas na LGPD e no GDPR. O estudo elucidou as consequências legais para o não cumprimento das normas, destacando a gravidade das penalidades em ambas as legislações e seu papel na promoção da conformidade.
Visando aprofundar a análise comparativa entre a LGPD e o GDPR, propõe-se: Comparação Internacional Ampliada: Expandir o escopo do estudo para incluir uma análise de outras legislações de proteção de dados ao redor do mundo, como a CCPA na Califórnia, permitindo uma compreensão mais ampla das tendências globais em privacidade e proteção de dados e; Monitoramento da Eficácia da ANPD: É crucial acompanhar e avaliar a ANPD na aplicação da LGPD, analisando suas decisões e regulamentações para entender melhor seu impacto nas práticas de proteção de dados no Brasil. É importante mencionar que a questão da pesquisa foi respondida ao se verificar o paralelo entre a LGPD e o GDPR que revelou importantes similaridades e distinções, além de evidenciar as implicações dessas legislações na proteção de dados pessoais. Em síntese, o estudo da LGPD e o GDPR contribuem para uma compreensão mais aprofundada das diretrizes de proteção de dados em diferentes contextos, ressaltando a importância de um marco regulatório eficaz para garantir a privacidade e a segurança das informações pessoais em um mundo cada vez mais digital.
4 Referências Bibliográficas
Brasil. Lei nº 13.853 de 8/7/2019. Lei Geral de Proteção de Dados Pessoais (LGPD) publicada no Diário Oficial da União (D.O.U.) em 9/7/2019. Disponível em 15 agosto, 2018, de
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm Acessado em 23 de outubro de 2024.
Cruz & Henrique. (2020). R. S. LGPD e GDPR: Uma análise comparativa. Revista da Faculdade de Direito da Universidade de São Paulo.
Dados. (2021). ANDP. Autoridade Nacional de Proteção de Dados. Disponível em maio, 2021, de
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf Acessado em 25 de outubro de 2024.
Dantas; Pacheco & Vale. (2023). Aplicabilidade da Lei Geral de Proteção de Dados, no Âmbito da Administração Pública. Procuradoria-Geral do Estado de Alagoas. Macéio: PGE.
Europeu. (2016). Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho. Disponível em 27 abril, 2016, de
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e40-1-1 Acessado em 24 de outubro de 2024.
Masseno, M. (2020). A segurança na proteção de dados: entre o RGPD europeu e a LGPD brasileira. Revista do Cejur: Prestação Jurisdicional, Florianópolis. Disponível em 14 fevereiro, 2021, de
https://revistadocejur.tjsc.jus.br/cejur/article/view/367 Acessado em 24 de outubro de 2024.
Soares, R. (2020). Lei de Proteção de Dados – LGPD: Direito à Privacidade no Mundo Globalizado. Pontifícia Universidade Católica de Goiás Escola de Direito e Relações Internacionais. Disponível em 24 novembro, 2020, de
https://repositorio.pucgoias.edu.br/jspui/handle/123456789/1201 Acessado em 24 de outubro de 2024.