n
A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) estipula uma série de obrigações para empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline.
nn
Sancionada em 2018, ela passou a valer em setembro de 2020 e foi inspirada no Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, também conhecido por GDPR (do inglês, General Data Protection Regulation). As duas normas apresentam diferenças significativas em seu conceito e aplicação.
nn
No Brasil, a LGPD criou um temor para as empresas, com multas, processos e sanções. No entanto, as sanções só passam a valer a partir de agosto de 2021 e ainda não demonstra a mesma consistência e amparo que a versão europeia.
nn
Segundo Fernando Santiago, sócio da Chenut Oliveira Santiago Advogados, muitos temas abordados pela LGPD não tem abordagem prévia na legislação brasileira.
nn
“No Brasil, passamos da ausência total de uma norma específica sobre a proteção de dados pessoais sem passar pela maturação das normas jurídicas aplicáveis ao tema que houve na Europa”, destaca o jurista em entrevista para a Fenalaw. nn
n
O advogado sinaliza que casos como o Estatuto da Criança e do Adolescente (ECA) e Código do Consumidor, por exemplo, versam pontualmente sobre alguns aspectos relacionados a dados pessoais de categorias determinadas de titulares.
nn
Outro aspecto sensível está no respaldo e orientação para a aplicação da Lei. Enquanto na Europa existe uma experiência de 25 anos de legislação sobre o tema, a Autoridade Nacional de Proteção de Dados (ANPD), responsável por orientar sobre o tratamento dos dados pessoais e normas de segurança, não é clara sobre os padrões e caminhos que as empresas devem seguir para se adequar, cabendo portanto, uma busca por meios próprios para a compreensão e adequação à LGPD.
nn
Quando o próprio Estado não estabelece os padrões para uma legislação dificilmente ela será respeitada ou implementada. Outro questionamento que ocorre é a incorporação dessas normas pelos governos. Ou seja, quem fiscaliza o Estado caso não cumpra as normas previstas pela LGPD?
nn
Em 2020, a Cyrela foi condenada em primeira instância a pagar R$ 10 mil em danos morais para um cliente que teve seus dados compartilhados com parceiros sem autorização. O caso envolve um cliente que comprou um apartamento em novembro de 2018 e, na sequência, passou a receber ligações indesejadas de instituições financeiras e empresas de decoração oferecendo serviços associados à aquisição do imóvel.
nn
Na visão do advogado Bruno Castro, a juíza menciona a LGPD como um reforço interpretativo e baseia a decisão em institutos anteriores à legislação. O especialista ressalta que a empresa recorreu ao processo e que hoje tramita em segunda instância. “Além da indenização, a empresa deve se abster de divulgar dados do cliente, sob pena de pagar 300 reais por cada contato indevido que ele receber”, explica em entrevista para o Brasil Tecnológico.
nn
A LGPD já aparece em 139 ações trabalhistas, segundo levantamento feito pela empresa de jurimetria Data Lawyer Insights, a pedido do jornal Valor Econômico. O total das causas soma R$ 15 milhões e a maior parte tramita em São Paulo.
nn
Em um cenário de listas de detratores que se opõem ao governo, vazamento de informações, ataques hackers, e problemas no portal de transparência, reunimos as principais diferenças sobre como o tema é tratado no Brasil e na Europa.
nn
Tratamento de dados de menores
nn
Na LGPD, a todos os menores de 18 anos, é necessário que o consentimento seja dado pelos pais ou responsáveis. Já a GDPR aceita o consentimento dado por cidadãos a partir de 16 anos. Para menores, a autorização deve ser dada pelos pais.
nn
Sanções e penalidades
nn
A LGPD estabelece previsão de sanções administrativas para infrações. A multa pode chegar a R$ 50 milhões por infração ou até 2% do faturamento bruto da empresa em seu último exercício. Vale lembrar, ainda, que a multa pode ser aplicada para cada instância de irregularidade.
nn
Já a lei europeia aplica multas de até 20 milhões de euros ou 4% do volume de negócios global da empresa. Também estão previstas advertências, determinações de bloqueio ou eliminação de dados e suspensão total, ou parcial do banco de dados correspondente.
n
Tratamento de dados sensíveis
Para a lei brasileira, dado sensível é “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
n
O tratamento desses dados na LGPD só pode ocorrer nas hipóteses previstas em lei. O tratamento independente do consentimento do titular pode ocorrer em duas exceções: a execução, pela administração pública prevista em lei ou regulamento; ou em caso de “garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos”.
n
No GDPR, há apenas a proibição de tratamento de dados sensíveis, salvo exceções. Há definição apenas de “dados de saúde”, “dados biométricos” e “dados genéticos”.
nn
Relação entre controlador e operador
nn
Existe uma grande diferença entre LGPD e GDPR no que diz respeito à relação entre controlador e operador.
n
A LGPD estabelece que o controlador deve instruir o tratamento de dados pelo operador, mas isso não precisa ser formalizado em contrato. No GDPR, essa relação deve ser formalizada por contrato ou outro ato jurídico que vincule operador e controlador.
nn
Relatório de impacto
nn
Na lei brasileira, não há regra específica sobre as situações em que o controlador deve realizá-lo. Mas a lei europeia prevê que o relatório de impacto à proteção de dados pessoais deve ser elaborado se o tratamento resultar em elevado risco ao direito e à liberdade das pessoas.
n
Para Fernando Santiago, “as diferenças entre os dois diplomas legais, embora existentes, dificilmente serão a causa de um problema sério para uma empresa no Brasil. Vale lembrar que na Europa, a imensa maioria das sanções aplicadas pelas autoridades de controle são relacionadas ao desrespeito a princípios básicos do GDPR, e não a tecnicismos reservados aos experts”.
nnnnnnnn
nn
Deixe um comentário