Comparação GDPR-LGPD PDF

Summary

This document details a comparison of the GDPR (General Data Protection Regulation) and the LGPD (Lei Geral de Proteção de Dados) privacy laws. It covers the scope, key definitions, and obligations of controllers and processors, as well as the rights of individuals under both regulations. The comparison highlights similarities and differences between the two laws.

Full Transcript

Comparando leis de privacidade:

GDPR v. LGPD
Sobre os autores

Orientação de dados por OneTrust fornece um conjunto de soluções de privacidade projetadas para ajudar as organizações a monitorar os
desenvolvimentos regulatórios, mitigar riscos e alcançar conformidade global.

A plataforma DataGuidance by OneTrust inclui orientação focada em tópicos centrais (ou seja, GDPR, transferências de dados,
notificação de violação, entre outros), gráficos transfronteiriços que permitem comparar regulamentos em várias jurisdições em um
relance, um serviço diário de notícias personalizado e análise de especialistas.

Essas ferramentas, junto com nosso serviço de analista interno para ajudá-lo com suas perguntas de pesquisa específicas, fornecem uma
solução econômica e eficiente para projetar e apoiar seu programa de privacidade.

Baptista Luz Advogados foi fundada em 2004 e cobre a maioria das áreas do direito societário. Seus clientes incluem empresas e
grupos econômicos, nacionais e internacionais, fundos de investimento, investidores anjo e empresários. Também atua em outros
setores da economia, notadamente publicidade, tecnologia, instituições financeiras, aeronáutica, telecomunicações, e-commerce,
logística e saúde. O Baptista Luz possui uma equipa dedicada à Privacidade e Protecção de Dados, com profissionais de referência,
que estão directamente envolvidos nas mais importantes discussões da área e que tratam do compliance da protecção de dados a
nível global e nacional. O escritório possui escritórios em três diferentes cidades brasileiras (São Paulo, Florianópolis e Londrina),
além de uma unidade em Miami.

Contribuidores

Orientação de dados por OneTrust: Alexis Kateifides, Joel Bates, Nikos Papageorgiou, Rumer
Ramsey, Bart van der Geest, Alice Marini, Pascale Arguinarena

Baptista Luz Advogados: Renato Leite Monteiro, Odélio Porto Junior, Gabriela Moribe

Créditos de produção de imagem:

Capa / p.5 / p.51: cnythzl / Coleção de assinaturas / istockphoto.com Chave de escala p6-49:
enisaksoy / Coleção de assinaturas / istockphoto.com Ícone p.12-21: Moto-rama / coleção
Essentials / istockphoto.com
Ícone p.22-23: AlexeyBlogoodf / Essentials collection / istockphoto.com Ícone p.25, 29-37:
zak00 / Signature collection / istockphoto.com
Ícone p.38-45: AlexeyBlogoodf / coleção Essentials / istockphoto.com Ícone p.47-51: cnythzl
/ Coleção de assinaturas / istockphoto.com

2
 Índice
Introdução 5

1 Escopo
1.1. Âmbito pessoal 7
1.2. Alcance territorial 8
1.3. Escopo do material 10

2 Definições-chave
2.1. Dados pessoais 12
2.2. Pseudonimização 14
2.3. Controladores e processadores 16
2.4. Crianças 18
2,5. Pesquisa 20

3- Base legal 22

4- Obrigações do controlador e do processador
4.1. Transferências de dados 25
4.2. Registros de processamento de dados 29
4.3. Avaliação do impacto da proteção de dados Nomeação 31
4,4. do responsável pela proteção de dados Segurança de 33
4.5. dados e violações de dados Responsabilidade e boas 35
4,6. práticas 36

5 Direitos individuais
5.1. Direito de apagar 38
5,2 Direito de ser informado Direito 40
5,3. de se opor 41
5,4 Direito de acesso 43
5.5. Direito de não ser sujeito a discriminação para o exercício de direitos Direito à portabilidade 44
5,6. de dados 45

6 Execução
6.1. Penalidades monetárias 47
6,2 Autoridade supervisora 49
6.3. Recursos civis para indivíduos 51

3
4
Introdução
Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (Regulamento (UE 2016/679) ('GDPR') entrou em vigor. Em agosto de 2018, o Brasil aprovou a Lei nº

13.709 de 14 de agosto de 2018 que Dispõe sobre a Proteção de Dados Pessoais e altera a Lei Federal nº

12.965 de 23 de abril de 2014 ('LGPD'), com entrada em vigor prevista para 2020.

Ambas as leis são abrangentes em termos de âmbito pessoal, material e territorial. Por exemplo, tanto o GDPR quanto o LGPD se aplicam a organizações com presença

na UE e no Brasil respectivamente, bem como a organizações que não estão fisicamente localizadas, mas que oferecem bens e serviços nas jurisdições ou processam

dados pessoais nessas regiões. No entanto, deve-se notar que apenas o RGPD se aplica a organizações que, embora não tenham qualquer presença na UE, monitoram o

comportamento de indivíduos na UE.

Além disso, ambos os atos legislativos aplicam-se ao tratamento de dados pessoais de pessoas singulares efetuado por controladores e processadores. Em particular, seu escopo

de aplicação parece de longo alcance, pois ambos protegem os indivíduos, independentemente de sua nacionalidade ou status de residência. Esse princípio está explicitamente

incluído no GDPR, enquanto no Brasil é previsto pela interpretação combinada com a Constituição da República Federativa do Brasil ('a Constituição').

Ambos também fornecem proteção especial para o processamento de dados pessoais sensíveis, bem como para o processamento de dados de crianças. No entanto, existem várias

nuances entre as duas leis, por exemplo, no que diz respeito à base jurídica aplicável quando os dados sensíveis são processados.

Além disso, ambas as leis excluem de seu escopo o tratamento de dados anônimos, embora a LGPD afirme que os dados podem ser considerados pessoais quando usados para

formular perfis de comportamento de uma pessoa física específica, se essa pessoa for identificada.

Outras semelhanças podem ser encontradas nos direitos aos quais os indivíduos estão autorizados, bem como nas obrigações a que os controladores e processadores estão sujeitos. No entanto, de acordo com o

GDPR, os controladores e processadores devem nomear um responsável pela proteção de dados ('DPO') em circunstâncias específicas, bem como realizar uma Avaliação de Impacto da Proteção de Dados

('DPIA'). De acordo com o LGPD, apenas os controladores devem nomear um DPO, e nenhuma circunstância específica é definida; portanto, à primeira vista, todos os controladores precisam designar um,

independentemente do tipo, volume e forma como os dados são processados.

Este Guia visa, portanto, destacar as semelhanças e diferenças entre os dois atos legislativos, a fim de ajudar as organizações a desenvolver suas atividades

de compliance.

5
 Introdução (continuação)

Estrutura e visão geral do Guia
Este Guia fornece uma comparação das duas peças de legislação nas seguintes disposições principais:

1. Escopo

2. Principais definições

3. Base jurídica

4. Obrigações do controlador e do processador

5. Direitos dos indivíduos

6. Aplicação

Cada tópico inclui artigos e seções relevantes das duas leis, um resumo da comparação e uma análise detalhada das semelhanças e diferenças entre o GDPR

e o LGPD.

Chave para dar a taxa de consistência

Consistente: O GDPR e o LGPD apresentam um alto grau de similaridade na lógica, no

núcleo, no escopo e na aplicação da disposição considerada.

Bastante consistente: O GDPR e o LGPD apresentam um alto grau de similaridade na lógica, no núcleo e no

escopo da disposição considerada; no entanto, os detalhes que regem sua aplicação são diferentes.

Bastante inconsistente: O GDPR e o LGPD apresentam várias diferenças no que diz respeito ao âmbito e

aplicação da disposição considerada, no entanto a sua lógica e núcleo apresentam algumas semelhanças.
Inconsistente Consistente

Inconsistente: O GDPR e o LGPD apresentam um elevado grau de divergência no que diz respeito à

justificação, núcleo, âmbito e aplicação da disposição considerada.

Uso do Guia
Este Guia é geral e educacional por natureza e não se destina a fornecer, e não deve ser considerado, como fonte de aconselhamento jurídico. As informações e materiais fornecidos no

Guia podem não ser aplicáveis em todas (ou qualquer) situações e não devem ser objeto de ação sem aconselhamento jurídico específico com base em circunstâncias particulares.

Esta análise tem por base a versão da LGPD alterada pela Medida Provisória n.º 869, de 27 de dezembro de 2018, bem como uma tradução para o inglês da lei,

elaborada pelo escritório de advocacia Pereira Neto | Macedo Advogados, e acessível em https: // www.

pnm.adv.br/wp-content/uploads/2018/08/Brazilian-General-Data-Protection-Law.pdf. Orientação de dados por OneTrust e Baptista Luz

Advogados gostaria de agradecer ao Pereira Neto | Macedo Advogados pelo empenho e pela disponibilização desta tradução para uso.

6
 1. Escopo
1.1. Âmbito pessoal
Razoavelmente consistente

Tanto o GDPR quanto o LGPD protegem o processamento de dados pessoais de indivíduos. Além disso, o GDPR afirma que a proteção é fornecida independentemente da

nacionalidade ou residência do titular dos dados, ao passo que o LGPD não aborda explicitamente este ponto. No entanto, ao fornecer uma interpretação de acordo com a

Constituição, a proteção aplica-se a qualquer pessoa, independentemente da nacionalidade ou residência do titular dos dados. Ambas as leis se aplicam a controladores e

processadores de dados.

GDPR LGPD
Artigos 3, 4 Artigos 1-5
Considerandos 2, 14, 22-25

Semelhanças

O GDPR só protege os indivíduos vivos. Os dados pessoais de pessoas O LGPD só protege explicitamente os dados pessoais de pessoas singulares. Portanto, os

jurídicas não são cobertos pelo GDPR. O GDPR não protege os dados dados de pessoas jurídicas também não são abrangidos.

pessoais de pessoas falecidas, sendo deixados ao critério dos

Estados-Membros.

O Artigo 4 (1) do RGPD esclarece que um assunto de dados é 'uma pessoa O Artigo 5 (V) da LGPD esclarece que um assunto de dados

física identificada ou identificável'. é uma pessoa singular a quem se referem os dados

pessoais objeto de tratamento.

O GDPR se aplica a controladores de dados e dados O LGPD se aplica a controladores e processadores de dados,

processadores, que podem ser empresas, organismos públicos, instituições, juntos chamados de em processamento

bem como organizações sem fins lucrativos. agentes, quem pode ser empresas, organismos públicos, instituições,

bem como organizações sem fins lucrativos.

O GDPR define um controlador de dados como 'a pessoa singular e coletiva, O LGPD define um controlador como pessoa singular ou colectiva

autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto responsável pela tomada de decisões relativas ao tratamento de

com outros, determina os fins e os meios de tratamento dos dados pessoais.' dados pessoais.

O GDPR define um processador de dados como «pessoa singular ou coletiva, O LGPD define um processador enquanto pessoa singular ou colectiva, de

autoridade pública, agência ou outro organismo que trata dados pessoais em nome direito público ou privado, que trata dados pessoais em nome do

do responsável pelo tratamento». responsável pelo tratamento.

Diferenças

O GDPR prevê que 'deve ser aplicado a O LGPD faz não indique explicitamente se se aplica a naturais

pessoas, qualquer que seja sua nacionalidade ou local de residência, pessoas, independentemente da sua nacionalidade ou local de residência.

em relação ao tratamento dos seus dados pessoais. »

7
 1.2. Alcance territorial
Razoavelmente consistente

Tanto o GDPR quanto o LGPD se aplicam a entidades que estejam presentes na jurisdição. O GDPR se aplica a organizações que possuem um 'estabelecimento' na UE,

enquanto o LGPD se aplica a operações de processamento de dados realizadas no Brasil.

Ambas as leis também têm alcance extraterritorial. Em particular, eles se aplicam a organizações que oferecem bens e serviços a titulares de dados na Europa e no Brasil,

respectivamente, independentemente de onde eles estejam localizados. É de notar que apenas o RGPD se aplica a organizações que, embora não tenham qualquer presença

na UE, monitorizam o comportamento de indivíduos na UE.

GDPR LGPD
Artigos 3-4 Artigos 3-4
Considerandos 2, 14, 22-25

Semelhanças

O RGPD aplica-se a organizações com presença na UE, nomeadamente entidades No que diz respeito à noção de estabelecimento, não existe qualquer disposição equivalente

que tenham um ' estabelecimento' na UE. Portanto, o GDPR se aplica ao na LGPD que a defina. No entanto, o LGPD

processamento de dados pessoais por organizações estabelecido na UE, aplica-se a operações de processamento de dados realizadas no Brasil.

independentemente de A LGPD se aplica, independentemente da localização da sede de uma entidade, ou

quer o processamento seja realizado na UE ou não. da localização dos dados sendo processados, se

os dados sendo processados pertence a pessoas físicas localizadas no Brasil ou se

os dados pessoais em tratamento foram coletados

no Brasil. Dados coletados no Brasil são definidos como dados pertencer

a um titular dos dados que estava no Brasil no momento da coleta.

Com relação à âmbito extraterritorial, o GDPR se aplica às atividades de processamento O LGPD também se aplica, independentemente da localização da sede

de organizações que não estão estabelecidos na UE, onde as atividades de de uma entidade, ou da localização dos dados sendo processados, se o objetivo

processamento estão relacionadas de uma entidade

ao oferta de bens ou serviços a particulares na UE. atividade de processamento é para oferecer ou fornecer bens

ou serviços para pessoas físicas localizadas no Brasil.

Diferenças

Em relação a âmbito extraterritorial, o GDPR Em relação a âmbito extraterritorial, o LGPD faz

aplica-se a organizações que não estão estabelecidas em não incluir quaisquer disposições específicas em relação às atividades

a UE, mas monitorar o comportamento dos indivíduos, de processamento que tenham o objetivo de monitorar o

desde que o seu comportamento ocorra na UE. comportamento das pessoas no Brasil.

O Artigo 4 (IV) estabelece que a LGPD não se aplica a operações de processamento

Não há disposição equivalente no GDPR. de dados, onde os dados estão sendo processados

originado fora do Brasil, e não são o objeto de

8
 GDPR LGPD

Diferenças (continuação)

comunicação, uso compartilhado de dados com agentes de

processamento brasileiros, ou objeto de transferência internacional de

dados com outro país que não o Brasil,

desde que o país de origem ofereça um nível de proteção

adequado ao da LGPD.

O GDPR se aplica a pessoas físicas, tanto faz O LGPD não estabelecer explicitamente que será aplicável independentemente da

sua nacionalidade ou local de residência, em relação nacionalidade ou local de residência do indivíduo. Entretanto, ao fornecer uma

ao tratamento dos seus dados pessoais. interpretação conforme a Constituição Federal Brasileira, a proteção se aplica a

qualquer pessoa, independentemente da nacionalidade ou residência do titular dos

dados. Além disso, o artigo 3º estabelece que a LGPD se aplicará se os dados

pessoais em tratamento pertencerem a uma pessoa que estava no Brasil no momento

de sua coleta.

9
 1.3. Escopo do material
Razoavelmente consistente

Ambas as leis se aplicam a dados pessoais definidos como informações sobre uma pessoa física identificada ou identificável. O GDPR exclui de sua aplicação o processamento

de dados anônimos. Da mesma forma, a LGPD exclui de sua aplicação os 'dados anônimos', uma vez que não são considerados dados pessoais, a menos que o processo de

anonimato tenha sido revertido. De acordo com a LGPD, os dados também podem ser considerados pessoais quando utilizados para formular perfis comportamentais de uma

determinada pessoa física, caso essa pessoa seja identificada.

O GDPR aplica-se ao processamento de dados pessoais por meios automatizados ou não automatizados se os dados fizerem parte de um sistema de arquivo, enquanto o LGPD se aplica a

qualquer operação de processamento.

GDPR LGPD
Artigos 2-4, 9 Artigos 3-5, 11-12

Considerandos 15-21, 26

Semelhanças

O GDPR se aplica ao ' em processamento' de dados pessoais. A definição de O LGPD se aplica a qualquer operação de processamento,

'processamento' abrange 'qualquer operação' realizada em dados pessoais ', que é definida como qualquer operação realizada com dados pessoais,

como coleta, registro, organização, estruturação, armazenamento, adaptação ou como coleta, produção, recebimento, classificação, uso, acesso,

alteração, recuperação, consulta, uso, divulgação por transmissão, reprodução, transmissão, distribuição, processamento, arquivamento,

disseminação ou de outra forma disponibilização, alinhamento ou combinação, armazenamento, exclusão, avaliação ou controle da informação,

restrição, apagamento ou destruição. ' modificação, comunicação , transferência, disseminação ou extração.

O GDPR se aplica ao em processamento de dados pessoais. ' Dados pessoais' é definido O LGPD se aplica a qualquer operação de processamento de dados pessoais.

como 'qualquer informação' que se relaciona direta ou indiretamente com um indivíduo ' Dados pessoais' é definido como informação sobre uma pessoa física

identificado ou identificável. identificada ou identificável.

O GDPR define ' categorias especiais de dados pessoais ' O LGPD define ' dados pessoais sensíveis ' como dados pessoais relativos à

como dados pessoais que revelam origem racial ou étnica, opiniões políticas, origem racial ou étnica, crença religiosa, opinião política, filiação sindical ou

crenças religiosas ou filosóficas ou filiação em sindicatos e o processamento de religiosa, filosófica ou política, dados relativos à saúde ou vida sexual, dados

dados genéticos, dados biométricos com o objetivo de identificar de forma única genéticos ou biométricos, quando relacionados com uma pessoa singular. O

uma pessoa singular, dados relativos à saúde ou dados relativos a uma pessoa LGPD fornece requisitos específicos para seu processamento.

singular vida sexual ou orientação sexual. O GDPR fornece requisitos

específicos para seu processamento.

O GDPR exclui de seu aplicativo o processamento A LGPD exclui de sua aplicação o processamento de dados

de dados pessoais por indivíduos para fins puramente pessoais ou pessoais por pessoas naturais para

fins domésticos. Este é o processamento de dados que 'não tem conexão com fins puramente privados e não econômicos.

uma atividade profissional ou comercial'.

10
 GDPR LGPD

Semelhanças (continuação)

O GDPR exclui dados anônimos da sua aplicação, que é definida como O LGPD exclui de sua aplicação dados anônimos,

informação que não diz respeito a uma pessoa singular identificada ou que é definida como dados relativos a um titular dos dados que não pode ser

identificável ou a dados pessoais tornados anónimos de tal forma que o identificado, considerando a utilização de meios técnicos razoáveis e disponíveis no

titular dos dados não é ou deixa de ser identificável. momento do processamento.

O GDPR exclui do processamento de dados de seu aplicativo O LGPD exclui de seus dados de aplicativo

dentro do contexto de aplicação da lei ou segurança nacional. processamento feito exclusivamente para fins de aplicação

da lei e segurança nacional.

O GDPR fornece requisitos específicos para determinadas situações de O LGPD geralmente não se aplica ao processamento de dados pessoais

processamento, incluindo processamento para jornalístico feito exclusivamente para segurança Pública,

fins e expressão acadêmica, artística ou literária. fins jornalísticos, artísticos ou acadêmicos.

Diferenças

O GDPR se aplica ao processamento de dados pessoais O LGPD se aplica a qualquer operação de processamento.

dados por meios automatizados ou não automatizados se os dados

fizerem parte de um sistema de arquivo.

O GDPR faz não abordar especificamente o processamento de dados A LGPD afirma que os dados podem ser considerados pessoais quando usados

anônimos para fins de criação de perfil. para formular perfis comportamentais de uma pessoa física específica, se essa

pessoa for identificada.

1 11 1
 2. Principais definições
2.1. Dados pessoais
Razoavelmente consistente

Tanto o GDPR quanto o LGPD fornecem definições de dados pessoais, dados pessoais confidenciais e dados anônimos que apresentam um alto grau de semelhança.

Em relação aos dados anônimos, para determinar se foram feitos esforços razoáveis para anonimizar os dados, a LGPD fornece critérios objetivos de análise, como

tempo e custo, mas também inclui o controlador ou processador de uso de seus 'próprios recursos'. Além disso, de acordo com a LGPD, os dados anônimos podem ser

considerados pessoais quando usados para formular perfis de comportamento de uma pessoa singular, se essa pessoa for identificada.

GDPR LGPD
Artigos 4, 9 Artigos 5, 12
Considerandos 26-30

Semelhanças

O GDPR define 'dados pessoais' como ' qualquer informação O LGPD define 'dados pessoais' como informações relacionadas

relativa a uma pessoa singular identificada ou identificável (' dados a uma pessoa singular identificada ou identificável.

sujeito'); uma pessoa física identificável é aquela que pode ser identificada, direta

ou indiretamente, em particular por referência a um identificador, como um nome,

um número de identificação, dados de localização, um identificador online ou um

ou mais fatores específicos para o físico, fisiológico, identidade genética, mental,

econômica, cultural ou social dessa pessoa natural. '

O GDPR faz não aplicar a dados anônimos, nomeadamente dados que O LGPD faz não aplicar a dados anônimos, que é definida como dados relativos a um

não se referem a uma pessoa singular identificada ou identificável ou a assunto que não pode ser identificado, direta ou indiretamente, considerando a

dados pessoais tornados anónimos de tal forma que o titular dos dados utilização de meios técnicos razoáveis disponíveis no momento do processamento.

não é ou deixa de ser identificável. O considerando 26 do RGPD prevê No LGPD, os dados não são considerados anonimizados quando o processo de

que «para determinar se uma pessoa singular é identificável, devem ser anonimização a que foram submetidos é reversível, considerando esforços razoáveis.

tidos em conta todos os meios razoavelmente prováveis de serem Porém, para além dos critérios objetivos (custo, tempo e tecnologia disponível), a

utilizados, como a seleção, pelo responsável pelo tratamento ou por outra LGPD adota também um conceito subjetivo, que é o “uso de recursos próprios” do

pessoa, para identificar diretamente a pessoa singular ou indiretamente. controlador ou processador para determinar se foram razoáveis os esforços

Para determinar se os meios são razoavelmente prováveis de serem envidados para o processo de anonimização.

usados para identificar a pessoa natural, devem ser levados em

consideração todos os fatores objetivos, como os custos e a quantidade

de tempo necessária para a identificação, levando em consideração a

tecnologia disponível no momento da processamento e desenvolvimentos

tecnológicos. ' Portanto,

12
 GDPR LGPD

Semelhanças (continuação)

levando em consideração a tecnologia disponível no momento do

processamento e os avanços tecnológicos.

O GDPR define categorias especiais de dados pessoais O LGPD define ' dados sensíveis' como dados pessoais de origem racial ou étnica,

(ou 'dados sensíveis') como 'dados pessoais que revelam origem racial ou étnica, crença religiosa, opinião política, filiação a sindicatos ou organização religiosa,

opiniões políticas, crenças religiosas ou filosóficas ou filiação em sindicatos e o filosófica ou política, saúde ou vida sexual, dados genéticos ou biométricos,

processamento de dados genéticos, dados biométricos com o objetivo de identificar quando ligados a uma pessoa física. A LGPD não proíbe o processamento de

de forma única uma pessoa singular, dados relativos à saúde ou dados relativos a um dados sensíveis, mas as bases legais para tal processamento são mais restritas.

natural vida sexual ou orientação sexual da pessoa. ' O processamento desta Veja 'Base Legal' abaixo.

categoria de dados pessoais é proibido, salvo exceções aplicáveis. Veja 'Base Legal'

abaixo.

Diferenças

O GDPR não trata especificamente do processamento de dados A LGPD declara que, se dados anônimos forem usados para criar ou

anônimos no contexto de criação de perfil. aprimorar um perfil de comportamento de uma pessoa física, eles podem ser

considerados dados pessoais quando o titular dos dados puder ser

identificado.

1 31 3
 2.2. Pseudonimização
Razoavelmente consistente

A definição de 'pseudonimização' incluída em ambos os atos legislativos é bastante semelhante. No entanto, o GDPR afirma que os dados pseudonimizados devem ser

considerados dados pessoais, enquanto o LGPD não é explícito sobre isso. No entanto, considerando que, no LGPD, o conceito de dados pessoais inclui dados que podem

identificar indiretamente um titular dos dados, os dados pseudonimizados podem ser considerados dados pessoais. Além disso, a 'pseudonimização' só está prevista quando a

finalidade do processamento estiver relacionada à pesquisa em saúde.

Ambos os atos legislativos mencionam o processo de pseudonimização como uma salvaguarda que deve ser adotada para reduzir os riscos para os direitos dos titulares dos dados.

No entanto, o LGPD apenas prevê explicitamente o uso de dados pseudonimizados no contexto da pesquisa em saúde pública.

GDPR LGPD
Artigos 4, 11 Artigo 13
Considerandos 26, 28-29

Semelhanças

' Pseudonimização ' é definido no GDPR como 'o processamento de dados pessoais de ' Pseudonimização ' é definido no LGPD como o processo pelo qual os

forma que os dados pessoais não possam mais ser atribuídos a um titular de dados dados não podem mais ser direta ou indiretamente associados a um

específico sem o uso de informações adicionais, desde que tais informações adicionais indivíduo, exceto pelo uso de informações adicionais mantidas

sejam mantidas separadamente e estejam sujeitas a procedimentos técnicos e separadamente pelo controlador em um ambiente controlado e

medidas organizacionais para garantir que os dados pessoais não sejam atribuídos a seguro.

uma pessoa singular identificada ou identificável. '

Diferenças

O GDPR afirma claramente que 'os dados pessoais que foram submetidos a O LGPD faz não declarar explicitamente que os dados pseudonimizados

pseudonimização e que podem ser atribuídos a uma pessoa física pelo uso de devem ser considerados dados pessoais, no entanto, podem ser interpretados

informações adicionais devem ser considerados como informações sobre uma pessoa como tal, uma vez que a definição dada indica a possibilidade de

física identificável'. reidentificação.

A LGPD prevê que nos estudos de saúde pública, as entidades de

investigação que tenham acesso a dados pessoais, devam tratar os dados

exclusivamente dentro da entidade e estritamente para efeitos de realização

de estudos e inquéritos em ambiente controlado e seguro, incluindo, sempre

que

possível, a anonimização ou pseudonimização do

dados. Uma 'entidade de pesquisa' é definida na LGPD como um órgão ou entidade

legal da administração pública direta ou indireta ou

14
GDPR LGPD

Diferenças (continuação)

pessoa jurídica de direito privado, sem fins lucrativos, legalmente constituída de acordo

com a legislação brasileira, com sede e foro no Brasil, que inclua em sua missão

institucional ou em seus fins estatutários o objetivo de realizar pesquisa básica ou

aplicada de caráter histórico, científico, natureza tecnológica ou estatística.

1 51 5
 2.3. Controladores e processadores
Razoavelmente consistente

As definições de controlador e processador no GDPR e no LGPD apresentam um alto grau de similaridade.

O GDPR exige que a relação entre o controlador e o processador seja regida por um contrato ou outro ato jurídico. Pelo contrário, a LGPD limita-se a afirmar

que o processador deve realizar o processamento de acordo com as instruções fornecidas pelo controlador, que é responsável por verificar o cumprimento das

mesmas.

GDPR LGPD
Artigos 4, 28, 30, 82 Artigo 5, 37-40, 42-43

Semelhanças

UMA controlador de dados é definido no GDPR como 'a pessoa física ou jurídica, UMA controlador de dados é definida na LGPD como a pessoa singular ou

autoridade pública, agência ou outro órgão que, sozinho colectiva, pública ou privada, que é responsável pelas decisões relativas ao

ou em conjunto com outros, determina as finalidades e meios de tratamento de dados pessoais.

tratamento de dados pessoais; onde os propósitos

e os meios para esse tratamento são determinados pela legislação da União ou dos

Estados-Membros, o responsável pelo tratamento ou os critérios específicos para a sua nomeação

podem ser previstos na legislação da União ou dos Estados-Membros. »

UMA processador de dados é definido no GDPR como 'uma pessoa física ou jurídica, a UMA processador de dados é definida na LGPD como a pessoa singular ou

autoridade pública, agência ou qualquer outra entidade que processa dados pessoais em coletiva, pública ou privada, que efetua o tratamento de dados pessoais por conta

nome do responsável pelo tratamento'. do responsável pelo tratamento.

Sob o GDPR, o controlador e o processador devem manter sob o LGPD, o controlador e o processador devem manter um registro das atividades de

processamento sob sua responsabilidade. um registro das operações de processamento de dados pessoais que realizam,

especialmente quando baseadas em interesses legítimos.

Nos termos do GDPR, «qualquer responsável pelo tratamento envolvido no tratamento é Os responsáveis pelo tratamento diretamente envolvidos no tratamento de

responsável pelos danos causados pelo tratamento que infringe o presente que o titular dos dados sofreu danos são solidariamente responsáveis. O

regulamento. O transformador só será responsável pelos danos causados pelo processador é solidariamente responsável pelos danos causados pelo

tratamento se não tiver cumprido as obrigações do presente regulamento processamento quando não cumpre as obrigações da LGPD ou quando não

especificamente dirigidas aos transformadores ou se tiver agido de forma contrária ou segue as instruções legais do controlador, caso em que o processador se

contrária às instruções legais do responsável pelo tratamento. » responsabiliza pelo controlador. Os processadores também são

solidariamente responsáveis pelos danos causados pelo processamento

nos casos em que não cumpram as obrigações e instruções do controlador.

16
 GDPR LGPD

Semelhanças (continuação)

O controlador ou processador está isento de responsabilidade se Os agentes de processamento não serão responsabilizados quando puderem

provar que não é de forma alguma responsável pelo evento que deu comprovar: (i) não participaram do processamento dos dados; (ii) quando,

origem ao dano. apesar do dano, o processamento for realizado de acordo com a LGPD; e (iii)

o dano é devido à culpa exclusiva do titular dos dados ou de terceiros.

Diferenças

O GDPR exige que o processamento por um processador seja regido por A LGPD simplesmente afirma que o operador deve conduzir o processamento de

um contrato ou outro ato jurídico, 'que vincule o processador em relação acordo com as instruções fornecidas pelo controlador, que é responsável por verificar o

ao controlador e que estabeleça o assunto e a duração do cumprimento. Nos termos da LGPD, não há obrigação de celebração de contrato ou

processamento, a natureza e a finalidade do tratamento, o tipo de dados outro ato jurídico para o tratamento realizado por um processador.

pessoais e as categorias de titulares dos dados e as obrigações e direitos

do responsável pelo tratamento. »

O GDPR não aborda especificamente esse ponto. O agente processador será solidariamente responsável quando o processamento

consistir em atendimento ao consumidor, uma vez que desencadeia a aplicação

do Código de Defesa do Consumidor, Lei nº 8.078, de 11 de setembro de 1990.

1 71 7
 2.4. Crianças
Bastante inconsistente

Tanto o GDPR quanto o LGPD concedem proteção especial aos dados pessoais das crianças.

No que diz respeito ao consentimento para serviços da sociedade da informação, o RGPD fixa a idade mínima em 16 anos, embora os Estados-Membros possam definir uma idade inferior,

respeitando o mínimo de 13 anos. Abaixo dessa idade, o consentimento deve ser dado por um dos pais ou tutor legal.

De acordo com a LGPD, o consentimento pode ser dado por uma pessoa física de 13 a 18 anos, desde que o tratamento de seus dados pessoais seja feito no seu melhor

interesse. Nos casos em que as crianças têm menos de 13 anos, o consentimento específico e proeminente deve ser dado por um pai ou pessoa responsável pela criança. A

definição de idade de crianças e adolescentes é fornecida pelo Estatuto Federal da Criança e do Adolescente 8069/1990.

GDPR LGPD
Artigos 6, 8, 12, 40, 57, Artigo 14
Considerandos 38, 58, 75

Semelhanças

O GDPR declara que qualquer informação e comunicação, dirigida a uma A LGPD afirma que as informações sobre o processamento de dados de

criança, deve ser fornecida em tal linguagem clara e simples que a criança crianças devem ser fornecidas em um forma simples, clara e acessível, utilizar

pode entender facilmente. recursos audiovisuais quando for o caso, a fim de fornecer as

informações necessárias aos pais ou representante legal e adequadas

ao entendimento da criança.

O GDPR requer que os controladores façam esforços razoáveis verificar A LGPD afirma que o controlador deve fazer todos os esforço

se o consentimento foi dado ou autorizado por um dos pais ou razoável verificar se o consentimento foi dado pelo

responsável pela criança, levando em consideração a tecnologia representante da criança, considerando as tecnologias

disponível. disponíveis.

Diferenças

O GDPR aborda explicitamente o consentimento das crianças apenas no O LGPD trata do consentimento das crianças com relação a

contexto da oferta de serviços da sociedade da informação. qualquer processamento de seus dados pessoais. O consentimento pode

ser prestado por pessoa singular dos 13 aos 18 anos, desde que o

tratamento dos seus dados pessoais seja efectuado no seu superior

interesse. No caso de crianças menores de

13 anos, consentimento específico e proeminente deve ser dado por um pai

ou pessoa responsável pela criança. A definição de idade de crianças e

adolescentes é fornecida pelo Estatuto Federal da Criança e do

Adolescente.

18
 GDPR LGPD

Diferenças (continuação)

De acordo com o GDPR, a idade mínima para consentir com os serviços da De acordo com o LGPD, a idade mínima para consentimento é 13 anos velho.

sociedade da informação é 16, mas os Estados-Membros podem prever uma

idade inferior para esses fins, desde que essa idade inferior não seja inferior 13

anos.

De acordo com o GDPR, o consentimento de um dos pais ou representante legal não deve ser Ao abrigo da LGPD, é possível recolher dados de crianças sem consentimento

necessário no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente quando necessário para contactar os pais ou representantes legais, utilizados

a uma criança. uma vez e sem armazenamento, ou para a sua protecção, e em nenhum caso

podem ser partilhados com terceiros sem o devido consentimento.

O GDPR declara que a proteção específica deve, em particular, se aplicar De acordo com a LGPD, os controladores não devem condicionar a participação

ao uso de dados pessoais de crianças para fins de marketing ou criação de de crianças em jogos, aplicativos de internet ou outras atividades ao

perfis de personalidade ou de usuário e a coleta de dados pessoais relativos fornecimento de informações pessoais além do estritamente necessário para a

a crianças ao usar serviços oferecidos diretamente a uma criança. atividade.

1 91 9
 2,5. Pesquisa
Bastante inconsistente

As disposições do GDPR sobre pesquisa são mais flexíveis do que as do LGPD. Em particular, o LGPD fornece uma definição restritiva de 'organismo de pesquisa', enquanto o

GDPR afirma que a pesquisa científica deve ser interpretada de uma 'maneira ampla'.

As regras relativas ao processamento de pesquisas em saúde pública são bastante semelhantes, porém, as disposições do LGPD são mais restritivas do que o GDPR, pois proíbe a transferência

de dados a terceiros, estabelecendo que o processamento deve ser realizado dentro do próprio órgão de pesquisa.

GDPR LGPD
Artigos 5, 9, 14, 17, 89, Artigos 5, 7, 11, 13, 16

considerandos 33, 159-161

Semelhanças

De acordo com o GDPR, o processamento de dados sensíveis não é proibido Sob o LGPD, dados sensíveis podem ser processados para que um órgão de

quando 'necessário para fins de arquivamento de interesse público, fins de pesquisa conduza seus estudos. Neste caso, o LGPD

pesquisa científica ou histórica ou também recomenda o anonimato de dados pessoais sensíveis.

fins estatísticos, que devem ser proporcionais ao objetivo prosseguido, respeitar

o conteúdo essencial do direito à proteção de dados e prever medidas

adequadas e específicas para salvaguardar os direitos fundamentais e os

interesses do titular dos dados ».

De acordo com o GDPR, categorias especiais de dados pessoais que De acordo com a LGPD, o processamento de dados pessoais para fins de pesquisa

merecem maior proteção devem ser processadas para fins relacionados à em saúde pública deve ser conduzido exclusivamente dentro do corpo de pesquisa e

saúde apenas quando necessário para atingir esses fins em benefício de estritamente para fins de realização de estudos e pesquisas e mantidos em um

pessoas físicas e da sociedade como um todo, por exemplo, no contexto de ambiente controlado e seguro de acordo com as práticas de segurança, incluindo

estudos realizados no interesse público na área da saúde pública. anonimização ou pseudonimização dos dados.

Diferenças

De acordo com o GDPR, o processamento de dados pessoais para fins de A pesquisa científica não está definida no LGPD. Nos termos da LGPD, um 'órgão de

pesquisa científica deve ser interpretado 'de uma maneira ampla, incluindo, por pesquisa' é definido como o órgão ou entidade da administração pública ou pessoa

exemplo, desenvolvimento tecnológico e demonstração, pesquisa jurídica de organização privada sem fins lucrativos, com sede e jurisdição no Brasil, que

fundamental, pesquisa aplicada e pesquisa com financiamento privado'. inclui em sua missão institucional ou em seu objetivo societário ou estatutário básico ou

pesquisa aplicada de natureza histórica, científica, tecnológica ou estatística. A base legal

de 'investigação' só é válida para estudos realizados por organismos de investigação que

se enquadrem na definição acima mencionada. Portanto, as entidades que realizam

pesquisas para obter vantagens econômicas não podem contar com a base jurídica da

pesquisa para o tratamento de dados pessoais.

20
 GDPR LGPD

Diferenças (continuação)

Nos termos do GDPR, quando os dados pessoais são processados para fins de De acordo com a LGPD, não há derrogações para os direitos dos titulares dos dados

arquivo no interesse público e para fins de investigação, é possível aos quando o processamento for para fins de pesquisa.

Estados-Membros derrogar os direitos de algumas pessoas em causa, na medida

em que tais direitos possam tornar impossível ou prejudicar seriamente a

realização de objetivos específicos, e tais derrogações são necessárias para o

cumprimento desses objetivos.

O RGPD prevê que «o tratamento posterior para fins de arquivo de Não há disposição equivalente na LGPD.

interesse público, para fins de investigação científica ou histórica ou

para fins estatísticos não deve, nos termos do artigo 89.º, n.º 1, ser

considerado incompatível com os objetivos iniciais».

211
 3. Base jurídica Razoavelmente consistente

Tanto o GDPR quanto o LGPD exigem a identificação de uma base legal para o processamento de dados pessoais. Algumas bases jurídicas são semelhantes; no entanto, os dois atos

legislativos também preveem bases jurídicas diferentes.

GDPR LGPD
Artigos 5-10 Artigos 7-13
Considerandos 39-48

Semelhanças

De acordo com o GDPR, as bases jurídicas para o processamento de dados pessoais são: ( Eu) De acordo com o LGPD, as bases jurídicas para o processamento de dados pessoais

consentimento dados pelo titular dos dados para uma ou mais finalidades específicas; (ii) são: ( i) a provisão de consentimento pelo titular dos dados; (ii) quando necessário para

quando necessário para o o execução de um contrato

execução de um contrato em que o titular dos dados seja parte ou para tomar ou procedimentos preliminares relativos a um contrato do qual o titular

medidas a pedido do titular dos dados antes de celebrar um contrato; (iii) quando seja parte, a pedido do titular dos dados; (iii)

necessário para cumprimento de uma obrigação legal a que o controlador está para o cumprimento de uma obrigação legal ou regulatória pelo

sujeito; (iv) quando necessário, a fim de proteger os interesses vitais do titular dos controlador; (iv) para o proteção da vida ou física

dados ou de outra pessoa física; (v) quando necessário para o desempenho de segurança do titular dos dados ou de terceiros; (v) pela administração pública, para

uma tarefa realizada no interesse público o tratamento e uso compartilhado de dados necessários à execução de políticas

públicas previstas em leis e regulamentos ou amparadas em contratos, acordos

ou no exercício de autoridade oficial investida no controlador; e (vi) quando necessário ou instrumentos semelhantes; e (vi) quando necessário para atender a

para os fins do interesses legítimos Prosseguidos pelo responsável pelo tratamento ou por

terceiros, exceto se esses interesses forem anulados pelos interesses ou direitos e interesses legítimos do responsável pelo tratamento ou de terceiros, exceto no

liberdades fundamentais do titular dos dados que requeiram a proteção dos dados caso dos direitos e liberdades fundamentais do titular dos dados que requeiram

pessoais, nomeadamente quando o titular dos dados for uma criança. O processamento de a proteção de dados pessoais.

dados pessoais estritamente necessários para o fins de prevenção de fraude também

constitui um interesse legítimo do responsável pelo tratamento dos dados em causa. O

processamento de dados pessoais para fins de marketing direto

pode ser considerada realizada por um interesse legítimo.

De acordo com o GDPR, as bases jurídicas para o processamento de De acordo com o LGPD, as bases jurídicas para o processamento de dados pessoais

dados pessoais sensíveis são: ( i) o titular dos dados forneceu sensíveis são: ( i) quando o titular dos dados ou seu representante legal consentimentos,

consentimento explícito; ( ii) quando necessário para os fins de específica e distintamente, de maneira separada, para fins específicos, (ii) quando

cumprir as obrigações e exercer as necessário

direitos do controlador ou do titular dos dados no campo de para conformidade com um obrigação legal ou regulatória pelo

emprego e segurança social e proteção social; (iii) onde controlador; (iii) quando necessário para o proteção do

necessário para proteger o interesses vitais do titular dos dados ou vida ou segurança física do titular dos dados ou de terceiros; (iv)

de outra pessoa física em que o titular dos dados seja física ou legalmente incapaz de onde necessário para o exercício regular de direitos, incluindo

dar o consentimento; (iv) quando necessário para no contrato e no judicial, processos administrativos e arbitrais, esta

a estabelecimento, exercício ou defesa de ações judiciais ou última nos termos da Lei nº 9.307,

22
 GDPR LGPD

Semelhanças (continuação)

sempre que os tribunais estiverem agindo em sua capacidade judicial; (v) quando de 23 de setembro de 1996 (Lei de Arbitragem); (v) tratamento compartilhado de

necessário por razões de substancial interesse público, dados necessários à execução, pela administração pública, de políticas publicas previsto

com base na legislação da União ou dos Estados-Membros, que deve ser em leis ou regulamentos; e (vi) proteção da saúde, em procedimento realizado por

proporcional ao objetivo prosseguido, respeitar o conteúdo essencial do direito à profissionais de saúde ou por entidades de saúde.

proteção de dados e prever medidas adequadas e específicas para salvaguardar os

direitos fundamentais e os interesses do titular dos dados; (vi) quando necessário

para o

fins de medicina preventiva ou ocupacional, para o

avaliação da capacidade de trabalho do trabalhador, diagnóstico médico, prestação de

cuidados ou tratamentos de saúde ou sociais ou gestão de sistemas e serviços de

saúde ou de cuidados sociais com base na legislação da União ou dos

Estados-Membros ou nos termos de contrato com um profissional de saúde ; (vii) onde

necessário por razões de interesse público na área de público

saúde, tais como a proteção contra graves ameaças transfronteiriças à saúde ou a

garantia de elevados padrões de qualidade e segurança dos cuidados de saúde e de

medicamentos ou dispositivos médicos, com base na legislação da União ou dos

Estados-Membros que prevê medidas adequadas e específicas para salvaguardar o

direitos e liberdades do titular dos dados, em especial sigilo profissional; e (viii) quando

necessário para fins de arquivamento em

a interesse público, fins de pesquisa científica ou histórica

ou fins estatísticos com base na legislação da União ou dos Estados-Membros, que

deve ser proporcional ao objetivo prosseguido, respeitar o conteúdo essencial do

direito à proteção de dados e prever medidas adequadas e específicas para

salvaguardar os direitos fundamentais e os interesses do titular dos dados.

Diferenças

Não existem outras bases jurídicas ao abrigo do GDPR para o As bases jurídicas que somente a LGPD fornece no que diz respeito ao

processamento de dados pessoais. tratamento de dados pessoais incluem: (i) conduzir

estudos por um órgão de pesquisa, garantindo, sempre

possível, a anonimização de dados pessoais; (ii) para o exercício regular

dos direitos em judicial, administrativo ou

procedimentos arbitrais; ( iii) para o proteção da saúde, em um

procedimento realizado por profissionais de saúde ou pela saúde

entidades; (iv) quando necessário para proteção de crédito.

233
 GDPR LGPD

Diferenças (continuação)

As bases jurídicas que apenas o GDPR prevê em relação ao processamento de As bases legais que apenas a LGPD prevê em relação ao tratamento de

dados confidenciais incluem: (i) onde o processamento é realizado no curso de dados sensíveis incluem: (i) para garantindo o

sua atividades legítimas com as salvaguardas adequadas por uma fundação, prevenção de fraude e segurança do titular dos dados, no

associação ou qualquer outro órgão sem fins lucrativos com um objetivo político, processos de identificação e autenticação de registo em sistemas electrónicos,

filosófico, religioso ou sindical e na condição de que o processamento diga salvaguardando os direitos referidos no artigo 9.º e salvo quando prevaleçam

respeito apenas aos membros ou ex-membros do órgão ou a pessoas que ter direitos e liberdades fundamentais do titular dos dados que requeiram protecção de

contacto regular com o mesmo no âmbito dos seus fins e que os dados pessoais dados pessoais.

não sejam divulgados fora desse órgão sem o consentimento dos titulares dos

dados; e (ii) quando o processamento se relaciona com dados pessoais que

são manifestamente tornados públicos pelo titular dos dados.

24
 4. Obrigações do controlador e do
processador
4.1. Transferências de dados
Razoavelmente consistente

Tanto o GDPR como o LGPD prevêem a transferência de dados pessoais para países terceiros ou organizações internacionais apenas por motivos específicos. Ambos os atos

legislativos reconhecem o conceito de adequação, bem como outros fundamentos jurídicos para a base da transferência internacional de dados.

Apesar do elevado nível de semelhança no núcleo da disposição, o GDPR inclui requisitos mais prescritivos sobre as condições legais para a transferência de dados pessoais.

GDPR LGPD
Artigos 44-50 Artigos 33-35
Considerandos 101, 112

Semelhanças

O GDPR permite a transferência internacional de pessoal O LGPD permite a transferência internacional de pessoal

dados a um país terceiro, a um território ou a um ou mais setores especificados desse dados a países ou organizações internacionais que proporcionem um nível

país terceiro, ou a uma organização internacional que garanta um nível de proteção adequado de proteção de dados pessoais, ou quando o responsável pelo

adequado, conforme avaliado pela Comissão Europeia. Na ausência de uma decisão tratamento garanta o cumprimento do regime de proteção de dados por meio de:

de adequação, a transferência é permitida quando o responsável pelo tratamento ou (i) cláusulas contratuais específicas para uma determinada transferência; (ii)

subcontratante proporcionou as salvaguardas adequadas por meio de: (i) regras cláusulas contratuais padrão; (iii) regras corporativas globais; e (iv) selos de

societárias vinculativas; (ii) cláusulas-padrão de proteção de dados adotadas pela qualidade, certificados e códigos de conduta válidos.

Comissão Europeia ou por uma autoridade de supervisão; (iii) um código de conduta

aprovado; e (iv) um mecanismo de certificação aprovado.

Outros fundamentos legais com base nas quais as transferências de dados são permitidas Outros fundamentos legais com base nos quais as transferências de dados são

são: (i) a cooperação judiciária por meio de acordos internacionais; (ii) quando o titular dos permitidas são: (i) quando a transferência é necessária para

dados tiver consentido explicitamente; (iii) quando a transferência for necessária para a cooperação jurídica entre agências de aplicação da lei, de acordo com instrumentos

execução ou celebração de um contrato; (iv) quando a transferência for necessária por de direito internacional; (ii) quando a transferência for necessária para proteger a vida

razões importantes de interesse público; (v) quando a transferência for necessária para o ou a segurança física do titular dos dados ou de terceiros; (iii) quando o titular dos

estabelecimento, exercício ou defesa de ações judiciais; e (vi) quando a transferência for dados deu um consentimento específico e pendente para as transferências; (iv)

necessária para proteger interesses vitais do titular dos dados ou de outras pessoas. quando a transferência for necessária para a execução de um contrato ou

procedimentos preliminares relacionados a um contrato; (v) quando a transferência for

necessária para o exercício regular de direitos em procedimentos judiciais,

administrativos ou arbitrais; e (vi) quando a transferência for necessária à execução

de ordem pública ou atribuição legal de serviço público.

2 575
 Portal GDPR
O recurso mais abrangente para o DataGuidance by OneTrust é uma plataforma u
desenvolvimento e manutenção
para monitorar desenvolvimentos regulatóri
do seu programa GDPR.
mitigar riscos e alcançar conform

Entenda as obrigações e

requisitos em todos os principais tópicos e

setores

Acompanhe os desenvolvimentos em relação

Implementação do Estado Membro

e orientação regulatória

Aplique inteligência especializada para

tomar decisões de negócios

Utilize listas de verificação e modelos

específicos do GDPR
 GDPR
avaliação comparativa

ataforma usada por profissionais de privacidade Um novo gráfico para ajudar as organizações a

compreender e comparar as principais disposições do
regulatórios,
GDPR com as leis de proteção de dados relevantes em
conformidade global.
todo o mundo.

Compare os requisitos do GDPR com a

Califórnia, Japão e Brasil com uma ferramenta

comparativa dedicada

Empregue orientações específicas do tópico para

desenvolver suas atividades de conformidade

Monitore notícias e acesse opiniões escritas

sobre os desenvolvimentos mais recentes

www.dataguidance.com
 GDPR LGPD

Semelhanças (continuação)

Outros motivos com base nos quais as transferências de dados são permitidas Outros motivos com base nas quais as transferências de dados são permitidas são: (i)

são: (i) instrumentos juridicamente vinculativos e executórios entre autoridades cláusulas contratuais específicas para uma transferência específica; (ii) quando a

ou organismos públicos; e (ii) sujeito à autorização da autoridade de supervisão autoridade supervisora autoriza a transferência; (iii) quando a transferência resultar

competente por: (a) cláusulas contratuais entre o controlador de compromisso assumido em acordo de cooperação internacional; e (iv) quando a

transferência for necessária ao cumprimento de uma obrigação legal ou regulamentar

ou o processador e o responsável pelo tratamento, o processador ou o destinatário por parte do controlador.

dos dados pessoais no país terceiro ou organização internacional; ou b) Disposições a

incluir nos acordos administrativos entre autoridades ou organismos públicos.

Diferenças

Outros motivos do GDPR incluem: ( i) a transferência é A LGPD não prevê a transferência internacional de dados com

Elaborado a partir de um registo que, de acordo com a legislação da União ou dos base em um registro que se destina a fornecer informações ao

Estados-Membros, se destina a fornecer informações ao público e que está aberto à consulta; público, nem com base no interesse legítimo do responsável

e (ii) com base no interesse legítimo do responsável pelo tratamento, se a transferência não pelo tratamento.

for repetitiva, diz respeito apenas a um número limitado de titulares dos dados e o

responsável pelo tratamento avaliou todas as circunstâncias que envolvem a transferência de

dados e, com base nessa avaliação, forneceu salvaguardas adequadas no que diz respeito à

protecção de dados pessoais.

28
4.2. Registros de processamento de dados
Razoavelmente consistente

Tanto o GDPR quanto o LGPD estabelecem uma obrigação legal para os controladores e processadores de manter um registro das atividades de processamento sob sua

responsabilidade. O GDPR detalha as informações que precisam ser registradas, enquanto o LGPD não fornece esses detalhes.

GDPR LGPD
Artigo 30 Artigo 37
Considerando 82

Semelhanças

De acordo com o GDPR, os controladores e processadores devem manter um De acordo com a LGPD, os controladores e processadores devem manter registros das

registro de suas atividades de processamento. operações de processamento de dados pessoais por eles realizadas, especialmente quando

baseadas em interesses legítimos.

Diferenças

De acordo com o GDPR, as organizações que empregam menos de 250 pessoas não De acordo com a LGPD, todas as organizações, independentemente de seu tamanho,

precisam manter esse registro, a menos que 'o processamento possa resultar em um número de funcionários ou tipo de dados, precisam cumprir a obrigação de

risco para os direitos e liberdades dos titulares dos dados, o processamento não seja processamento de registros. No entanto, isenções podem ser estabelecidas pela

ocasional ou o processamento inclua categorias especiais de dados conforme referido autoridade supervisora.

no artigo 9.o, n.o 1, ou dados pessoais relativos a condenações penais e infrações a que

se refere o artigo 10.o »

O GDPR estabelece que os controladores de dados devem registrar: O LGPD não detalha as informações que os

a) o nome e detalhes de contato do controlador; b) as finalidades do controladores precisam registrar.

processamento; c) uma descrição das categorias de titulares de dados e das

categorias de dados pessoais; d) as categorias de destinatários a quem os dados

pessoais serão divulgados; e) transferências internacionais de dados pessoais,

com a identificação de terceiros países ou organizações internacionais, e a

documentação das salvaguardas adequadas adotadas; f) os prazos estimados

para o apagamento das categorias de dados; e g) uma descrição geral das

medidas técnicas e organizacionais de segurança adotadas.

O GDPR estabelece que os processadores de dados devem registrar: O LGPD não detalha as informações que os

a) o nome e detalhes de contato do processador; b) as categorias de processadores precisam registrar.

processamento realizadas em nome de cada controlador; c) transferências

internacionais de dados pessoais, com o

299
 GDPR LGPD

Diferenças (continuação)

identificação de países terceiros ou organizações internacionais, e a

documentação de salvaguardas adequadas

adotado; ed) uma descrição geral das medidas técnicas e

organizacionais de segurança adotadas.

30
4.3. Avaliação do impacto da proteção de dados
Bastante inconsistente

Tanto o GDPR como o LGPD estabelecem o requisito de realização de um DPIA para avaliar o risco das atividades de processamento de dados para os direitos e liberdades dos

titulares dos dados em circunstâncias específicas.

O GDPR especifica os casos em que um DPIA é necessário, enquanto o LGPD estabelece menos critérios do que o GDPR para quando um DPIA deve ser realizado.

GDPR LGPD
Artigos 35-36 Artigos 5, 10, 38
Considerandos 75, 84, 89-93

Semelhanças

O GDPR estabelece o requisito para um DPIA O LGPD estabelece o requisito para um DPIA para

a ser conduzido em circunstâncias específicas. As autoridades de supervisão dos ser conduzido em circunstâncias específicas. A autoridade brasileira de

Estados-Membros podem ainda determinar quais as operações de tratamento proteção de dados ('ANPD') pode determinar quais operações de

que requerem um DPIA. processamento exigem um DPIA.

Diferenças

O GDPR afirma que um DPIA é 'uma avaliação do impacto das A LGPD prevê que DPIA é a documentação do controlador que contém a

operações de processamento previstas na proteção de dados descrição dos procedimentos de tratamento dos dados pessoais que podem

pessoais.' gerar riscos às liberdades civis e aos direitos fundamentais, bem como as

medidas, salvaguardas e mecanismos de mitigação do risco.

O GDPR afirma que um DPIA é obrigatório: a) quando for provável que o O LGPD não estabelece quando um DPIA é necessário, mas o

tratamento resulte em alto risco para os direitos e liberdades das pessoas A ANPD pode solicitar que o controlador execute e forneça um DPIA.

físicas; b) quando se trate de uma avaliação sistemática e extensa de aspectos

pessoais relativos a pessoas físicas, a qual se baseia em tratamento

automatizado; c) processamento em grande escala de categorias especiais de

dados; ed) monitoramento sistemático de uma área acessível ao público em

grande escala.

O GDPR afirma que um DPIA deve incluir pelo menos: (i) uma descrição De acordo com o LGPD, o DPIA deve incluir pelo menos: (i) uma descrição

sistemática das operações de processamento estimadas e das finalidades do dos tipos de dados processados; (ii) os métodos usados para coletar os

processamento; (ii) uma avaliação da necessidade e proporcionalidade das dados; (iii) os métodos de segurança da informação utilizados; e (iv) a

operações de processamento em relação aos fins; e (iii) uma avaliação dos riscos descrição dos mecanismos utilizados para mitigar os riscos relacionados

para os direitos e liberdades dos titulares dos dados. com o tratamento dos dados pessoais envolvidos.

3
3 1 11
 GDPR LGPD

Diferenças (continuação)

As medidas contempladas para enfrentar os riscos incluem A LGPD não inclui quaisquer disposições explícitas sobre as medidas a

salvaguardas, medidas de segurança e mecanismos para garantir a serem tomadas para mitigar os riscos.

proteção dos dados pessoais e comprovar o cumprimento do RGPD.

De acordo com o GDPR, o controlador deve consultar a autoridade de supervisão A LGPD não estabelece um processo de

antes do processamento, quando um DPIA indica que o processamento resultaria consulta prévia sobre DPIAs.

em um risco elevado na ausência de medidas tomadas pelo controlador para mitigar

o risco.

32
4,4. Nomeação de oficial de proteção de dados
Bastante inconsistente

O GDPR e o LGPD prevêem a nomeação de um DPO. Embora as tarefas que se espera que desempenhem sejam bastante semelhantes em ambas as leis, a natureza e o escopo de

suas funções e responsabilidades são diferentes.

GDPR LGPD
Artigos 13-14, 37-39 Artigos 5, 41
Considerando 97

Semelhanças

O GDPR prevê a nomeação de um DPO. O LGPD prevê a nomeação de um DPO.

O GDPR define as tarefas de um DPO, que incluem: (i) O LGPD define as atividades do DPO, que incluem: (i)

informar e aconselhar o controlador ou processador de suas obrigações sob o aceitar reclamações e comunicações dos titulares dos dados,

GDPR; (ii) monitorar conformidade com a legislação de proteção de dados e prestar esclarecimentos e adotar providências; (ii) recebendo comunicações da

sensibilizar / formar o pessoal envolvido nas operações de processamento; (iii) dar autoridade de fiscalização, aconselhar os trabalhadores da entidade e terceiros sobre

conselhos as práticas de proteção de dados, e cumprir as demais atribuições determinadas pelo

em DPIAs quando solicitado; e (iv) atuar como o ponto de contato para controlador; (iii) orientar a entidade funcionários e contratados em relação às práticas

titulares de dados e autoridades de supervisão. a serem adotadas em relação à proteção de dados pessoais; e (iv) realizando outras

funções conforme determinado pelo controlador ou estabelecido em normas

complementares.

O controlador de dados e / ou o processador de dados deve publicar os detalhes A identidade e os dados de contato do DPO devem ser divulgados

de contato do DPO como parte de seu aviso de privacidade e comunicá-los à publicamente, de forma clara e objetiva, preferencialmente no site

autoridade supervisora. do controlador.

Diferenças

O GDPR não inclui uma definição de um DPO. O LGPD inclui uma definição de um DPO, nomeadamente uma

pessoa designada pelo controlador, que atua como um canal de

comunicação entre o controlador, os titulares dos dados e a

autoridade de supervisão.

Sob o GDPR, ambos controladores e processadores estão sob Sob o LGPD, apenas controladores deve nomear um DPO.

a obrigação de nomear um DPO em circunstâncias específicas.

De acordo com o GDPR, as obrigações de nomear um DPO se aplicam apenas. O LGPD não limitar a nomeação do DPO para controladores e processadores específicos, cujas

atividades principais consistem circunstâncias; sendo deixado para a ANPD liberar

qualquer uma das operações de processamento que requerem regular e regras complementares sobre as situações em que poderá ser dispensada a

monitoramento sistemático de titulares de dados em grande escala, ou indicação de tal pessoa, de acordo com o

333
 GDPR LGPD

Diferenças (continuação)

processamento em grande escala de categorias especiais de dados natureza e o tamanho da entidade ou o volume das operações de

e dados pessoais relativos a condenações criminais. processamento de dados.

Um grupo de empresas pode nomear um RPD, desde que o RPD seja facilmente O LGPD faz não mencionar explicitamente se um grupo de

acessível a partir de cada estabelecimento. entidades pode nomear um único DPO.

O GDPR estabelece a independência do DPO. O LGPD faz não estabelecer explicitamente a

independência do DPO.

O GDPR afirma que o DPO deve ser fornecido com recursos O LGPD faz não incluir qualquer disposição que preveja recursos

monetários e humanos para cumprir suas tarefas. monetários e humanos a serem dados ao DPO para cumprir suas

tarefas.

34
4.5. Segurança de dados e violações de dados
Razoavelmente consistente

Tanto o GDPR quanto o LGPD incluem a obrigação de os controladores e processadores adotarem medidas de segurança para proteger os dados pessoais que estão processando.

A LGPD especifica que a ANPD tem competência para divulgar orientações sobre as medidas de segurança específicas a serem adotadas.

No que diz respeito à notificação de violação de dados, tanto o GDPR como o LGPD incluem a obrigação de notificar a autoridade de supervisão, bem como os titulares dos dados afetados

em determinadas circunstâncias. No entanto, embora o GDPR inclua um cronograma definido para notificar no LGPD, o prazo é deixado para a ANPD estabelecer.

Além disso, ao abrigo do LGPD, uma violação de dados deve ser sempre comunicada aos titulares dos dados, enquanto este não é o caso ao abrigo do GDPR.

GDPR LGPD
Artigos 5, 24, 32-34, Artigos 6, 46
considerandos 74-77, 83-88

Semelhanças

O GDPR reconhece integridade e confidencialidade como O LGPD reconhece segurança como princípio fundamental

princípios fundamentais de proteção de dados, declarando que os dados de proteção de dados, afirmando que segurança significa o uso

pessoais devem ser processados de uma maneira que garanta a segurança do medidas técnicas e administrativas que são capazes

adequada dos dados pessoais, incluindo proteção contra processamento não para proteger os dados pessoais de acessos não autorizados e

autorizado ou ilegal e contra perda acidental, destruição ou dano, usando situações acidentais ou ilegais de destruição, perda, alteração,

comunicação ou disseminação.

apropriado medidas técnicas ou organizacionais.

O GDPR afirma que controladores de dados e processadores de dados devem O LGPD afirma que controladores e processadores devem adotar medidas de

adotar segurança técnica e organizacional segurança, técnicas e administrativas capaz

medidas que garantem um nível de segurança apropriado para para proteger os dados pessoais de acessos não autorizados e situações acidentais

o risco tendo em conta o estado da técnica, os custos de implementação e a ou ilegais de destruição, perda, alteração, comunicação ou qualquer tipo de

natureza, âmbito, contexto e objetivos do processamento, bem como o risco de processamento impróprio ou ilícito.

probabilidade e gravidade variáveis para os direitos e liberdades das pessoas

singulares.

De acordo com o GDPR, em caso de violação de dados, o controlador de dados Sob o LGPD, controladores deve comunicar-se à ANPD

deve notificar a autoridade supervisora competente a menos que e para o titular dos dados a ocorrência de um incidente de segurança

É improvável que a violação de dados pessoais resulte em risco para o titular dos que podem criar riscos ou danos relevantes para os titulares dos dados.

dados. O controlador de dados também deve notificar o

titulares de dados envolvidos, sem demora indevida, quando a violação de

dados pessoais pode resultar em um alto risco.

35
 GDPR LGPD

Semelhanças (continuação)

A notificação deve incluir, no mínimo: ( i) descrição da natureza da violação, A comunicação deve incluir, no mínimo: ( I a

incluindo, sempre que possível, as categorias e o número aproximado da descrição da natureza dos dados pessoais afetados; (ii) informações sobre os

pessoa em causa, e as categorias e número aproximado de registros de titulares dos dados envolvidos; (iii) a indicação das medidas técnicas e de

dados pessoais em questão; (ii) detalhes de contato do DPO ou outro ponto segurança utilizadas para a proteção dos dados, sob reserva do sigilo comercial

de contato; (iii) as prováveis consequências do e industrial; (iv) os riscos relacionados ao incidente; (v) os motivos do atraso,

violação; (iv) medidas tomadas ou propostas a serem tomadas para mitigar os casos em que a comunicação não foi imediata; os possíveis efeitos

adversos; e (v) o motivo do atraso. e (vi) as medidas que foram ou serão adotadas para reverter

ou mitigar os efeitos do dano.