Comparação GDPR-LGPD PDF
Document Details
Uploaded by Deleted User
Baptista Luz Advogados, OneTrust
Tags
Summary
This document details a comparison of the GDPR (General Data Protection Regulation) and the LGPD (Lei Geral de Proteção de Dados) privacy laws. It covers the scope, key definitions, and obligations of controllers and processors, as well as the rights of individuals under both regulations. The comparison highlights similarities and differences between the two laws.
Full Transcript
Comparando leis de privacidade: GDPR v. LGPD Sobre os autores Orientação de dados por OneTrust fornece um conjunto de soluções de privacidade projetadas para ajudar as organizações a monitorar os desenvolvimentos regulatórios, mitigar riscos e alcançar conformidade global. A plataforma DataGuid...
Comparando leis de privacidade: GDPR v. LGPD Sobre os autores Orientação de dados por OneTrust fornece um conjunto de soluções de privacidade projetadas para ajudar as organizações a monitorar os desenvolvimentos regulatórios, mitigar riscos e alcançar conformidade global. A plataforma DataGuidance by OneTrust inclui orientação focada em tópicos centrais (ou seja, GDPR, transferências de dados, notificação de violação, entre outros), gráficos transfronteiriços que permitem comparar regulamentos em várias jurisdições em um relance, um serviço diário de notícias personalizado e análise de especialistas. Essas ferramentas, junto com nosso serviço de analista interno para ajudá-lo com suas perguntas de pesquisa específicas, fornecem uma solução econômica e eficiente para projetar e apoiar seu programa de privacidade. Baptista Luz Advogados foi fundada em 2004 e cobre a maioria das áreas do direito societário. Seus clientes incluem empresas e grupos econômicos, nacionais e internacionais, fundos de investimento, investidores anjo e empresários. Também atua em outros setores da economia, notadamente publicidade, tecnologia, instituições financeiras, aeronáutica, telecomunicações, e-commerce, logística e saúde. O Baptista Luz possui uma equipa dedicada à Privacidade e Protecção de Dados, com profissionais de referência, que estão directamente envolvidos nas mais importantes discussões da área e que tratam do compliance da protecção de dados a nível global e nacional. O escritório possui escritórios em três diferentes cidades brasileiras (São Paulo, Florianópolis e Londrina), além de uma unidade em Miami. Contribuidores Orientação de dados por OneTrust: Alexis Kateifides, Joel Bates, Nikos Papageorgiou, Rumer Ramsey, Bart van der Geest, Alice Marini, Pascale Arguinarena Baptista Luz Advogados: Renato Leite Monteiro, Odélio Porto Junior, Gabriela Moribe Créditos de produção de imagem: Capa / p.5 / p.51: cnythzl / Coleção de assinaturas / istockphoto.com Chave de escala p6-49: enisaksoy / Coleção de assinaturas / istockphoto.com Ícone p.12-21: Moto-rama / coleção Essentials / istockphoto.com Ícone p.22-23: AlexeyBlogoodf / Essentials collection / istockphoto.com Ícone p.25, 29-37: zak00 / Signature collection / istockphoto.com Ícone p.38-45: AlexeyBlogoodf / coleção Essentials / istockphoto.com Ícone p.47-51: cnythzl / Coleção de assinaturas / istockphoto.com 2 Índice Introdução 5 1 Escopo 1.1. Âmbito pessoal 7 1.2. Alcance territorial 8 1.3. Escopo do material 10 2 Definições-chave 2.1. Dados pessoais 12 2.2. Pseudonimização 14 2.3. Controladores e processadores 16 2.4. Crianças 18 2,5. Pesquisa 20 3- Base legal 22 4- Obrigações do controlador e do processador 4.1. Transferências de dados 25 4.2. Registros de processamento de dados 29 4.3. Avaliação do impacto da proteção de dados Nomeação 31 4,4. do responsável pela proteção de dados Segurança de 33 4.5. dados e violações de dados Responsabilidade e boas 35 4,6. práticas 36 5 Direitos individuais 5.1. Direito de apagar 38 5,2 Direito de ser informado Direito 40 5,3. de se opor 41 5,4 Direito de acesso 43 5.5. Direito de não ser sujeito a discriminação para o exercício de direitos Direito à portabilidade 44 5,6. de dados 45 6 Execução 6.1. Penalidades monetárias 47 6,2 Autoridade supervisora 49 6.3. Recursos civis para indivíduos 51 3 4 Introdução Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (Regulamento (UE 2016/679) ('GDPR') entrou em vigor. Em agosto de 2018, o Brasil aprovou a Lei nº 13.709 de 14 de agosto de 2018 que Dispõe sobre a Proteção de Dados Pessoais e altera a Lei Federal nº 12.965 de 23 de abril de 2014 ('LGPD'), com entrada em vigor prevista para 2020. Ambas as leis são abrangentes em termos de âmbito pessoal, material e territorial. Por exemplo, tanto o GDPR quanto o LGPD se aplicam a organizações com presença na UE e no Brasil respectivamente, bem como a organizações que não estão fisicamente localizadas, mas que oferecem bens e serviços nas jurisdições ou processam dados pessoais nessas regiões. No entanto, deve-se notar que apenas o RGPD se aplica a organizações que, embora não tenham qualquer presença na UE, monitoram o comportamento de indivíduos na UE. Além disso, ambos os atos legislativos aplicam-se ao tratamento de dados pessoais de pessoas singulares efetuado por controladores e processadores. Em particular, seu escopo de aplicação parece de longo alcance, pois ambos protegem os indivíduos, independentemente de sua nacionalidade ou status de residência. Esse princípio está explicitamente incluído no GDPR, enquanto no Brasil é previsto pela interpretação combinada com a Constituição da República Federativa do Brasil ('a Constituição'). Ambos também fornecem proteção especial para o processamento de dados pessoais sensíveis, bem como para o processamento de dados de crianças. No entanto, existem várias nuances entre as duas leis, por exemplo, no que diz respeito à base jurídica aplicável quando os dados sensíveis são processados. Além disso, ambas as leis excluem de seu escopo o tratamento de dados anônimos, embora a LGPD afirme que os dados podem ser considerados pessoais quando usados para formular perfis de comportamento de uma pessoa física específica, se essa pessoa for identificada. Outras semelhanças podem ser encontradas nos direitos aos quais os indivíduos estão autorizados, bem como nas obrigações a que os controladores e processadores estão sujeitos. No entanto, de acordo com o GDPR, os controladores e processadores devem nomear um responsável pela proteção de dados ('DPO') em circunstâncias específicas, bem como realizar uma Avaliação de Impacto da Proteção de Dados ('DPIA'). De acordo com o LGPD, apenas os controladores devem nomear um DPO, e nenhuma circunstância específica é definida; portanto, à primeira vista, todos os controladores precisam designar um, independentemente do tipo, volume e forma como os dados são processados. Este Guia visa, portanto, destacar as semelhanças e diferenças entre os dois atos legislativos, a fim de ajudar as organizações a desenvolver suas atividades de compliance. 5 Introdução (continuação) Estrutura e visão geral do Guia Este Guia fornece uma comparação das duas peças de legislação nas seguintes disposições principais: 1. Escopo 2. Principais definições 3. Base jurídica 4. Obrigações do controlador e do processador 5. Direitos dos indivíduos 6. Aplicação Cada tópico inclui artigos e seções relevantes das duas leis, um resumo da comparação e uma análise detalhada das semelhanças e diferenças entre o GDPR e o LGPD. Chave para dar a taxa de consistência Consistente: O GDPR e o LGPD apresentam um alto grau de similaridade na lógica, no núcleo, no escopo e na aplicação da disposição considerada. Bastante consistente: O GDPR e o LGPD apresentam um alto grau de similaridade na lógica, no núcleo e no escopo da disposição considerada; no entanto, os detalhes que regem sua aplicação são diferentes. Bastante inconsistente: O GDPR e o LGPD apresentam várias diferenças no que diz respeito ao âmbito e aplicação da disposição considerada, no entanto a sua lógica e núcleo apresentam algumas semelhanças. Inconsistente Consistente Inconsistente: O GDPR e o LGPD apresentam um elevado grau de divergência no que diz respeito à justificação, núcleo, âmbito e aplicação da disposição considerada. Uso do Guia Este Guia é geral e educacional por natureza e não se destina a fornecer, e não deve ser considerado, como fonte de aconselhamento jurídico. As informações e materiais fornecidos no Guia podem não ser aplicáveis em todas (ou qualquer) situações e não devem ser objeto de ação sem aconselhamento jurídico específico com base em circunstâncias particulares. Esta análise tem por base a versão da LGPD alterada pela Medida Provisória n.º 869, de 27 de dezembro de 2018, bem como uma tradução para o inglês da lei, elaborada pelo escritório de advocacia Pereira Neto | Macedo Advogados, e acessível em https: // www. pnm.adv.br/wp-content/uploads/2018/08/Brazilian-General-Data-Protection-Law.pdf. Orientação de dados por OneTrust e Baptista Luz Advogados gostaria de agradecer ao Pereira Neto | Macedo Advogados pelo empenho e pela disponibilização desta tradução para uso. 6 1. Escopo 1.1. Âmbito pessoal Razoavelmente consistente Tanto o GDPR quanto o LGPD protegem o processamento de dados pessoais de indivíduos. Além disso, o GDPR afirma que a proteção é fornecida independentemente da nacionalidade ou residência do titular dos dados, ao passo que o LGPD não aborda explicitamente este ponto. No entanto, ao fornecer uma interpretação de acordo com a Constituição, a proteção aplica-se a qualquer pessoa, independentemente da nacionalidade ou residência do titular dos dados. Ambas as leis se aplicam a controladores e processadores de dados. GDPR LGPD Artigos 3, 4 Artigos 1-5 Considerandos 2, 14, 22-25 Semelhanças O GDPR só protege os indivíduos vivos. Os dados pessoais de pessoas O LGPD só protege explicitamente os dados pessoais de pessoas singulares. Portanto, os jurídicas não são cobertos pelo GDPR. O GDPR não protege os dados dados de pessoas jurídicas também não são abrangidos. pessoais de pessoas falecidas, sendo deixados ao critério dos Estados-Membros. O Artigo 4 (1) do RGPD esclarece que um assunto de dados é 'uma pessoa O Artigo 5 (V) da LGPD esclarece que um assunto de dados física identificada ou identificável'. é uma pessoa singular a quem se referem os dados pessoais objeto de tratamento. O GDPR se aplica a controladores de dados e dados O LGPD se aplica a controladores e processadores de dados, processadores, que podem ser empresas, organismos públicos, instituições, juntos chamados de em processamento bem como organizações sem fins lucrativos. agentes, quem pode ser empresas, organismos públicos, instituições, bem como organizações sem fins lucrativos. O GDPR define um controlador de dados como 'a pessoa singular e coletiva, O LGPD define um controlador como pessoa singular ou colectiva autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto responsável pela tomada de decisões relativas ao tratamento de com outros, determina os fins e os meios de tratamento dos dados pessoais.' dados pessoais. O GDPR define um processador de dados como «pessoa singular ou coletiva, O LGPD define um processador enquanto pessoa singular ou colectiva, de autoridade pública, agência ou outro organismo que trata dados pessoais em nome direito público ou privado, que trata dados pessoais em nome do do responsável pelo tratamento». responsável pelo tratamento. Diferenças O GDPR prevê que 'deve ser aplicado a O LGPD faz não indique explicitamente se se aplica a naturais pessoas, qualquer que seja sua nacionalidade ou local de residência, pessoas, independentemente da sua nacionalidade ou local de residência. em relação ao tratamento dos seus dados pessoais. » 7 1.2. Alcance territorial Razoavelmente consistente Tanto o GDPR quanto o LGPD se aplicam a entidades que estejam presentes na jurisdição. O GDPR se aplica a organizações que possuem um 'estabelecimento' na UE, enquanto o LGPD se aplica a operações de processamento de dados realizadas no Brasil. Ambas as leis também têm alcance extraterritorial. Em particular, eles se aplicam a organizações que oferecem bens e serviços a titulares de dados na Europa e no Brasil, respectivamente, independentemente de onde eles estejam localizados. É de notar que apenas o RGPD se aplica a organizações que, embora não tenham qualquer presença na UE, monitorizam o comportamento de indivíduos na UE. GDPR LGPD Artigos 3-4 Artigos 3-4 Considerandos 2, 14, 22-25 Semelhanças O RGPD aplica-se a organizações com presença na UE, nomeadamente entidades No que diz respeito à noção de estabelecimento, não existe qualquer disposição equivalente que tenham um ' estabelecimento' na UE. Portanto, o GDPR se aplica ao na LGPD que a defina. No entanto, o LGPD processamento de dados pessoais por organizações estabelecido na UE, aplica-se a operações de processamento de dados realizadas no Brasil. independentemente de A LGPD se aplica, independentemente da localização da sede de uma entidade, ou quer o processamento seja realizado na UE ou não. da localização dos dados sendo processados, se os dados sendo processados pertence a pessoas físicas localizadas no Brasil ou se os dados pessoais em tratamento foram coletados no Brasil. Dados coletados no Brasil são definidos como dados pertencer a um titular dos dados que estava no Brasil no momento da coleta. Com relação à âmbito extraterritorial, o GDPR se aplica às atividades de processamento O LGPD também se aplica, independentemente da localização da sede de organizações que não estão estabelecidos na UE, onde as atividades de de uma entidade, ou da localização dos dados sendo processados, se o objetivo processamento estão relacionadas de uma entidade ao oferta de bens ou serviços a particulares na UE. atividade de processamento é para oferecer ou fornecer bens ou serviços para pessoas físicas localizadas no Brasil. Diferenças Em relação a âmbito extraterritorial, o GDPR Em relação a âmbito extraterritorial, o LGPD faz aplica-se a organizações que não estão estabelecidas em não incluir quaisquer disposições específicas em relação às atividades a UE, mas monitorar o comportamento dos indivíduos, de processamento que tenham o objetivo de monitorar o desde que o seu comportamento ocorra na UE. comportamento das pessoas no Brasil. O Artigo 4 (IV) estabelece que a LGPD não se aplica a operações de processamento Não há disposição equivalente no GDPR. de dados, onde os dados estão sendo processados originado fora do Brasil, e não são o objeto de 8 GDPR LGPD Diferenças (continuação) comunicação, uso compartilhado de dados com agentes de processamento brasileiros, ou objeto de transferência internacional de dados com outro país que não o Brasil, desde que o país de origem ofereça um nível de proteção adequado ao da LGPD. O GDPR se aplica a pessoas físicas, tanto faz O LGPD não estabelecer explicitamente que será aplicável independentemente da sua nacionalidade ou local de residência, em relação nacionalidade ou local de residência do indivíduo. Entretanto, ao fornecer uma ao tratamento dos seus dados pessoais. interpretação conforme a Constituição Federal Brasileira, a proteção se aplica a qualquer pessoa, independentemente da nacionalidade ou residência do titular dos dados. Além disso, o artigo 3º estabelece que a LGPD se aplicará se os dados pessoais em tratamento pertencerem a uma pessoa que estava no Brasil no momento de sua coleta. 9 1.3. Escopo do material Razoavelmente consistente Ambas as leis se aplicam a dados pessoais definidos como informações sobre uma pessoa física identificada ou identificável. O GDPR exclui de sua aplicação o processamento de dados anônimos. Da mesma forma, a LGPD exclui de sua aplicação os 'dados anônimos', uma vez que não são considerados dados pessoais, a menos que o processo de anonimato tenha sido revertido. De acordo com a LGPD, os dados também podem ser considerados pessoais quando utilizados para formular perfis comportamentais de uma determinada pessoa física, caso essa pessoa seja identificada. O GDPR aplica-se ao processamento de dados pessoais por meios automatizados ou não automatizados se os dados fizerem parte de um sistema de arquivo, enquanto o LGPD se aplica a qualquer operação de processamento. GDPR LGPD Artigos 2-4, 9 Artigos 3-5, 11-12 Considerandos 15-21, 26 Semelhanças O GDPR se aplica ao ' em processamento' de dados pessoais. A definição de O LGPD se aplica a qualquer operação de processamento, 'processamento' abrange 'qualquer operação' realizada em dados pessoais ', que é definida como qualquer operação realizada com dados pessoais, como coleta, registro, organização, estruturação, armazenamento, adaptação ou como coleta, produção, recebimento, classificação, uso, acesso, alteração, recuperação, consulta, uso, divulgação por transmissão, reprodução, transmissão, distribuição, processamento, arquivamento, disseminação ou de outra forma disponibilização, alinhamento ou combinação, armazenamento, exclusão, avaliação ou controle da informação, restrição, apagamento ou destruição. ' modificação, comunicação , transferência, disseminação ou extração. O GDPR se aplica ao em processamento de dados pessoais. ' Dados pessoais' é definido O LGPD se aplica a qualquer operação de processamento de dados pessoais. como 'qualquer informação' que se relaciona direta ou indiretamente com um indivíduo ' Dados pessoais' é definido como informação sobre uma pessoa física identificado ou identificável. identificada ou identificável. O GDPR define ' categorias especiais de dados pessoais ' O LGPD define ' dados pessoais sensíveis ' como dados pessoais relativos à como dados pessoais que revelam origem racial ou étnica, opiniões políticas, origem racial ou étnica, crença religiosa, opinião política, filiação sindical ou crenças religiosas ou filosóficas ou filiação em sindicatos e o processamento de religiosa, filosófica ou política, dados relativos à saúde ou vida sexual, dados dados genéticos, dados biométricos com o objetivo de identificar de forma única genéticos ou biométricos, quando relacionados com uma pessoa singular. O uma pessoa singular, dados relativos à saúde ou dados relativos a uma pessoa LGPD fornece requisitos específicos para seu processamento. singular vida sexual ou orientação sexual. O GDPR fornece requisitos específicos para seu processamento. O GDPR exclui de seu aplicativo o processamento A LGPD exclui de sua aplicação o processamento de dados de dados pessoais por indivíduos para fins puramente pessoais ou pessoais por pessoas naturais para fins domésticos. Este é o processamento de dados que 'não tem conexão com fins puramente privados e não econômicos. uma atividade profissional ou comercial'. 10 GDPR LGPD Semelhanças (continuação) O GDPR exclui dados anônimos da sua aplicação, que é definida como O LGPD exclui de sua aplicação dados anônimos, informação que não diz respeito a uma pessoa singular identificada ou que é definida como dados relativos a um titular dos dados que não pode ser identificável ou a dados pessoais tornados anónimos de tal forma que o identificado, considerando a utilização de meios técnicos razoáveis e disponíveis no titular dos dados não é ou deixa de ser identificável. momento do processamento. O GDPR exclui do processamento de dados de seu aplicativo O LGPD exclui de seus dados de aplicativo dentro do contexto de aplicação da lei ou segurança nacional. processamento feito exclusivamente para fins de aplicação da lei e segurança nacional. O GDPR fornece requisitos específicos para determinadas situações de O LGPD geralmente não se aplica ao processamento de dados pessoais processamento, incluindo processamento para jornalístico feito exclusivamente para segurança Pública, fins e expressão acadêmica, artística ou literária. fins jornalísticos, artísticos ou acadêmicos. Diferenças O GDPR se aplica ao processamento de dados pessoais O LGPD se aplica a qualquer operação de processamento. dados por meios automatizados ou não automatizados se os dados fizerem parte de um sistema de arquivo. O GDPR faz não abordar especificamente o processamento de dados A LGPD afirma que os dados podem ser considerados pessoais quando usados anônimos para fins de criação de perfil. para formular perfis comportamentais de uma pessoa física específica, se essa pessoa for identificada. 1 11 1 2. Principais definições 2.1. Dados pessoais Razoavelmente consistente Tanto o GDPR quanto o LGPD fornecem definições de dados pessoais, dados pessoais confidenciais e dados anônimos que apresentam um alto grau de semelhança. Em relação aos dados anônimos, para determinar se foram feitos esforços razoáveis para anonimizar os dados, a LGPD fornece critérios objetivos de análise, como tempo e custo, mas também inclui o controlador ou processador de uso de seus 'próprios recursos'. Além disso, de acordo com a LGPD, os dados anônimos podem ser considerados pessoais quando usados para formular perfis de comportamento de uma pessoa singular, se essa pessoa for identificada. GDPR LGPD Artigos 4, 9 Artigos 5, 12 Considerandos 26-30 Semelhanças O GDPR define 'dados pessoais' como ' qualquer informação O LGPD define 'dados pessoais' como informações relacionadas relativa a uma pessoa singular identificada ou identificável (' dados a uma pessoa singular identificada ou identificável. sujeito'); uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou um ou mais fatores específicos para o físico, fisiológico, identidade genética, mental, econômica, cultural ou social dessa pessoa natural. ' O GDPR faz não aplicar a dados anônimos, nomeadamente dados que O LGPD faz não aplicar a dados anônimos, que é definida como dados relativos a um não se referem a uma pessoa singular identificada ou identificável ou a assunto que não pode ser identificado, direta ou indiretamente, considerando a dados pessoais tornados anónimos de tal forma que o titular dos dados utilização de meios técnicos razoáveis disponíveis no momento do processamento. não é ou deixa de ser identificável. O considerando 26 do RGPD prevê No LGPD, os dados não são considerados anonimizados quando o processo de que «para determinar se uma pessoa singular é identificável, devem ser anonimização a que foram submetidos é reversível, considerando esforços razoáveis. tidos em conta todos os meios razoavelmente prováveis de serem Porém, para além dos critérios objetivos (custo, tempo e tecnologia disponível), a utilizados, como a seleção, pelo responsável pelo tratamento ou por outra LGPD adota também um conceito subjetivo, que é o “uso de recursos próprios” do pessoa, para identificar diretamente a pessoa singular ou indiretamente. controlador ou processador para determinar se foram razoáveis os esforços Para determinar se os meios são razoavelmente prováveis de serem envidados para o processo de anonimização. usados para identificar a pessoa natural, devem ser levados em consideração todos os fatores objetivos, como os custos e a quantidade de tempo necessária para a identificação, levando em consideração a tecnologia disponível no momento da processamento e desenvolvimentos tecnológicos. ' Portanto, 12 GDPR LGPD Semelhanças (continuação) levando em consideração a tecnologia disponível no momento do processamento e os avanços tecnológicos. O GDPR define categorias especiais de dados pessoais O LGPD define ' dados sensíveis' como dados pessoais de origem racial ou étnica, (ou 'dados sensíveis') como 'dados pessoais que revelam origem racial ou étnica, crença religiosa, opinião política, filiação a sindicatos ou organização religiosa, opiniões políticas, crenças religiosas ou filosóficas ou filiação em sindicatos e o filosófica ou política, saúde ou vida sexual, dados genéticos ou biométricos, processamento de dados genéticos, dados biométricos com o objetivo de identificar quando ligados a uma pessoa física. A LGPD não proíbe o processamento de de forma única uma pessoa singular, dados relativos à saúde ou dados relativos a um dados sensíveis, mas as bases legais para tal processamento são mais restritas. natural vida sexual ou orientação sexual da pessoa. ' O processamento desta Veja 'Base Legal' abaixo. categoria de dados pessoais é proibido, salvo exceções aplicáveis. Veja 'Base Legal' abaixo. Diferenças O GDPR não trata especificamente do processamento de dados A LGPD declara que, se dados anônimos forem usados para criar ou anônimos no contexto de criação de perfil. aprimorar um perfil de comportamento de uma pessoa física, eles podem ser considerados dados pessoais quando o titular dos dados puder ser identificado. 1 31 3 2.2. Pseudonimização Razoavelmente consistente A definição de 'pseudonimização' incluída em ambos os atos legislativos é bastante semelhante. No entanto, o GDPR afirma que os dados pseudonimizados devem ser considerados dados pessoais, enquanto o LGPD não é explícito sobre isso. No entanto, considerando que, no LGPD, o conceito de dados pessoais inclui dados que podem identificar indiretamente um titular dos dados, os dados pseudonimizados podem ser considerados dados pessoais. Além disso, a 'pseudonimização' só está prevista quando a finalidade do processamento estiver relacionada à pesquisa em saúde. Ambos os atos legislativos mencionam o processo de pseudonimização como uma salvaguarda que deve ser adotada para reduzir os riscos para os direitos dos titulares dos dados. No entanto, o LGPD apenas prevê explicitamente o uso de dados pseudonimizados no contexto da pesquisa em saúde pública. GDPR LGPD Artigos 4, 11 Artigo 13 Considerandos 26, 28-29 Semelhanças ' Pseudonimização ' é definido no GDPR como 'o processamento de dados pessoais de ' Pseudonimização ' é definido no LGPD como o processo pelo qual os forma que os dados pessoais não possam mais ser atribuídos a um titular de dados dados não podem mais ser direta ou indiretamente associados a um específico sem o uso de informações adicionais, desde que tais informações adicionais indivíduo, exceto pelo uso de informações adicionais mantidas sejam mantidas separadamente e estejam sujeitas a procedimentos técnicos e separadamente pelo controlador em um ambiente controlado e medidas organizacionais para garantir que os dados pessoais não sejam atribuídos a seguro. uma pessoa singular identificada ou identificável. ' Diferenças O GDPR afirma claramente que 'os dados pessoais que foram submetidos a O LGPD faz não declarar explicitamente que os dados pseudonimizados pseudonimização e que podem ser atribuídos a uma pessoa física pelo uso de devem ser considerados dados pessoais, no entanto, podem ser interpretados informações adicionais devem ser considerados como informações sobre uma pessoa como tal, uma vez que a definição dada indica a possibilidade de física identificável'. reidentificação. A LGPD prevê que nos estudos de saúde pública, as entidades de investigação que tenham acesso a dados pessoais, devam tratar os dados exclusivamente dentro da entidade e estritamente para efeitos de realização de estudos e inquéritos em ambiente controlado e seguro, incluindo, sempre que possível, a anonimização ou pseudonimização do dados. Uma 'entidade de pesquisa' é definida na LGPD como um órgão ou entidade legal da administração pública direta ou indireta ou 14 GDPR LGPD Diferenças (continuação) pessoa jurídica de direito privado, sem fins lucrativos, legalmente constituída de acordo com a legislação brasileira, com sede e foro no Brasil, que inclua em sua missão institucional ou em seus fins estatutários o objetivo de realizar pesquisa básica ou aplicada de caráter histórico, científico, natureza tecnológica ou estatística. 1 51 5 2.3. Controladores e processadores Razoavelmente consistente As definições de controlador e processador no GDPR e no LGPD apresentam um alto grau de similaridade. O GDPR exige que a relação entre o controlador e o processador seja regida por um contrato ou outro ato jurídico. Pelo contrário, a LGPD limita-se a afirmar que o processador deve realizar o processamento de acordo com as instruções fornecidas pelo controlador, que é responsável por verificar o cumprimento das mesmas. GDPR LGPD Artigos 4, 28, 30, 82 Artigo 5, 37-40, 42-43 Semelhanças UMA controlador de dados é definido no GDPR como 'a pessoa física ou jurídica, UMA controlador de dados é definida na LGPD como a pessoa singular ou autoridade pública, agência ou outro órgão que, sozinho colectiva, pública ou privada, que é responsável pelas decisões relativas ao ou em conjunto com outros, determina as finalidades e meios de tratamento de dados pessoais. tratamento de dados pessoais; onde os propósitos e os meios para esse tratamento são determinados pela legislação da União ou dos Estados-Membros, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser previstos na legislação da União ou dos Estados-Membros. » UMA processador de dados é definido no GDPR como 'uma pessoa física ou jurídica, a UMA processador de dados é definida na LGPD como a pessoa singular ou autoridade pública, agência ou qualquer outra entidade que processa dados pessoais em coletiva, pública ou privada, que efetua o tratamento de dados pessoais por conta nome do responsável pelo tratamento'. do responsável pelo tratamento. Sob o GDPR, o controlador e o processador devem manter sob o LGPD, o controlador e o processador devem manter um registro das atividades de processamento sob sua responsabilidade. um registro das operações de processamento de dados pessoais que realizam, especialmente quando baseadas em interesses legítimos. Nos termos do GDPR, «qualquer responsável pelo tratamento envolvido no tratamento é Os responsáveis pelo tratamento diretamente envolvidos no tratamento de responsável pelos danos causados pelo tratamento que infringe o presente que o titular dos dados sofreu danos são solidariamente responsáveis. O regulamento. O transformador só será responsável pelos danos causados pelo processador é solidariamente responsável pelos danos causados pelo tratamento se não tiver cumprido as obrigações do presente regulamento processamento quando não cumpre as obrigações da LGPD ou quando não especificamente dirigidas aos transformadores ou se tiver agido de forma contrária ou segue as instruções legais do controlador, caso em que o processador se contrária às instruções legais do responsável pelo tratamento. » responsabiliza pelo controlador. Os processadores também são solidariamente responsáveis pelos danos causados pelo processamento nos casos em que não cumpram as obrigações e instruções do controlador. 16 GDPR LGPD Semelhanças (continuação) O controlador ou processador está isento de responsabilidade se Os agentes de processamento não serão responsabilizados quando puderem provar que não é de forma alguma responsável pelo evento que deu comprovar: (i) não participaram do processamento dos dados; (ii) quando, origem ao dano. apesar do dano, o processamento for realizado de acordo com a LGPD; e (iii) o dano é devido à culpa exclusiva do titular dos dados ou de terceiros. Diferenças O GDPR exige que o processamento por um processador seja regido por A LGPD simplesmente afirma que o operador deve conduzir o processamento de um contrato ou outro ato jurídico, 'que vincule o processador em relação acordo com as instruções fornecidas pelo controlador, que é responsável por verificar o ao controlador e que estabeleça o assunto e a duração do cumprimento. Nos termos da LGPD, não há obrigação de celebração de contrato ou processamento, a natureza e a finalidade do tratamento, o tipo de dados outro ato jurídico para o tratamento realizado por um processador. pessoais e as categorias de titulares dos dados e as obrigações e direitos do responsável pelo tratamento. » O GDPR não aborda especificamente esse ponto. O agente processador será solidariamente responsável quando o processamento consistir em atendimento ao consumidor, uma vez que desencadeia a aplicação do Código de Defesa do Consumidor, Lei nº 8.078, de 11 de setembro de 1990. 1 71 7 2.4. Crianças Bastante inconsistente Tanto o GDPR quanto o LGPD concedem proteção especial aos dados pessoais das crianças. No que diz respeito ao consentimento para serviços da sociedade da informação, o RGPD fixa a idade mínima em 16 anos, embora os Estados-Membros possam definir uma idade inferior, respeitando o mínimo de 13 anos. Abaixo dessa idade, o consentimento deve ser dado por um dos pais ou tutor legal. De acordo com a LGPD, o consentimento pode ser dado por uma pessoa física de 13 a 18 anos, desde que o tratamento de seus dados pessoais seja feito no seu melhor interesse. Nos casos em que as crianças têm menos de 13 anos, o consentimento específico e proeminente deve ser dado por um pai ou pessoa responsável pela criança. A definição de idade de crianças e adolescentes é fornecida pelo Estatuto Federal da Criança e do Adolescente 8069/1990. GDPR LGPD Artigos 6, 8, 12, 40, 57, Artigo 14 Considerandos 38, 58, 75 Semelhanças O GDPR declara que qualquer informação e comunicação, dirigida a uma A LGPD afirma que as informações sobre o processamento de dados de criança, deve ser fornecida em tal linguagem clara e simples que a criança crianças devem ser fornecidas em um forma simples, clara e acessível, utilizar pode entender facilmente. recursos audiovisuais quando for o caso, a fim de fornecer as informações necessárias aos pais ou representante legal e adequadas ao entendimento da criança. O GDPR requer que os controladores façam esforços razoáveis verificar A LGPD afirma que o controlador deve fazer todos os esforço se o consentimento foi dado ou autorizado por um dos pais ou razoável verificar se o consentimento foi dado pelo responsável pela criança, levando em consideração a tecnologia representante da criança, considerando as tecnologias disponível. disponíveis. Diferenças O GDPR aborda explicitamente o consentimento das crianças apenas no O LGPD trata do consentimento das crianças com relação a contexto da oferta de serviços da sociedade da informação. qualquer processamento de seus dados pessoais. O consentimento pode ser prestado por pessoa singular dos 13 aos 18 anos, desde que o tratamento dos seus dados pessoais seja efectuado no seu superior interesse. No caso de crianças menores de 13 anos, consentimento específico e proeminente deve ser dado por um pai ou pessoa responsável pela criança. A definição de idade de crianças e adolescentes é fornecida pelo Estatuto Federal da Criança e do Adolescente. 18 GDPR LGPD Diferenças (continuação) De acordo com o GDPR, a idade mínima para consentir com os serviços da De acordo com o LGPD, a idade mínima para consentimento é 13 anos velho. sociedade da informação é 16, mas os Estados-Membros podem prever uma idade inferior para esses fins, desde que essa idade inferior não seja inferior 13 anos. De acordo com o GDPR, o consentimento de um dos pais ou representante legal não deve ser Ao abrigo da LGPD, é possível recolher dados de crianças sem consentimento necessário no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente quando necessário para contactar os pais ou representantes legais, utilizados a uma criança. uma vez e sem armazenamento, ou para a sua protecção, e em nenhum caso podem ser partilhados com terceiros sem o devido consentimento. O GDPR declara que a proteção específica deve, em particular, se aplicar De acordo com a LGPD, os controladores não devem condicionar a participação ao uso de dados pessoais de crianças para fins de marketing ou criação de de crianças em jogos, aplicativos de internet ou outras atividades ao perfis de personalidade ou de usuário e a coleta de dados pessoais relativos fornecimento de informações pessoais além do estritamente necessário para a a crianças ao usar serviços oferecidos diretamente a uma criança. atividade. 1 91 9 2,5. Pesquisa Bastante inconsistente As disposições do GDPR sobre pesquisa são mais flexíveis do que as do LGPD. Em particular, o LGPD fornece uma definição restritiva de 'organismo de pesquisa', enquanto o GDPR afirma que a pesquisa científica deve ser interpretada de uma 'maneira ampla'. As regras relativas ao processamento de pesquisas em saúde pública são bastante semelhantes, porém, as disposições do LGPD são mais restritivas do que o GDPR, pois proíbe a transferência de dados a terceiros, estabelecendo que o processamento deve ser realizado dentro do próprio órgão de pesquisa. GDPR LGPD Artigos 5, 9, 14, 17, 89, Artigos 5, 7, 11, 13, 16 considerandos 33, 159-161 Semelhanças De acordo com o GDPR, o processamento de dados sensíveis não é proibido Sob o LGPD, dados sensíveis podem ser processados para que um órgão de quando 'necessário para fins de arquivamento de interesse público, fins de pesquisa conduza seus estudos. Neste caso, o LGPD pesquisa científica ou histórica ou também recomenda o anonimato de dados pessoais sensíveis. fins estatísticos, que devem ser proporcionais ao objetivo prosseguido, respeitar o conteúdo essencial do direito à proteção de dados e prever medidas adequadas e específicas para salvaguardar os direitos fundamentais e os interesses do titular dos dados ». De acordo com o GDPR, categorias especiais de dados pessoais que De acordo com a LGPD, o processamento de dados pessoais para fins de pesquisa merecem maior proteção devem ser processadas para fins relacionados à em saúde pública deve ser conduzido exclusivamente dentro do corpo de pesquisa e saúde apenas quando necessário para atingir esses fins em benefício de estritamente para fins de realização de estudos e pesquisas e mantidos em um pessoas físicas e da sociedade como um todo, por exemplo, no contexto de ambiente controlado e seguro de acordo com as práticas de segurança, incluindo estudos realizados no interesse público na área da saúde pública. anonimização ou pseudonimização dos dados. Diferenças De acordo com o GDPR, o processamento de dados pessoais para fins de A pesquisa científica não está definida no LGPD. Nos termos da LGPD, um 'órgão de pesquisa científica deve ser interpretado 'de uma maneira ampla, incluindo, por pesquisa' é definido como o órgão ou entidade da administração pública ou pessoa exemplo, desenvolvimento tecnológico e demonstração, pesquisa jurídica de organização privada sem fins lucrativos, com sede e jurisdição no Brasil, que fundamental, pesquisa aplicada e pesquisa com financiamento privado'. inclui em sua missão institucional ou em seu objetivo societário ou estatutário básico ou pesquisa aplicada de natureza histórica, científica, tecnológica ou estatística. A base legal de 'investigação' só é válida para estudos realizados por organismos de investigação que se enquadrem na definição acima mencionada. Portanto, as entidades que realizam pesquisas para obter vantagens econômicas não podem contar com a base jurídica da pesquisa para o tratamento de dados pessoais. 20 GDPR LGPD Diferenças (continuação) Nos termos do GDPR, quando os dados pessoais são processados para fins de De acordo com a LGPD, não há derrogações para os direitos dos titulares dos dados arquivo no interesse público e para fins de investigação, é possível aos quando o processamento for para fins de pesquisa. Estados-Membros derrogar os direitos de algumas pessoas em causa, na medida em que tais direitos possam tornar impossível ou prejudicar seriamente a realização de objetivos específicos, e tais derrogações são necessárias para o cumprimento desses objetivos. O RGPD prevê que «o tratamento posterior para fins de arquivo de Não há disposição equivalente na LGPD. interesse público, para fins de investigação científica ou histórica ou para fins estatísticos não deve, nos termos do artigo 89.º, n.º 1, ser considerado incompatível com os objetivos iniciais». 211 3. Base jurídica Razoavelmente consistente Tanto o GDPR quanto o LGPD exigem a identificação de uma base legal para o processamento de dados pessoais. Algumas bases jurídicas são semelhantes; no entanto, os dois atos legislativos também preveem bases jurídicas diferentes. GDPR LGPD Artigos 5-10 Artigos 7-13 Considerandos 39-48 Semelhanças De acordo com o GDPR, as bases jurídicas para o processamento de dados pessoais são: ( Eu) De acordo com o LGPD, as bases jurídicas para o processamento de dados pessoais consentimento dados pelo titular dos dados para uma ou mais finalidades específicas; (ii) são: ( i) a provisão de consentimento pelo titular dos dados; (ii) quando necessário para quando necessário para o o execução de um contrato execução de um contrato em que o titular dos dados seja parte ou para tomar ou procedimentos preliminares relativos a um contrato do qual o titular medidas a pedido do titular dos dados antes de celebrar um contrato; (iii) quando seja parte, a pedido do titular dos dados; (iii) necessário para cumprimento de uma obrigação legal a que o controlador está para o cumprimento de uma obrigação legal ou regulatória pelo sujeito; (iv) quando necessário, a fim de proteger os interesses vitais do titular dos controlador; (iv) para o proteção da vida ou física dados ou de outra pessoa física; (v) quando necessário para o desempenho de segurança do titular dos dados ou de terceiros; (v) pela administração pública, para uma tarefa realizada no interesse público o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou amparadas em contratos, acordos ou no exercício de autoridade oficial investida no controlador; e (vi) quando necessário ou instrumentos semelhantes; e (vi) quando necessário para atender a para os fins do interesses legítimos Prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se esses interesses forem anulados pelos interesses ou direitos e interesses legítimos do responsável pelo tratamento ou de terceiros, exceto no liberdades fundamentais do titular dos dados que requeiram a proteção dos dados caso dos direitos e liberdades fundamentais do titular dos dados que requeiram pessoais, nomeadamente quando o titular dos dados for uma criança. O processamento de a proteção de dados pessoais. dados pessoais estritamente necessários para o fins de prevenção de fraude também constitui um interesse legítimo do responsável pelo tratamento dos dados em causa. O processamento de dados pessoais para fins de marketing direto pode ser considerada realizada por um interesse legítimo. De acordo com o GDPR, as bases jurídicas para o processamento de De acordo com o LGPD, as bases jurídicas para o processamento de dados pessoais dados pessoais sensíveis são: ( i) o titular dos dados forneceu sensíveis são: ( i) quando o titular dos dados ou seu representante legal consentimentos, consentimento explícito; ( ii) quando necessário para os fins de específica e distintamente, de maneira separada, para fins específicos, (ii) quando cumprir as obrigações e exercer as necessário direitos do controlador ou do titular dos dados no campo de para conformidade com um obrigação legal ou regulatória pelo emprego e segurança social e proteção social; (iii) onde controlador; (iii) quando necessário para o proteção do necessário para proteger o interesses vitais do titular dos dados ou vida ou segurança física do titular dos dados ou de terceiros; (iv) de outra pessoa física em que o titular dos dados seja física ou legalmente incapaz de onde necessário para o exercício regular de direitos, incluindo dar o consentimento; (iv) quando necessário para no contrato e no judicial, processos administrativos e arbitrais, esta a estabelecimento, exercício ou defesa de ações judiciais ou última nos termos da Lei nº 9.307, 22 GDPR LGPD Semelhanças (continuação) sempre que os tribunais estiverem agindo em sua capacidade judicial; (v) quando de 23 de setembro de 1996 (Lei de Arbitragem); (v) tratamento compartilhado de necessário por razões de substancial interesse público, dados necessários à execução, pela administração pública, de políticas publicas previsto com base na legislação da União ou dos Estados-Membros, que deve ser em leis ou regulamentos; e (vi) proteção da saúde, em procedimento realizado por proporcional ao objetivo prosseguido, respeitar o conteúdo essencial do direito à profissionais de saúde ou por entidades de saúde. proteção de dados e prever medidas adequadas e específicas para salvaguardar os direitos fundamentais e os interesses do titular dos dados; (vi) quando necessário para o fins de medicina preventiva ou ocupacional, para o avaliação da capacidade de trabalho do trabalhador, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou sociais ou gestão de sistemas e serviços de saúde ou de cuidados sociais com base na legislação da União ou dos Estados-Membros ou nos termos de contrato com um profissional de saúde ; (vii) onde necessário por razões de interesse público na área de público saúde, tais como a proteção contra graves ameaças transfronteiriças à saúde ou a garantia de elevados padrões de qualidade e segurança dos cuidados de saúde e de medicamentos ou dispositivos médicos, com base na legislação da União ou dos Estados-Membros que prevê medidas adequadas e específicas para salvaguardar o direitos e liberdades do titular dos dados, em especial sigilo profissional; e (viii) quando necessário para fins de arquivamento em a interesse público, fins de pesquisa científica ou histórica ou fins estatísticos com base na legislação da União ou dos Estados-Membros, que deve ser proporcional ao objetivo prosseguido, respeitar o conteúdo essencial do direito à proteção de dados e prever medidas adequadas e específicas para salvaguardar os direitos fundamentais e os interesses do titular dos dados. Diferenças Não existem outras bases jurídicas ao abrigo do GDPR para o As bases jurídicas que somente a LGPD fornece no que diz respeito ao processamento de dados pessoais. tratamento de dados pessoais incluem: (i) conduzir estudos por um órgão de pesquisa, garantindo, sempre possível, a anonimização de dados pessoais; (ii) para o exercício regular dos direitos em judicial, administrativo ou procedimentos arbitrais; ( iii) para o proteção da saúde, em um procedimento realizado por profissionais de saúde ou pela saúde entidades; (iv) quando necessário para proteção de crédito. 233 GDPR LGPD Diferenças (continuação) As bases jurídicas que apenas o GDPR prevê em relação ao processamento de As bases legais que apenas a LGPD prevê em relação ao tratamento de dados confidenciais incluem: (i) onde o processamento é realizado no curso de dados sensíveis incluem: (i) para garantindo o sua atividades legítimas com as salvaguardas adequadas por uma fundação, prevenção de fraude e segurança do titular dos dados, no associação ou qualquer outro órgão sem fins lucrativos com um objetivo político, processos de identificação e autenticação de registo em sistemas electrónicos, filosófico, religioso ou sindical e na condição de que o processamento diga salvaguardando os direitos referidos no artigo 9.º e salvo quando prevaleçam respeito apenas aos membros ou ex-membros do órgão ou a pessoas que ter direitos e liberdades fundamentais do titular dos dados que requeiram protecção de contacto regular com o mesmo no âmbito dos seus fins e que os dados pessoais dados pessoais. não sejam divulgados fora desse órgão sem o consentimento dos titulares dos dados; e (ii) quando o processamento se relaciona com dados pessoais que são manifestamente tornados públicos pelo titular dos dados. 24 4. Obrigações do controlador e do processador 4.1. Transferências de dados Razoavelmente consistente Tanto o GDPR como o LGPD prevêem a transferência de dados pessoais para países terceiros ou organizações internacionais apenas por motivos específicos. Ambos os atos legislativos reconhecem o conceito de adequação, bem como outros fundamentos jurídicos para a base da transferência internacional de dados. Apesar do elevado nível de semelhança no núcleo da disposição, o GDPR inclui requisitos mais prescritivos sobre as condições legais para a transferência de dados pessoais. GDPR LGPD Artigos 44-50 Artigos 33-35 Considerandos 101, 112 Semelhanças O GDPR permite a transferência internacional de pessoal O LGPD permite a transferência internacional de pessoal dados a um país terceiro, a um território ou a um ou mais setores especificados desse dados a países ou organizações internacionais que proporcionem um nível país terceiro, ou a uma organização internacional que garanta um nível de proteção adequado de proteção de dados pessoais, ou quando o responsável pelo adequado, conforme avaliado pela Comissão Europeia. Na ausência de uma decisão tratamento garanta o cumprimento do regime de proteção de dados por meio de: de adequação, a transferência é permitida quando o responsável pelo tratamento ou (i) cláusulas contratuais específicas para uma determinada transferência; (ii) subcontratante proporcionou as salvaguardas adequadas por meio de: (i) regras cláusulas contratuais padrão; (iii) regras corporativas globais; e (iv) selos de societárias vinculativas; (ii) cláusulas-padrão de proteção de dados adotadas pela qualidade, certificados e códigos de conduta válidos. Comissão Europeia ou por uma autoridade de supervisão; (iii) um código de conduta aprovado; e (iv) um mecanismo de certificação aprovado. Outros fundamentos legais com base nas quais as transferências de dados são permitidas Outros fundamentos legais com base nos quais as transferências de dados são são: (i) a cooperação judiciária por meio de acordos internacionais; (ii) quando o titular dos permitidas são: (i) quando a transferência é necessária para dados tiver consentido explicitamente; (iii) quando a transferência for necessária para a cooperação jurídica entre agências de aplicação da lei, de acordo com instrumentos execução ou celebração de um contrato; (iv) quando a transferência for necessária por de direito internacional; (ii) quando a transferência for necessária para proteger a vida razões importantes de interesse público; (v) quando a transferência for necessária para o ou a segurança física do titular dos dados ou de terceiros; (iii) quando o titular dos estabelecimento, exercício ou defesa de ações judiciais; e (vi) quando a transferência for dados deu um consentimento específico e pendente para as transferências; (iv) necessária para proteger interesses vitais do titular dos dados ou de outras pessoas. quando a transferência for necessária para a execução de um contrato ou procedimentos preliminares relacionados a um contrato; (v) quando a transferência for necessária para o exercício regular de direitos em procedimentos judiciais, administrativos ou arbitrais; e (vi) quando a transferência for necessária à execução de ordem pública ou atribuição legal de serviço público. 2 575 Portal GDPR O recurso mais abrangente para o DataGuidance by OneTrust é uma plataforma u desenvolvimento e manutenção para monitorar desenvolvimentos regulatóri do seu programa GDPR. mitigar riscos e alcançar conform Entenda as obrigações e requisitos em todos os principais tópicos e setores Acompanhe os desenvolvimentos em relação Implementação do Estado Membro e orientação regulatória Aplique inteligência especializada para tomar decisões de negócios Utilize listas de verificação e modelos específicos do GDPR GDPR avaliação comparativa ataforma usada por profissionais de privacidade Um novo gráfico para ajudar as organizações a compreender e comparar as principais disposições do regulatórios, GDPR com as leis de proteção de dados relevantes em conformidade global. todo o mundo. Compare os requisitos do GDPR com a Califórnia, Japão e Brasil com uma ferramenta comparativa dedicada Empregue orientações específicas do tópico para desenvolver suas atividades de conformidade Monitore notícias e acesse opiniões escritas sobre os desenvolvimentos mais recentes www.dataguidance.com GDPR LGPD Semelhanças (continuação) Outros motivos com base nos quais as transferências de dados são permitidas Outros motivos com base nas quais as transferências de dados são permitidas são: (i) são: (i) instrumentos juridicamente vinculativos e executórios entre autoridades cláusulas contratuais específicas para uma transferência específica; (ii) quando a ou organismos públicos; e (ii) sujeito à autorização da autoridade de supervisão autoridade supervisora autoriza a transferência; (iii) quando a transferência resultar competente por: (a) cláusulas contratuais entre o controlador de compromisso assumido em acordo de cooperação internacional; e (iv) quando a transferência for necessária ao cumprimento de uma obrigação legal ou regulamentar ou o processador e o responsável pelo tratamento, o processador ou o destinatário por parte do controlador. dos dados pessoais no país terceiro ou organização internacional; ou b) Disposições a incluir nos acordos administrativos entre autoridades ou organismos públicos. Diferenças Outros motivos do GDPR incluem: ( i) a transferência é A LGPD não prevê a transferência internacional de dados com Elaborado a partir de um registo que, de acordo com a legislação da União ou dos base em um registro que se destina a fornecer informações ao Estados-Membros, se destina a fornecer informações ao público e que está aberto à consulta; público, nem com base no interesse legítimo do responsável e (ii) com base no interesse legítimo do responsável pelo tratamento, se a transferência não pelo tratamento. for repetitiva, diz respeito apenas a um número limitado de titulares dos dados e o responsável pelo tratamento avaliou todas as circunstâncias que envolvem a transferência de dados e, com base nessa avaliação, forneceu salvaguardas adequadas no que diz respeito à protecção de dados pessoais. 28 4.2. Registros de processamento de dados Razoavelmente consistente Tanto o GDPR quanto o LGPD estabelecem uma obrigação legal para os controladores e processadores de manter um registro das atividades de processamento sob sua responsabilidade. O GDPR detalha as informações que precisam ser registradas, enquanto o LGPD não fornece esses detalhes. GDPR LGPD Artigo 30 Artigo 37 Considerando 82 Semelhanças De acordo com o GDPR, os controladores e processadores devem manter um De acordo com a LGPD, os controladores e processadores devem manter registros das registro de suas atividades de processamento. operações de processamento de dados pessoais por eles realizadas, especialmente quando baseadas em interesses legítimos. Diferenças De acordo com o GDPR, as organizações que empregam menos de 250 pessoas não De acordo com a LGPD, todas as organizações, independentemente de seu tamanho, precisam manter esse registro, a menos que 'o processamento possa resultar em um número de funcionários ou tipo de dados, precisam cumprir a obrigação de risco para os direitos e liberdades dos titulares dos dados, o processamento não seja processamento de registros. No entanto, isenções podem ser estabelecidas pela ocasional ou o processamento inclua categorias especiais de dados conforme referido autoridade supervisora. no artigo 9.o, n.o 1, ou dados pessoais relativos a condenações penais e infrações a que se refere o artigo 10.o » O GDPR estabelece que os controladores de dados devem registrar: O LGPD não detalha as informações que os a) o nome e detalhes de contato do controlador; b) as finalidades do controladores precisam registrar. processamento; c) uma descrição das categorias de titulares de dados e das categorias de dados pessoais; d) as categorias de destinatários a quem os dados pessoais serão divulgados; e) transferências internacionais de dados pessoais, com a identificação de terceiros países ou organizações internacionais, e a documentação das salvaguardas adequadas adotadas; f) os prazos estimados para o apagamento das categorias de dados; e g) uma descrição geral das medidas técnicas e organizacionais de segurança adotadas. O GDPR estabelece que os processadores de dados devem registrar: O LGPD não detalha as informações que os a) o nome e detalhes de contato do processador; b) as categorias de processadores precisam registrar. processamento realizadas em nome de cada controlador; c) transferências internacionais de dados pessoais, com o 299 GDPR LGPD Diferenças (continuação) identificação de países terceiros ou organizações internacionais, e a documentação de salvaguardas adequadas adotado; ed) uma descrição geral das medidas técnicas e organizacionais de segurança adotadas. 30 4.3. Avaliação do impacto da proteção de dados Bastante inconsistente Tanto o GDPR como o LGPD estabelecem o requisito de realização de um DPIA para avaliar o risco das atividades de processamento de dados para os direitos e liberdades dos titulares dos dados em circunstâncias específicas. O GDPR especifica os casos em que um DPIA é necessário, enquanto o LGPD estabelece menos critérios do que o GDPR para quando um DPIA deve ser realizado. GDPR LGPD Artigos 35-36 Artigos 5, 10, 38 Considerandos 75, 84, 89-93 Semelhanças O GDPR estabelece o requisito para um DPIA O LGPD estabelece o requisito para um DPIA para a ser conduzido em circunstâncias específicas. As autoridades de supervisão dos ser conduzido em circunstâncias específicas. A autoridade brasileira de Estados-Membros podem ainda determinar quais as operações de tratamento proteção de dados ('ANPD') pode determinar quais operações de que requerem um DPIA. processamento exigem um DPIA. Diferenças O GDPR afirma que um DPIA é 'uma avaliação do impacto das A LGPD prevê que DPIA é a documentação do controlador que contém a operações de processamento previstas na proteção de dados descrição dos procedimentos de tratamento dos dados pessoais que podem pessoais.' gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas, salvaguardas e mecanismos de mitigação do risco. O GDPR afirma que um DPIA é obrigatório: a) quando for provável que o O LGPD não estabelece quando um DPIA é necessário, mas o tratamento resulte em alto risco para os direitos e liberdades das pessoas A ANPD pode solicitar que o controlador execute e forneça um DPIA. físicas; b) quando se trate de uma avaliação sistemática e extensa de aspectos pessoais relativos a pessoas físicas, a qual se baseia em tratamento automatizado; c) processamento em grande escala de categorias especiais de dados; ed) monitoramento sistemático de uma área acessível ao público em grande escala. O GDPR afirma que um DPIA deve incluir pelo menos: (i) uma descrição De acordo com o LGPD, o DPIA deve incluir pelo menos: (i) uma descrição sistemática das operações de processamento estimadas e das finalidades do dos tipos de dados processados; (ii) os métodos usados para coletar os processamento; (ii) uma avaliação da necessidade e proporcionalidade das dados; (iii) os métodos de segurança da informação utilizados; e (iv) a operações de processamento em relação aos fins; e (iii) uma avaliação dos riscos descrição dos mecanismos utilizados para mitigar os riscos relacionados para os direitos e liberdades dos titulares dos dados. com o tratamento dos dados pessoais envolvidos. 3 3 1 11 GDPR LGPD Diferenças (continuação) As medidas contempladas para enfrentar os riscos incluem A LGPD não inclui quaisquer disposições explícitas sobre as medidas a salvaguardas, medidas de segurança e mecanismos para garantir a serem tomadas para mitigar os riscos. proteção dos dados pessoais e comprovar o cumprimento do RGPD. De acordo com o GDPR, o controlador deve consultar a autoridade de supervisão A LGPD não estabelece um processo de antes do processamento, quando um DPIA indica que o processamento resultaria consulta prévia sobre DPIAs. em um risco elevado na ausência de medidas tomadas pelo controlador para mitigar o risco. 32 4,4. Nomeação de oficial de proteção de dados Bastante inconsistente O GDPR e o LGPD prevêem a nomeação de um DPO. Embora as tarefas que se espera que desempenhem sejam bastante semelhantes em ambas as leis, a natureza e o escopo de suas funções e responsabilidades são diferentes. GDPR LGPD Artigos 13-14, 37-39 Artigos 5, 41 Considerando 97 Semelhanças O GDPR prevê a nomeação de um DPO. O LGPD prevê a nomeação de um DPO. O GDPR define as tarefas de um DPO, que incluem: (i) O LGPD define as atividades do DPO, que incluem: (i) informar e aconselhar o controlador ou processador de suas obrigações sob o aceitar reclamações e comunicações dos titulares dos dados, GDPR; (ii) monitorar conformidade com a legislação de proteção de dados e prestar esclarecimentos e adotar providências; (ii) recebendo comunicações da sensibilizar / formar o pessoal envolvido nas operações de processamento; (iii) dar autoridade de fiscalização, aconselhar os trabalhadores da entidade e terceiros sobre conselhos as práticas de proteção de dados, e cumprir as demais atribuições determinadas pelo em DPIAs quando solicitado; e (iv) atuar como o ponto de contato para controlador; (iii) orientar a entidade funcionários e contratados em relação às práticas titulares de dados e autoridades de supervisão. a serem adotadas em relação à proteção de dados pessoais; e (iv) realizando outras funções conforme determinado pelo controlador ou estabelecido em normas complementares. O controlador de dados e / ou o processador de dados deve publicar os detalhes A identidade e os dados de contato do DPO devem ser divulgados de contato do DPO como parte de seu aviso de privacidade e comunicá-los à publicamente, de forma clara e objetiva, preferencialmente no site autoridade supervisora. do controlador. Diferenças O GDPR não inclui uma definição de um DPO. O LGPD inclui uma definição de um DPO, nomeadamente uma pessoa designada pelo controlador, que atua como um canal de comunicação entre o controlador, os titulares dos dados e a autoridade de supervisão. Sob o GDPR, ambos controladores e processadores estão sob Sob o LGPD, apenas controladores deve nomear um DPO. a obrigação de nomear um DPO em circunstâncias específicas. De acordo com o GDPR, as obrigações de nomear um DPO se aplicam apenas. O LGPD não limitar a nomeação do DPO para controladores e processadores específicos, cujas atividades principais consistem circunstâncias; sendo deixado para a ANPD liberar qualquer uma das operações de processamento que requerem regular e regras complementares sobre as situações em que poderá ser dispensada a monitoramento sistemático de titulares de dados em grande escala, ou indicação de tal pessoa, de acordo com o 333 GDPR LGPD Diferenças (continuação) processamento em grande escala de categorias especiais de dados natureza e o tamanho da entidade ou o volume das operações de e dados pessoais relativos a condenações criminais. processamento de dados. Um grupo de empresas pode nomear um RPD, desde que o RPD seja facilmente O LGPD faz não mencionar explicitamente se um grupo de acessível a partir de cada estabelecimento. entidades pode nomear um único DPO. O GDPR estabelece a independência do DPO. O LGPD faz não estabelecer explicitamente a independência do DPO. O GDPR afirma que o DPO deve ser fornecido com recursos O LGPD faz não incluir qualquer disposição que preveja recursos monetários e humanos para cumprir suas tarefas. monetários e humanos a serem dados ao DPO para cumprir suas tarefas. 34 4.5. Segurança de dados e violações de dados Razoavelmente consistente Tanto o GDPR quanto o LGPD incluem a obrigação de os controladores e processadores adotarem medidas de segurança para proteger os dados pessoais que estão processando. A LGPD especifica que a ANPD tem competência para divulgar orientações sobre as medidas de segurança específicas a serem adotadas. No que diz respeito à notificação de violação de dados, tanto o GDPR como o LGPD incluem a obrigação de notificar a autoridade de supervisão, bem como os titulares dos dados afetados em determinadas circunstâncias. No entanto, embora o GDPR inclua um cronograma definido para notificar no LGPD, o prazo é deixado para a ANPD estabelecer. Além disso, ao abrigo do LGPD, uma violação de dados deve ser sempre comunicada aos titulares dos dados, enquanto este não é o caso ao abrigo do GDPR. GDPR LGPD Artigos 5, 24, 32-34, Artigos 6, 46 considerandos 74-77, 83-88 Semelhanças O GDPR reconhece integridade e confidencialidade como O LGPD reconhece segurança como princípio fundamental princípios fundamentais de proteção de dados, declarando que os dados de proteção de dados, afirmando que segurança significa o uso pessoais devem ser processados de uma maneira que garanta a segurança do medidas técnicas e administrativas que são capazes adequada dos dados pessoais, incluindo proteção contra processamento não para proteger os dados pessoais de acessos não autorizados e autorizado ou ilegal e contra perda acidental, destruição ou dano, usando situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou disseminação. apropriado medidas técnicas ou organizacionais. O GDPR afirma que controladores de dados e processadores de dados devem O LGPD afirma que controladores e processadores devem adotar medidas de adotar segurança técnica e organizacional segurança, técnicas e administrativas capaz medidas que garantem um nível de segurança apropriado para para proteger os dados pessoais de acessos não autorizados e situações acidentais o risco tendo em conta o estado da técnica, os custos de implementação e a ou ilegais de destruição, perda, alteração, comunicação ou qualquer tipo de natureza, âmbito, contexto e objetivos do processamento, bem como o risco de processamento impróprio ou ilícito. probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares. De acordo com o GDPR, em caso de violação de dados, o controlador de dados Sob o LGPD, controladores deve comunicar-se à ANPD deve notificar a autoridade supervisora competente a menos que e para o titular dos dados a ocorrência de um incidente de segurança É improvável que a violação de dados pessoais resulte em risco para o titular dos que podem criar riscos ou danos relevantes para os titulares dos dados. dados. O controlador de dados também deve notificar o titulares de dados envolvidos, sem demora indevida, quando a violação de dados pessoais pode resultar em um alto risco. 35 GDPR LGPD Semelhanças (continuação) A notificação deve incluir, no mínimo: ( i) descrição da natureza da violação, A comunicação deve incluir, no mínimo: ( I a incluindo, sempre que possível, as categorias e o número aproximado da descrição da natureza dos dados pessoais afetados; (ii) informações sobre os pessoa em causa, e as categorias e número aproximado de registros de titulares dos dados envolvidos; (iii) a indicação das medidas técnicas e de dados pessoais em questão; (ii) detalhes de contato do DPO ou outro ponto segurança utilizadas para a proteção dos dados, sob reserva do sigilo comercial de contato; (iii) as prováveis consequências do e industrial; (iv) os riscos relacionados ao incidente; (v) os motivos do atraso, violação; (iv) medidas tomadas ou propostas a serem tomadas para mitigar os casos em que a comunicação não foi imediata; os possíveis efeitos adversos; e (v) o motivo do atraso. e (vi) as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do dano.