Entenda a diferença entre LGPD, CCPA e GDPR e porque essa sopa de letras irá mudar o mundo ?

Por Antônio Araújo Junior – Especialista em LGPD e direito digital

GPDR, CCPA e LGPD

Na União Europeia, a proteção de dados ocorre através da General Data Protection Regulation, doravante GDPR, aproada em 2018 surgida para reforçar alguns pontos sobre a proteção de dados. Baseada nesta lei, em agosto de 2018 foi sancionada a Lei Geral de Proteção de Dados, chamada de LGPD, que se efetivará em agosto de 2020.

A LGPD entra como uma maneira de regulamentar a coleta, utilização e o tratamento geral de dados de pessoas naturais, sejam identificadas ou identificáveis, pelas empresas. O não cumprimento das normas estabelecidas acarreta em suspensão da atividade empresarial e multa financeira.

Enquanto isso, o estado da Califórnia se prepara para uma forte regulação sobre privacidade nos Estados Unidos. O California Consumer Privacy Act, conhecido pela sigla CCPA, foi aprovado pelo governo do estado da Califórnia em junho de 2018 com previsão de vigência para janeiro de 2020. Assim como ocorreu no Brasil, foi elaborada em um pico devido ao vigor do GDPR na União Europeia. O tema proteção de dados e privacidade, também, está com crescimento importante a nível internacional.

Embora as legislações visem proteger os dados pessoais de maneira efusiva, o conceito de dado pessoal é diferente na CCPA e na LGPD, embora, a LGPD traga semelhanças com a GDPR. Enquanto da LGPD, o dado pessoal é aquela informação relacionada com pessoa natural identificada ou identificável, o CCPA define informações pessoais como aquelas que identificam, relacionam, descrevem e são capazes de ser associadas, ou até poderiam ser razoavelmente relacionadas, direta ou indiretamente, com um consumidor, em particular ou família.

Dentro do que a GDPR estabelece como dado pessoal, inclui duas categorias a mais que não haviam sido incluídas pela lei brasileira: dados tornados públicos pelo titular e dados relativos a atuais ou ex-membros de fundações, associações ou organizações sem fins lucrativos, tratados para fins legítimos e cm medidas de segurança apropriadas. Na lei europeia, percebe-se uma atenção especial aos dados sensíveis, pois proíbe o tratamento destes salvo exceções previstas em lei.

A maneira como o CCPA trata o dado pessoal é muito mais abrangente e abre espaço para subjetividade, diferente da forma como a LGPD funciona. O CCPA está ali para regulamentar qualquer espécie de menção ou relação de lucro indevido com dados pessoais ou vazamento de informação.

Por outro lado, a LGPD abre espaço de aplicação a quase todo tipo de tratamentos pessoais, apontando atividades que são exceção conforme a lei, enquanto o CCPA, em sua abordagem, determina a aplicabilidade em alguns tipos de negócios.

Assim, a legislação californiana prevê sua aplicabilidade aos negócios com fins lucrativos que:

a) possuem uma receita bruta anual superior a 25 milhões de dólares; b) compram, recebem ou vendem informações pessoais de 50 mil, ou mais, consumidores, famílias ou dispositivos; e/ou c) obtêm 50% ou mais da receita anual da venda de informações pessoais dos consumidores. 

Vale destacar, ainda, que apenas o titular dos dados deve ser residente no estado da Califórnia, sendo a norma aplicável a empresas localizadas ou não naquele território, desde que lá façam negócios.

A LGPD regulamenta o tratamento de dados em qualquer tipo de negócio. O impacto da lei e o nível de regulamentação, neste sentido, acaba por ser maior devido a abrangência e o nível de modificações que o mercado sofrerá para se adaptar ao que foi estipulado. Neste mesmo sentido, a LGPD determinada que o tratamento dos dados pessoais deve respeitar os princípios determinados pela lei, o CCPA suporta o direito de o titular optar por não permitir a venda de suas informações pessoais, simplesmente.

Pode-se colocar o GDPR e LGDP em uma aproximação devido à similaridade, enquanto a CCPA possui uma metodologia de aplicação diferenciada, pois subverte a lógica adotada por suas irmãs, uma vez que não requer a aplicação de uma base legal específica para justificar a venda de dados pessoais. A legislação californiana apenas garante ao titular a opção de consentir com a venda ou não de seus dados; assim, entende-se que a venda pode ocorrer desde que o titular não se oponha de maneira expressa.

No Brasil, a venda dos dados pessoais e toda a atividade de coleta e tratamento só pode ocorrer mediante válida permissão do titular, bem como devidamente justificada para ocorrer, dentro dos motivos amparados em lei. Assim, em contraponto ao CCPA, é necessária a expressa manifestação do titular dos dados para a venda ou tratamento das informações, assim respeitando os princípios da LGPD.

Nas leis também são vistas uma diferença do conceito de privacidade adotado em cada país. Enquanto no Brasil, o respeito à privacidade é um direito fundamental, sendo uma garantia subjetiva amparada constitucionalmente, nos Estados Unidos a privacidade é tratada como uma mercadoria passível de livre comercialização, salvo para menores de 13 anos e específicos setores, regulamentados por normas específicas.

Desta forma, o CCPA garante um grande avanço quanto a proteção dos dados, pois ao mesmo tempo que limita os direitos existentes pelos titulares, abrange um conceito maior de dado pessoal e acaba por ser algo inovador e único para o país, devido ao tipo de tratamento que confere ao dado pessoal.

Pode-se considerar similar a LGDP pois concede direitos de eliminação dos dados pessoais, semelhante ao “esquecimento” garantido pela GDPR.

Em relação a GDPR e LGPD, percebe-se que o texto europeu é bem mais rico e detalhado que o brasileiro, entendendo, assim, esta como sendo a principal diferença. A GDPR tratou de detalhar e abranger tipos de dados e informações variadas, como mencionado anteriormente, enquanto o LGPD acabou por se tornar mais generalista, tendo-se espaço para detalhamento posterior. Claro, o LGDP foi inspirada no GDPR, em contrapartida que o CCPA não, podendo ser considerado apenas uma versão mais amena.

No tocante a permissão de dados a menores de idade, a GDPR aceita o consentimento de dados por eles, desde que tenham pelo menos 16 anos. Menos que isso, é necessário o consentimento de responsável legal, enquanto na LGPD, é obrigatório o consentimento dos responsáveis legais para o tratamento de dados para qualquer pessoa menor de 18 anos, seguindo os termos do Estatuto da Criança e do Adolescente.

Por ser generalista ao ponto de ser até mais permissiva, a lei brasileira pode ser mais difícil de ser adaptada nas empresas. Enquanto na GDPR, as empresas possuem até 72 horas para notificar autoridades; a LGPD apenas estipula que a comunicação deve ser feita em “prazo razoável”.

Isso ocorre até no que se refere a maneira de tratar os dados com a permissão do titular. A LGPD aplica regras gerais de consentimento, transparência e direito de objeção, enquanto a GDPR possui previsões específicas que aceita a oposição do titular em qualquer momento do tratamento de seus dados pessoais.

Ainda, é na lei brasileira que se vê a exigência de profissionais específicos para garantir boas práticas com os dados, enquanto na Europa é obrigado de acordo com as operações de coleta de dados da empresa. Ainda se vê sanções mais rigorosas na GDPR, que variam entre 20 milhões de euros ou a 4% do volume global de negócios da empresa infratora, no Brasil a multa pode chegar até 2% do faturamento total.

Então, é possível entender que estar em consonância com a LGPD é estar em compliance com a GDPR.

É um ponto positivo que a regulamentação brasileira de dados tenha alcance extratorrial, pois será aplicado a empresas multinacionais que atendem no país, independentemente onde ela esteja sediada; enquanto a californiana limita-se em questões geográficas, mas aplicada às empresas de qualquer lugar do mundo que façam negócios na Califórnia relacionados à coleta e processamento de informações pessoais de consumidores residentes na Califórnia ou domiciliadas na Califórnia e fora dela temporariamente.

Assim, é importante lembrar que a Comissão Europeia determinou que transferências internacionais de dados, quando autorizadas, apenas podem ser feitas para países que ofereçam um nível adequado de proteção de dados, tendo até o momento, menos de 15 países na lista. Mas, a transação a países que não estão contidos na lista podem ocorrer, desde que sejam asseguradas garantias pelo Agente.

A lei brasileira, por outro lado, permite a transferência de dados pessoais a nível internacional desde que seja oferecido um grau de proteção adequado, que é previsto em lei por diretrizes que objetivam guiar as autoridades nacionais.

A LGPD e GDPR, assim, criaram ambas órgãos para a fiscalização e cumprimento da lei, sendo a Autoridade Nacional de Proteção de Dados e o Comitê Europeu para Proteção de dados, respectivamente.

Pode-se perceber, desta forma, que o CCPA, LGPD e GDPR são leis que asseguram a proteção de dados pessoais em menor ou maior nível, sendo respostas a clamores populares e reação dos governos a recorrentes casos de vazamento de informação, dano à imagem e invasão da privacidade. Cabe as empresas responder ao que está acontecendo no mundo e aplicar normas de compliance e gestão de riscos, de maneira a tratar os dados de maneira mais cuidadosa e criteriosa.

Gostou deste artigo? Compartilhe nas suas redes sociais, para que outras pessoas também possam conhecê-lo.

Por Antônio Araújo Junior – Especialista em LGPD e Direito Digital

Referências

BRASIL. Presidência da República. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Brasília, DF: Presidência da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2. Acesso em: 24 out. 2019.

CALIFÓRNIA (Estados Unidos da América). Assembly Bill nº 375. Charpter 55. Privacy: personall informations: business, de 29 de junho de 2018.  An act to add Title 1.81.5 (commencing with Section 1798.100) to Part 4 of Division 3 of the Civil Code, relating to privacy. California, Legislative Information [2019]. Disponível em: https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375. Acesso em: 19 nov. 2019.

DIFERENÇAS entre a GPR e a LGPD. DRZ, [2019]. Disponível em: https://www.drz.global/blog/diferencas-entre-a-gdpr-e-a-lgpd. Acesso em: 18 nov. 2019.

UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European Parliament ando f the Council, de 27 de abril de 2016. On the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). União Europeia: Official Journal of the European Union, 2016. Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 10 nov. 2019.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s