Apesar de seus objetivos similares e a aparente influência do GDPR sobre os legisladores brasileiros, existem algumas diferenças marcantes a serem notadas entre as duas legislações.
Encarregados de proteção de dados
Ambos os textos legais demandam que os negócios e as organizações contratem um encarregado de proteção de dados. No entanto, enquanto a GDPR define quando um encarregado é necessário, o artigo 41 da LGPD diz, simplesmente: “O controlador deverá indicar encarregado pelo tratamento de dados pessoais”, o que sugere que qualquer organização que processa dados de pessoas no Brasil terá de contratar alguém para tal posto.
Base legal para processamento de dados
Possivelmente a mais significativa diferença entre a LGPD e o GDPR recai sobre o que se qualifica como base legal para processar dados. O GDPR tem seis bases legais para o processamento, e um controlador de dados deve escolher uma delas como justificativa para utilizar a informação de um titular de dados. No entanto, no seu artigo 7º, a LGPD lista dez. São eles:
Mediante o fornecimento de consentimento pelo titular;
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do capítulo IV da Lei;
Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Ter a proteção do crédito como base legal para o processamento de dados é de fato uma diferença substancial em relação ao GDPR.
Avisos sobre quebra de sigilo de dados
Embora tanto o GDPR quanto a LGPD requeiram que as organizações avisem sobre quebra de sigilo de dados à autoridade nacional de proteção de dados, o nível de especificidade varia amplamente entre as duas leis. O GDPR é explícito: uma organização deve avisar sobre qualquer quebra de sigilo em até 72 horas a partir de sua descoberta (embora diferentes organizações já estejam testando este limite).
A LGPD não oferece nenhum limite definido: o artigo 48 simplesmente diz que “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (…) em prazo razoável, conforme definido pela autoridade nacional”. Uma vez que a agência nacional de proteção de dados não foi, até o momento, estabelecida, não há indicação sobre o que constitui “prazo razoável”.
Fonte:
https://bit.ly/3jSDuqa em 06/09/20