Loading…
Se você já está em conformidade com o GDPR, está 80% do caminho rumo à LGPD. Ambas compartilham dez princípios orientadores, direitos semelhantes dos titulares e um regime de notificação de violações em torno de 72 horas. A divergência está na matemática das penalidades (a LGPD limita as multas a 2% do faturamento no Brasil ou R$50M por violação), na isenção de pequeno controlador definida pela Resolução CD/ANPD nº 2/2022 e na ausência de direito à portabilidade ou de oposição a decisões automatizadas. Este guia mostra exatamente onde você pode reaproveitar o trabalho do GDPR e onde precisa de uma diferença.
| Dimensão | 🇪🇺 GDPR | 🇧🇷 LGPD |
|---|---|---|
| Instrumento legal | Regulamento (UE) 2016/679 | Lei nº 13.709/2018 |
| Data de vigência | 25 de maio de 2018 | Disposições substantivas: ago. de 2020; sanções administrativas: ago. de 2021 |
| Escopo territorial | UE + extraterritorial (Art. 3) | Tratamento no Brasil, ou direcionado a indivíduos no Brasil, ou quando os dados foram coletados no Brasil (Art. 3) |
| Bases legais | Seis (Art. 6) + condições de categoria especial (Art. 9) | Dez (Art. 7) — incluindo legítimo interesse, contrato, obrigação legal, saúde pública, proteção ao crédito |
| Princípios | Seis (Art. 5) | Dez (Art. 6) — finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização |
| Encarregado de Proteção de Dados | Obrigatório em casos definidos (Art. 37) | Obrigatório para todos os controladores; isenção de pequeno controlador via Res. CD/ANPD nº 2/2022 |
| Multa máxima | €20M ou 4% do faturamento global (Art. 83(5)) | Até 2% do faturamento no Brasil do exercício fiscal anterior, limitado a R$50M por violação |
| Multas diárias | Não é estrutura padrão | Permitidas pelo Art. 52(III) — até R$50M por infração por dia |
| Outras penalidades | Advertência, proibição de tratamento (Art. 58) | Publicização da infração, bloqueio de dados, eliminação de dados, suspensão parcial/total (Art. 52) |
| Notificação de violação | 72 horas à Autoridade de Supervisão (Art. 33) | 3 dias úteis à ANPD conforme a Resolução CD/ANPD nº 15/2024 quando houver risco/dano razoável |
| Regulador | 27 DPAs de Estados-Membros da UE + EDPB | Autoridade Nacional de Proteção de Dados (ANPD) |
| DPO/Encarregado | Encarregado de Proteção de Dados | Encarregado de Proteção de Dados |
| Representante local | Representante da UE do Artigo 27 obrigatório | Não exigido formalmente, mas a ANPD espera um ponto de contato no Brasil |
| Direito à portabilidade | Sim (Art. 20) | Sim (Art. 18, V) |
| Direito de oposição a decisões automatizadas | Sim (Art. 22) | Direito de revisão por pessoa natural (Art. 20) |
| Direito à informação sobre compartilhamento | Implícito (Arts. 13 a 15) | Explícito (Art. 18, VII) — lista de entidades públicas/privadas com as quais os dados pessoais foram compartilhados |
| Transferência internacional | SCCs/BCR/adequação (Capítulo V) | Mecanismos aprovados pela ANPD — Resolução CD/ANPD nº 19/2024 |
| Dados de crianças | Idade padrão de consentimento de 16 anos (variação entre Estados-Membros) | Consentimento específico de pai/responsável legal para menores de 12 anos (Art. 14) |
| Anonimização | Fora do escopo se irreversível (Considerando 26) | Fora do escopo (Art. 12) — mas com padrão de irreversibilidade mais rígido que o do GDPR |
| Início das sanções | Maio de 2018 | Ago. de 2021 (começaram as advertências iniciais e pequenas multas da ANPD) |
Próxima — mesma finalidade, estrutura semelhante, grande parte do mesmo vocabulário —, mas com 10 bases legais em vez de 6, 10 princípios em vez de 6 e uma matemática de penalidades diferente. O estilo de fiscalização da ANPD também ainda está em desenvolvimento.
Em grande parte. A diferença é: nomear um Encarregado de Proteção de Dados, registrar o artefato de notificação à ANPD para violações relevantes dentro de 3 dias úteis, garantir que seu aviso de privacidade reflita os 10 princípios da LGPD e usar mecanismos aprovados pela ANPD (Res. 19/2024) para transferências internacionais.
A multa administrativa máxima é de 2% do faturamento no Brasil por violação, limitada a R$50M (~US$10M). As multas diárias podem se acumular rapidamente. A ANPD também tem poderes cautelares (bloqueio de dados, ordem de eliminação) que podem ser mais disruptivos do que a penalidade pecuniária.
Sim — o Artigo 3(II) abrange "a atividade de tratamento tem por objetivo a oferta ou o fornecimento de bens ou serviços" a indivíduos no Brasil, independentemente de onde você esteja estabelecido.
A fiscalização vem se intensificando desde 2023. A ANPD emitiu várias Resoluções esclarecendo notificação de violações, sandboxes e isenções para pequenos controladores. Os níveis de penalidade permanecem modestos em comparação com o GDPR, mas a trajetória aponta claramente para uma fiscalização mais ativa.
Não é estritamente exigido pela LGPD, mas é operacional. O Encarregado deve responder à ANPD e aos titulares de dados de forma significativa; um ponto de contato local ou serviço de representação (como o RegulatoryBridge Brasil) atende a essa necessidade.
Mapeie os controles uma vez e cumpra duas. A RegulatoryBridge oferece um único pipeline de DSAR, um único DPO, um único runbook de violações — cobrindo ambas as estruturas.