A privacidade e a proteção dos dados pessoais têm ganhado cada vez mais espaço e relevância no cenário internacional. A GDPR, lei europeia de proteção de dados, abriu precedentes para que todos os países que queiram fazer negócios utilizando dados pessoais elaborassem uma legislação visando proteger os indivíduos.

Isso garante que não haja nenhum abuso de dados, como ocorreu no escândalo da Cambridge Analytica com o Facebook.

Mas, já que cada país ou grupo de países têm sua própria legislação, é comum que fiquemos confusos. Qual é a diferença entre uma legislação e outra? É necessário que toda empresa conheça a fundo todas essas legislações?

Neste artigo, responderemos em mais detalhes cada uma dessas perguntas. Mas, primeiro, vamos entender o que são cada uma dessas siglas que usaremos pelo artigo.

O que é GDPR?

A General Data Protection Regulation (GDPR) é o regulamento de proteção de dados europeu. Criada em 2016, a lei entrou em vigor em maio de 2018 e é válida para todos os indivíduos da União Europeia.

O que é LGPD?

A Lei Geral de Proteção de Dados (LGPD) é a lei brasileira de privacidade de dados, que entra em vigor em agosto de 2020. O regulamento se baseia, principalmente, na GDPR.

Prestes a entrar em vigor, as empresas e organizações brasileiras estão se movimentando para realizar a adequação ao estatuto, de forma que ninguém venha a ser penalizado. 

O que é CCPA?

A California Consumer Privacy Act (CCPA), em português Lei de Privacidade do Consumidor da California, é um estatuto californiano de privacidade de dados. Válido para o tratamento de dados de todo residente do estado da Califórnia, US, foi introduzido em janeiro de 2018 para entrar em vigor em 2020.

LGPD, GDPR e CCPA: 6 diferenças

A LGPD, a GDPR e a CCPA são regulamentos de privacidade de dados e, como todo regulamento, seu texto é longo e detalhado. Mas, para facilitar o entendimento, elencamos as principais semelhanças e diferenças. São seis diferenças principais:

1. Território em que cada um é válido

  • A LGPD será válida em todo o território brasileiro.
  • A GPDR é válida em toda a União Europeia.
  • A CCPA é válida apenas no estado da California, EUA. Lembrando que apenas o titular dos dados deve residir na Califórnia; ou seja, a lei é válida para todos que fazem negócios no estado.

Mas engana-se quem pensa que, por se tratarem de proteção de dados e privacidade, esses regulamentos são meras réplicas um do outro. A conformidade com uma dessas leis não garante a conformidade com as outras.

2. A quais titulares de dados se aplica a lei

  • A GDPR é aplicável aos dados pessoais dos titulares dos dados, ou seja, os usuários. Podem ser clientes ou meros visitantes de um site.
  • A CCPA é aplicável aos consumidores, famílias e domicílios.

3. A definição de dado pessoal

  1. Para a LGPD, dado pessoal é toda informação relacionada a uma pessoa identificada ou identificável. Existem informações que não te identificam pessoalmente; você continua anônimo. Há outras, no entanto, que te identificam individualmente, como nome, email e documentos pessoais.
  2. Para a CCPA, dado pessoal é toda informação que identifique, individualmente, uma pessoa ou família. Ou seja, dados anônimos não são considerados pessoais.
  3. Para a GDPR, tudo isso é dado pessoal. E há ainda duas categorias distintas: dados tornados públicos pelo próprio titular e dados relacionados a instituições sem fins lucrativos.

Entre essas definições, de dados pessoais, anônimos ou não, há uma mais especial: dados sensíveis.

Dados sensíveis são os que revelam origem racial ou étnica; convicções políticas e religiosas; filiações sindicais; e questões relacionadas à saúde e sexualidade.

A GDPR, ao contrário da LGPD e CCPA, proíbe o uso de dados sensíveis, a não ser que esse uso esteja previsto em lei.

4. Quem trata os dados

A LGPD e a GDPR, em seus respectivos territórios, se aplicam a todo tratamento de dados, com exceção do uso particular. Se é uma empresa, uma ONG ou uma instituição do governo, pouco importa: a lei se aplica.

A CCPA é bem diferente nesse quesito. A aplicação desta é, especificamente, para:

  1. Empresas com receita bruta anual superior a 25 milhões de dólares;
  2. Empresas que recebem dados de mais de 50 mil consumidores, famílias ou dispositivos;
  3. Empresas que obtêm mais de 50% da renda através da venda de informações pessoais.

5. Venda de dados pessoais

Na LGPD e na GDPR, para que a venda de dados pessoais seja feita é necessária uma base legal prevista na lei. Não é qualquer um que pode fazer esse serviço.

A CCPA, por outro lado, não proíbe a venda de dados. Apenas estabelece a possibilidade do titular não permitir que seus dados não sejam vendidos. Ou seja, uma pessoa pode concordar ou não com a venda dos próprios dados, e a empresa não pode desacatar essa opção.

6. Multas e penalidades

A GDPR, a LGPD e a CCPA aplicam multas e penalidades diferentes; portanto, cada uma deve ser consultada separadamente. Neste artigo, você pode ter mais detalhes sobre as multas e penalidades da LGPD.

Já vimos, portanto, que existem diferenças consideráveis entre os três regulamentos. Então quais são as semelhanças?

Semelhanças entre a LGPD, a GDPR e a CCPA

1. Transparência sobre o uso de dados

Os três regulamentos garantem transparência quanto ao uso de dados: se estão sendo tratados, se podem ser vendidos e com que objetivo estas ações são feitas.

2. Poder de atualizar e excluir dados

Os três regulamentos permitem que o usuário revogue a concessão dos dados, bem como garantem que ele possa atualizá-los quando bem entender.

3. Autoridade responsável

Os regulamentos instituem uma autoridade governamental para garantir que a lei seja cumprida. No caso da LGPD, é a Autoridade Nacional de Proteção de Dados. No caso da CCPA, é o Procurador Geral do estado da Califórnia.

Preciso me adequar às três leis?

Como vimos nos tópicos anteriores, as leis são válidas para seus respectivos territórios. Se sua empresa trata dados de californianos e brasileiros, é necessário que esteja inteiramente à par da CCPA e da LGPD. Se sua empresa trata os dados de clientes da União Europeia, é necessário que se adeque à GDPR.

Mas, na prática, isso é ainda mais simples. Já que a LGPD é baseada na GDPR, é fácil se adequar às duas legislações. E, tendo em vista que as três se baseiam em princípios de transparência e consentimento, existem três passos que garantirão que seu site não tenha nenhum problema com qualquer uma dessas leis.

3 passos para se adequar à LGPD, à GDPR e à CCPA

1. Entenda consentimento e transparência

Algo que a LGPD, a GDPR e a CCPA têm em comum é a prioridade dada à transparência e ao consentimento, que fundamenta a lei na íntegra.

O que isso significa na prática?

Todo usuário precisa saber que está tendo dados coletados e com qual finalidade sua empresa fará esse tratamento de dados. Essas informações precisam estar explícitas. Sabendo disso, o usuário precisa concordar. Isso é transparência e consentimento.

Se o usuário não concordar com o tratamento de dados, ele deve poder expressar isso de forma clara e objetiva. E sua empresa respeitará essa decisão, sem forçá-lo a ceder os dados.

Mas pense bem: fazer isso manualmente tornaria a operação de qualquer empresa complicada. Para facilitar esse serviço, seguimos ao segundo passo:

2. Instale um cookie banner

Cookie banner é um aviso em texto, como o que você viu quando entrou neste blog. O cookie banner serve para informar ao usuário que o site coleta dados e para pedir o consentimento do usuário para que tenha seus dados coletados. O cookie banner também informa com qual objetivo nós coletamos essas informações.

E o mais importante: registra tudo isso. Nós podemos provar quais dados você concordou em nos fornecer; e isso é de extrema importância para o cumprimento da lei. E, também, você pode dizer, por meio do cookie banner, quais dados deseja fornecer e quais não, ou até mesmo recusar nos passar qualquer informação. E assim fica tudo bem.

Para garantir que essa operação seja feita, a LGPD, a GDPR e a CCPA pedem que haja em cada empresa um responsável. Este profissional é chamado de DPO: Data Protection Officer. E escolhê-lo é o terceiro passo.

3. Eleja um DPO

DPO é o encarregado de proteção de dados. Sua empresa pode terceirizar este serviço ou eleger algum colaborador interno para exercer essa função.

É o DPO que responde, legalmente, pela política de proteção de dados da empresa, fazendo a ponte entre a empresa e a autoridade de proteção de dados. No caso da LGPD, essa autoridade é a ANPD. No caso da CCPA, é o Procurador Geral da Califórnia.

Com essas boas práticas, sua empresa está garantida nesse cenário de mudanças e amplo debate sobre uso de dados.

Show Full Content

About Author View Posts

Leo Fontana
Leo Fontana

Marketing

Comments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Back
Close
Close