A LGPD, a GDPR e a CCPA são regulações de privacidade de dados e, como todo regulamento, seu texto é longo e detalhado. Mas, para facilitar o entendimento, elencamos as principais semelhanças e diferenças. São seis diferenças principais:

1. Território em que cada um é válido

  • A LGPD será válida em todo o território brasileiro.
  • A GPDR é válida em toda a União Europeia.
  • A CCPA é válida apenas no estado da California, EUA. Lembrando que apenas o titular dos dados deve residir na Califórnia; ou seja, a lei é válida para todos que fazem negócios no estado.

Mas engana-se quem pensa que, por se tratarem de proteção de dados e privacidade, esses regulamentos são meras réplicas um do outro. A conformidade com uma dessas leis não garante a conformidade com as outras.

2. A quais titulares de dados se aplica a lei

  • A GDPR é aplicável aos dados pessoais dos titulares dos dados, ou seja, os usuários. Podem ser clientes ou meros visitantes de um site.
  • A CCPA é aplicável aos consumidores, famílias e domicílios.

3. A definição de dado pessoal

  1. Para a LGPD, dado pessoal é toda informação relacionada a uma pessoa identificada ou identificável. Existem informações que não te identificam pessoalmente; você continua anônimo. Há outras, no entanto, que te identificam individualmente, como nome, email e documentos pessoais.
  2. Para a CCPA, dado pessoal é toda informação que identifique, individualmente, uma pessoa ou família. Ou seja, dados anônimos não são considerados pessoais.
  3. Para a GDPR, tudo isso é dado pessoal. E há ainda duas categorias distintas: dados tornados públicos pelo próprio titular e dados relacionados a instituições sem fins lucrativos.

Entre essas definições, de dados pessoais, anônimos ou não, há uma mais especial: dados sensíveis.

Dados sensíveis são os que revelam origem racial ou étnica; convicções políticas e religiosas; filiações sindicais; e questões relacionadas à saúde e sexualidade.

A GDPR, ao contrário da LGPD e CCPA, proíbe o uso de dados sensíveis, a não ser que esse uso esteja previsto em lei.

4. Quem trata os dados

A LGPD e a GDPR, em seus respectivos territórios, se aplicam a todo tratamento de dados, com exceção do uso particular. Se é uma empresa, uma ONG ou uma instituição do governo, pouco importa: a lei se aplica.

A CCPA é bem diferente nesse quesito. A aplicação desta é, especificamente, para:

  1. Empresas com receita bruta anual superior a 25 milhões de dólares;
  2. Empresas que recebem dados de mais de 50 mil consumidores, famílias ou dispositivos;
  3. Empresas que obtêm mais de 50% da renda através da venda de informações pessoais.

5. Venda de dados pessoais

Na LGPD e na GDPR, para que a venda de dados pessoais seja feita é necessária uma base legal prevista na lei. Não é qualquer um que pode fazer esse serviço.

A CCPA, por outro lado, não proíbe a venda de dados. Apenas estabelece a possibilidade do titular não permitir que seus dados não sejam vendidos. Ou seja, uma pessoa pode concordar ou não com a venda dos próprios dados, e a empresa não pode desacatar essa opção.

6. Multas e penalidades

A GDPR, a LGPD e a CCPA aplicam multas e penalidades diferentes; portanto, cada uma deve ser consultada separadamente. Neste artigo, você pode ter mais detalhes sobre as multas e penalidades da LGPD.

Já vimos, portanto, que existem diferenças consideráveis entre os três regulamentos. Então quais são as semelhanças?

Semelhanças entre a LGPD, a GDPR e a CCPA

1. Transparência sobre o uso de dados

Os três regulamentos garantem transparência quanto ao uso de dados: se estão sendo tratados, se podem ser vendidos e com que objetivo estas ações são feitas.

2. Poder de atualizar e excluir dados

Os três regulamentos permitem que o usuário revogue a concessão dos dados, bem como garantem que ele possa atualizá-los quando bem entender.

3. Autoridade responsável

Os regulamentos instituem uma autoridade governamental para garantir que a lei seja cumprida. No caso da LGPD, é a Autoridade Nacional de Proteção de Dados. No caso da CCPA, é o Procurador Geral do estado da Califórnia.

Preciso me adequar às três leis?

Como vimos nos tópicos anteriores, as leis são válidas para seus respectivos territórios. Se sua empresa trata dados de californianos e brasileiros, é necessário que esteja inteiramente à par da CCPA e da LGPD. Se sua empresa trata os dados de clientes da União Europeia, é necessário que se adeque à GDPR.

Mas, na prática, isso é ainda mais simples. Já que a LGPD é baseada na GDPR, é fácil se adequar às duas legislações. E, tendo em vista que as três se baseiam em princípios de transparência e consentimento, existem três passos que garantirão que seu site não tenha nenhum problema com qualquer uma dessas leis.

3 passos para se adequar à LGPD, à GDPR e à CCPA

1. Entenda consentimento e transparência

Algo que a LGPD, a GDPR e a CCPA têm em comum é a prioridade dada à transparência e ao consentimento, que fundamenta a lei na íntegra.

O que isso significa na prática?

Todo usuário precisa saber que está tendo dados coletados e com qual finalidade sua empresa fará esse tratamento de dados. Essas informações precisam estar explícitas. Sabendo disso, o usuário precisa concordar. Isso é transparência e consentimento.

Se o usuário não concordar com o tratamento de dados, ele deve poder expressar isso de forma clara e objetiva. E sua empresa respeitará essa decisão, sem forçá-lo a ceder os dados.

Mas pense bem: fazer isso manualmente tornaria a operação de qualquer empresa complicada. Para facilitar esse serviço, seguimos ao segundo passo:

2. Instale um cookie banner

Cookie banner é um aviso em texto, como o que você viu quando entrou neste blog. O cookie banner serve para informar ao usuário que o site coleta dados e para pedir o consentimento do usuário para que tenha seus dados coletados. O cookie banner também informa com qual objetivo nós coletamos essas informações.

E o mais importante: registra tudo isso. Nós podemos provar quais dados você concordou em nos fornecer; e isso é de extrema importância para o cumprimento da lei. E, também, você pode dizer, por meio do cookie banner, quais dados deseja fornecer e quais não, ou até mesmo recusar nos passar qualquer informação. E assim fica tudo bem.

Para garantir que essa operação seja feita, a LGPD, a GDPR e a CCPA pedem que haja em cada empresa um responsável. Este profissional é chamado de DPO: Data Protection Officer. E escolhê-lo é o terceiro passo.

3. Eleja um DPO

DPO é o encarregado de proteção de dados. Sua empresa pode terceirizar este serviço ou eleger algum colaborador interno para exercer essa função.

É o DPO que responde, legalmente, pela política de proteção de dados da empresa, fazendo a ponte entre a empresa e a autoridade de proteção de dados. No caso da LGPD, essa autoridade é a ANPD. No caso da CCPA, é o Procurador Geral da Califórnia.

Com essas boas práticas, sua empresa está garantida nesse cenário de mudanças e amplo debate sobre uso de dados.

Show Full Content
Previous Tudo sobre a Lei Geral de Proteção de Dados (LGPD)
Next 10 processos do marketing que você deve repensar na LGPD!

Comments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Close

NEXT STORY

Close

Entenda o que são as Bases Legais da LGPD

maio 5, 2021
Close