Escolar Documentos
Profissional Documentos
Cultura Documentos
PIBR v. LGPD
Sobre os autores
DataGuidance por OneTrust oferece um conjunto de soluções de privacidade projetadas para ajudar as organizações a monitorar
desenvolvimentos regulatórios, reduzir riscos e garantir a conformidade global. O DataGuidance pela plataforma OneTrust inclui orientação
centrada em torno de temas centrais (ie PIBR, transferências de dados, violação de notificação, entre outros), gráficos transfronteiriço, que
permitem que você compare os regulamentos em várias jurisdições em um relance, um serviço de notícias personalizado diária e análise de
especialistas .
Estas ferramentas, juntamente com o nosso in-house serviço analista para ajudar com as suas questões específicas de pesquisa, fornecer uma
solução de custo eficaz e eficiente para projetar e apoiar o seu programa de privacidade.
Baptista Luz Advogados foi fundada em 2004 e abrange a maioria das áreas do direito empresarial. Seus clientes incluem empresas
e grupos econômicos, nacionais e internacionais, fundos de investimento, os investidores anjo e empresários. Ele também atua em
outros setores da economia, especialmente publicidade, tecnologia, instituições financeiras, aeronáutica, telecomunicações,
e-commerce, logística e saúde. Baptista Luz tem uma equipe dedicada de Privacidade e Protecção de Dados, com excelentes
profissionais, que estão diretamente envolvidos com as discussões mais importantes na área e que lidar com o cumprimento de
protecção de dados a nível global e nacional. A empresa tem escritórios em três cidades brasileiras diferentes (São Paulo,
Florianópolis e Londrina), bem como uma unidade em Miami.
contribuintes
DataGuidance por OneTrust: Alexis Kateifides, Joel Bates, Nikos Papageorgiou, Rumer
Ramsey, Bart van der Geest, Alice Marini, Pascale Arguinarena
Baptista Luz Advogados: Renato Leite Monteiro, Odélio Porto Junior, Gabriela Moribe
Capa / p.5 / p.51: cnythzl / Signature Collection / istockphoto.com Escala chave p6-49:
coleção enisaksoy / Assinatura / istockphoto.com Ícone p.12-21: Moto-rama / coleção
Essentials / istockphoto.com Ícone p.22-23: coleção AlexeyBlogoodf / Essentials /
istockphoto.com Ícone p.25, 29-37: zak00 / Signature Collection / istockphoto.com Ícone
p.38-45: AlexeyBlogoodf / Essentials recolha / istockphoto.com Ícone p.47 -51: cnythzl /
Signature Collection / istockphoto.com
2
Índice
Introdução 5
1. Escopo
1.1. âmbito de aplicação pessoal 7
1.2. âmbito territorial 8
1.3. âmbito de aplicação material 10
2. definições chave
2.1. Dados pessoais 12
2.2. pseudonimização 14
2.3. Controladores e processadores 16
2.4. Crianças 18
2.5. Pesquisa 20
3. base jurídica 22
5. direitos do indivíduo
5.1. Direito de apagamento 38
5.2. Direito de ser informado 40
5.3. Direito de objeto 41
5.4. Direito de acesso 43
5.5. Direito de não ser objecto de discriminação para o exercício dos direitos 44
5.6. Direito de portabilidade de dados 45
6. aplicação
6.1. penas pecuniárias 47
6.2. autoridade de supervisão 49
6.3. reparação civil por indivíduos 51
3
4
Introdução
Em 25 de maio de 2018, o Regulamento Data General Protection (Regulamento (UE 2016/679) ( 'PIBR') entrou em vigor. Em agosto de 2018, o Brasil aprovou a Lei nº
13,709 de 14 de agosto de 2018 que dispõe sobre a proteção de dados pessoais e altera a Lei Federal No.
12,965 de 23 de Abril de 2014 ( 'LGPD'), que está prevista para entrar em vigor em 2020.
Ambas as leis são de natureza abrangente sobre pessoal, material e alcance territorial. Por exemplo, tanto o PIBR eo LGPD aplicável às organizações que têm uma
presença na UE e Brasil, respectivamente, bem como a organizações que não estão fisicamente localizados, mas que oferecem produtos e serviços nas jurisdições, ou
processam dados pessoais nessas regiões . No entanto, é de notar que apenas o PIBR se aplica a organizações que, embora não têm qualquer presença na UE,
Além disso, ambas as peças de legislação aplicável ao tratamento de dados pessoais de pessoas singulares como realizado pelos controladores e processadores. Em particular, o
seu âmbito de aplicação aparece de longo alcance, pois ambos proteger os indivíduos independentemente do seu estatuto de nacionalidade ou residência. Este princípio é
explicitamente incluído no PIBR, enquanto no Brasil é prevista pela interpretação combinada com a Constituição da República Federativa do Brasil ( 'a Constituição').
Eles também ambos fornecem proteção especial para o tratamento de dados pessoais sensíveis, bem como para o tratamento de dados das crianças. No entanto, há várias
nuances entre as duas leis, por exemplo, relativas à base jurídica aplicável quando os dados sensíveis são processados.
Além disso, ambas as leis exclui do seu âmbito o tratamento de dados anónimos, embora o LGPD afirma que os dados podem ser considerados pessoais quando usado para
formular perfis comportamentais de uma pessoa singular particular, se essa pessoa é identificada.
Outras semelhanças podem ser encontradas nos direitos indivíduos têm direito a, bem como as obrigações controladores e processadores estão sujeitos. No entanto, sob o PIBR, controladores e
os transformadores devem nomear um oficial de protecção de dados ( 'DPO') em circunstâncias específicas, bem como realizar uma Avaliação de Impacto Protecção de Dados ( 'DPIA'). Sob o
LGPD, somente controladores devem nomear um RPD, e há circunstâncias específicas são estabelecidas; Assim, à primeira vista, todos os controladores precisa designar um,
Este Guia é, portanto, cujo objetivo é destacar as semelhanças e diferenças entre as duas peças de legislação, a fim de ajudar as organizações a desenvolver suas atividades
de conformidade.
5
Introdução (Cont)
1. Âmbito
2. Definições chave
3. Base jurídica
Direitos 5. indivíduos
6. Enforcement
Cada tópico inclui artigos relevantes e seções das duas leis, um resumo da comparação e uma análise detalhada das semelhanças e diferenças entre o PIBR
eo LGPD.
Bastante consistente: O PIBR e LGPD suportar um elevado grau de semelhança na lógica, o núcleo, e o
âmbito da disposição considerado; No entanto, os detalhes que regem a sua aplicação diferem.
Bastante inconsistentes: O PIBR e LGPD suportar várias diferenças em relação ao escopo e aplicação das
disposições consideradas, no entanto a sua razão de ser e núcleo apresenta algumas semelhanças.
Inconsistente Consistente
Inconsistente: O PIBR e LGPD ter um alto grau de diferença em relação à lógica, núcleo, escopo
Uso do Guia
Este Guia é geral e educacional na natureza e não se destina a fornecer, e não deve ser invocado, como uma fonte de aconselhamento jurídico. As informações e materiais fornecidos
no Guia pode não ser aplicável em todos (ou nenhum) situações e não deve ser posta em prática sem aconselhamento jurídico específico com base em circunstâncias particulares.
Esta análise baseia-se na versão do LGPD alterada pela Medida Provisória nº 869, de 27 de Dezembro de 2018, bem como sobre uma tradução em Inglês da lei,
criada pelo escritório de advocacia, Pereira Neto | Macedo Advogados, e acessível em https: // www.
Pereira Neto | Macedo Advogados por seus esforços e fazer esta tradução disponível para uso.
6
1. Âmbito
1.1. âmbito de aplicação pessoal
razoavelmente consistente
Tanto o PIBR eo LGPD proteger o tratamento de dados pessoais dos indivíduos. Além disso, o PIBR afirma que a proteção é fornecida independentemente da nacionalidade
ou residência do titular dos dados, enquanto o LGPD não aborda explicitamente este ponto. No entanto, ao fornecer uma interpretação conforme a Constituição, a proteção se
aplica a qualquer pessoa, independentemente da sua nacionalidade ou residência da pessoa em causa. Ambos os textos legislativos se aplicam aos controladores de dados e
processadores.
PIBR LGPD
Artigos 3, 4 artigos 1-5
considerandos 2, 14, 22-25
semelhanças
o PIBR só protege os indivíduos vivos. dados pessoais das pessoas o LGPD só explicitamente protege os dados pessoais das pessoas singulares. Portanto, os
colectivas não é coberto pela PIBR. O PIBR não protege os dados dados das pessoas colectivas também não é coberto.
Artigo 4 (1) do PIBR esclarece que um dados sujeitos é "uma pessoa Artigo 5 (V) do LGPD esclarece que um dados sujeitos
singular identificada ou identificável. é uma pessoa singular a quem os dados pessoais que são o
O PIBR se aplica aos controladores de dados e processadores de dados, O LGPD aplica-se a tratamento de dados e processadores de dados,
que pode ser empresas, órgãos públicos, instituições, bem como referidos em conjunto como agentes de processamento, que pode ser empresas,
O PIBR define um controlador de dados como "a pessoa singular ou colectiva, O LGPD define um controlador como a pessoa singular ou colectiva
autoridade pública, serviço ou outro organismo que, individualmente ou em conjunto, que é responsável pela tomada de decisões sobre o tratamento de
com os outros, determina as finalidades e os meios de tratamento dos dados pessoais. dados pessoais.
O PIBR define um processador de dados como 'pessoa singular ou colectiva, O LGPD define um processador como a pessoa física ou jurídica,
autoridade pública, serviço ou qualquer outro organismo que trata os dados de direito público ou privado, que processa dados pessoais no
diferenças
O PIBR prevê que 'deveriam ser aplicáveis a pessoas singulares, independentemente O LGPD faz não declarar explicitamente se ela se aplica a pessoas singulares, independentemente
7
1.2. âmbito territorial
razoavelmente consistente
Tanto o PIBR eo LGPD aplicável às entidades que têm uma presença na jurisdição. O PIBR se aplica a organizações que têm um 'estabelecimento' na UE, enquanto o
Ambas as peças de legislação também têm um alcance extraterritorial. Em particular, eles se aplicam a organizações que oferecem produtos e serviços aos titulares dos dados na
Europa e no Brasil, respectivamente, independentemente de onde eles estão localizados. É de notar que apenas o PIBR se aplica a organizações que, embora não têm qualquer
PIBR LGPD
Artigos 3-4 artigos 3-4
considerandos 2, 14, 22-25
semelhanças
O PIBR se aplica a organizações que têm uma presença na UE, nomeadamente No que diz respeito à noção de estabelecimento, não existe uma disposição equivalente
entidades que têm um ' estabelecimento' na UE. Portanto, o PIBR é aplicável ao no LGPD defini-la. No entanto, o LGPD se aplica a operações de processamento de dados
se o processamento tem lugar na UE ou não. localização dos dados que estão sendo processados, se os dados que estão sendo
Com relação à âmbito extraterritorial o PIBR se aplica às atividades de O LGPD também se aplica, independentemente da localização da sede da
processamento de organizações que não estão estabelecidas na UE, onde as entidade, ou a localização dos dados que estão sendo processados, se o propósito
atividades de processamento estão relacionados com a oferta de bens ou serviços de atividade de processamento de uma entidade é oferecer ou fornecer
diferenças
Em relação a âmbito extraterritorial o PIBR se aplica a organizações Em relação a âmbito extraterritorial o LGPD não inclui quaisquer
que não estão estabelecidas na UE, mas monitorar o disposições específicas em relação às atividades de processamento
comportamento dos indivíduos, que têm o objetivo de monitorar o comportamento dos indivíduos no
Não há nenhuma disposição equivalente no PIBR. processamento de dados, onde os dados a serem processados
8
PIBR LGPD
Diferenças (continuação)
O PIBR aplica-se às pessoas singulares, independentemente da sua o LGPD não prever expressamente que ele será aplicado independentemente da
nacionalidade ou local de residência, em relação ao tratamento dos nacionalidade ou local de residência de um indivíduo. No entanto, ao fornecer uma
seus dados pessoais. interpretação conforme a Constituição Federal brasileira, a proteção se aplica a
em causa. Além disso, o artigo 3º estabelece que o LGPD será aplicada se os dados
pessoais sejam processados pertence a uma pessoa que esteve no Brasil no momento
da sua coleção.
9
1.3. âmbito de aplicação material
razoavelmente consistente
Ambas as peças de legislação aplica aos dados pessoais definidos como informação relativa a uma pessoa singular identificada ou identificável. O PIBR exclui da sua aplicação
ao tratamento de dados anónimos. Da mesma forma, os exclui LGPD de sua aplicação 'anónima de dados,' uma vez que não é considerado dados pessoais, a menos que o
processo de anonimização foi revertida. De acordo com o LGPD, os dados também podem ser considerados pessoais quando usado para formular perfis comportamentais de
O PIBR é aplicável ao tratamento de dados pessoais por meios automatizados ou não automatizados meios se os dados faz parte de um sistema de depósito, enquanto que a LGPD aplica-se a
PIBR LGPD
Artigos 2-4, 9 Artigos 3-5, 11-12
considerandos 15-21, 26
semelhanças
O PIBR aplica-se ao ' em processamento' de dados pessoais. A definição de O LGPD se aplica a qualquer operação de tratamento,
'processamento' abrange 'qualquer operação' realizada em dados pessoais 'tais que é definido como qualquer operação efectuada com os dados pessoais, tais
como a recolha, registo, organização, estruturação, armazenamento, adaptação como a recolha, a produção, a recepção, classificação, utilização, acesso,
ou alteração, a recuperação, consulta, a utilização, a divulgação por transmissão, reprodução, transmissão, distribuição, processamento, arquivo,
difusão ou qualquer outro modo, o alinhamento ou combinação, restrição, o armazenamento, eliminação, avaliação ou o controlo da informação, a
O PIBR aplica-se ao em processamento de dados pessoais. ' Dados pessoais' é definido O LGPD se aplica a qualquer operação de processamento de dados pessoais. ' Dados
como 'qualquer informação' que, directa ou indirectamente, refere-se a um indivíduo pessoais' é definido como informação relativa a uma pessoa singular identificada
O PIBR define ' categorias especiais de dados pessoais' O LGPD define ' dados pessoais sensíveis' como dados pessoais relativos à
como dados pessoais que revelem a origem racial ou étnica, opiniões políticas, origem racial ou étnica, crença religiosa, opinião política, sindical ou filiação
crenças religiosas ou filosóficas ou a filiação sindical, e o tratamento de dados organização religiosa, filosófica ou política, dados relativos à saúde e à vida
genéticos, dados biométricos para efeitos de identificação única de uma pessoa sexual, os dados genéticos ou biométricos, quando relativa a uma pessoa
singular, os dados relativos à saúde e dados sobre uma pessoa natural das singular. O LGPD estabelece requisitos específicos para o seu processamento.
O PIBR exclui da sua aplicação ao tratamento de dados pessoais por O LGPD exclui da sua aplicação ao tratamento de dados
particulares para fins exclusivamente pessoais ou domésticas. Este é o pessoais por pessoas singulares para fins puramente privadas e
processamento de dados que tem 'nenhuma conexão com uma actividade não económicos.
profissional ou comercial.'
10
PIBR LGPD
Semelhanças (continuação)
Excluem-se desta PIBR dados anônimos da sua aplicação, que é definida Excluem-se desta LGPD de sua aplicação dados anónimos,
como a informação que não se relaciona a uma pessoa singular que é definida como dados relativos a um titular de dados que não podem ser
identificada ou identificável ou dados pessoais tornados anónimos de tal identificados, considerando a utilização de meios técnicos razoáveis e disponíveis no
Os exclui PIBR a partir da sua aplicação de processamento de dados no contexto Excluem-se desta LGPD de seu processamento de dados de
de a aplicação da lei ou a segurança nacional. aplicação feito exclusivamente para fins de aplicação da lei e
segurança nacional.
O PIBR estabelece requisitos específicos para determinadas situações de O LGPD geralmente não se aplica ao tratamento de dados pessoais
processamento, incluindo o processamento de fins jornalísticos e acadêmicos, feitos exclusivamente para segurança pública, jornalística, fins
diferenças
O PIBR é aplicável ao tratamento de dados pessoais por meios O LGPD se aplica a qualquer operação de processamento.
um sistema de depósito.
O PIBR faz não abordar especificamente o processamento de dados O LGPD afirma que os dados podem ser considerados pessoais quando usado
anonimizados para fins de criação de perfil. para formular perfis comportamentais de uma pessoa singular particular, se essa
pessoa é identificada.
11
2. Definições chave
2.1. Dados pessoais
razoavelmente consistente
Tanto o PIBR eo LGPD fornecer definições de dados pessoais, dados pessoais sensíveis e os dados anónimos que apresentam um alto grau de semelhança.
Em relação a dados anonimizados, a fim de determinar se os esforços razoáveis foram feitos para tornar anónimos os dados, o LGPD prevê critérios objectivos para análise,
tais como tempo e custo, mas também inclui o controlador ou o uso do processador de seus recursos próprios. dados Além disso, de acordo com o LGPD, anónimos pode ser
considerado pessoal quando usado para formular perfis comportamentais de uma pessoa singular particular, se essa pessoa é identificada.
PIBR LGPD
Artigos 4.º, 9.º Artigos 5º, 12
considerandos 26-30
semelhanças
O PIBR, define 'dados pessoais' como " qualquer informação relativa a uma pessoa 'dados pessoais' Os define LGPD como informações relacionadas com uma pessoa
singular identificada ou identificável (' dados sujeitos '); uma pessoa singular singular identificada ou identificável.
O PIBR faz não aplicam-se a dados anónimos, nomeadamente dados que O LGPD faz não aplicam-se a dados anónimos, que é definida como dados sobre um
não diz respeito a uma pessoa singular identificada ou identificável ou assunto que não pode ser identificada, direta ou indiretamente, considerando o uso
dados pessoais tornados anónimos de tal maneira que a pessoa em de meios técnicos razoáveis disponíveis no momento do processamento. Sob o
causa não é ou já não é identificável. Considerando 26 do PIBR prevê LGPD, os dados não é considerado anonimizados quando o processo de
que 'para determinar se uma pessoa natural é identificável, que ter em anonimização a que foram submetidos é reversível, considerando os esforços
conta de todos os meios razoavelmente que possam ser utilizadas, tais razoáveis. No entanto, além dos critérios objectivos (custo, tempo e tecnologia
como destacar, quer pelo controlador ou por uma outra pessoa para disponível), o LGPD também adota um conceito subjetivo, que é o controlador ou
identificar a pessoa singular directamente ou indiretamente. Para verificar 'uso de seus próprios recursos' do processador para determinar se os esforços feitos
se os meios possam vir a ser usadas para identificar a pessoa natural, para o processo de anonimização eram razoáveis.
12
PIBR LGPD
Semelhanças (continuação)
Os define PIBR categorias especiais de dados pessoais (ou 'dados sensíveis') como O LGPD define ' dados sensíveis' como dados pessoais na origem racial ou étnica,
'dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças crença religiosa, opinião política, filiação sindical ou religiosa, a organização
religiosas ou filosóficas ou a filiação sindical, e o tratamento de dados genéticos, filosófica ou política, saúde ou vida sexual, os dados genéticos ou biométricos,
dados biométricos para efeitos de identificação única de uma pessoa singular, os quando conectado a uma pessoa natural. faz o LGPD não proíbe o tratamento de
dados relativos à saúde e dados relativos natural pessoa vida sexual ou dados sensíveis, mas as bases legais para tal processamento são mais restritas.
orientação sexual '. O processamento desta categoria de dados pessoais é Veja 'base jurídica' abaixo.
diferenças
O PIBR não aborda especificamente o processamento de dados O LGPD afirma que, se os dados anónimos é usada para criar ou aumentar
anonimizados no contexto de criação de perfis. um perfil de comportamento de uma pessoa singular, pode ser considerada
13
2.2. pseudonimização
razoavelmente consistente
A definição de 'pseudonimização' incluído em ambas as peças de legislação é bastante semelhante. No entanto, os estados PIBR que sob pseudónimo dados devem ser
considerados como dados pessoais, enquanto o LGPD não é explícito sobre este assunto. Dados No entanto, considerando que, sob o LGPD o conceito de dados pessoais inclui
dados que podem indiretamente identificar uma pessoa em causa, sob pseudónimo podem ser considerados dados pessoais. Além disso, 'pseudónimos' só é fornecido para quando
Ambas as peças de legislação mencionar o processo de pseudónimos como uma salvaguarda que devem ser tomadas para reduzir os riscos para os direitos das pessoas em causa. No
entanto, o LGPD fornece apenas explicitamente o uso de dados sob pseudónimo reidentificáveis no contexto da pesquisa em saúde pública.
PIBR LGPD
Artigos 4, 11 artigo 13
considerandos 26, 28-29
semelhanças
' pseudonimização' é definido no PIBR como 'o tratamento de dados pessoais, ' pseudonimização' é definida na LGPD como o processo pelo qual os
de tal forma que os dados pessoais não pode ser atribuída a um titular de dados já não pode ser directamente ou indirectamente relacionado
dados específico, sem o uso de informações adicionais, desde que tal com um indivíduo, excepto usando informação adicional mantidos
informação adicional é mantido separadamente e está sujeito a técnica e separadamente pelo controlador num ambiente controlado e
medidas organizacionais para garantir que os dados pessoais não são protegido.
diferenças
O PIBR afirma claramente que «dados pessoais que tenham sido submetidos O LGPD faz não explicitamente estado que sob pseudónimo dados devem ser
pseudónimos, e que poderia ser atribuído a uma pessoa singular pelo uso de considerados como dados pessoais, no entanto, poderia ser interpretada
informações adicionais devem ser consideradas como informações sobre uma pessoa como tal, uma vez que a definição dada indica a possibilidade de
14
PIBR LGPD
Diferenças (continuação)
sob a legislação brasileira, com sede e foro no Brasil, que inclui em sua missão
15
2.3. Controladores e processadores
razoavelmente consistente
As definições de controlador e processador sob a PIBR eo LGPD ter um alto grau de semelhança.
O PIBR exige que a relação entre o controlador e o processador é regida por um contrato ou acto jurídico. Pelo contrário, o LGPD simplesmente afirma que o
processador deve realizar o processamento de acordo com as instruções fornecidas pelo controlador, que é responsável pela verificação do cumprimento do
mesmo.
PIBR LGPD
Artigos 4, 28, 30, 82 Artigo 5, 37-40, 42-43
semelhanças
UMA controlador de dados é definido no PIBR como 'a pessoa singular ou colectiva, a autoridade UMA controlador de dados é definido no LGPD como a pessoa singular ou
pública, o serviço ou organismo que, individualmente ou em conjunto com outras pessoas, determinacolectiva, pública ou privada, que é responsável pelas decisões relativas ao
as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os tratamento de dados pessoais.
controlador ou os critérios específicos para a sua nomeação podem ser previstas pela legislação
da União ou Estado-Membro.'
UMA processador de dados é definido no PIBR como 'uma pessoa singular ou colectiva, UMA processador de dados é definido no LGPD como a pessoa singular ou
a autoridade pública, o serviço ou qualquer outra entidade que trata os dados pessoais colectiva, pública ou privada, que realiza o processamento de dados pessoais
Sob o PIBR, o controlador eo processador deve manter um registro das atividades Sob o LGPD, o controlador eo processador deve manter um registo das operações de
de processamento sob sua responsabilidade. tratamento de dados pessoais que desempenham, especialmente quando com base
no interesse legítimo.
Sob o PIBR, 'qualquer controlador envolvida no processamento será Os controladores que estão directamente envolvidas no processamento a partir da
responsável pelos danos causados pelo tratamento que viole o presente qual a pessoa em causa tenha sofrido danos são conjunta e solidariamente. Um
regulamento. Um processador será responsável pelos danos causados pelo processador é solidariamente responsáveis pelos danos causados pelo
processamento apenas quando não cumpriu com as obrigações do presente processamento quando se deixar de cumprir as obrigações do LGPD ou quando
regulamento dirigido especificamente para os processadores ou onde ele agiu ele não seguiu as instruções legais do controlador, caso em que o processador é
fora ou contrária às instruções legais do controlador.' igual ao controlador de responsabilidade. Os processadores também são
16
PIBR LGPD
Semelhanças (continuação)
Um controlador ou processador está isento de responsabilidade se agentes de processamento não deve ser considerada responsável quando eles são
provar que não é de forma alguma responsável pelo evento que deu capazes de provar que: (i) que não estiveram envolvidos no processamento dos dados; (Ii)
origem ao dano. quando, apesar dos danos, o processamento é realizado em conformidade com o LGPD; e
diferenças
O PIBR requer processamento por um processador a ser regida por O LGPD simplesmente afirma que o operador deve realizar o processamento de acordo
um contrato ou outro acto jurídico 'que vincula o processador em com as instruções fornecidas pelo controlador, que é responsável pela verificação do
relação ao controlador e que estabelece o assunto e a duração do cumprimento. Sob o LGPD não há nenhuma obrigação de executar um contrato ou outro
tratamento, a natureza ea finalidade do processamento, o tipo de acto jurídico para o processamento realizado por um processador.
faz o PIBR não abordar especificamente este ponto. agentes de transformação serão responsáveis solidários quando o processamento
17
2.4. Crianças
bastante inconsistentes
Tanto o PIBR ea concessão LGPD proteção especial aos dados pessoais das crianças.
No que diz respeito ao consentimento aos serviços da sociedade da informação, a PIBR define a idade mínima de 16 anos de idade, embora os Estados-Membros podem fixar uma idade inferior,
respeitando o mínimo de 13 anos de idade. Sob essa idade, o consentimento deve ser dado por um dos pais ou responsável legal.
Sob o LGPD, o consentimento pode ser dado por uma pessoa singular 13 a 18 anos de idade, desde que o tratamento dos seus dados pessoais é submetido em seu melhor
interesse. Nos casos em que as crianças com menos de 13 anos de idade, específico e proeminente consentimento deve ser dado por um dos pais ou responsável pela
criança. A definição da idade de crianças e adolescentes é fornecido pelo Children Federal e do Adolescente Estatuto 8069/1990.
PIBR LGPD
Artigos 6, 8, 12, 40, 57 artigo 14
considerandos 38, 58, 75
semelhanças
O PIBR afirma que qualquer informação e comunicação, dirigida a uma O LGPD afirma que as informações sobre o tratamento de dados criança
criança, devem ser fornecidas em tal linguagem clara e simples que a deve ser oferecida em um forma simples, clara e acessível, utilizando
criança pode entender facilmente. recursos audiovisuais, quando apropriado, a fim de fornecer as
O PIBR requer controladores para fazer esforços razoáveis para verificar O LGPD afirma que o controlador deve fazer todos os esforço
se o consentimento foi dado ou autorizado pelos pais ou responsável razoável para verificar se o consentimento foi dado pelo
pela criança, levando a tecnologia disponível em consideração. representante da criança, considerando as tecnologias
disponíveis.
diferenças
O PIBR aborda explicitamente o consentimento das crianças apenas no contexto da O LGPD aborda o consentimento das crianças em relação a
oferta de serviços da sociedade da informação. qualquer tratamento dos seus dados pessoais. O consentimento pode ser dado
por uma pessoa singular 13 a 18 anos de idade, desde que o tratamento dos
menores de
18
PIBR LGPD
Diferenças (continuação)
Sob o PIBR, a idade mínima para consentir aos serviços da sociedade Sob o LGPD, a idade mínima para o consentimento é 13 anos velho.
de idade para o efeito, desde que tal idade inferior não está abaixo 13
anos.
Sob o PIBR, o consentimento de um representante dos pais ou colectiva não será Sob o LGPD, é possível coletar dados de crianças sem consentimento quando
necessário no contexto dos serviços de prevenção ou de aconselhamento oferecidos necessário entrar em contato com os pais ou representantes legais, usados uma
directamente a uma criança. vez e sem armazenar, ou para a sua protecção, e em nenhum caso podem ser
O PIBR afirma que a proteção específica deve, em particular, se aplicam ao uso Sob o LGPD, os controladores não deve condicionar a participação de crianças
de dados pessoais de crianças para fins de comercialização ou a criação de em jogos, aplicações de internet ou outras atividades mediante o fornecimento
personalidade ou perfis de utilizador e a recolha de dados pessoais em relação de informação pessoal além do que é estritamente necessário para a atividade.
19
2.5. Pesquisa
bastante inconsistentes
As disposições PIBR em pesquisa são mais flexíveis do que os do LGPD. Em particular, o LGPD prevê uma definição restritiva de um 'organismo de investigação', enquanto o
PIBR afirma que a pesquisa científica deve ser interpretado de uma 'forma ampla.'
Regras relativas à transformação da investigação em saúde pública são bastante semelhantes, no entanto, as disposições LGPD são mais restritivas do que a PIBR, uma vez que proíbe a
transferência de dados a terceiros, afirmando que o processamento deve ser conduzida dentro do organismo de investigação.
PIBR LGPD
Artigos 5, 9, 14, 17, 89 33, Artigos 5, 7, 11, 13, 16
159-161 considerandos
semelhanças
De acordo com o PIBR, o tratamento de dados sensíveis não é proibido quando Sob o LGPD, dados sensíveis podem ser processados para que um organismo de
'necessário para fins de arquivamento de interesse público, fins de investigação investigação para realizar os seus estudos. Neste caso, o LGPD também recomenda o
científica ou históricos e fins estatísticos, que devem ser proporcionais ao anonimato dos dados pessoais sensíveis.
De acordo com o PIBR, categorias especiais de dados pessoais que merecem Sob o LGPD, o tratamento de dados pessoais para fins de investigação de saúde
maior proteção deve ser processado para fins relacionados com a saúde pública deve ser realizada exclusivamente dentro do corpo de pesquisa e
apenas quando necessário para atingir esses fins em benefício de pessoas estritamente para o propósito de realizar estudos e pesquisas e mantidos em um
singulares e à sociedade como um todo, por exemplo, no contexto de estudos ambiente controlado e seguro, de acordo com as práticas de segurança, incluindo a
realizados no interesse público na área da saúde pública. anonimato ou pseudonimização dos dados.
diferenças
Sob o PIBR, o tratamento de dados pessoais para fins de investigação A pesquisa científica não é definido no LGPD. Sob o LGPD, um 'organismo de
científica deve ser interpretada 'de maneira ampla, incluindo, por exemplo, investigação' é definido como o órgão ou entidade da administração pública ou entidade
desenvolvimento tecnológico e demonstração, a pesquisa fundamental, jurídica sem fins lucrativos, organização privada, com sede e foro no Brasil, que inclui em
pesquisa e investigação confidencialmente financiado aplicado.' sua missão institucional ou seu corporativo ou estatutária objetivo básico ou pesquisa de
'pesquisa' é válida somente para estudos realizados por organismos de investigação que
pesquisas para obtenção de vantagens económicas não podem contar com a base
20
PIBR LGPD
Diferenças (continuação)
Sob o PIBR, onde os dados pessoais são tratados para fins de arquivamento na Sob o LGPD, não há derrogações para os direitos das pessoas em causa quando o
fins de pesquisa interesse público e, é possível que os Estados-Membros a processamento é para fins de pesquisa.
derrogar direitos algumas das pessoas em causa, na medida em que tais direitos
desses propósitos.
O PIBR prevê que 'o tratamento posterior para fins de arquivamento de Não há nenhuma disposição equivalente no LGPD.
21
3. Base jurídica razoavelmente consistente
Tanto o PIBR eo LGPD carece de base jurídica a ser identificado, a fim de processar dados pessoais. Algumas bases jurídicas são semelhantes, no entanto, ambas as peças de
PIBR LGPD
Artigos 5-10 artigos 7-13
considerandos 39-48
semelhanças
Sob a PIBR, as bases legais para a o tratamento de dados pessoais são: ( Eu) consentimento
Sob a LGPD, as bases legais para a o tratamento de dados pessoais são: ( i) o
dada por objecto de dados para um ou mais fins específicos; (Ii) se necessário, fornecimento de consentimento pela pessoa em causa; (Ii) se necessário, para o execução
para o de um contrato
execução de um contrato no qual a pessoa em causa é parte ou a fim de tomar ou procedimentos preparatórios relacionados com um contrato no qual o titular é
medidas a pedido da pessoa em causa antes de entrar em um contrato; (Iii) uma festa, a pedido da pessoa em causa; (Iii) para a cumprimento de uma
quando necessário, para cumprimento de uma obrigação legal para que o obrigação legal ou regulamentar pelo controlador; (Iv) para o protecção da vida ou
controlador está sujeito; (Iv) se necessário, a fim de proteger os interesses vitais da integridade física da pessoa em causa ou de terceiros; (V) pela administração
pessoa em causa ou de outra pessoa natural; (V) se necessário, para o pública, para o processamento e uso compartilhado de dados necessários para a
desempenho de uma tarefa levada a cabo na interesse público execução de políticas públicas previstas nas leis e regulamentos e não suportados
um terceiro, salvo se tais interesses são substituídas pelos interesses ou direitos e interesses legítimos do controlador ou terceiros, exceto no caso dos
liberdades fundamentais da pessoa em causa, que exigem protecção de dados direitos e liberdades fundamentais da pessoa em causa que exigem a
pessoais, nomeadamente quando a pessoa em causa é uma criança. O tratamento protecção dos dados pessoais.
Sob a PIBR, as bases legais para a o tratamento de dados pessoais Sob a LGPD, as bases legais para a o tratamento de dados pessoais sensíveis
sensíveis são: ( i) a causa tenha dado são: ( i) quando a pessoa em causa ou seu representante legal consentimentos, especificamente
consentimento explícito; ( ii) se necessário, para os fins de e distintamente, de um modo separado, para fins específicos, (ii) se necessário,
cumprimento das obrigações e exercício de direitos específicos do controlador ou do para o cumprimento de um obrigação legal ou regulamentar pelo controlador; (Iii)
titular dos dados no domínio do emprego e da segurança social e protecção social; quando necessário, para o protecção da vida ou integridade física da pessoa em
(Iii) quando necessário para proteger a interesses vitais da pessoa em causa ou de causa ou de terceiros; (Iv) quando necessário, para o exercício regular de
outra pessoa singular, onde a pessoa em causa estiver física ou legalmente incapaz direitos, incluindo no contrato e na judicial, processos administrativos e arbitrais,
de dar consentimento; (Iv) quando necessário, para o declaração, o exercício ou a este último nos termos da Lei nº 9.307,
22
PIBR LGPD
Semelhanças (continuação)
sempre que os tribunais estão agindo na sua capacidade judicial; (V) se 23 de setembro de 1996 (Lei de Arbitragem); (V) de processamento compartilhado de
necessário, por razões de substancial interesse público, dados necessários para a execução, por parte da administração pública, de políticas
com base no direito da União ou dos Estados-Membros, que devem ser publicas previsto nas legislações ou regulamentações; e (vi) protecção da saúde, em um
proporcionais ao objectivo em vista, respeitar o conteúdo essencial do direito à procedimento realizado por profissionais de saúde ou por entidades de saúde.
para o
contrato com uma profissional de saúde; (Vii) quando necessário por razões de
interesse público na área da saúde pública, tais como a protecção contra ameaças
diferenças
Não há mais bases legais sob a PIBR para o tratamento de bases legais que só o LGPD fornece em relação ao tratamento de
possível, o anonimato dos dados pessoais; (Ii) para o regular exercício dos direitos
um procedimento realizado por profissionais de saúde ou por entidades de saúde; (Iv) quando
23
PIBR LGPD
Diferenças (continuação)
bases legais que apenas o PIBR fornece para em relação aos dados sensíveis bases legais que apenas o LGPD fornece para em relação aos dados sensíveis de
de processamento incluem: (i) em que o processamento é realizado no decurso processamento incluem: (i) para garantindo a prevenção da fraude e segurança da
da sua atividades legítimas com as garantias adequadas, por uma fundação, pessoa em causa, nos processos de identificação e autenticação de registro em
uma associação ou qualquer outro organismo sem fins lucrativos com um sistemas eletrônicos, salvaguardando os direitos mencionados no artigo 9º e excepto
filosófico religioso ou sindical política, e na condição de que o tratamento se quando os direitos e liberdades fundamentais da pessoa em causa, que exigem
referir apenas aos membros ou ex-membros do organismo ou a pessoas que protecção de dados pessoais prevalecer.
têm contato regular com ele em conexão com seus propósitos e que os dados
pessoais não são divulgados fora que o corpo sem o consentimento dos
titulares dos dados; e (ii), onde o processamento refere-se a dados pessoais que
24
4. Obrigações do controlador e
processador
4.1. transferências de dados
razoavelmente consistente
Tanto o PIBR eo LGPD prever a transferência de dados pessoais para países terceiros ou organizações internacionais apenas por razões específicas. Ambas as peças de
legislação reconhece o conceito de adequação, bem como outros fundamentos legais para a base da transferência internacional de dados.
Apesar do alto nível de similaridade no núcleo da disposição, o PIBR inclui requisitos mais prescritivos sobre as condições legais para a transferência de dados pessoais.
PIBR LGPD
Artigos 44-50 artigos 33-35
considerandos 101, 112
semelhanças
o PIBR permite a transferência internacional de dados pessoais para um país o LGPD permite a transferência internacional de dados pessoais para países ou
terceiro, um território ou um ou mais especificados setores dentro desse país organizações internacionais que fornecem um nível adequado de protecção dos
terceiro, ou uma organização internacional que garante um nível adequado de dados pessoais, ou quando o controlador garante o cumprimento do regime de
protecção, tal como avaliado pela Comissão Europeia. Na ausência de uma protecção de dados por meio de: (i) as cláusulas contratuais específicas para
decisão de adequação, a transferência é permitida quando o controlador ou uma determinada transferência; (Ii) as cláusulas contratuais padrão; (Iii) regras
processador forneceu garantias adequadas por meio de: (i) ligao regras sociais; corporativas globais; e (iv) selos válidas de qualidade, certificados e códigos de
(Ii) as cláusulas de protecção de dados tipo aprovados pela Comissão Europeia conduta.
Outros motivos legais com base na qual são permitidas transferências de dados são: (i) Outros motivos legais com base na qual são permitidas transferências de dados são: (i)
cooperação judiciária por meio de acordos internacionais; (Ii) quando o sujeito tem dados quando a transferência é necessária para a cooperação jurídica internacional entre as
explicitamente consentido; (Iii) quando a transferência é necessário para o desempenho agências de aplicação da lei, em conformidade com os instrumentos do direito
ou a conclusão de um contrato; (Iv) quando a transferência é necessária por razões internacional; (Ii) quando a transferência é necessária para proteger a vida ou a integridade
importantes de interesse público; (V) quando a transferência é necessária para a física da pessoa em causa ou de um terceiro; (Iii) quando a pessoa em causa tenha dado
declaração, o exercício ou a defesa de reivindicações legais; e (vi) quando a transferência um consentimento específico e excelente para as transferências; (Iv) quando a
é necessária para proteger os interesses vitais do titular dos dados ou de outras pessoas. transferência é necessária para a execução de um contrato ou procedimentos preliminares
relacionados com um contrato; (V) quando a transferência for necessária para o regular
serviço público.
25
27
PIBR Portal
O recurso mais abrangente para o DataGuidance por OneTrust é uma plataforma u
desenvolvimento e manutenção
para acompanhar os desenvolvimentos regu
do seu programa PIBR.
mitigar o risco e obter conform
regulamentar
específicos PIBR
PIBR de
benchmarking
taforma usada por profissionais de privacidade Um novo gráfico para ajudar as organizações a
comparativa dedicado
www.dataguidance.com
PIBR LGPD
Semelhanças (continuação)
outros motivos com base na qual são permitidas transferências de dados são: (i) outros motivos na base de que são permitidas as transferências de dados são: (i) as
títulos executivos entre as autoridades ou organismos públicos juridicamente cláusulas contratuais específicos para uma transferência em particular; (Ii) quando a
vinculativo e; e (ii) sujeito à autorização da autoridade de supervisão competente autoridade de controlo autoriza a transferência; (Iii) quando a transferência resultar
por meio de: (a) as cláusulas contratuais entre o controlador ou processador eo de um compromisso assumido em um acordo de cooperação internacional; e (iv)
controlador, processador ou o destinatário dos dados pessoais no país terceiro ou quando a transferência é necessária para cumprir uma obrigação legal ou
organização internacional; ou (b) disposições a serem incluídos em acordos reguladora pelo controlador.
diferenças
Outros fundamentos sob o PIBR incluem: ( i) a transferência é feita a partir de um faz o LGPD não prevê a transferência internacional de
registo que de acordo com o direito da União ou dos Estados-Membros se destina a dados com base em um registo que se destina a fornecer
fornecer informações ao público e que está aberto a consulta; e (ii) com base no informações ao público, nem com base no interesse
interesse legítimo do controlador se a transferência não é repetitivo, refere-se apenas legítimo do controlador.
28
4.2. registros de processamento de dados
razoavelmente consistente
Tanto o PIBR eo LGPD estabelecer uma obrigação legal para os controladores e processadores para manter um registro das atividades de processamento sob sua
responsabilidade. O PIBR detalha as informações que precisa ser gravado, enquanto o LGPD não fornece tal detalhe.
PIBR LGPD
Artigo 30 artigo 37
Considerando 82
semelhanças
Sob o PIBR, controladores e os transformadores devem manter um registo Sob o LGPD, controladores e os transformadores devem manter registros de
das suas actividades de processamento. operações de tratamento de dados pessoais realizado por eles, especialmente quando
diferenças
Sob o PIBR, organizações que empregam menos de 250 pessoas não precisam Sob o LGPD, todas as organizações, independentemente do seu tamanho, número
manter tal registro, a menos que 'o processamento é provável que resulte em um de empregados ou tipo de dados, precisa cumprir a obrigação de processamento de
risco para os direitos e liberdades das pessoas em causa, o tratamento não é registro. No entanto, a isenção pode ser estabelecida pela autoridade de supervisão.
O PIBR estabelece que pelo tratamento de dados deve registrar: O LGPD não detalha as informações que os
O PIBR estabelece que processadores de dados deve registrar: O LGPD não detalha as informações que os
29
PIBR LGPD
Diferenças (continuação)
30
4.3. Avaliação de Protecção de Dados Impacto
bastante inconsistentes
Tanto o PIBR eo LGPD estabelecer a exigência de um DPIA a ser realizada, a fim de avaliar o risco de atividades de processamento de dados para os direitos e liberdades das
O PIBR especifica os casos em que um DPIA é necessária, enquanto o LGPD define critérios menos do que o PIBR de quando um DPIA deve ser levada a cabo.
PIBR LGPD
Artigos 35-36 Artigos 5, 10, 38
considerandos 75, 84, 89-93
semelhanças
o PIBR estabelece a exigência de um DPIA o LGPD estabelece a exigência de um DPIA a ser realizado em
a ser realizado em circunstâncias específicas. autoridades de supervisão dos circunstâncias específicas. A autoridade brasileira de proteção de dados (
Estados-Membros podem ainda determinar que as operações de 'ANPD') pode ainda determinar que as operações de processamento de
diferenças
O PIBR afirma que um DPIA é "uma avaliação do impacto das O LGPD prevê que um DPIA é a documentação do controlador que contém
operações de transformação previstas em matéria de protecção de a descrição do processo de tratamento de dados pessoais que possam
dados pessoais. gerar riscos para as liberdades civis e os direitos fundamentais, bem como
O PIBR afirma que um DPIA é necessária: a) quando o processamento é provável o LGPD não estabelece quando um DPIA é necessária, mas o ANPD pode solicitar
que resulte em um alto risco para os direitos e liberdades das pessoas singulares; o controlador para executar e fornecer uma DPIA.
escala.
O PIBR afirma que um DPIA deve incluir pelo menos: (i) uma descrição De acordo com o LGPD, o DPIA deve incluir pelo menos: (i) uma descrição
sistemática das operações de tratamento estimados e os efeitos do dos tipos de dados tratados; (Ii) os métodos utilizados para recolher os
tratamento; (Ii) avaliação da necessidade e da proporcionalidade das dados; (Iii) os métodos de segurança da informação utilizada; e (iv) a
operações de processamento em relação aos fins; e (iii) uma avaliação dos descrição dos mecanismos usados para atenuar os riscos relacionados com
riscos para os direitos e liberdades das pessoas em causa. o processamento dos dados pessoais envolvidos.
31
PIBR LGPD
Diferenças (continuação)
As medidas previstas para enfrentar os riscos, incluir salvaguardas, faz o LGPD não inclui quaisquer disposições explícitas sobre as
medidas de segurança e mecanismos para assegurar a protecção medidas a tomar para mitigar os riscos.
Sob o PIBR, o controlador deve consultar a autoridade de supervisão antes do faz o LGPD não estabelecer um processo de
processamento, onde uma DPIA indica que o processamento resultaria em um consulta prévia sobre DPIAs.
risco.
32
4.4. nomeação protecção de dados
bastante inconsistentes
O PIBR eo LGPD prever a nomeação de um DPO. Embora as tarefas que são esperados para realizar são bastante semelhantes em ambas as leis, a natureza eo alcance do
PIBR LGPD
Artigos 13-14, 37-39 Artigos 5º, 41
considerando 97
semelhanças
O PIBR define as tarefas de um RPD, que incluem: (i) O LGPD define as atividades do DPO, que incluem: (i)
informar e aconselhar o controlador ou processador de suas obrigações decorrentes da aceitar reclamações e comunicações a partir de indivíduos de dados, fornecendo
PIBR; (Ii) cumprimento do monitor com a lei de protecção de dados e aumentar a explicações e que adoptam as medidas; (Ii) receber comunicações da autoridade de
sensibilização / formação do pessoal envolvido nas operações de processamento; (Iii) dar supervisão, aconselhando os funcionários e contratados da entidade sobre as práticas de
conselhos proteção de dados e realização de outras tarefas, conforme determinado pelo controlador;
em DPIAs quando solicitado; e (iv) ato como o ponto de contacto para as (Iii) orientar a entidade de empregados e prestadores de serviços em relação às práticas a
pessoas em causa e as autoridades de supervisão. serem tomadas em relação à protecção de dados pessoais; e (iv) realização de outras
O controlador de dados e / ou o processador de dados deve publicar os detalhes de A identidade e informações de contato do DPO devem ser
contacto do DPO como parte de sua política de privacidade, e comunicá-las à divulgadas publicamente, de forma clara e objetiva, de preferência
diferenças
o PIBR não inclui uma definição de um DPO. o LGPD inclui uma definição de uma OPD, nomeadamente uma
autoridade de controlo.
Sob o PIBR, ambos os controladores e os processadores estão sob a obrigação de Sob o LGPD, apenas controladores deve nomear um RPD.
Sob o PIBR, as obrigações de nomear um DPO só se aplica aos controladores e O LGPD faz não limitar a nomeação DPO a circunstâncias específicas; esta
processadores de núcleo cujas atividades consistem, quer das operações de tratamento sendo deixados à ANPD para liberar normas complementares sobre as
que requerem acompanhamento regular e sistemático dos titulares dos dados em grande situações em que a nomeação de tal pessoa pode ser dispensada, de acordo
escala, ou com o
33
PIBR LGPD
Diferenças (continuação)
processamento em larga escala de categorias especiais de dados natureza e o tamanho da entidade ou do volume de operações de
Um grupo de empresas pode nomear um DPO desde que o DPO é facilmente O LGPD faz não explicitamente mencionar se um grupo de
independência do DPO.
O PIBR afirma que o DPO deve ser fornecido com recursos monetários O LGPD faz não inclui qualquer disposição que prevê recursos
e humanos para cumprir suas tarefas. monetários e humanos para ser dada ao DPO para cumprir
suas tarefas.
34
4.5. segurança de dados e violações de dados
razoavelmente consistente
Tanto o PIBR eo LGPD inclui a obrigação de controladores e processadores de adoptar medidas de segurança para proteger os dados pessoais que estão a tratar. O
LGPD especifica que o ANPD tem poderes para liberar orientação sobre quais medidas de segurança específicas devem ser adoptadas.
No que diz respeito à notificação de violação de dados, tanto o PIBR eo LGPD incluem a obrigação de notificar a autoridade de supervisão, bem como os titulares dos dados afetados
em certas circunstâncias. No entanto, enquanto o PIBR inclui um cronograma conjunto para notificar no LGPD, o prazo é deixada ao ANPD de estabelecer.
Além disso, sob o LGPD, uma violação de dados deve sempre ser comunicado às pessoas em causa, ao passo que este não é o caso sob a PIBR.
PIBR LGPD
Artigos 5º, 24, 32-34 Artigos 6, 46
considerandos 74-77, 83-88
semelhanças
O PIBR reconhece integridade e confidencialidade como princípios fundamentais de O LGPD reconhece segurança como um princípio fundamental
protecção de dados, indicando que os dados pessoais devem ser processados de protecção de dados, afirmando que a segurança significa que o uso de medidas
de um modo que assegura a segurança adequada dos dados pessoais, incluindo técnicas e administrativas que são capazes de proteger os dados pessoais
a protecção contra o processamento não autorizado ou ilegal e contra perda contra acessos não autorizados e situações acidentais ou ilegais de
acidental, destruição ou danificação, usando adequado medidas técnicas ou destruição, perda, alteração, comunicação ou difusão.
organizacionais.
Os estados PIBR que controladores de dados e processadores de dados deve O LGPD afirma que controladores e processadores devem adotar de segurança,
adoptar medidas técnicas e organizacionais de segurança que garantem um nível técnicos e administrativos medidas capaz de proteger os dados pessoais contra
de segurança adequado ao risco tendo em conta o estado da arte, os custos de acessos não autorizados e situações acidentais ou ilegais de destruição, perda,
implementação e da natureza, alcance, contexto e fins de processamento, bem alteração, comunicação ou qualquer tipo de processamento inadequado ou ilegal.
de pessoas naturais.
Sob o PIBR, em caso de uma violação de dados, a controlador de dados deve notificar a Sob os LGPD, controladores deve comunicar à ANPD e aos dados sujeitar
autoridade de supervisão competente a menos que a violação de dados pessoais é improvável a ocorrência de um incidente de segurança
que resulte em um risco para a pessoa em causa. O controlador de dados também deve que podem criar riscos ou danos relevantes para as pessoas em causa.
notificar o
titulares dos dados envolvidos, sem demora indevida, quando a violação de dados
35
PIBR LGPD
Semelhanças (continuação)
a notificação devem incluir, no mínimo: ( i) descrição da natureza da violação, A comunicação deve incluir, no mínimo: ( i) uma descrição da natureza dos
incluindo, sempre que possível, as categorias e o número aproximado da dados pessoais afectados; (Ii) as informações sobre os temas de dados
pessoa em causa, e as categorias e número aproximado de registros de dados envolvidos; (Iii) uma indicação das medidas técnicas e de segurança
pessoais em causa; (Ii) contacto do RPD ou outro ponto de contacto; (Iii) as utilizados para proteger os dados, sujeitos a sigilo comercial e industrial; (Iv)
prováveis consequências da violação; (Iv) as medidas tomadas ou propostos os riscos relacionados com o incidente; (V) as razões para o atraso, em
para ser tomada para minimizar os possíveis efeitos adversos; e (v) a razão da casos em que a comunicação não foi imediata; e (vi) as medidas que foram
diferenças
O PIBR fornece uma lista de medidas de segurança que o controlador e O ANPD pode fornecer padrões técnicos mínimos
processador pode implementar, que incluem: (i) a pseudónimos e criptografia tendo em conta a natureza das informações processadas, as
dos dados pessoais; (Ii) as medidas que assegurem a confidencialidade em características específicas do tratamento e do estado atual da
curso, a integridade e a disponibilidade e a resiliência de sistemas e serviços tecnologia, especialmente no caso de dados pessoais sensíveis, bem
de processamento; e (iii) medidas que restauram a disponibilidade eo acesso como os princípios enunciados na frase principal do artigo 6.
ou técnico.
A aa conjuntos PIBR prazo notificar a autoridade nacional competente como ' Sem O LGPD afirma que a comunicação ao ANPD deve ser feito em um período
demora injustificada e, sempre que possível, o mais tardar 72 horas depois de ter de tempo razoável a ser definida.
O PIBR afirma que o controlador e processador devem tomar medidas para O LGPD afirma que agentes de transformação ou qualquer outra pessoa que intervém
garantir que qualquer pessoa singular agindo sob a autoridade do em uma das fases de processamento comprometem-se a garantir a segurança das
controlador ou o processador de quem tem acesso aos dados pessoais não informações sobre os dados pessoais, mesmo após a conclusão do mesmo.
O PIBR inclui disposições específicas no que respeita à notificação de faz o LGPD não inclui mais detalhes no que diz respeito à comunicação de uma violação de
violação de dados pessoais às pessoas em causa. dados directamente orientadas para as pessoas em causa.
36
4.6. Prestação de contas e de boas práticas
bastante inconsistentes
Tanto o PIBR eo LGDP reconhecer a responsabilidade como princípio fundamental de privacidade. O LGPD afirma que os controladores e os processadores podem adoptar
programas de governança de privacidade e boas práticas para alcançar a responsabilização, enquanto o PIBR não se refere a tais medidas.
PIBR LGPD
Artigos 5º, 24-25 Artigos 6, 50
considerando 39
semelhanças
O PIBR reconhece prestação de contas como um princípio fundamental da O LGPD reconhece prestação de contas como um princípio fundamental da
protecção de dados. Artigo 5 estabelece que 'o controlador será responsável e protecção de dados. Artigo 6 afirma que a prestação de contas é a demonstração
capaz de demonstrar a conformidade com as leis de protecção de dados.' pelo agente de transformação da adopção de medidas que são eficientes e
diferenças
O PIBR esclarece que o responsável pelo tratamento deve pôr em prática medidas O LGPD esclarece que os controladores e os processadores podem adoptar processos
que assegurem e demonstrem a conformidade. Ele se refere à protecção de dados internos e políticas que garantam ampla conformidade com as regras e boas práticas, que
pelo projeto e, por padrão, a implementação de políticas de proteção de dados, ea incluem uma programa de governança de privacidade, e medidas de demonstrar a sua
adesão a códigos de conduta. No entanto, ele não especifica quais atividades o eficácia. O programa de governança pode: (i) demonstrar o compromisso do controlador a
controlador de dados deve se envolver com. adotar processos e políticas que garantam ampla conformidade com as regras e boas
conjunto de dados pessoais sob sua / seu controle, independentemente dos meios
utilizados para coletá-los; (Iii) é adaptado à estrutura, dimensão e volume do seu / seus
operações, bem como para a sensibilidade dos dados processados; (Iv) estabelece
dos impactos sobre e riscos para a privacidade; (V) tem a finalidade de estabelecer uma
relação de confiança com o objecto de dados, por meio de transparência, e que assegura
mecanismos para o objecto de dados para participar; (Vi) está integrado na sua estrutura
tem planos para resposta aos incidentes e solução; e (viii) é constantemente atualizado
periódicas.
37
5. Direitos indivíduos
5.1. Direito de apagamento
razoavelmente consistente
Tanto o PIBR eo LGPD permitir que os indivíduos para solicitar a exclusão de sua informação pessoal a não ser exceções se aplicam.
Deve-se notar que o alcance, aplicabilidade e isenções ao direito de apagamento variar entre as duas peças de legislação. No entanto, algumas exceções são semelhantes,
tais como quando o tratamento dos dados pessoais é feito para fins de investigação, jornalísticos, artísticos ou acadêmicos, ou onde ele é necessário para cumprir uma
obrigação legal.
PIBR LGPD
Artigos 12, 17 Artigos 5, 16, 18
considerandos 59, 65-66
semelhanças
O PIBR fornece indivíduos com o direito de solicitar que os O LGPD fornece indivíduos com o direito de solicitar a
O direito de apagamento aplica se certos fundamentos aplica-se, tal como quando consentimentoSob o LGPD, o direito de solicitar a exclusão aplica-se a dados
é retirado e não há outro fundamento legal para o processamento, ou quando dados desnecessários ou excessivos, ou dados processados com o
pessoais não é mais necessário para a finalidade para as quais foram coletadas. consentimento do titular dos dados,
O escopo deste direito não se limita ao tratamento dos dados, mas também impactos terceiros, O escopo deste direito não se limita ao tratamento dos dados, mas também impactos
tais como receptores, processadores de dados sub-processadores e que podem ter a cumprir processadores com quem os dados foram compartilhados. Os controladores devem
com os pedidos de rasura. informar imediatamente os agentes de transformação com o qual os dados pessoais
foram partilhadas de solicitação de exclusão dos titulares dos dados, de modo que
Este direito pode ser exercido grátis. Pode haver alguns casos, no Este direito pode ser exercido grátis.
natureza repetitiva.
A pessoa em causa deve ser informado que eles têm o direito de pedir A pessoa em causa deve ser informado que eles têm o direito de pedir
para que seus dados sejam apagados. para que seus dados sejam apagados.
O PIBR inclui alguns isenções para a aplicação do direito de apagamento. O LGPD inclui alguns isenções para a aplicação do direito de apagamento. Entre as
Entre as excepções ao direito de apagar fornecido pelo PIBR incluem: (i) liberdade
excepções ao direito de apagar fornecido pelo LGPD incluem: (i) onde o
de expressão e liberdade de informação, incluindo jornalística, armazenamento de dados pessoais foi autorizada por um estudar por uma entidade de
38
PIBR LGPD
Semelhanças (continuação)
acadêmico, artístico e ou expressão literária; (Ii) transformação de propósitos de com uma obrigação legal ou regulamentar pelo controlador. Além disso, o
pesquisa de dados pessoais que, se apagou, prejudicaria os objetivos da direito de exclusão não se aplica ao tratamento de dados pessoais que é
pesquisa; e para (iii) o cumprimento de uma obrigação legal. Além disso, o PIBR feito exclusivamente para fins jornalísticos e artísticos, ou para fins
prevê que as restrições podem ser impostas pela legislação da União ou acadêmicos. Além disso, o direito de exclusão não se aplica ao
Estado-Membro, na medida do necessário e proporcional numa sociedade tratamento de dados pessoais que é feito para fins de segurança pública,
diferenças
pessoas em causa pedidos ao abrigo deste direito devem ser respondidos sem Os responsáveis pelo tratamento devem responder imediatamente a um pedido em
'demora injustificada e, em qualquer caso, dentro 1 mês a partir do recebimento causa. Se isso não for possível, o controlador deve: (i) enviar uma resposta ao titular
da solicitação. O prazo pode ser estendido para 2 meses adicionais tendo em dos dados em que eles se comunicam que eles não são o agente de processamento
conta a complexidade e número de solicitações. Em qualquer caso, a pessoa de dados e indicar, sempre que possível, que o agente é; ou (ii) indicar as razões de
em causa deve ser informado de tal prorrogação no prazo de um mês após a facto ou de direito que impedem a adoção imediata da medida.
recepção do pedido.
O PIBR especifica que os responsáveis pelo tratamento deve ter no lugar mecanismos Não há nenhuma exigência de colocar em prática mecanismos para identificar a pessoa em
para garantir que a solicitação é feita pela pessoa em causa cujos dados causa cujos dados pessoais deve ser excluído.
Métodos para apresentar um pedido incluem escrever, por via oral e por outros meios, que O direito de exclusão devem ser exercidos por meio de um pedido
incluem meios electrónicos quando for apropriado. expresso pela pessoa em causa.
exceções: Além das excepções constantes em 'semelhanças', um exceções: Além das exceções enumeradas sob 'Semelhanças', o direito de
controlador de dados também está isento de cumprir com os pedidos de exclusão não se aplica quando o tratamento dos dados pessoais é feito por
apagamento por razões de interesse público na área da saúde pública; uma pessoa singular exclusivamente para fins privados e não económicas, ou
estabelecimento, ou para o exercício ou a defesa de reivindicações legais. onde os dados pessoais foi autorizada a ser armazenado para os seguintes
39
5.2. Direito de ser informado
razoavelmente consistente
O PIBR eo LGPD apresentam um alto grau de semelhança no que diz respeito ao princípio da transparência. Notavelmente, ambas as leis requerem controladores para fornecer indivíduos
com um aviso de privacidade detalhado fornecendo informações sobre o tratamento dos seus dados pessoais.
No entanto, o LGPD não aborda explicitamente as obrigações de transparência para a coleta indireta de dados pessoais.
PIBR LGPD
Artigos 5º, 12-14 Artigos 6, 9-10, 14, 18-19
considerandos 58-63
semelhanças
O PIBR inclui ' transparência' como um dos princípios chave de O LGPD inclui transparência como um dos princípios chave de
processamento de dados, afirmando 'os dados pessoais devem ser processamento de dados, afirmando que a transparência é a garantia aos
processados legalmente, de forma justa e de forma transparente em titulares dos dados de informação clara, precisa e de fácil acesso sobre a
O PIBR especifica que as pessoas em causa têm o direito de ter acesso à O LGPD especifica que as pessoas em causa têm o direito de acesso à
informação relativa ao tratamento dos seus dados pessoais. Em particular, informação relativa ao tratamento de dados dos seus dados pessoais. Em
eles devem ter acesso a: (i) a particular, eles devem ter acesso a: (i) a propósito específico do
(Iii) o identidade controlador de dados; ( iv) destinatários ( ou suas categorias) dos dados duração do tratamento, sendo observada segredo comercial e
pessoais; e (v) o direitos das pessoas em causa. industrial; (Iii) a identidade do controlador;
O PIBR especifica que a informação fornecida à pessoa em O LGPD especifica que as informações fornecidas à pessoa
causa deve ser dada em um concisa, de fácil acesso e em em causa deve ser dada em uma forma clara, adequada e
Para consentimento para ser válido, deve ser informado. Quando a actividade de transformação baseia-se consentimento, ela será considerada
das mudanças de
40
PIBR LGPD
Semelhanças (continuação)
Quando o processamento é baseado em interesse legítimo, Quando a actividade de transformação baseia-se interesse legítimo, o
o interesse legítimo do controlador dos dados e o terceiro deve ser controlador deve adoptar medidas para garantir a transparência do
diferenças
Outras informações que precisa ser incluído, como indicado na PIBR, no aviso de Outras informações que precisa ser incluído, como indicado na LGPD, no
privacidade é: (i) a categorias dos dados pessoais; (Ii) detalhes de contacto do DPO; ( iii) aviso de privacidade é: (i) a tipo de processamento; (Ii) o os contactos do
o transferência de dados controlador; e (iii) responsabilidades dos agentes que irá realizar o
para países terceiros; (Iv) o direito de retirar o consentimento a qualquer momento; (V) o processamento.
direito de apresentar uma queixa com uma autoridade de supervisão; (Vi) quando o
No caso dos dados pessoais não são coletados diretamente do titular dos
O PIBR aborda explicitamente as obrigações de transparência O LGPD faz não abordar explicitamente as obrigações de transparência
para coleção indireta de dados pessoais. para coleção indireta de dados pessoais.
Quando o tratamento de dados pessoais envolve Quando o tratamento de dados pessoais envolve infantil e dados pessoais dos
dados pessoais das crianças, ' qualquer informação e comunicação [...] adolescentes, controladores devem tornar públicas as informações sobre os
deve estar em uma linguagem tão clara e simples que a criança pode tipos de dados coletados, a forma como é utilizada e os procedimentos para o
entender facilmente '. exercício dos direitos referidos nos termos do artigo 18 da LGPD.
41
5.3. Direito de objeto
razoavelmente consistente
Tanto o PIBR e LGPD fornecer pessoas em causa com o direito de se opor ao tratamento dos seus dados pessoais.
Além disso, o PIBR prevê explicitamente o direito de optar por não no contexto do marketing direto.
PIBR LGPD
Os artigos 7, 18, 21 Artigos 15, 18
semelhanças
Controladores deixará de processar dados pessoais quando Controladores e processadores são obrigados a terminar o tratamento
solicitado pelo titular dos dados e nas circunstâncias de dados pessoais na comunicação pela pessoa em causa, incluindo no
Em formação sobre esses direitos e sobre como exercê-los deve ser Em formação sobre esse direito deve ser disponibilizado para a pessoa em causa
Este direito deve ser exercido grátis. Este direito deve ser exercido grátis.
pessoas em causa pedidos ao abrigo deste direito devem ser respondidos sem Os responsáveis pelo tratamento devem responder imediatamente a um pedido em
'demora injustificada e, em qualquer caso, dentro 1 mês a partir do recebimento causa. Se isso não for possível, o controlador deve enviar uma resposta ao titular
da solicitação. O prazo pode ser estendido para 2 meses adicionais tendo em dos dados em que comunica que não é o agente de processamento de dados e
conta a complexidade e número de solicitações. Em qualquer caso, a pessoa indicar, sempre que possível, que o agente é; ou indicar as razões de facto ou de
em causa deve ser informado de tal prorrogação no prazo de um mês após a direito que impedem a adoção imediata da medida.
recepção do pedido.
diferenças
As pessoas em causa têm o direito de opor ao tratamento quando os dados pessoais é As pessoas em causa têm o direito de opor-se ao processamento
processado com base no interesse legítimo ou interesse público. Mediante o exercício realizado com base em um dos outros do que consentimento situações,
de tal direito, o controlador é necessário para parar o processamento, a menos que se houver não-conformidade com o LGPD.
O PIBR fornece pessoas em causa com o direito de se opor ao O LGPD faz não endereço objeção a Direct
tratamento dos seus dados para fins de marketing directo. Em particular, Marketing especificamente.
optando-in.
42
5.4. Direito de acesso
bastante inconsistentes
O direito de acesso é reconhecido tanto no PIBR eo LGPD, em que as organizações devem fornecer indivíduos com acesso aos seus dados pessoais quando solicitado.
Há uma série de diferenças entre as duas peças de legislação, incluindo o período de tempo em que um pedido de acesso deve ser respondido, as
PIBR LGPD
Artigos 12, 15 Os artigos 6, 18, 19
considerandos 59-64
semelhanças
o PIBR reconhece que as pessoas em causa tem a direito de o LGPD reconhece que as pessoas em causa tem a direito de acesso os seus dados
acesso seus dados pessoais sejam processados pelo a serem processados pelo controlador de dados.
controlador de dados.
O PIBR afirma que, ao responder a um pedido de acesso, um controlador de A resposta a um pedido de acesso deve incluir uma declaração clara indicando a origem
dados deve indicar o fins do processamento; e quaisquer fontes a partir do dos dados, a existência de quaisquer registros e o finalidade do tratamento. Quando
qual foi recolhido dados. uma resposta é dada imediatamente, o formato pode ser um simplificada.
O PIBR prevê que o direito de acesso não deve prejudicar os Na prestação de informações ao titular dos dados, segredos comerciais e
direitos e liberdades dos outros, incluindo segredos industriais deve ser levado em consideração.
comerciais.
As pessoas em causa devem ter uma variedade de meios através dos quais eles podem fazer A resposta pode ser fornecida, ao critério da pessoa em causa, em forma
seu pedido, nomeadamente através meios eletrônicos. impressa, ou por meios eletrônicos, seguro e adequado para esta
finalidade.
O PIBR afirma que as pessoas em causa podem exercer este direito grátis. Lá Os titulares dos dados deve ser garantido fácil e
Pode haver alguns casos em que uma taxa pode ser solicitada, nomeadamente grátis acesso a informações sobre a forma e duração do
quando os pedidos são infundadas, excessiva ou ter um carácter repetitivo. tratamento, bem como em relação à integridade dos seus
dados pessoais.
diferenças
pessoas em causa os pedidos devem ser cumpridas sem ' atraso indevido e em O acesso aos dados pessoais devem ser fornecidas, a pedido da
qualquer caso dentro 1 mês a partir do recebimento da solicitação. O prazo pode pessoa em causa, no prazo de até 15 dias
ser estendido para um adicional de 2 meses tendo em conta a complexidade do pedido do titular dos dados, se os dados solicitados é mais do
43
PIBR LGPD
Diferenças (continuação)
recepção do pedido.
O PIBR especifica que os responsáveis pelo tratamento deve ter no lugar mecanismos faz o LGPD não solicitar explicitamente que as organizações têm
para assegurar que o pedido é feita pela pessoa em causa cujos dados pessoais é mecanismos para garantir que a solicitação é feita pela pessoa em
solicitado acesso. causa. No entanto, o LGPD afirma que o direito de acesso deve ser
representante legal.
As pessoas em causa devem ter uma variedade de meios através dos quais eles O LGPD faz não prever expressamente para pedidos orais.
Quando a solicitação de acesso é feito através de meios electrónicos, o Há sim não exigência no LGPD que os pedidos electrónicos
O PIBR afirma que, ao responder a um pedido de acesso, um controlador de O LGPD requer apenas explicitamente organizações para fornecer
dados deve indicar a categorias de dados pessoais em causa; a destinatários ou informações sobre origem dos dados, a existência de quaisquer
categorias de destinatários a quem os dados pessoais foram divulgados para; a período registros e o finalidade do tratamento quando uma declaração
transferências de dados.
controladores de dados podem recusar-se a agir sobre um pedido quando é O LGPD faz não incluir uma lista de razões para recusar um
O PIBR afirma que o direito de acesso não deve prejudicar os direitos e O LGPD faz não incluir uma lista de direitos e liberdades que precisa ser
liberdades dos outros. Bem como segredos comerciais (menores 'semelhanças'), equilibrado com o direito de acesso. Em relação a segredos comerciais,
O PIBR faz não incluir qualquer disposição sobre o formato da informação O LGPD estabelece que os dados pessoais devem ser armazenados em um
deve ser armazenado em relação a facilitar o acesso da pessoa em causa aos formato que favorece o exercício do direito de acesso.
44
5.5. Direito de não ser objecto de discriminação para o
exercício dos direitos
Inconsistente
O LGPD reconhece explicitamente o princípio da não discriminação como um princípio fundamental de protecção de dados. Embora o PIBR não reconhece este princípio
explicitamente, pode-se inferir como parte do princípio sobre o tratamento leal dos dados pessoais, e dentro da base de várias outras disposições dentro do PIBR.
PIBR LGPD
Artigos 5, 22 Os artigos 1-2, 6 (IX), 20
semelhanças
O PIBR protege os indivíduos de processamento automatizado que podem O LGPD afirma que, quando as decisões são tomadas unicamente em função
resultar em uma decisão com efeitos jurídicos ou significativas, e que pode ter de tratamento automatizado de dados pessoais que afetam seus interesses, a
consequências discriminatórias sobre os indivíduos por, entre outros, limitando pessoa em causa tem o direito de solicitar uma revisão da decisão ea
a base jurídica sobre a qual esta atividade de processamento pode ser autoridade de supervisão pode realizar uma auditoria para verificar aspectos
realizado e pelo dando indivíduos a oportunidade de contestar a decisão e discriminatórios em tratamento automatizado de dados pessoais.
diferenças
O PIBR faz não reconhecer explicitamente não-discriminação como um o LGPD explicitamente reconhece o princípio da não discriminação como
princípio fundamental, embora seja a base para várias disposições como a impossibilidade de realizar o tratamento para fins ilegais ou abusivos
(artigo 13).
45
5.6. Direito de portabilidade de dados
bastante inconsistentes
Tanto o PIBR eo LGPD reconhecer um direito de portabilidade de dados de titulares de dados. No entanto, os fundamentos e o alcance do direito diferentes.
PIBR LGPD
Artigos 12, 20 Artigos 11, 17-18, 40
Considerando 68
semelhanças
O PIBR fornece indivíduos com o direito de portabilidade de dados. O LGPD fornece indivíduos com o direito de portabilidade de dados.
dados anónimos não está sujeita à PIBR e, portanto, o direito A portabilidade dos dados pessoais não inclui os dados que já
diferenças
O PIBR define o direito de portabilidade de dados como o 'Formato estruturado, O LGPD define o direito de dados portabilidade como a portabilidade dos
comumente usado, e legível por máquina' direito de receber dados processados dados para outro serviço ou produto provedor, por meio de um pedido expresso e
com base no contrato ou consentimento e tratados por meios automatizados, em sujeitos a sigilo comercial e industrial, nos termos da regulamentação da
O PIBR faz não limitar explicitamente o alcance do direito à portabilidade dos dados Comunicação ou uso compartilhado entre os controladores de
para categorias especiais de dados pessoais. sensível pessoal dados referentes à saúde com a finalidade de tirar proveito
46
6. Enforcement
6.1. penas pecuniárias
bastante inconsistentes
Tanto o PIBR eo LGPD prever a possibilidade de sanções monetárias a serem emitidas em casos de não cumprimento.
No entanto, a natureza das sanções, a quantidade e que está sujeito a eles diferem.
PIBR LGPD
Artigo 83 artigos 52-54
considerandos 148-149
semelhanças
O PIBR prevê a possibilidade de sanções administrativas, monetários a O LGPD prevê a possibilidade de sanções administrativas,
serem emitidas pelas autoridades de supervisão em casos de monetários a serem emitidas pela ANPD em casos de não
incumprimento. cumprimento.
Quando a aplicação de uma sanção administrativa, a autoridade de Quando a aplicação de uma sanção administrativa, o ANPD deve
supervisão deve considerar: ( i) a natureza, gravidade e duração da considerar: ( i) a gravidade ea natureza das infrações e dos direitos pessoais
infracção; (Ii) o carácter intencional ou negligente da infracção; (Iii) afectados; (Ii) a boa fé do infractor; (Iii) a vantagem feita ou pretendido pelo
qualquer acção de mitigar os danos; (Iv) o grau de responsabilidade do infractor; (Iv) a condição económica do agente; (V) a reincidência; (Vi) o
controlador ou processador; (V) as infracções anteriores relevantes; (Vi) o nível de danos; (Vii) a cooperação do infractor; (Viii) e repetiu demonstrado
grau de cooperação com a autoridade de supervisão; (Vii) as categorias adopção de mecanismos e procedimentos internos capazes de minimizar o
de dados pessoais afectados pela infracção; (Viii) a maneira pela qual a dano, para o processamento de dados segura e adequada, de acordo com
infracção se tornou conhecido à autoridade de supervisão; (Ix) em que as as disposições do Artigo 48 (2) (II); (Ix) a adoção de uma política de boa
medidas referidas no artigo 58 (2) ter sido previamente ordenada contra o governança prática e; (X) a linha de adopção de medidas correctivas; e (xi)
controlador ou processador em causa relativamente ao mesmo objecto, o a proporcionalidade entre a gravidade da violação e a intensidade da
As autoridades de supervisão podem desenvolver diretrizes que estabelecem novos O ANPD irá desenvolver a sua própria regulamentação sobre os
critérios para calcular o montante da sanção monetária. critérios a aplicar e calcular quaisquer multas, que devem ser objeto
de consulta pública.
diferenças
O PIBR tem apenas uma categoria de multa administrativa, o que também O LGPD estabelece dois tipos de multas: multas simples e
47
PIBR LGPD
Diferenças (continuação)
Dependendo da violação ocorreu a pena pode ser de até um ou outro: 2% Dependendo da violação, um simples multa de até 2% de, receitas grupo ou
do volume de negócios anual global ou € 10 milhões, o que for maior; ou 4% conglomerado de uma pessoa jurídica de direito privado no Brasil, para o exercício
do volume de negócios anual global ou € 20 milhões, o que for maior. anterior, excluindo impostos, até um máximo total de BRL 50.000.000 por infracção
Sob o PIBR, é deixado aos Estados-Membros para criar regras Sob o LGPD, as agências governamentais não podem ser
órgãos públicos.
48
6.2. Autoridade de supervisão
razoavelmente consistente
Tanto o PIBR eo LGPD prever a criação de uma autoridade de supervisão com corretiva, bem como poderes de investigação. No entanto, as estruturas e os
PIBR LGPD
Artigos 51- 59 Artigos 55 AK
semelhanças
Sob o PIBR, autoridades de supervisão tenham poderes de investigação que incluem: (i) Sob o LGPD, o ANPD tem poderes de investigação que incluem
encomendar um controlador e processador de fornecer a informação necessária; (Ii) a solicitando informações, a qualquer momento, a partir de
realização de exames de protecção de dados; (Iii) proceder a uma revisão das controladores e processadores.
locais.
Sob o PIBR, autoridades de supervisão tenham poderes corretivos que incluem: (i) Sob o LGPD, o ANPD tem poderes corretivos que incluem: (i) a emissão de
emitir avisos e advertências; (Ii) que cria uma limitação temporária ou definitiva advertências e multas; (Ii) a divulgação da infracção; e (iii) de bloqueio ou
incluindo uma proibição de processamento; (Iii) ordenar a rectificação ou o eliminação do processamento ou de dados pessoais para que a infracção se
Sob o PIBR, as autoridades de supervisão devem ainda: (i) lidar com as queixas Sob o LGPD, o ANPD deverão também: (i) tratar queixas apresentadas
apresentadas por pessoas em causa; e (ii) cooperar com as autoridades de protecção de pelos sujeitos de dados; e (ii) cooperar com as autoridades de protecção de
Sob o PIBR, as autoridades de supervisão têm a tarefa de promover a Sob o LGPD, o ANPD é encarregado de promover a consciência
conscientização pública e compreensão dos riscos, regras, garantias e pública sobre a protecção de dados pessoais e em estudos de
direitos em relação ao tratamento, bem como promover a conscientização segurança e realização de práticas nacionais e internacionais para a
dos controladores e processadores de suas obrigações, entre outras tarefas. protecção dos dados pessoais e privacidade, entre outras tarefas.
diferenças
Cabe a cada Estado-Membro para estabelecer uma autoridade de controlo, e para O ANPD é uma agência da administração pública federal, subordinado ao Gabinete
determinar as qualificações necessárias para ser um membro, e as obrigações da Presidência. O ANPD é composto pelo Conselho de Administração, do Conselho
relacionadas com o trabalho, como a duração do prazo, bem como as condições Nacional de Protecção de Dados e Privacidade, o Gabinete do Provedor de Justiça, o
49
PIBR LGPD
Diferenças (continuação)
As autoridades de supervisão podem ser sujeitos a um controlo O ANPD não tem autonomia financeira, e seu orçamento é estabelecido pela
financeiro somente se ele não afeta sua independência. Eles têm, Presidência como o LGPD não concede claramente um orçamento específico
orçamentos anuais públicos separados, que podem ser parte do para suas atividades.
50
6.3. reparação civil por indivíduos
razoavelmente consistente
Além de sanções administrativas, qualquer pessoa singular tem o direito de pedir uma indemnização por danos materiais e não-materiais resultantes de uma violação da
PIBR ou o LGPD respectivamente. Ambas as leis permitem tanto para ações individuais e coletivas perante o tribunal.
O PIBR especifica como danos são compensados pelo controlador e o processador. faz o LGPD não abordar este ponto.
PIBR LGPD
Artigos 82 Artigos 22, 42
considerandos 146-147
semelhanças
O PIBR proporciona aos indivíduos com um causa de ação a O LGPD proporciona aos indivíduos com um causa de ação de exigir uma
buscar materiais ou não materiais danos por violação das leis de indemnização civil (pecuniários ou morais) por violação das leis de
O PIBR permite que os Estados-Membros a prever a possibilidade dos titulares dos dados O LGPD prevê que danos civis pode ser procurada através de instrumentos
para dar um mandato para a representação de uma associação sem fins lucrativos, legais individuais ou colectivas, tais como ações coletivas desencadeadas por
associação ou organização que tem como objectivo estatutário a protecção dos direitos do associações de defesa do consumidor em nome das pessoas em causa,
sujeito dos dados. mesmo que a pessoa em causa não concordou com esse direito de ação.
diferenças
O PIBR especifica como danos são compensados pelos controladores e faz o LGPD não especifica como os danos são compensados, permitindo por danos
processadores responsáveis pelos danos. com base no Código Civil Brasileiro, que não estabelece qualquer limite ou
51
A velocidade de inovação atingiu todos os negócios e empresas são, sem
dúvida, na necessidade de funcional objetiva, pragmática, e oportuno
tomou decisões. Com o marco regulatório na América Latina está se
tornando ainda mais complexa, acreditamos que um escritório de
advocacia deve combinar uma abordagem inovadora com um profundo
conhecimento do regulamento.
/ Regulamento de Protecção de
Dados brasileiro: você está pronto
para isso?
www.baptistaluz.com.br