A LGPD, sancionada em 2018, foi inspirada no GDPR e buscou unificar mais de 40 normas dispersas no arcabouço brasileiro, adotando princípios como finalidade, adequação, necessidade, transparência e segurança no tratamento de dados pessoais.
No que diz respeito às obrigações de controladores e operadores, o GDPR estabelece aplicação uniforme entre 27 países, com exigências como notificação de vazamento em 72 horas e a designação de um Encarregado de Proteção de Dados (DPO) apenas em casos específicos. Em contraste, a LGPD exige a designação de um DPO para toda organização que trate dados no Brasil.
Sobre as bases legais, o GDPR apresenta seis fundamentos, incluindo consentimento e interesse legítimo, enquanto a LGPD lista dez hipóteses, como proteção à saúde, crédito e pesquisas. Isso facilita adaptações setoriais no Brasil, mas pode gerar interpretações ambíguas sem jurisprudência consolidada.
As regras de transferências internacionais de dados e as sanções também divergem. O GDPR permite multa de até 4% do faturamento global ou 20 milhões de euros, enquanto a LGPD prevê até 2% do faturamento no Brasil e até R$ 50 milhões por infração, o que oferece menos dissuasão para gigantes estrangeiras.
Por fim, o Brasil pode reforçar a atuação da ANPD, mirar em conceitos de interoperabilidade de dados semelhantes ao Data Act Europeu e avançar em temas emergentes como IA, anonimização, proteção infantil e governança regulatória com maior transparência, auditorias e capacitação.
