LGPD vs GDPR: Principais Diferenças
A LGPD e o GDPR são as duas leis de proteção de dados mais relevantes para empresas que operam online. Se o seu site recebe visitantes do Brasil e da Europa, você precisa entender as diferenças entre elas. Este comparativo detalha cada aspecto — da jurisdição às multas, do consentimento de cookies ao DPO. Para uma visão geral da lei brasileira, veja nosso guia O Que é a LGPD.
Visão Geral
| Aspecto | LGPD (Brasil) | GDPR (Europa) |
|---|---|---|
| Lei / Regulamento | Lei 13.709/2018 | Regulamento (UE) 2016/679 |
| Em vigor desde | Setembro de 2020 | Maio de 2018 |
| Autoridade | ANPD | DPAs nacionais (ex: CNIL, ICO) |
| Abrangência | Dados de pessoas no Brasil | Dados de residentes da UE/EEE |
| Multa máxima | 2% faturamento, máx. R$50M | 4% faturamento global, máx. €20M |
Bases Legais Para Tratamento de Dados
Esta é uma das diferenças mais significativas:
| Base Legal | LGPD | GDPR |
|---|---|---|
| Consentimento | Sim | Sim |
| Cumprimento de obrigação legal | Sim | Sim |
| Execução de contrato | Sim | Sim |
| Legítimo interesse | Sim | Sim |
| Proteção da vida | Sim | Sim (interesses vitais) |
| Tutela da saúde | Sim | Incluído em "interesses vitais" |
| Proteção do crédito | Sim (exclusiva) | Não existe |
| Execução de políticas públicas | Sim (exclusiva) | Não existe como base separada |
| Pesquisa | Sim (exclusiva) | Incluído em "interesse público" |
| Exercício regular de direitos | Sim (exclusiva) | Não existe como base separada |
| Total | 10 bases legais | 6 bases legais |
A LGPD é mais flexível com 10 bases legais (vs. 6 do GDPR). Porém, para cookies de analytics e marketing, ambas as leis convergem: consentimento é a base legal mais adequada.
Consentimento de Cookies
As duas leis exigem consentimento para cookies não essenciais, mas com nuances:
| Requisito | LGPD | GDPR + ePrivacy |
|---|---|---|
| Consentimento prévio | Sim — antes de ativar cookies | Sim — antes de ativar cookies |
| Ação afirmativa | Sim — clique em "Aceitar" | Sim — clique em "Aceitar" |
| Opção de recusar | Sim — deve ser tão fácil quanto aceitar | Sim — mesmo peso visual |
| Consentimento por categoria | Recomendado (granularidade) | Obrigatório (granularidade) |
| "Cookie wall" (bloquear acesso) | Não regulamentado especificamente | Proibido na maioria dos países da UE |
| Registro para auditoria | Obrigatório (Art. 8º, §2º) | Obrigatório (Art. 7º, 1) |
Na prática: Um banner de cookies que atende ao GDPR também atende à LGPD. O inverso nem sempre é verdade (o GDPR é mais restritivo em granularidade).
DPO (Encarregado de Dados)
| Aspecto | LGPD | GDPR |
|---|---|---|
| Obrigatório para todos? | Sim (exceto pequeno porte) | Apenas para tratamento de dados em larga escala ou dados sensíveis |
| Pode ser pessoa jurídica? | Sim (terceirizado) | Sim (terceirizado) |
| Dispensa para micro/ME | Sim (Res. 2/2022) | Não existe dispensa por porte |
| Identidade pública | Deve ser divulgada (site/política) | Deve ser comunicada à DPA |
Multas e Sanções
| Sanção | LGPD | GDPR |
|---|---|---|
| Multa máxima | 2% faturamento, máx. R$50M (~€8M) | 4% faturamento global, máx. €20M (~R$120M) |
| Multa diária | Sim (até cessar infração) | Sim (penalidades periódicas) |
| Advertência | Sim, com prazo para correção | Sim |
| Publicização | Sim — divulgação obrigatória | Decisões são públicas por padrão |
| Bloqueio de dados | Sim | Sim |
| Eliminação de dados | Sim | Sim |
| Maior multa aplicada | ~R$14.400 (Telekall, 2023) | €1.2 bilhão (Meta, 2023) |
As multas do GDPR são significativamente maiores (até €20M vs R$50M). Porém, a LGPD está em fase de maturação — os valores tendem a aumentar. Veja mais detalhes sobre penalidades da LGPD.
Direitos do Titular de Dados
Ambas as leis garantem direitos similares:
- Acesso: Ambas — direito de saber quais dados são tratados
- Correção: Ambas — direito de corrigir dados incorretos
- Eliminação: Ambas — "direito ao esquecimento"
- Portabilidade: Ambas — receber dados em formato estruturado
- Oposição: Ambas — direito de se opor ao tratamento
- Revisão de decisão automatizada: LGPD (Art. 20) e GDPR (Art. 22) — diferença: a LGPD é mais ampla, incluindo qualquer decisão automatizada, não apenas profiling
Transferência Internacional de Dados
Se seu site usa serviços como Google Analytics, Facebook Pixel ou AWS (servidores nos EUA), dados pessoais são transferidos internacionalmente.
| Mecanismo | LGPD | GDPR |
|---|---|---|
| Decisão de adequação | ANPD avalia (em andamento) | Comissão Europeia decide |
| Cláusulas contratuais padrão | Sim (aprovadas pela ANPD) | Sim (SCCs da Comissão) |
| Consentimento específico | Sim (informado sobre os riscos) | Sim (último recurso) |
| BCRs (Regras corporativas) | Sim | Sim |
Meu Site Precisa Cumprir Qual Lei?
A regra é simples:
- Visitantes do Brasil: LGPD se aplica
- Visitantes da UE/EEE: GDPR se aplica
- Ambos: Você precisa cumprir as duas
Se seu site é 100% voltado para o público brasileiro, a LGPD é sua prioridade. Se recebe tráfego da Europa (mesmo que minoritário), o GDPR também se aplica a esses visitantes.
Dica prática: Configure seu banner de cookies para atender ao GDPR (mais restritivo) — automaticamente você estará em conformidade com a LGPD também. O CookieFácil suporta ambas as regulamentações com detecção geográfica automática.
Conclusão
A LGPD e o GDPR compartilham a mesma filosofia de proteger dados pessoais, mas diferem em detalhes: bases legais (10 vs 6), multas (R$50M vs €20M), e requisitos de DPO. Para cookies, a boa notícia é que um banner bem configurado atende às duas leis.
O CookieFácil oferece conformidade com LGPD e suporte a GDPR em todos os planos. Comece gratuitamente e proteja seu site em menos de 10 minutos.
