LGPD vs GDPR:
O que Realmente Muda
LGPD e GDPR compartilham o mesmo modelo opt-in — mas são aplicadas por autoridades diferentes, calculam multas de formas distintas e têm prazos de resposta que divergem. Se sua empresa atende usuários brasileiros, a conformidade com o GDPR sozinha não é suficiente.
LGPD e GDPR são a mesma coisa?
Framework semelhante, jurisdição diferente. LGPD e GDPR exigem consentimento opt-in antes de cookies não essenciais serem carregados. Ambas proíbem dark patterns. Ambas garantem ao titular os direitos de acesso, correção e exclusão dos dados. Mas a LGPD é fiscalizada pela ANPD brasileira — não pelas autoridades europeias — e as multas são calculadas sobre o faturamento no Brasil, não sobre o faturamento global.
Um banner GDPR-conforme é um ótimo ponto de partida para a LGPD. Os ajustes necessários são pontuais: garantir que o banner seja exibido para visitantes brasileiros, que os registros de consentimento atendam aos requisitos específicos da ANPD, e que o processo de resposta a titulares respeite os prazos da LGPD (15 dias, não 30).
LGPD vs GDPR — lado a lado
Os mesmos princípios fundamentais, com diferenças de implementação que importam para equipes de conformidade.
| Requisito | LGPD Brasil — ANPD |
GDPR União Europeia — EDPB |
|---|---|---|
| Modelo de consentimento | Opt-in | Opt-in |
| Bloqueio de scripts exigido | Sim | Sim |
| Banner de cookies exigido | Sim (orientações ANPD) | Sim (ePrivacy) |
| Autoridade fiscalizadora | ANPD (Brasil) | Autoridades nacionais de proteção de dados (UE) |
| Multa máxima | R$ 50M ou 2% do faturamento no BR | €20M ou 4% do faturamento global |
| Base de cálculo da multa | Faturamento no Brasil | Faturamento global anual |
| Bases legais de tratamento | 10 bases | 6 bases |
| Encarregado (DPO) exigido | Sim — maioria dos controladores | Sim — tratamento de alto risco |
| Prazo de resposta ao titular | 15 dias | 30 dias (prorrogável a 90) |
| Suporte CookieFácil | Completo | Completo |
Três diferenças que mais importam
São as lacunas onde empresas GDPR-conformes mais frequentemente ficam aquém dos requisitos da LGPD.
Autoridade fiscalizadora diferente
A LGPD é aplicada pela ANPD brasileira — não por qualquer autoridade europeia. Uma reclamação de um usuário brasileiro vai para a ANPD, não para o ICO ou CNIL. Seu programa de conformidade europeu não cobre a fiscalização brasileira.
- ANPD tem procedimentos próprios de auditoria
- Titulares brasileiros reclamam diretamente à ANPD
- Decisão de adequação UE-Brasil ainda não vigora
Resposta ao titular mais rápida
A LGPD exige resposta a solicitações de titulares em 15 dias — não 30 dias como o GDPR. Se seu processo assume o prazo europeu para todas as regiões, solicitações brasileiras podem já estar em violação.
- LGPD: prazo de 15 dias
- GDPR: 30 dias (prorrogável a 90)
- Mesmos direitos, relógios diferentes
Multa calculada sobre o Brasil
As multas da LGPD são calculadas sobre o faturamento no Brasil — não sobre o faturamento global. Para a maioria das empresas internacionais, o teto efetivo é bem menor que o do GDPR, mas ainda se aplica mesmo sem presença física no Brasil.
- Até 2% do faturamento no BR por infração
- Limite fixo de R$ 50M por infração
- Sem necessidade de presença física para responsabilização
Perguntas frequentes
-
LGPD e GDPR são a mesma coisa?
LGPD e GDPR compartilham o mesmo modelo de consentimento opt-in e princípios fundamentais, mas são leis diferentes aplicadas por autoridades distintas — LGPD pela ANPD (Brasil), GDPR pelas autoridades de proteção de dados dos países da UE. As multas também diferem: o GDPR prevê até €20 milhões ou 4% do faturamento global; a LGPD prevê até R$ 50 milhões ou 2% do faturamento no Brasil por infração. Os prazos de resposta ao titular também são distintos.
-
Se já estamos em conformidade com o GDPR, estamos conformes com a LGPD?
Em grande parte, mas não completamente. A conformidade com o GDPR oferece a estrutura correta — consentimento opt-in, bloqueio de scripts, registros de consentimento. As lacunas: a LGPD é aplicada pela ANPD (não pelas autoridades europeias), os direitos dos titulares têm prazos de resposta diferentes (15 dias versus 30), e as multas são calculadas sobre o faturamento no Brasil especificamente. Um banner GDPR-conforme precisa de ajustes pontuais para ser totalmente adequado à LGPD.
-
Quais são as principais diferenças entre LGPD e GDPR?
Principais diferenças: (1) Autoridade fiscalizadora — ANPD para a LGPD, autoridades nacionais de proteção de dados para o GDPR. (2) Cálculo de multas — LGPD usa faturamento no Brasil; GDPR usa faturamento global. (3) Bases legais — a LGPD tem 10 bases legais contra 6 do GDPR. (4) Prazo de resposta — a LGPD exige 15 dias; o GDPR permite 30. (5) Encarregado — a LGPD exige um encarregado de dados para a maioria dos controladores, independentemente do porte.
-
A LGPD exige banner de cookies como o GDPR?
Sim. A ANPD publicou orientações oficiais sobre cookies exigindo os mesmos elementos centrais do GDPR/ePrivacy: banner claro antes do carregamento de scripts não essenciais, botões de aceitar e recusar com peso visual igual, controles granulares por categoria e revogação do consentimento com um clique. As orientações da ANPD proíbem explicitamente dark patterns como caixas pré-marcadas ou dificultar a recusa.
-
Uma única ferramenta pode atender tanto à LGPD quanto ao GDPR?
Sim. O CookieFácil suporta LGPD e GDPR a partir de um único painel. O banner bloqueia scripts não essenciais antes do consentimento em todas as sessões, dispara os sinais do Google Consent Mode v2 e mantém registros de consentimento que satisfazem os requisitos de auditoria da ANPD e das autoridades europeias.
-
Quais empresas precisam cumprir tanto LGPD quanto GDPR?
Toda empresa que possui usuários tanto na União Europeia quanto no Brasil. Isso inclui: empresas europeias com operações ou visitantes brasileiros, empresas brasileiras com clientes europeus e multinacionais que atendem ambos os mercados. As duas leis têm alcance extraterritorial — a jurisdição segue a localização do titular dos dados, não a sede da empresa.