Proteção de Dados

LGPD vs RGPD: diferenças entre Brasil e Europa

LGPD vs RGPD: diferenças entre a lei brasileira e o regulamento europeu — bases legais, encarregado, sanções da ANPD e transferências entre Brasil e UE.

A LGPD brasileira (Lei n.º 13.709/2018) e o RGPD europeu são regimes muito próximos na filosofia — ambos assentam em princípios, direitos dos titulares, bases legais e uma autoridade de controlo — mas divergem em pontos que importam a qualquer empresa que opere nos dois mercados: a LGPD tem 10 bases legais contra as 6 do RGPD, as sanções da ANPD estão limitadas a 2% do faturamento, com teto de 50 milhões de reais por infração, e o regime de transferências internacionais funciona em espelho, mas com listas de adequação distintas. Para grupos com presença em Portugal e no Brasil, a boa notícia é que um programa de conformidade bem desenhado serve os dois regimes com um esforço marginal.

Este guia compara a LGPD e o RGPD ponto a ponto e mostra onde as diferenças exigem tratamento específico.

Pontos essenciais

  • Bases legais: 10 na LGPD, 6 no RGPD — a LGPD tem hipóteses adicionais (proteção do crédito, tutela da saúde).
  • Sanções: ANPD até 2% do faturamento no Brasil, máx. R$ 50 milhões por infração; RGPD até 20 M€ ou 4% mundial.
  • Encarregado obrigatório na LGPD em termos mais amplos do que o DPO do RGPD.
  • Transferências Brasil-UE apoiam-se em mecanismos análogos, mas com listas de países adequados próprias.

Origem e filosofia: dois regimes irmãos

A LGPD foi fortemente inspirada no RGPD, o que explica a proximidade estrutural. Ambos são leis omnibus, aplicáveis a praticamente todos os setores, assentes na responsabilização (accountability) e com aplicação extraterritorial — a LGPD alcança o tratamento de dados de pessoas no Brasil independentemente da localização do responsável, tal como o RGPD faz na UE (artigo 3.º). Quem já implementou o RGPD tem 70% do caminho feito para a LGPD, e vice-versa.

A diferença de fundo está na maturidade da fiscalização: a autoridade europeia e as autoridades nacionais como a CNPD acumulam anos de decisões e coimas pesadas, enquanto a ANPD brasileira está numa fase mais inicial de enforcement.

Comparação ponto a ponto

Elemento RGPD (Europa) LGPD (Brasil)
Diploma Regulamento (UE) 2016/679 Lei n.º 13.709/2018
Autoridade CNPD (PT) e homólogas + CEPD ANPD
Bases legais 6 (art. 6.º) 10 (art. 7.º)
Dados sensíveis Art. 9.º Art. 11 (categorias próprias)
Encarregado / DPO Obrigatório em certos casos (art. 37.º) Obrigatório, com exceções regulamentares
Prazo de violação 72h à autoridade (art. 33.º) «Prazo razoável» à ANPD
Sanção máxima 20 M€ ou 4% do volume mundial 2% do faturamento, máx. R$ 50 M/infração

As bases legais: 10 contra 6

O RGPD fixa seis bases de licitude no artigo 6.º. A LGPD, no artigo 7.º, prevê dez hipóteses, incluindo algumas sem equivalente direto europeu, como a proteção do crédito e a tutela da saúde em procedimentos específicos. Na prática, as bases mais usadas coincidem — consentimento, execução de contrato, obrigação legal, interesse legítimo —, mas uma empresa que opere nos dois mercados deve mapear cada tratamento nas duas grelhas. Para o lado europeu, veja o guia sobre a licitude do tratamento e, quando invocar o interesse legítimo, o teste de ponderação.

O encarregado

Ambos os regimes exigem um encarregado de proteção de dados. No RGPD, o encarregado (EPD/DPO) é obrigatório nos casos do artigo 37.º (autoridades públicas, monitorização em larga escala, dados sensíveis em larga escala). Na LGPD, a designação do encarregado é a regra, com a ANPD a definir por regulamento hipóteses de dispensa para agentes de pequeno porte. Na prática, uma empresa presente nos dois mercados designa um encarregado e cumpre ambos.

As sanções e a primeira multa da ANPD

Aqui a diferença é material. O RGPD prevê coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial (artigo 83.º), e as autoridades europeias já aplicaram sanções de centenas de milhões — a Meta foi multada em 1,2 mil milhões de euros pela autoridade irlandesa em 2023 por transferências ilícitas para os EUA. A LGPD limita as multas a 2% do faturamento no Brasil, com um teto de 50 milhões de reais por infração (artigo 52).

A ANPD começou a sancionar mais tarde: a primeira multa da ANPD foi aplicada em 2023 à Telekall Infoservice, uma microempresa, por tratamento sem base legal e por não ter cooperado com a autoridade — um valor modesto, mas o sinal de que o enforcement arrancou. Para o panorama europeu, com os casos portugueses, veja a análise das coimas RGPD da CNPD.

Transferências entre Brasil e UE

Este é o ponto onde os dois regimes se tocam diretamente. Uma empresa portuguesa que envie dados para o Brasil está a fazer uma transferência internacional sujeita ao Capítulo V do RGPD: precisa de uma decisão de adequação (que a UE não emitiu para o Brasil, à data) ou, na sua ausência, de garantias adequadas como as cláusulas contratuais-tipo. No sentido inverso, a LGPD tem o seu próprio regime de transferências, com mecanismos análogos que a ANPD tem vindo a regulamentar. O detalhe do lado europeu está no guia sobre transferências internacionais de dados.

Um programa único para dois regimes

Para um grupo lusófono com operações dos dois lados do Atlântico, manter dois programas de conformidade separados é um desperdício. A sobreposição é grande: o registo de tratamentos, o encarregado, a gestão de direitos dos titulares e a segurança são comuns. A diferença está nos detalhes — as 10 bases da LGPD, os tetos de sanção, as listas de adequação — que se resolvem com anotações específicas, não com sistemas paralelos.

Plataformas de conformidade que cobrem ambos os quadros, como a Legiscope, permitem gerir um único registo de atividades de tratamento com a dupla marcação RGPD/LGPD, o que evita duplicar o esforço documental. A ferramenta harmoniza a documentação; a interpretação das particularidades brasileiras continua a exigir aconselhamento jurídico local.

Perguntas frequentes

A LGPD é igual ao RGPD?

Não, mas é muito próxima. A LGPD inspirou-se no RGPD e partilha a filosofia, os princípios e a maioria dos direitos e obrigações. As diferenças principais estão no número de bases legais (10 na LGPD, 6 no RGPD), nos limites das sanções e nos regimes de transferência internacional.

Qual é a multa máxima da LGPD?

A LGPD limita a multa simples a 2% do faturamento da empresa no Brasil, no seu último exercício, com um teto de 50 milhões de reais por infração (artigo 52). É bastante inferior aos tetos do RGPD, que chegam a 20 milhões de euros ou 4% do volume de negócios mundial.

A UE tem decisão de adequação para o Brasil?

À data, a Comissão Europeia não emitiu uma decisão de adequação para o Brasil. Por isso, as transferências de dados da UE para o Brasil dependem de garantias adequadas, como as cláusulas contratuais-tipo, nos termos do Capítulo V do RGPD.

Uma empresa portuguesa no Brasil pode usar o mesmo programa de conformidade?

Sim, em larga medida. O núcleo — registo de tratamentos, encarregado, direitos dos titulares, segurança — é comum. Basta adaptar os pontos divergentes: as bases legais adicionais da LGPD, os regimes de sanção e de transferência. Um programa único com marcação dupla é mais eficiente do que dois sistemas separados.

Conclusão

A LGPD e o RGPD são regimes irmãos: quem cumpre um está a meio caminho de cumprir o outro. As diferenças que contam — 10 bases contra 6, tetos de sanção distintos, listas de adequação próprias e uma ANPD ainda no início do enforcement — resolvem-se com anotações específicas sobre uma base documental comum. Para um grupo lusófono, a estratégia certa não é escolher entre os dois regimes, mas construir um único programa que sirva ambos.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →