LGPD vs GDPR: diferenças e similaridades que realmente importam
A LGPD foi explicitamente inspirada no GDPR — o próprio texto da lei brasileira reconhece a influência do regulamento europeu. Mas inspiração não significa cópia. Há diferenças estruturais entre os dois regimes que têm consequências práticas concretas, especialmente para organizações que operam em ambos os mercados ou que fazem transferências de dados entre Brasil e Europa.
Este guia compara os dois regimes nos aspectos que mais importam para a prática: bases legais, direitos dos titulares, prazos, sanções, transferências internacionais e obrigações do DPO.
Contexto e origem
| LGPD | GDPR | |
|---|---|---|
| Instrumento | Lei nº 13.709/2018 (Brasil) | Regulamento (UE) 2016/679 |
| Vigência (proteção) | 18 de setembro de 2020 | 25 de maio de 2018 |
| Vigência (sanções) | 1º de agosto de 2021 | 25 de maio de 2018 |
| Autoridade de controle | ANPD — Autoridade Nacional de Proteção de Dados | Autoridades de proteção de dados dos Estados-Membros (ex: CNIL na França, BfDI na Alemanha, ICO no Reino Unido) |
| Âmbito territorial | Tratamento realizado no Brasil; ou ofertado a titulares no Brasil; ou com dados coletados no Brasil | Tratamento de dados de pessoas na UE/EEE; ou atividade de estabelecimento na UE; ou oferta de bens/serviços a pessoas na UE |
Bases legais: a diferença mais importante
Esta é provavelmente a diferença estrutural mais relevante entre os dois regimes — e a que mais impacta o dia a dia do programa de conformidade.
GDPR: 6 bases legais (Art. 6º)
O GDPR prevê seis hipóteses para o tratamento lícito de dados pessoais:
- Consentimento — manifestação livre, específica, informada e inequívoca
- Execução de contrato — necessário para execução ou medidas pré-contratuais
- Obrigação legal — cumprimento de obrigação legal ou regulamentar
- Interesses vitais — proteção de interesses vitais do titular ou de terceiro
- Interesse público — exercício de funções de interesse público ou de autoridade pública
- Interesses legítimos — interesses legítimos do responsável ou de terceiro, exceto se prevalecerem interesses do titular
LGPD: 10 bases legais (Art. 7º)
A LGPD amplia o leque para dez hipóteses, incluindo algumas sem equivalente direto no GDPR:
- Consentimento (Art. 7º, I)
- Obrigação legal ou regulatória (Art. 7º, II)
- Execução de políticas públicas — pela administração pública (Art. 7º, III)
- Estudos por órgão de pesquisa — garantida anonimização sempre que possível (Art. 7º, IV)
- Execução de contrato (Art. 7º, V)
- Exercício regular de direitos em processo — judicial, administrativo ou arbitral (Art. 7º, VI)
- Proteção da vida ou incolumidade física (Art. 7º, VII)
- Tutela da saúde — exclusivamente por profissional de saúde ou entidade de saúde (Art. 7º, VIII)
- Legítimo interesse do controlador (Art. 7º, IX)
- Proteção do crédito (Art. 7º, X) ← exclusiva da LGPD, sem equivalente no GDPR
O que essa diferença significa na prática
Para organizações que operam apenas no Brasil: a existência de 10 bases legais oferece mais flexibilidade — há hipóteses específicas para realidades brasileiras, como a proteção do crédito (birôs de crédito, análise de risco) e o exercício de direitos em processo arbitral.
Para organizações que operam em ambos os mercados: a diferença no número de bases exige mapeamento duplo: uma atividade que no Brasil se apoia em "proteção do crédito" pode precisar de outra base no GDPR (provavelmente "interesses legítimos" ou "execução de contrato"). O inventário de atividades de tratamento deve indicar a base legal em cada regime.
Dados sensíveis: nomenclatura e categorias
Ambos os regimes reconhecem uma categoria especial de dados que merece proteção reforçada, mas com algumas diferenças de escopo.
GDPR: "Categorias especiais de dados" (Art. 9º)
- Origem racial ou étnica
- Opiniões políticas
- Convicções religiosas ou filosóficas
- Filiação sindical
- Dados genéticos
- Dados biométricos para identificação única
- Dados de saúde
- Vida sexual ou orientação sexual
LGPD: "Dados pessoais sensíveis" (Art. 5º, II)
- Origem racial ou étnica
- Convicção religiosa
- Opinião política
- Filiação a sindicato ou organização de caráter religioso, filosófico ou político
- Dados referentes à saúde ou à vida sexual
- Dados genéticos ou biométricos — quando vinculados a uma pessoa natural
- Dado sobre criança ou adolescente ← diferença relevante: LGPD inclui expressamente
Diferença prática: a LGPD inclui dados de crianças e adolescentes como categoria sensível, o que não ocorre de forma explícita no GDPR (que tem proteção especial para crianças via Art. 8º, mas não as classifica como "categoria especial de dados").
Direitos dos titulares
Ambos os regimes garantem direitos extensos aos titulares, com alto grau de sobreposição — mas com diferenças em prazos e alcance.
Quadro comparativo
| Direito | LGPD (Art. 18) | GDPR (Arts. 15-21) |
|---|---|---|
| Confirmação de existência | ✅ | ✅ (direito de acesso) |
| Acesso aos dados | ✅ | ✅ |
| Correção de dados incompletos ou errôneos | ✅ | ✅ (retificação) |
| Anonimização, bloqueio ou eliminação de dados desnecessários | ✅ | ✅ (apagamento) |
| Portabilidade | ✅ | ✅ |
| Eliminação por revogação de consentimento | ✅ | ✅ |
| Informação sobre compartilhamento | ✅ | ✅ (direito de acesso inclui destinatários) |
| Informação sobre possibilidade de não consentir | ✅ | ✅ |
| Revogação de consentimento | ✅ | ✅ |
| Oposição ao tratamento | ❌ (não há equivalente direto) | ✅ (Art. 21 GDPR) |
| Não ser sujeito a decisão automatizada | ❌ limitado | ✅ (Art. 22 GDPR) |
Prazos de resposta
Esta é uma das diferenças práticas mais relevantes:
LGPD (Art. 19):
- Imediatamente: confirmação simplificada de existência ou acesso em formato simplificado
- Até 15 dias: resposta completa e detalhada, contados da data do requerimento do titular
GDPR (Art. 12(3)):
- Prazo padrão: um mês a partir do recebimento do pedido
- Prazo prorrogado: dois meses adicionais, quando necessário em função da complexidade ou número de pedidos (o titular deve ser informado da prorrogação dentro do primeiro mês)
Implicação prática para organizações que operam nos dois regimes: o prazo da LGPD (15 dias para resposta completa) é significativamente mais curto do que o prazo padrão do GDPR (1 mês). Uma política de atendimento a titulares que adota o prazo LGPD de 15 dias estará automaticamente em conformidade com o GDPR — mas o contrário não é verdadeiro. A recomendação para organizações binacionais é adotar o prazo mais curto (15 dias) como padrão.
Notificação de incidentes de segurança
| Aspecto | LGPD | GDPR |
|---|---|---|
| Prazo à autoridade | 3 dias úteis (Resolução CD/ANPD Nº 15/2024) | 72 horas (Art. 33) |
| Prazo aos titulares | Sem prazo expresso na lei; Resolução 15/2024 prevê comunicação "sem demora injustificada" | "Sem demora injustificada" quando há alto risco (Art. 34) |
| Limiar | Incidente que possa acarretar risco ou dano relevante aos titulares | Violação com risco para direitos e liberdades dos titulares |
| Relatório complementar | Previsto pela Resolução 15/2024 (20 dias corridos) | Possível pedido da autoridade |
Nota sobre o prazo: 3 dias úteis (LGPD) e 72 horas (GDPR) são numericamente próximos, mas calculados de forma diferente. Dias úteis excluem fins de semana e feriados; horas corridas não. Na prática, um incidente descoberto na sexta-feira às 18h pode ter prazo de notificação diferente nos dois regimes.
Encarregado de proteção de dados (DPO)
| Aspecto | LGPD | GDPR |
|---|---|---|
| Obrigatoriedade | Todos os controladores (Art. 41) | Apenas em casos específicos: (1) autoridade pública, (2) monitoramento sistemático em larga escala, (3) tratamento em larga escala de categorias especiais (Art. 37 GDPR) |
| Pode ser pessoa física ou jurídica | Sim (Art. 41, §3º) | Sim (considerando 97 GDPR) |
| Publicação de contato | Obrigatória (Art. 41, §1º) | Obrigatória (Art. 37(7) GDPR) |
| Independência | Art. 41, §1º menciona "função" e atribuições mínimas | Art. 38 GDPR: não recebe instruções, acesso à alta direção, sem conflito de funções incompatíveis |
| Proteção contra demissão | Não explícita na LGPD | Protegido contra demissão em razão do exercício da função (Art. 38(3) GDPR) |
Diferença crítica: a LGPD exige o encarregado para todos os controladores, enquanto o GDPR o exige apenas nos três casos específicos do Art. 37. Na prática, isso significa que muitas PMEs brasileiras têm obrigação de indicar encarregado, enquanto suas equivalentes europeias de mesmo porte podem não ter.
Transferências internacionais de dados
Ambos os regimes impõem restrições às transferências de dados pessoais para países terceiros sem nível de proteção adequado.
GDPR: mecanismos disponíveis (Art. 46 e seguintes)
- Decisão de adequação da Comissão Europeia (países reconhecidos como adequados)
- Cláusulas contratuais padrão (SCCs) aprovadas pela Comissão Europeia
- Normas corporativas vinculantes (BCRs) aprovadas pela autoridade de controle
- Códigos de conduta aprovados
- Mecanismos de certificação aprovados
LGPD: mecanismos disponíveis (Art. 33)
- Nível adequado de proteção reconhecido pela ANPD (Art. 33, I)
- Garantias contratuais específicas (Art. 33, II) — contratos individuais ou normas corporativas globais
- Selos, certificados e códigos de conduta reconhecidos pela ANPD (Art. 33, III)
- Consentimento específico do titular (Art. 33, IV)
- Necessidade para execução de contrato com o próprio titular (Art. 33, V)
- Cooperação jurídica internacional (Art. 33, VI)
- Proteção da vida (Art. 33, VII)
- Exercício de direitos em processo (Art. 33, VIII)
- Atuação de autoridade pública (Art. 33, IX)
Status à época da publicação (novembro de 2025): o Brasil não era reconhecido pela UE como país com nível adequado de proteção de dados (diferentemente do Japão, Israel, Nova Zelândia, entre outros). Isso significava que transferências de dados da UE para o Brasil exigiam SCCs ou outro mecanismo do Art. 46 do GDPR. A ANPD, por sua vez, ainda não havia emitido decisão de adequação reconhecendo países terceiros para fins de transferência desde o Brasil.
Atualização — janeiro de 2026: em 26 de janeiro de 2026, Brasil e União Europeia formalizaram uma decisão de adequação mútua. O Brasil foi reconhecido pela Comissão Europeia como país com nível adequado de proteção de dados nos termos do Art. 45 do GDPR, e a ANPD publicou a Resolução CD/ANPD nº 32/2026 reconhecendo todos os Estados-membros da UE, além de Islândia, Liechtenstein e Noruega (EEE). Transferências de dados pessoais entre Brasil e UE agora podem ocorrer sem a necessidade de SCCs, BCRs ou outras salvaguardas adicionais. Isso reduz significativamente a burocracia e os custos para organizações que operam nos dois mercados.
Sanções: comparativo de penalidades
| Aspecto | LGPD (Art. 52) | GDPR (Art. 83) |
|---|---|---|
| Advertência | ✅ | ✅ |
| Multa simples | Até 2% do faturamento no Brasil no último exercício, limitado a R$ 50 milhões por infração | Até €10M ou 2% do volume de negócios anual global (infrações menos graves) |
| Multa máxima | R$ 50 milhões por infração (Art. 52, II) | €20M ou 4% do volume de negócios anual global (infrações mais graves) |
| Base de cálculo da multa | Faturamento nacional (Brasil) | Volume de negócios global |
| Bloqueio de dados | ✅ | ✅ |
| Eliminação de dados | ✅ | ✅ |
| Suspensão de tratamento | ✅ | ✅ |
| Publicização da infração | ✅ (Art. 52, I) | ✅ |
Diferença estrutural na multa: o GDPR usa o faturamento global como base (incluindo receitas de todas as subsidiárias e jurisdições). A LGPD usa apenas o faturamento nacional brasileiro. Para multinacionais com sede no exterior, isso pode significar uma exposição de multa significativamente maior no GDPR do que na LGPD.
Exemplo: uma empresa com faturamento global de €5 bilhões e faturamento brasileiro de R$ 200 milhões. Multa máxima GDPR: €200 milhões (4% de €5bi). Multa máxima LGPD: R$ 50 milhões/infração (teto absoluto). A diferença de magnitude é expressiva.
Crianças e adolescentes
| Aspecto | LGPD (Art. 14) | GDPR (Art. 8º) |
|---|---|---|
| Idade de referência | Crianças (abaixo de 12 anos); Adolescentes (12-18 anos) | Crianças abaixo de 16 anos (Estados-Membros podem reduzir para mínimo de 13) |
| Consentimento de menores | Crianças: consentimento de ao menos um dos pais ou responsável. Adolescentes: podem consentir (com cautela recomendada) | Serviços da sociedade da informação: consentimento do responsável se menor de 16 (ou idade reduzida pelo Estado-Membro) |
| Publicidade direcionada | Vedada para crianças (Art. 14, §2º) | Não vedação expressa (mas alto risco — autoridades europeias têm aplicado sanções) |
| Dever de verificação | Controlador deve verificar que o consentimento foi dado pelo responsável (Art. 14, §5º) | Esforços razoáveis de verificação (Art. 8(2) GDPR) |
Resumo executivo: principais diferenças e similaridades
Principais similaridades
- Princípios fundamentais equivalentes: finalidade, necessidade, adequação, qualidade, transparência, segurança, prevenção, não discriminação
- Direitos dos titulares amplamente equivalentes (com pequenas diferenças de escopo)
- Obrigação de documentação e accountability
- Restrições ao tratamento de dados sensíveis
- Obrigação de notificar incidentes relevantes
- Controle de transferências internacionais
Principais diferenças
| Aspecto | LGPD | GDPR |
|---|---|---|
| Bases legais | 10 (inclui "proteção do crédito") | 6 |
| DPO | Obrigatório para todos os controladores | Obrigatório apenas em 3 casos específicos |
| Prazo de atendimento a titulares | 15 dias (resposta completa) | 1 mês (prorrogável por 2 meses) |
| Multa: base de cálculo | Faturamento nacional | Faturamento global |
| Multa: teto | R$ 50M por infração | €20M ou 4% faturamento global |
| Oposição ao tratamento | Não prevista expressamente | Direito explícito (Art. 21 GDPR) |
| Adequação Brasil-UE | Brasil não reconhecido pela UE | SCCs necessárias para transferências UE→BR |
O que isso significa para organizações binacionais
Organizações que operam tanto no Brasil quanto na União Europeia precisam:
-
Manter inventário com dupla base legal: para cada atividade, identificar a base LGPD e a base GDPR correspondente — elas nem sempre são as mesmas.
-
Adotar o prazo mais curto: 15 dias para atendimento a titulares atende ambos os regimes; 1 mês atende apenas o GDPR.
-
Implementar mecanismo de transferência para fluxos UE→Brasil: consentimento específico ou SCCs para cobrir o fluxo de dados europeus para operações brasileiras.
-
Nomear DPO mesmo que não fosse obrigado pelo GDPR: a LGPD exige para todos os controladores — e um DPO qualificado pode cobrir ambos os regimes.
-
Harmonizar os programas: um programa unificado com as regras mais restritivas de cada regime geralmente é mais eficiente do que manter dois programas paralelos.
Conclusão
LGPD e GDPR compartilham a mesma filosofia: dados pessoais têm titulares, e esses titulares têm direitos. Os princípios e a lógica de ambos os regimes são próximos o suficiente para que um programa de conformidade bem estruturado possa cobrir os dois — com atenção às diferenças que realmente importam.
As diferenças mais relevantes na prática são: o prazo de atendimento a titulares (15 dias vs. 1 mês), a obrigatoriedade do DPO (universal na LGPD vs. condicional no GDPR) e a base de cálculo das multas (nacional vs. global). Desde janeiro de 2026, a adequação mútua entre Brasil e UE (Resolução CD/ANPD nº 32/2026) simplificou significativamente as transferências de dados entre os dois blocos, eliminando a necessidade de mecanismos adicionais como SCCs para fluxos Brasil–UE/EEE.
Para organizações que precisam de conformidade em ambos os regimes, a estratégia mais eficiente é adotar os parâmetros mais exigentes de cada regime como padrão único — isso elimina a necessidade de gerenciar dois programas distintos.
A Confidata foi desenvolvida com as obrigações da LGPD como base — mas com arquitetura que facilita a extensão para requisitos GDPR quando necessário. Conheça como nossa plataforma suporta programas de conformidade para organizações com atuação em múltiplos regimes regulatórios.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.