A LGPD foi inspirada no GDPR. Isso é fato documentado na tramitação legislativa. Princípios como finalidade, necessidade, transparência e segurança estão presentes em ambas. Para fundos PE que operam transações na Europa e no Brasil, a tentação é tratar a conformidade como um exercício único. Essa abordagem gera gaps reais.
As diferenças entre LGPD e GDPR não são acadêmicas. Elas afetam diretamente a consent architecture, a estrutura contratual com processadores, o perfil do DPO e o risco de enforcement. Para equipes de deal, entender essas divergências é condição para modelar exposição corretamente em cada jurisdição.
Bases Legais: 10 vs 6
O GDPR define seis bases legais para tratamento de dados pessoais (Art. 6). A LGPD define dez (Art. 7). As quatro bases adicionais da LGPD são: proteção ao crédito, proteção da vida, tutela da saúde e para a realização de estudos por órgão de pesquisa. Em contexto D2C, as bases relevantes convergem (consentimento, contrato, interesse legítimo). Mas a diferença importa quando o target processa dados sensíveis ou financeiros.
A LGPD também trata dados sensíveis de forma distinta. O Art. 11 lista oito bases legais específicas para dados sensíveis, e exclui interesse legítimo como base válida. No GDPR (Art. 9), o tratamento de categorias especiais é proibido com exceções. A estrutura é diferente, e exige mapeamento separado em cada jurisdição.
Enforcement: ANPD vs DPAs Europeias
O GDPR tem enforcement descentralizado. Cada país membro tem sua autoridade supervisora (DPA), com poderes e intensidade de fiscalização que variam significativamente. Irlanda, França e Espanha concentram a maioria das multas de alto valor. O teto de 4% do faturamento global anual cria risco material para grupos de grande porte.
A LGPD centraliza enforcement na ANPD. O teto de multa é de 2% do faturamento do grupo no Brasil, limitado a R$50 milhões por infração. Nominalmente menor que o GDPR. Mas a ANPD também pode determinar bloqueio do banco de dados, suspensão do tratamento e publicização da infração. Para uma empresa D2C que depende de first-party data para operar, a suspensão do tratamento pode ser mais destrutiva que a multa.
A trajectória de enforcement da ANPD é de aceleração. Os primeiros processos sancionatórios já foram concluídos, a regulamentação de dosimetria está publicada e o volume de fiscalizações cresce. Para compradores PE, o risco de enforcement LGPD não é hipotético. É operacional e crescente.
DPO: Obrigatório em Ambas, com Regras Distintas
O GDPR condiciona a obrigação de DPO ao tipo de atividade (monitoramento regular em larga escala ou tratamento de categorias especiais). Muitas PMEs europeias estão isentas. A LGPD não faz essa distinção. Toda empresa que trata dados pessoais precisa indicar um encarregado (Art. 41). A ANPD pode regulamentar exceções para pequenas empresas, mas até o momento a obrigação é universal.
Outra diferença relevante: o GDPR exige que o DPO tenha independência funcional e não receba instruções sobre o exercício de suas funções (Art. 38). A LGPD não contém essa previsão explícita. Na prática, DPOs brasileiros frequentemente acumulam a função com outras responsabilidades (jurídico, compliance, TI). Para o comprador PE, isso significa que o DPO pode existir no organograma sem ter autonomia real para identificar e reportar gaps.
Transferências Internacionais
O GDPR tem um framework maduro de transferências: decisões de adequação, SCCs atualizadas, BCRs e o EU-US Data Privacy Framework. A LGPD tem o Art. 33 com nove hipóteses, mas a regulamentação está em construção. A ANPD publicou modelos de cláusulas contratuais padrão, mas não há decisões de adequação publicadas.
Para fundos com portfólio em ambas jurisdições, a consequência prática é que o mesmo processador SaaS nos EUA pode ter mecanismo legal de transferência válido sob o GDPR (via DPF ou SCCs) e não ter sob a LGPD (por ausência de cláusulas no modelo ANPD). A conformidade em uma jurisdição não garante conformidade na outra.
Consentimento: Requisitos Convergentes, Operação Distinta
Ambas as leis exigem consentimento livre, informado, inequívoco e para finalidade determinada. A LGPD adiciona que o consentimento deve ser "fornecido por escrito" quando em cláusula contratual, em destaque (Art. 8, §1). O GDPR não exige forma escrita, mas a prática europeia consolidou o padrão de double opt-in para email marketing.
No mercado brasileiro, a prática de double opt-in ainda é minoritária em D2C. Muitas operações coletam consentimento por single opt-in ou checkbox pré-marcado (que não atende nem LGPD nem GDPR). Para o comprador PE, a pergunta não é se a empresa coletou consentimento. É se o consentimento coletado atende aos requisitos da jurisdição relevante.
Dados de Crianças e Adolescentes
O GDPR define 16 anos como idade padrão para consentimento digital (Art. 8), com possibilidade de os Estados-membros reduzirem para 13. A LGPD exige consentimento específico de um dos pais ou responsável para tratamento de dados de crianças (menores de 12 anos) e determina que o tratamento de dados de adolescentes (12 a 18) deve ser feito em seu melhor interesse (Art. 14).
Para targets D2C com audiência jovem (moda, games, educação), essa diferença cria obrigações adicionais no Brasil que nem sempre estão mapeadas.