Análise Comparativa: GDPR, 152-FZ e PIPL - Uma Visão Geral da Proteção de Dados
Este artigo explora as nuances do GDPR europeu, da lei russa 152-FZ e da PIPL chinesa, analisando suas abordagens distintas para a proteção de dados pessoais. O texto detalha as diferenças em definições, responsabilidades e sanções, além de discutir o impacto na localização de dados e no marketing.
MundiX News·01 de maio de 2026·10 min de leitura·👁 2 views
Você busca privacidade e tranquilidade, as empresas visam lucrar com seus dados e publicidade direcionada, e o governo busca controle total para manter a ordem, conforme sua própria interpretação. Esse conflito de interesses, como o "problema dos três corpos", não possui uma solução estável e universal.
Hoje, analisaremos três abordagens para a proteção de dados pessoais: o GDPR europeu, a lei russa 152-FZ e a PIPL chinesa. À primeira vista, as três leis tratam do mesmo tema, mas o diabo reside nos detalhes, que determinam tudo, desde a arquitetura do aplicativo até o tamanho da multa potencial.
A luta pela privacidade começou muito antes da internet, dos likes e dos cookies. A primeira lei séria sobre proteção de dados pessoais foi aprovada no estado de Hesse (Alemanha) em 1970. No entanto, a precursora das leis modernas sobre dados pessoais, incluindo o GDPR, a 152-FZ e, indiretamente, a PIPL, foi a Convenção do Conselho da Europa para a proteção de indivíduos em relação ao tratamento automatizado de dados pessoais, assinada em 28 de janeiro de 1981.
Em 27 de julho de 2006, foi aprovada a Lei Federal nº 152-FZ "Sobre Dados Pessoais" — a primeira tentativa séria de adaptar os conceitos europeus à realidade russa. Em 25 de maio de 2018, entrou em vigor o GDPR (Regulamento Geral sobre a Proteção de Dados) — um regulamento extraterritorial poderoso que fez as empresas focadas nos mercados europeus se preocuparem. Em 1º de novembro de 2021, entrou em cena a PIPL (Lei de Proteção de Informações Pessoais) chinesa — uma lei jovem, mas original, que reflete a visão da China sobre o equilíbrio entre os direitos individuais e os interesses do Estado.
As diferenças nas leis começam com a abordagem da definição de "dados pessoais". Na Europa, a autoridade supervisora emitiu explicações detalhadas em 2007 — Opinião 4/2007 sobre o conceito de dados pessoais. Na China, existe o padrão nacional GB/T 35273–2020, que especifica quais categorias de dados devem ser consideradas pessoais. A lei russa 152-FZ usa uma definição mais geral: "qualquer informação relacionada a uma pessoa física direta ou indiretamente identificada ou identificável". Na prática, isso é nome completo mais qualquer parâmetro de esclarecimento. Essa formulação deixa um vasto campo para interpretações. Por exemplo, um endereço IP é um dado pessoal? A resposta do regulador russo: "Depende do contexto". Isso não é um bug, mas um recurso que dá ao regulador espaço para manobras, mas complica a vida de advogados e DPOs (Data Protection Officer). Não existem atos regulatórios oficiais com uma lista e exemplos de dados pessoais na Rússia.
Outra diferença está na distribuição de papéis ao trabalhar com dados pessoais. No esquema europeu, o "Controlador" decide por que os dados são necessários, e o "Processador" os armazena ou processa em nome do Controlador. A responsabilidade entre eles é claramente delimitada. Na legislação chinesa, é alocada uma única função de "Processador de informações pessoais", que determina os propósitos e realiza o próprio processamento. Na Rússia, o "Operador" direto (por exemplo, um empregador ou loja online) e terceiros, aos quais o processamento de dados pode ser delegado (por exemplo, um provedor de nuvem ou uma agência de recrutamento externa), são diferenciados. Uma nuance importante é que, mesmo com o envolvimento de tal contratado, a responsabilidade por violações, via de regra, recai sobre o "Operador". Ou seja, a terceirização do processamento de dados não distribui a responsabilidade perante o cidadão de forma tão clara quanto na Europa.
No entanto, apesar de todas essas diferenças, as três leis são construídas com base em princípios comuns. Ao estudá-los, você entenderá 80% da lógica de qualquer lei de dados pessoais.
Legalidade: os dados não podem ser coletados sem uma base legal.
Limitação de finalidade: os dados só podem ser usados para os fins declarados.
Minimização de dados: apenas o mínimo necessário de informações deve ser coletado.
Precisão: as informações devem ser atualizadas.
Limitação de armazenamento: os dados são armazenados apenas o tempo necessário para atingir o objetivo.
Integridade e confidencialidade: a obrigação de proteger os dados contra vazamentos e acesso não autorizado.
Vamos ver como esses mandamentos básicos são interpretados em Moscou, Bruxelas e Pequim.
Com o exemplo desses atos, as diferenças filosóficas na regulamentação estatal da indústria de TI são bem visíveis.
O GDPR surgiu da tradição humanista europeia: o indivíduo deve ter alavancas de influência sobre as corporações. Assim, o regulamento fixa o direito do cidadão à portabilidade de dados. Por exemplo, você pode ir a um banco e dizer: "Empacote todos os meus dados pessoais em um formato legível por máquina, pois estou indo para a concorrência". A lei europeia garante ao usuário de serviços digitais a transferência contínua de dados, o que aumenta significativamente a concorrência.
O modelo russo tende ao controle estatal. A principal característica da 152-FZ e dos atos regulatórios relacionados é a obrigação da empresa de notificar Roskomnadzor e se registrar no registro de operadores de dados pessoais antes mesmo de começar a processá-los. Esta é uma abordagem proativa: o operador de dados pessoais informa com antecedência sobre si mesmo, os tipos de dados coletados, os propósitos e métodos de processamento. Em suma, na Rússia, a ênfase é colocada na supervisão rigorosa e na responsabilidade dos operadores perante o Estado.
Os legisladores chineses partiram da experiência europeia e russa, adaptando-a às realidades chinesas. Não foi sem truques orientais: a PIPL é uma lei-construtor de estrutura que contém formulações como "de acordo com as disposições futuras". O governo pode emitir um novo ato regulatório a qualquer momento com regras detalhadas para uma indústria específica, sem reescrever o núcleo do documento. Isso liberta as mãos do regulador, mas leva à incerteza para as empresas. A segunda característica são as punições por violações. Somente na China existe uma sanção como a proibição total para uma empresa estrangeira de processar dados pessoais de cidadãos chineses.
A filosofia é maravilhosa, mas é mais importante para as empresas saber onde colocar os servidores e como enviar publicidade. Aqui também existem diferenças fundamentais.
A Rússia (152-FZ) funciona com base no princípio de que "em casa é melhor". De acordo com a Parte 5 do Artigo 18 da Lei Federal 152, ao coletar dados pessoais de cidadãos da Federação Russa pela primeira vez, o operador é obrigado a garantir seu registro, sistematização e armazenamento usando bancos de dados localizados no território da Rússia. Este requisito se aplica a todos — de uma loja online local a uma gigante internacional.
No que diz respeito ao envio de informações para o exterior, a partir de 1º de março de 2023, a Rússia opera um procedimento de permissão para a transferência transfronteiriça de dados. Antes de enviar um byte de informação para outro estado, você precisa notificar Roskomnadzor sobre isso e, em alguns casos (se o país não fornecer proteção adequada), aguardar a permissão do regulador. Enfatizamos que isso não cancela os requisitos rígidos para a localização de bancos de dados no território da Rússia.
A China (PIPL) aborda a questão seletivamente. A localização local é obrigatória apenas para operadores de infraestrutura de informação crítica (CII). Para outros operadores, os requisitos são mais brandos. Ao transferir dados para o exterior, os chineses, como os europeus, geralmente confiam em condições contratuais padrão (SCC) ou certificação de segurança.
Na União Europeia (GDPR), não há requisito direto para armazenar dados estritamente dentro da UE. Além disso, a Europa opera mecanismos burocráticos convenientes e bem desenvolvidos para a exportação de dados para fora da União (a mesma transferência transfronteiriça).
Agora vamos falar sobre como justificar o processamento de dados se você, por exemplo, apenas quiser vender tênis para um cliente.
No GDPR, existe a prática de "interesse legítimo" (Legitimate Interest). A empresa pode processar dados sem o consentimento do proprietário se provar que seu interesse comercial supera os riscos para a privacidade.
Recentemente, essa base legal foi usada, inclusive, para marketing direto ou antifraude. No entanto, na prática, provar o "interesse legítimo" perante o regulador era extremamente difícil. Para aqueles que ainda decidem sobre essa medida, o regulador emitiu explicações semelhantes sobre a avaliação da legitimidade.
Mas até mesmo essa "janela" legal foi fechada: de acordo com a decisão do Tribunal Europeu no caso Inteligo Media de 13 de novembro de 2025, o "interesse legítimo" não concede mais o direito a marketing direto e mala direta com o uso de dados pessoais. Agora, nesta questão, eles se concentram na Diretiva 2002/58/EC (Diretiva sobre Privacidade e Comunicações Eletrônicas), que afirma que o proprietário dos dados deve, em qualquer caso, dar seu consentimento para o processamento.
Na 152-FZ e na PIPL chinesa, o conceito de interesse legítimo nunca existiu. Para marketing, também é necessário o consentimento obrigatório e específico do proprietário dos dados pessoais. Um passo para a esquerda, um passo para a direita — execução multa.
Outra coisa em comum — tanto na Europa, quanto na China e na Rússia, o consentimento para o processamento de dados pode ser obtido com um "clique" ou "deslize" — o principal é que a pessoa seja informada sobre isso e haja uma oportunidade de provar a obtenção do consentimento. Além disso, em alguns casos (por exemplo, biometria, categorias especiais de dados), o consentimento do proprietário é exigido por escrito com dados de passaporte e assinatura. Surge um paradoxo: para proteger os dados de uma pessoa, as empresas são forçadas a coletar ainda mais informações sobre ela.
Agora, vamos tentar simular como esses sistemas funcionam na prática. Digamos que uma grande empresa internacional, a MegaService, tenha permitido o vazamento de dados de usuários da Rússia, Alemanha e China. A base com nomes, endereços e histórico de pedidos caiu nas mãos de invasores. O que espera a empresa e os hipotéticos Ivan de Moscou, Hans de Berlim e Li de Xangai?
Na Rússia, a empresa deve enviar uma notificação inicial para Roskomnadzor dentro de 24 horas após a descoberta do incidente e, dentro de 72 horas, fornecer os resultados da investigação interna. O principal destinatário é o Estado. A empresa não é obrigada a notificar pessoalmente Ivan sobre o vazamento. Ele pode descobrir tudo apenas pelas notícias, se o caso for divulgado na mídia. Mais detalhes sobre as regras para responder a vazamentos de dados pessoais na Rússia — em nosso artigo anterior.
Na União Europeia, o cenário é diferente. A empresa tem 72 horas para notificar a principal autoridade supervisora. Mas se o vazamento criar um alto risco para os direitos e liberdades das pessoas, a empresa também é obrigada a notificar os próprios usuários. Hans receberá um e-mail com uma descrição do incidente, riscos e recomendações de proteção.
Na China, o principal é a velocidade. A PIPL exige notificar o regulador e os usuários "imediatamente". De acordo com as medidas administrativas da CAC (Escritório Estadual de Informações da Internet), os incidentes de alta gravidade devem ser relatados ao regulador dentro de uma hora.
Li, como Hans, receberá uma notificação direta. Mas há uma brecha: a empresa pode não notificar os usuários se provar que conseguiu evitar danos causados pelo vazamento. No entanto, o regulador tem o direito de insistir na notificação. Todo o sistema opera sob o controle próximo do Estado, cujo objetivo é não apenas proteger o usuário, mas também interromper rapidamente quaisquer consequências sociais ou políticas do incidente.
São as multas que forçam as corporações a levar as leis a sério.
Na Rússia, até recentemente, elas eram simbólicas. No entanto, a partir de 30 de maio de 2025, pontos específicos foram adicionados ao Código de Ofensas Administrativas da Federação Russa, prevendo responsabilidade por vazamentos. E para um vazamento repetido, foi introduzida uma multa de volume de negócios: de 1 a 3% da receita do ano anterior (ou o tamanho do capital para uma instituição de crédito), mas não inferior a 20 milhões de rublos e não superior a 500 milhões de rublos. A prática de aplicação está apenas sendo desenvolvida: de acordo com as estatísticas para a segunda metade de 2025, os tribunais emitiram uma advertência em metade dos casos, e cerca de 40% dos casos terminaram com multas.
Na União Europeia, a multa pode chegar a 20 milhões de euros ou 4% do volume de negócios global anual da empresa — dependendo de qual valor for maior. Em 2024, o valor total das multas sob o GDPR foi de cerca de 1,2 bilhão de euros. No primeiro semestre de 2025, as cinco maiores multas ultrapassaram 3 bilhões de euros em seis meses. Ao mesmo tempo, apenas cerca de 1,3% de todos os casos contra empresas na UE levam a multas — a maioria dos casos são encerrados sem sanções ou resolvidos de outra forma.
Na China, a multa pode ser de até 50 milhões de yuans ou 5% da receita anual. Além disso, responsabilidade pessoal para gerentes e pessoas responsáveis, até mesmo criminal, bem como o risco de uma proibição total de trabalhar com dados. Um exemplo notório: o serviço de táxi Didi foi multado em 8 bilhões de yuans, inclusive por violar os padrões de segurança e processamento de dados. No entanto, Didi violou não apenas a PIPL, mas também várias outras leis.
A conclusão é simples. Na Europa, eles atingem a carteira de toda a corporação. Na China — na carteira, reputação, condições de fazer negócios no país e pessoalmente nos gerentes. A legislação russa está se movendo com confiança na direção do endurecimento, adotando a experiência de ambos os sistemas.
Embora a Rússia esteja ativamente tomando emprestado o conceito de multas de volume de negócios da Europa, é um erro considerar a 152-FZ um ato regulatório atrasado. Existem várias soluções exclusivas em nossa legislação.
Proibição do "juiz robô".
Conforme afirma o artigo 16 da 152-FZ, as decisões com consequências legais (por exemplo, recusa automática de crédito) não podem ser baseadas exclusivamente no processamento automatizado de dados pessoais. Isso requer o consentimento por escrito da pessoa. No GDPR e na PIPL, esses veredictos automatizados são possíveis, embora com uma série de ressalvas: o proprietário dos dados pessoais pode contestar a decisão e exigir uma verificação com a participação de um especialista real. Portanto, aqui a lei russa dá ao usuário mais proteção do que o GDPR ou a PIPL.
Nomeação de um responsável para todos os operadores.
Na Rússia, qualquer empresa operadora é obrigada a nomear uma pessoa responsável pela organização do processamento de dados pessoais. No GDPR e na PIPL, o requisito de nomear um Data Protection Officer é mais brando e se aplica principalmente a órgãos governamentais e empresas cujas atividades estão relacionadas ao processamento em larga escala de dados confidenciais ou ao monitoramento sistemático de seus proprietários. Neste aspecto, a lei russa é mais rigorosa.
Notificação mais formalizada dos sujeitos sobre o processamento de seus dados pessoais.
A 152-FZ apresenta uma lista detalhada de informações que o operador é obrigado a fornecer a uma pessoa ao coletar seus dados: os propósitos do processamento, fundamentos legais, lista de dados, prazos de armazenamento, informações sobre transferência transfronteiriça e muito mais. Na legislação da RPC e da UE, esses detalhes são menos formalizados.
No geral, vemos três abordagens diferentes, mas lógicas, para o gerenciamento de dados.
GDPR — é um padrão burocrático, mas focado nos direitos humanos.
PIPL — um mecanismo de controle pragmático e centrado no Estado.
152-FZ — um híbrido em constante evolução que busca um equilíbrio entre as duas abordagens.
A principal questão para os próximos anos está relacionada ao uso de inteligência artificial no processamento de dados. Como regular o trabalho de redes neurais, garantir a transparência das decisões algorítmicas e implementar o "direito ao esquecimento" se os dados do usuário já se tornaram parte de um modelo treinado? A legislação russa aqui ainda está no papel de alcançar, e é nessa direção que provavelmente veremos as maiores mudanças. O papel de Roskomnadzor provavelmente continuará a se fortalecer.
Se pensarmos globalmente, a questão surge: a comunidade global conseguirá encontrar um equilíbrio entre inovação, segurança e liberdade na corrida pelo controle de dados? Cada um dos modelos legislativos descritos no artigo faz essa tentativa e oferece seu próprio compromisso.
Qual desses modelos você acha ideal e por quê? Sinta-se à vontade para compartilhar sua opinião nos comentários.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Você busca privacidade e tranquilidade, as empresas visam lucrar com seus dados e publicidade direcionada, e o governo busca controle total para manter a ordem, conforme sua própria interpretação. Esse conflito de interesses, como o "problema dos três corpos", não possui uma solução estável e universal.
Hoje, analisaremos três abordagens para a proteção de dados pessoais: o GDPR europeu, a lei russa 152-FZ e a PIPL chinesa. À primeira vista, as três leis tratam do mesmo tema, mas o diabo reside nos detalhes, que determinam tudo, desde a arquitetura do aplicativo até o tamanho da multa potencial.
A luta pela privacidade começou muito antes da internet, dos likes e dos cookies. A primeira lei séria sobre proteção de dados pessoais foi aprovada no estado de Hesse (Alemanha) em 1970. No entanto, a precursora das leis modernas sobre dados pessoais, incluindo o GDPR, a 152-FZ e, indiretamente, a PIPL, foi a Convenção do Conselho da Europa para a proteção de indivíduos em relação ao tratamento automatizado de dados pessoais, assinada em 28 de janeiro de 1981.
Em 27 de julho de 2006, foi aprovada a Lei Federal nº 152-FZ "Sobre Dados Pessoais" — a primeira tentativa séria de adaptar os conceitos europeus à realidade russa. Em 25 de maio de 2018, entrou em vigor o GDPR (Regulamento Geral sobre a Proteção de Dados) — um regulamento extraterritorial poderoso que fez as empresas focadas nos mercados europeus se preocuparem. Em 1º de novembro de 2021, entrou em cena a PIPL (Lei de Proteção de Informações Pessoais) chinesa — uma lei jovem, mas original, que reflete a visão da China sobre o equilíbrio entre os direitos individuais e os interesses do Estado.
As diferenças nas leis começam com a abordagem da definição de "dados pessoais". Na Europa, a autoridade supervisora emitiu explicações detalhadas em 2007 — Opinião 4/2007 sobre o conceito de dados pessoais. Na China, existe o padrão nacional GB/T 35273–2020, que especifica quais categorias de dados devem ser consideradas pessoais. A lei russa 152-FZ usa uma definição mais geral: "qualquer informação relacionada a uma pessoa física direta ou indiretamente identificada ou identificável". Na prática, isso é nome completo mais qualquer parâmetro de esclarecimento. Essa formulação deixa um vasto campo para interpretações. Por exemplo, um endereço IP é um dado pessoal? A resposta do regulador russo: "Depende do contexto". Isso não é um bug, mas um recurso que dá ao regulador espaço para manobras, mas complica a vida de advogados e DPOs (Data Protection Officer). Não existem atos regulatórios oficiais com uma lista e exemplos de dados pessoais na Rússia.
Outra diferença está na distribuição de papéis ao trabalhar com dados pessoais. No esquema europeu, o "Controlador" decide por que os dados são necessários, e o "Processador" os armazena ou processa em nome do Controlador. A responsabilidade entre eles é claramente delimitada. Na legislação chinesa, é alocada uma única função de "Processador de informações pessoais", que determina os propósitos e realiza o próprio processamento. Na Rússia, o "Operador" direto (por exemplo, um empregador ou loja online) e terceiros, aos quais o processamento de dados pode ser delegado (por exemplo, um provedor de nuvem ou uma agência de recrutamento externa), são diferenciados. Uma nuance importante é que, mesmo com o envolvimento de tal contratado, a responsabilidade por violações, via de regra, recai sobre o "Operador". Ou seja, a terceirização do processamento de dados não distribui a responsabilidade perante o cidadão de forma tão clara quanto na Europa.
No entanto, apesar de todas essas diferenças, as três leis são construídas com base em princípios comuns. Ao estudá-los, você entenderá 80% da lógica de qualquer lei de dados pessoais.
Legalidade: os dados não podem ser coletados sem uma base legal.
Limitação de finalidade: os dados só podem ser usados para os fins declarados.
Minimização de dados: apenas o mínimo necessário de informações deve ser coletado.
Precisão: as informações devem ser atualizadas.
Limitação de armazenamento: os dados são armazenados apenas o tempo necessário para atingir o objetivo.
Integridade e confidencialidade: a obrigação de proteger os dados contra vazamentos e acesso não autorizado.
Vamos ver como esses mandamentos básicos são interpretados em Moscou, Bruxelas e Pequim.
Com o exemplo desses atos, as diferenças filosóficas na regulamentação estatal da indústria de TI são bem visíveis.
O GDPR surgiu da tradição humanista europeia: o indivíduo deve ter alavancas de influência sobre as corporações. Assim, o regulamento fixa o direito do cidadão à portabilidade de dados. Por exemplo, você pode ir a um banco e dizer: "Empacote todos os meus dados pessoais em um formato legível por máquina, pois estou indo para a concorrência". A lei europeia garante ao usuário de serviços digitais a transferência contínua de dados, o que aumenta significativamente a concorrência.
O modelo russo tende ao controle estatal. A principal característica da 152-FZ e dos atos regulatórios relacionados é a obrigação da empresa de notificar Roskomnadzor e se registrar no registro de operadores de dados pessoais antes mesmo de começar a processá-los. Esta é uma abordagem proativa: o operador de dados pessoais informa com antecedência sobre si mesmo, os tipos de dados coletados, os propósitos e métodos de processamento. Em suma, na Rússia, a ênfase é colocada na supervisão rigorosa e na responsabilidade dos operadores perante o Estado.
Os legisladores chineses partiram da experiência europeia e russa, adaptando-a às realidades chinesas. Não foi sem truques orientais: a PIPL é uma lei-construtor de estrutura que contém formulações como "de acordo com as disposições futuras". O governo pode emitir um novo ato regulatório a qualquer momento com regras detalhadas para uma indústria específica, sem reescrever o núcleo do documento. Isso liberta as mãos do regulador, mas leva à incerteza para as empresas. A segunda característica são as punições por violações. Somente na China existe uma sanção como a proibição total para uma empresa estrangeira de processar dados pessoais de cidadãos chineses.
A filosofia é maravilhosa, mas é mais importante para as empresas saber onde colocar os servidores e como enviar publicidade. Aqui também existem diferenças fundamentais.
A Rússia (152-FZ) funciona com base no princípio de que "em casa é melhor". De acordo com a Parte 5 do Artigo 18 da Lei Federal 152, ao coletar dados pessoais de cidadãos da Federação Russa pela primeira vez, o operador é obrigado a garantir seu registro, sistematização e armazenamento usando bancos de dados localizados no território da Rússia. Este requisito se aplica a todos — de uma loja online local a uma gigante internacional.
No que diz respeito ao envio de informações para o exterior, a partir de 1º de março de 2023, a Rússia opera um procedimento de permissão para a transferência transfronteiriça de dados. Antes de enviar um byte de informação para outro estado, você precisa notificar Roskomnadzor sobre isso e, em alguns casos (se o país não fornecer proteção adequada), aguardar a permissão do regulador. Enfatizamos que isso não cancela os requisitos rígidos para a localização de bancos de dados no território da Rússia.
A China (PIPL) aborda a questão seletivamente. A localização local é obrigatória apenas para operadores de infraestrutura de informação crítica (CII). Para outros operadores, os requisitos são mais brandos. Ao transferir dados para o exterior, os chineses, como os europeus, geralmente confiam em condições contratuais padrão (SCC) ou certificação de segurança.
Na União Europeia (GDPR), não há requisito direto para armazenar dados estritamente dentro da UE. Além disso, a Europa opera mecanismos burocráticos convenientes e bem desenvolvidos para a exportação de dados para fora da União (a mesma transferência transfronteiriça).
Agora vamos falar sobre como justificar o processamento de dados se você, por exemplo, apenas quiser vender tênis para um cliente.
No GDPR, existe a prática de "interesse legítimo" (Legitimate Interest). A empresa pode processar dados sem o consentimento do proprietário se provar que seu interesse comercial supera os riscos para a privacidade.
Recentemente, essa base legal foi usada, inclusive, para marketing direto ou antifraude. No entanto, na prática, provar o "interesse legítimo" perante o regulador era extremamente difícil. Para aqueles que ainda decidem sobre essa medida, o regulador emitiu explicações semelhantes sobre a avaliação da legitimidade.
Mas até mesmo essa "janela" legal foi fechada: de acordo com a decisão do Tribunal Europeu no caso Inteligo Media de 13 de novembro de 2025, o "interesse legítimo" não concede mais o direito a marketing direto e mala direta com o uso de dados pessoais. Agora, nesta questão, eles se concentram na Diretiva 2002/58/EC (Diretiva sobre Privacidade e Comunicações Eletrônicas), que afirma que o proprietário dos dados deve, em qualquer caso, dar seu consentimento para o processamento.
Na 152-FZ e na PIPL chinesa, o conceito de interesse legítimo nunca existiu. Para marketing, também é necessário o consentimento obrigatório e específico do proprietário dos dados pessoais. Um passo para a esquerda, um passo para a direita — execução multa.
Outra coisa em comum — tanto na Europa, quanto na China e na Rússia, o consentimento para o processamento de dados pode ser obtido com um "clique" ou "deslize" — o principal é que a pessoa seja informada sobre isso e haja uma oportunidade de provar a obtenção do consentimento. Além disso, em alguns casos (por exemplo, biometria, categorias especiais de dados), o consentimento do proprietário é exigido por escrito com dados de passaporte e assinatura. Surge um paradoxo: para proteger os dados de uma pessoa, as empresas são forçadas a coletar ainda mais informações sobre ela.
Agora, vamos tentar simular como esses sistemas funcionam na prática. Digamos que uma grande empresa internacional, a MegaService, tenha permitido o vazamento de dados de usuários da Rússia, Alemanha e China. A base com nomes, endereços e histórico de pedidos caiu nas mãos de invasores. O que espera a empresa e os hipotéticos Ivan de Moscou, Hans de Berlim e Li de Xangai?
Na Rússia, a empresa deve enviar uma notificação inicial para Roskomnadzor dentro de 24 horas após a descoberta do incidente e, dentro de 72 horas, fornecer os resultados da investigação interna. O principal destinatário é o Estado. A empresa não é obrigada a notificar pessoalmente Ivan sobre o vazamento. Ele pode descobrir tudo apenas pelas notícias, se o caso for divulgado na mídia. Mais detalhes sobre as regras para responder a vazamentos de dados pessoais na Rússia — em nosso artigo anterior.
Na União Europeia, o cenário é diferente. A empresa tem 72 horas para notificar a principal autoridade supervisora. Mas se o vazamento criar um alto risco para os direitos e liberdades das pessoas, a empresa também é obrigada a notificar os próprios usuários. Hans receberá um e-mail com uma descrição do incidente, riscos e recomendações de proteção.
Na China, o principal é a velocidade. A PIPL exige notificar o regulador e os usuários "imediatamente". De acordo com as medidas administrativas da CAC (Escritório Estadual de Informações da Internet), os incidentes de alta gravidade devem ser relatados ao regulador dentro de uma hora.
Li, como Hans, receberá uma notificação direta. Mas há uma brecha: a empresa pode não notificar os usuários se provar que conseguiu evitar danos causados pelo vazamento. No entanto, o regulador tem o direito de insistir na notificação. Todo o sistema opera sob o controle próximo do Estado, cujo objetivo é não apenas proteger o usuário, mas também interromper rapidamente quaisquer consequências sociais ou políticas do incidente.
São as multas que forçam as corporações a levar as leis a sério.
Na Rússia, até recentemente, elas eram simbólicas. No entanto, a partir de 30 de maio de 2025, pontos específicos foram adicionados ao Código de Ofensas Administrativas da Federação Russa, prevendo responsabilidade por vazamentos. E para um vazamento repetido, foi introduzida uma multa de volume de negócios: de 1 a 3% da receita do ano anterior (ou o tamanho do capital para uma instituição de crédito), mas não inferior a 20 milhões de rublos e não superior a 500 milhões de rublos. A prática de aplicação está apenas sendo desenvolvida: de acordo com as estatísticas para a segunda metade de 2025, os tribunais emitiram uma advertência em metade dos casos, e cerca de 40% dos casos terminaram com multas.
Na União Europeia, a multa pode chegar a 20 milhões de euros ou 4% do volume de negócios global anual da empresa — dependendo de qual valor for maior. Em 2024, o valor total das multas sob o GDPR foi de cerca de 1,2 bilhão de euros. No primeiro semestre de 2025, as cinco maiores multas ultrapassaram 3 bilhões de euros em seis meses. Ao mesmo tempo, apenas cerca de 1,3% de todos os casos contra empresas na UE levam a multas — a maioria dos casos são encerrados sem sanções ou resolvidos de outra forma.
Na China, a multa pode ser de até 50 milhões de yuans ou 5% da receita anual. Além disso, responsabilidade pessoal para gerentes e pessoas responsáveis, até mesmo criminal, bem como o risco de uma proibição total de trabalhar com dados. Um exemplo notório: o serviço de táxi Didi foi multado em 8 bilhões de yuans, inclusive por violar os padrões de segurança e processamento de dados. No entanto, Didi violou não apenas a PIPL, mas também várias outras leis.
A conclusão é simples. Na Europa, eles atingem a carteira de toda a corporação. Na China — na carteira, reputação, condições de fazer negócios no país e pessoalmente nos gerentes. A legislação russa está se movendo com confiança na direção do endurecimento, adotando a experiência de ambos os sistemas.
Embora a Rússia esteja ativamente tomando emprestado o conceito de multas de volume de negócios da Europa, é um erro considerar a 152-FZ um ato regulatório atrasado. Existem várias soluções exclusivas em nossa legislação.
Proibição do "juiz robô".
Conforme afirma o artigo 16 da 152-FZ, as decisões com consequências legais (por exemplo, recusa automática de crédito) não podem ser baseadas exclusivamente no processamento automatizado de dados pessoais. Isso requer o consentimento por escrito da pessoa. No GDPR e na PIPL, esses veredictos automatizados são possíveis, embora com uma série de ressalvas: o proprietário dos dados pessoais pode contestar a decisão e exigir uma verificação com a participação de um especialista real. Portanto, aqui a lei russa dá ao usuário mais proteção do que o GDPR ou a PIPL.
Nomeação de um responsável para todos os operadores.
Na Rússia, qualquer empresa operadora é obrigada a nomear uma pessoa responsável pela organização do processamento de dados pessoais. No GDPR e na PIPL, o requisito de nomear um Data Protection Officer é mais brando e se aplica principalmente a órgãos governamentais e empresas cujas atividades estão relacionadas ao processamento em larga escala de dados confidenciais ou ao monitoramento sistemático de seus proprietários. Neste aspecto, a lei russa é mais rigorosa.
Notificação mais formalizada dos sujeitos sobre o processamento de seus dados pessoais.
A 152-FZ apresenta uma lista detalhada de informações que o operador é obrigado a fornecer a uma pessoa ao coletar seus dados: os propósitos do processamento, fundamentos legais, lista de dados, prazos de armazenamento, informações sobre transferência transfronteiriça e muito mais. Na legislação da RPC e da UE, esses detalhes são menos formalizados.
No geral, vemos três abordagens diferentes, mas lógicas, para o gerenciamento de dados.
GDPR — é um padrão burocrático, mas focado nos direitos humanos.
PIPL — um mecanismo de controle pragmático e centrado no Estado.
152-FZ — um híbrido em constante evolução que busca um equilíbrio entre as duas abordagens.
A principal questão para os próximos anos está relacionada ao uso de inteligência artificial no processamento de dados. Como regular o trabalho de redes neurais, garantir a transparência das decisões algorítmicas e implementar o "direito ao esquecimento" se os dados do usuário já se tornaram parte de um modelo treinado? A legislação russa aqui ainda está no papel de alcançar, e é nessa direção que provavelmente veremos as maiores mudanças. O papel de Roskomnadzor provavelmente continuará a se fortalecer.
Se pensarmos globalmente, a questão surge: a comunidade global conseguirá encontrar um equilíbrio entre inovação, segurança e liberdade na corrida pelo controle de dados? Cada um dos modelos legislativos descritos no artigo faz essa tentativa e oferece seu próprio compromisso.
Qual desses modelos você acha ideal e por quê? Sinta-se à vontade para compartilhar sua opinião nos comentários.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
