Legge Generale sulla Protezione dei Dati del Brasile

Nel loro ultimo tentativo di ordine e progresso, il Brasile ha approvato la Lei Geral de Proteção de Dados (LGPD) o Legge Generale per la Protezione dei Dati Personali. La legislazione è un modo per proteggere le informazioni personali e la privacy dei cittadini brasiliani fornendo linee guida su come tali dati possono essere elaborati e raccolti dalle organizzazioni. (Suggerimento: Solo con permesso.) Aiuta a standardizzare e chiarire oltre 40 diversi statuti precedenti, (a volte conflittuali) che regolavano i dati personali, e si applica sia alle aziende e organizzazioni brasiliane che internazionali.

Termini da conoscere per la LGPD Brasile 

• Dati Personali: Qualsiasi informazione che identifica o è specifica per un individuo, come il nome, il cognome, il soprannome, il numero di identificazione, ecc.
• Titolare dei Dati o Soggetto dei Dati: L'individuo a cui si riferiscono i dati personali.
• Trattamento dei Dati: Qualsiasi operazione effettuata utilizzando dati personali, come la raccolta, la conservazione, l'uso o la divulgazione delle informazioni.
• Titolare del Trattamento: La persona responsabile delle decisioni su come i dati personali vengono utilizzati o trattati. Sono in ultima analisi responsabili del rispetto degli standard LGPD da parte della loro azienda.
• Consenso: permesso o accordo libero e informato. In questo caso, il permesso del titolare dei dati per il trattamento delle proprie informazioni per uno scopo specifico.
• Autoridade Nacional de Proteção de Dados (ANPD) o Autorità Nazionale per la Protezione dei Dati: Ramo del governo federale brasiliano incaricato di supervisionare la regolamentazione, la conformità e l'applicazione della LGPD.
• Responsabili della Protezione dei Dati: Persona che rappresenta l'organizzazione che tratta i dati personali, responsabile della comunicazione tra la propria azienda, l'ANPD e i titolari dei dati. Di solito hanno una formazione in diritto o IT.

Cosa fa la LGPD 

La LGPD richiede ai Titolari del Trattamento di adottare pratiche tecniche e amministrative che regolano come e perché i dati personali possono essere trattati (elettronicamente o fisicamente) e di proteggere i dati personali che trattano da accessi non autorizzati, perdita, alterazione e/o esposizione.

Dieci diritti dei soggetti dei dati

La LGPD del Brasile delinea dieci diritti dei soggetti dei dati, che sono la base per tutti i requisiti di trattamento richiesti alle aziende o organizzazioni:

1. Il diritto di confermare che i propri dati sono stati trattati;
2. Il diritto di accedere ai propri dati;
3. Il diritto di correggere dati incompleti, inaccurati o obsoleti;
4. Il diritto di anonimizzare, bloccare o eliminare dati non necessari o eccessivi o dati che non vengono trattati in conformità con la LGPD;
5. Il diritto di trasferire i propri dati a un altro fornitore di servizi o prodotti;
6. Il diritto di eliminare i dati personali trattati con il proprio consenso;
7. Il diritto di ricevere informazioni sui terzi pubblici e privati con cui il titolare ha condiviso i propri dati;
8. Il diritto di ricevere informazioni su cosa succede se si nega il consenso;
9. Il diritto di revocare il proprio consenso.
10. Il diritto alla portabilità dei dati, che consente al titolare di richiedere una copia completa dei propri dati in un formato utilizzabile dai concorrenti.

Requisiti per i titolari del trattamento/organizzazioni

La LGPD richiede ai titolari del trattamento/organizzazioni di:

• Nominare un Responsabile della Protezione dei Dati per gestire richieste o reclami da parte dei clienti la cui identità e informazioni di contatto sono pubbliche e clear, preferibilmente sul loro sito web;
• Tenere un registro delle operazioni di trattamento che effettuano;
• Informare, correggere, eliminare, anonimizzare o trasferire i dati personali come richiesto dal soggetto dei dati;
• Rimuovere i dati una volta terminato il rapporto;
• Mettere in atto misure amministrative e di sicurezza per proteggere la sicurezza dei dati da furti, accessi non autorizzati, incidenti o altri problemi;
• Comunicare eventuali violazioni dei dati ai soggetti dei dati, alle autorità locali e all'ANPD.

Ci sono dieci basi in base alle quali le aziende possono trattare legalmente i dati personali. I dati possono essere trattati:

1. Per scopi legittimi, specifici ed espliciti ai quali il soggetto dei dati ha acconsentito;
2. Per adempiere a un obbligo legale o normativo;
3. Per eseguire politiche pubbliche basate su contratti legali, accordi o simili;
4. Per eseguire un contratto su richiesta del soggetto dei dati (come un acquisto o una transazione);
5. Per svolgere ricerche, assicurando, quando possibile, che i dati personali siano stati anonimizzati;
6. Per l'esercizio di diritti in procedure giudiziarie, amministrative o arbitrali;
7. Per la protezione della vita o della sicurezza fisica del soggetto dei dati o di un terzo;
8. Per proteggere la salute, come effettuato da professionisti della salute o enti sanitari;
9. Quando necessario per soddisfare gli interessi legittimi del titolare o di un terzo;
10. Per la protezione del credito.

Cosa fa l'ANPD 

L'Autoridade Nacional de Proteção de Dados (ANPD) o Autorità Nazionale per la Protezione dei Dati è il ramo del governo federale brasiliano che deve essere formato e incaricato di supervisionare la regolamentazione, la conformità e l'applicazione della LGPD. Sotto la direzione del presidente, l'ANPD ha poteri decisionali. Sarà composta da un consiglio consultivo di 28 membri suddiviso in diversi gruppi: il Consiglio di Amministrazione, il Consiglio Nazionale, un Ufficio Affari Interni e altre unità specializzate per compiti legali e di enforcement.

Saranno responsabili di:

• Fornire interpretazioni e linee guida pratiche su come implementare la LGPD;
• Indagare e auditare reclami o violazioni segnalate e lavorare con il Responsabile della Protezione dei Dati per una risoluzione;
• Emissione di sanzioni per violazioni del trattamento dei dati;
• Condurre studi, dibattiti pubblici e audizioni sulla protezione dei dati personali.

Quando è entrata in vigore la LGPD 

La legge entrerà in vigore il 1° gennaio 2021.

Le sanzioni per violazioni della conformità alla LGPD sono state posticipate fino al 1° agosto 2021.

Raccomandazioni 

• Prima di tutto, aspettare fino all'ultimo minuto per diventare conformi potrebbe essere un errore costoso. La non conformità potrebbe comportare multe superiori al 2% del loro fatturato in Brasile, per l'anno fiscale precedente, fino a un massimo di 50 milioni di reais brasiliani per infrazione (circa 12,9 milioni di USD o 11,2 milioni di EUR).
• Nominare un Responsabile della Protezione dei Dati per monitorare il trattamento e la sicurezza dei dati e pubblicare chiaramente il proprio nome e le informazioni di contatto sul proprio sito web.
• Chiedere sempre il consenso. Essere clear e trasparenti su come e perché i dati dei clienti vengono trattati, e rendere facile l'opt-in o l'opt-out.
• Conservare i dati solo per il tempo necessario a elaborare una transazione e non oltre.
• Assicurarsi di documentare l'intero processo di trattamento: come si stanno raccogliendo, conservando, utilizzando e condividendo i dati personali? Potresti essere chiamato a presentare tale documentazione, quindi è meglio averla pronta.
• Pianificare audit regolari. Le perdite di dati sono enormemente costose in termini di risorse e reputazione. Essere vigili consentirà di individuare errori o predatori più rapidamente, e essere proattivi appare sempre meglio che essere colti in fallo.

Maggiori informazioni 

• Sito ufficiale della LGPD

Domande frequenti