Il Brasile ha approvato la Legge generale sulla protezione dei dati nel 2018, che entrerà in vigore nel febbraio 2020. Questo articolo esamina il GDPR rispetto alla LGPD, in che modo differisce e cosa devono fare gli imprenditori di tutto il mondo per prepararsi.
La brasiliana Lei Geral de Proteção de Dados (o LGPD) fornisce chiarimenti estremamente necessari al quadro giuridico brasiliano. La LGPD tenta di unificare gli oltre 40 diversi statuti che attualmente regolano i dati personali, sia online che offline, sostituendo alcune normative e integrandone altre. Questa unificazione di regolamenti precedentemente disparati e spesso contraddittori è solo una somiglianza che condivide con il regolamento generale sulla protezione dei dati dell'UE, un documento dal quale prende chiaramente ispirazione.
Un'altra somiglianza è che la LGPD si applica a qualsiasi attività commerciale o organizzazione che elabora i dati personali delle persone in Brasile, indipendentemente da dove tale attività commerciale o organizzazione stessa potrebbe trovarsi. Quindi, se la tua azienda ha clienti o clienti in Brasile, dovresti iniziare a prepararti per la conformità LGPD. Fortunatamente, hai ancora tempo prima che la legge abbia effetto. E se sei già conforme al GDPR, hai già fatto gran parte del lavoro necessario per conformarti alla LGPD.
Somiglianze tra GDPR e LGPD
Oltre alla sua applicazione extraterritoriale , la LGPD e il GDPR concordano diverse basi per quanto riguarda la protezione dei dati.
Dati personali
Sebbene LGPD non abbia un'unica definizione per i dati personali, se leggi l'intero testo, puoi vedere gli echi della definizione di dati personali del GDPR . La LGPD afferma in vari luoghi che i dati personali possono significare qualsiasi dato che, da solo o combinato con altri dati, potrebbe identificare una persona fisica o sottoporli a un trattamento specifico. Mentre questa definizione sarà probabilmente chiarita quando il Brasile si avvicina all'implementazione della LGPD, come attualmente affermato, la LGPD ha una visione ampia di quali dati si qualifichino come dati personali, ancor più ampi rispetto al GDPR.
Diritti dell'interessato
L'articolo 18 è un'altra sezione della LGPD che sembrerà familiare alle aziende che hanno affrontato la conformità al GDPR. Illustra i nove diritti fondamentali di cui dispongono gli interessati, tra cui:
- Il diritto alla conferma dell'esistenza del trattamento;
- Il diritto di accedere ai dati;
- Il diritto di correggere dati incompleti, inesatti o non aggiornati;
- Il diritto di anonimizzare, bloccare o eliminare dati non necessari o eccessivi o dati che non vengono elaborati in conformità con la LGPD;
- Il diritto alla portabilità dei dati a un altro servizio o fornitore di prodotti, mediante una richiesta esplicita
- Il diritto di cancellare i dati personali trattati con il consenso dell'interessato;
- Il diritto all'informazione su soggetti pubblici e privati con cui il responsabile del trattamento ha condiviso i dati;
- Il diritto all'informazione sulla possibilità di negare il consenso e le conseguenze di tale rifiuto; e
- Il diritto di revocare il consenso.
Sebbene il GDPR sia noto per la concessione ai suoi interessati di otto diritti fondamentali , essi sono essenzialmente gli stessi diritti citati dalla LGPD. Sembra che la LGPD abbia diviso “Il diritto all'informazione su soggetti pubblici e privati con i quali il responsabile del trattamento ha condiviso i dati” dal più generale “Diritto all'informazione” del GDPR per renderlo più esplicito.
Differenze tra LGPD e GDPR
Nonostante i loro obiettivi simili e l'apparente influenza che il GDPR ha avuto sui legislatori brasiliani, ci sono alcune differenze chiave da notare tra i due atti legislativi.
Responsabili della protezione dei dati
Entrambi gli atti richiedono alle imprese e alle organizzazioni di assumere un responsabile della protezione dei dati (DPO). Tuttavia, mentre il GDPR delinea quando è richiesto un RPD , l'articolo 41 della LGPD dice semplicemente: "Il responsabile del trattamento nomina un responsabile incaricato del trattamento dei dati", il che suggerisce che qualsiasi organizzazione che elabora i dati delle persone in Il Brasile dovrà assumere un DPO. Questa è un'altra area che probabilmente riceverà ulteriori chiarimenti, ma come scritto, è una delle poche aree in cui la LGPD è più rigorosa del GDPR.
Base giuridica per l'elaborazione dei dati
Forse la differenza più significativa tra LGPD e GDPR riguarda ciò che si qualifica come base legale per l'elaborazione dei dati. Il GDPR ha sei basi legali per l'elaborazione e un responsabile del trattamento dei dati deve sceglierne una come giustificazione per l'utilizzo delle informazioni dell'interessato. Tuttavia, all'articolo 7, la LGPD elenca 10. Sono:
- Con il consenso dell'interessato;
- Per ottemperare a un obbligo legale o regolamentare del responsabile del trattamento;
- Per eseguire politiche pubbliche previste da leggi o regolamenti o basate su contratti, accordi o strumenti simili;
- Effettuare studi da parte di entità di ricerca che garantiscano, ove possibile, l'anonimizzazione dei dati personali;
- Eseguire un contratto o procedure preliminari relative a un contratto di cui l'interessato è parte, su richiesta dell'interessato;
- Esercitare diritti in procedimenti giudiziari, amministrativi o arbitrali;
- Proteggere la vita o la sicurezza fisica dell'interessato o di terzi;
- Per proteggere la salute, in una procedura eseguita da professionisti della salute o da entità sanitarie;
- Per soddisfare gli interessi legittimi del responsabile del trattamento o di terzi, tranne quando prevalgono i diritti e le libertà fondamentali dell'interessato, che richiedono la protezione dei dati personali; o
- Per proteggere il credito (facendo riferimento a un punteggio di credito).
Avere la protezione del credito come base giuridica per il trattamento dei dati è in effetti un sostanziale allontanamento dal GDPR.
Segnalazione di violazioni dei dati
Mentre sia il GDPR che la LGPD richiedono alle organizzazioni di segnalare violazioni dei dati all'autorità locale di protezione dei dati, il livello di specificità varia ampiamente tra le due leggi. Il GDPR è esplicito: un'organizzazione deve segnalare una violazione dei dati entro 72 ore dalla sua scoperta (anche se diverse organizzazioni stanno già testando tale termine ).
La LGPD non prevede una scadenza precisa: l'articolo 48 stabilisce semplicemente che “il responsabile del trattamento deve comunicare all'autorità nazionale e all'interessato il verificarsi di un incidente di sicurezza che può creare rischio o danni rilevanti per l'interessato … in un tempo ragionevole periodo, come definito dall'autorità nazionale. " Poiché l'agenzia nazionale per la protezione dei dati non è stata ancora istituita, non esiste alcuna guida per ciò che costituisce un "periodo di tempo ragionevole".
multe
Una regolamentazione è forte quanto i suoi denti. Questo è il motivo per cui le multe massime del GDPR sono sostanziali e richiedono alle organizzazioni che commettono gravi violazioni del GDPR di pagare fino a € 20 milioni o il 4% delle entrate globali annuali, a seconda di quale sia maggiore.
Le ammende ai sensi della LGPD sono molto meno gravi. L'articolo 52 stabilisce che la sanzione massima per una violazione è "il 2% delle entrate di un'entità legale privata, di un gruppo o di un conglomerato in Brasile, per l'anno fiscale precedente, tasse escluse, fino a un massimo complessivo di 50 milioni di beni immobili" (funziona fino a circa € 11 milioni). Le multe LGPD sono in linea con le multe del GDPR per infrazioni meno gravi, ma 11 milioni di euro non riguarderanno i maggiori responsabili del trattamento dei dati al mondo.
Questa non è una panoramica esaustiva della LGPD, ma dovrebbe rassicurare gli imprenditori che, per la maggior parte, se hai raggiunto la conformità al GDPR , sei già sulla buona strada per conformarti alla LGPD. Le leggi sulla protezione dei dati stanno iniziando a essere considerate in tutto il mondo, dall'India agli Stati Uniti . GDPR.eu sarà qui per aiutarti a tenere il passo con gli ultimi sviluppi e raggiungere la conformità.