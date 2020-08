— di Letizia Dehò Trendiest News —

Il Brasile aveva approvato la legge generale sulla protezione dei dati nel 2018: avrebbe dovuto entrare in vigore nel febbraio 2020. La Brazilian General Data Protection Law (LGPD), benché sia largamente ispirata dal GDPR, differisce in vari modi – a cominciare dalle 10 basi giuridiche del trattamento.

La data di entrata in vigore al momento è incerta poiché il parlamento brasiliano ha fino al 27 Agosto per rimandare la sua entrata in vigore. Se tuttavia LGPD non verrà rimandato dal parlamento, entrerà retroattivamente in vigore a partire dal 16 Agosto 2020.

Questo articolo esamina il GDPR rispetto al LGPD, come differisce e cosa devono fare gli imprenditori a livello globale per prepararsi. LGPD riguarda sia il trattamento di dati effettuato in Brasile (es. tramite un server) sia il trattamento di dati personali di utenti Brasiliani, indipendentemente dalla sede del titolare del trattamento.

Lei Geral de Proteção de Dados (LGPD)

Il brasiliano Lei Geral de Proteção de Dados (o LGPD) apporta chiarimenti estremamente necessari al quadro giuridico brasiliano. Il LGPD cerca di unificare gli oltre 40 diversi statuti che attualmente disciplinano i dati personali, sia online che offline, sostituendo alcuni regolamenti e integrandone altri. Questa unificazione di regolamenti precedentemente disparati e spesso contraddittori è solo una somiglianza che condivide con il regolamento generale sulla protezione dei dati dell’UE, un documento da cui prende chiaramente ispirazione.

Un’altra somiglianza è che il LGPD si applica a qualsiasi azienda o organizzazione che elabora i dati personali delle persone in Brasile, indipendentemente da dove possa trovarsi tale azienda o organizzazione. Quindi, se la una azienda ha clienti in Brasile, dovrebbe iniziare a prepararsi per la conformità LGPD. E se è già conforme al GDPR, ha già svolto la maggior parte del lavoro necessario per conformartsi alla LGPD.

Somiglianze tra GDPR e LGPD

Oltre alla sua applicazione extraterritoriale, il LGPD e il GDPR concordano su diverse basi quando si tratta di protezione dei dati

Dati personali

Sebbene il LGPD non abbia un’unica definizione di dati personali, se leggi l’intero testo, puoi vedere gli echi della definizione di dati personali del GDPR. Il LGPD afferma in vari luoghi che per dati personali si intendono quei dati che, da soli o combinati con altri dati, potrebbero identificare una persona fisica o sottoporla a un trattamento specifico. Sebbene questa definizione sarà probabilmente chiarita man mano che il Brasile si avvicina all’implementazione della LGPD, come attualmente affermato, la LGPD ha una visione ampia di quali dati si qualificano come dati personali, anche più ampia del GDPR.

Diritti dell’interessato

L’articolo 18 è un’altra sezione del LGPD che sembrerà familiare alle aziende che si sono occupate della conformità al GDPR. Spiega i nove diritti fondamentali degli interessati, che includono:

Il diritto alla conferma dell’esistenza del trattamento;

Il diritto di accesso ai dati;

Il diritto di correggere dati incompleti, inesatti o non aggiornati;

Il diritto di anonimizzare, bloccare o cancellare dati non necessari o eccessivi o dati che non vengono elaborati in conformità con la LGPD;

Il diritto alla portabilità dei dati a un altro fornitore di servizi o prodotti, mediante richiesta espressa

Il diritto alla cancellazione dei dati personali trattati con il consenso dell’interessato;

Il diritto all’informazione su soggetti pubblici e privati ​​con cui il titolare ha condiviso i dati;

Il diritto all’informazione sulla possibilità di negare il consenso e le conseguenze di tale diniego; e

Il diritto di revocare il consenso.

Sebbene il GDPR sia noto per garantire ai suoi interessati otto diritti fondamentali, si tratta essenzialmente degli stessi diritti menzionati dal LGPD. Sembra che la LGPD abbia separato “Il diritto all’informazione su soggetti pubblici e privati ​​con cui il titolare del trattamento ha condiviso dati” dal più generale “Diritto di essere informato” del GDPR per renderlo più esplicito.

Differenze tra LGPD e GDPR

Nonostante i loro obiettivi simili e l’apparente influenza che il GDPR ha avuto sui legislatori brasiliani, ci sono alcune differenze chiave da notare tra i due atti legislativi

Responsabili della protezione dei dati

Entrambi gli atti richiedono alle aziende e alle organizzazioni di assumere un responsabile della protezione dei dati (DPO). Tuttavia, mentre il GDPR delinea quando è richiesto un DPO, l’articolo 41 del LGPD dice semplicemente: “Il responsabile del trattamento nomina un funzionario responsabile del trattamento dei dati”, il che suggerisce che qualsiasi organizzazione che elabora i dati delle persone in Il Brasile dovrà assumere un DPO. Questa è un’altra area che probabilmente riceverà ulteriori chiarimenti, ma come scritto, è una delle poche aree in cui il LGPD è più rigoroso del GDPR.

Base giuridica del trattamento dei dati

Forse la differenza più significativa tra LGPD e GDPR riguarda ciò che si qualifica come base giuridica per il trattamento dei dati. Il GDPR ha sei basi legali per l’elaborazione e un responsabile del trattamento dei dati deve sceglierne una come giustificazione per l’utilizzo delle informazioni di un interessato. Tuttavia, nell’articolo 7, il LGPD ne elenca 10.

Le 10 basi legali

Con il consenso dell’interessato;

Per adempiere a un obbligo legale o regolamentare del titolare del trattamento;

Per eseguire politiche pubbliche previste da leggi o regolamenti, o basate su contratti, accordi o strumenti simili;

Effettuare studi da parte di enti di ricerca che assicurino, ove possibile, l’anonimizzazione dei dati personali;

Per eseguire un contratto o procedure preliminari relative ad un contratto di cui l’interessato è parte, su richiesta dell’interessato;

Per esercitare i diritti in procedimenti giudiziari, amministrativi o arbitrali;

Per proteggere la vita o l’incolumità fisica dell’interessato o di terzi;

Per tutelare la salute, in una procedura svolta da professionisti sanitari o da enti sanitari;

Per soddisfare i legittimi interessi del responsabile del trattamento o di terzi, tranne quando prevalgono i diritti e le libertà fondamentali dell’interessato, che richiedono la protezione dei dati personali; o

Per proteggere il credito (riferito a un punteggio di credito).

Avere la tutela del credito come base giuridica per il trattamento dei dati è infatti un sostanziale allontanamento dal GDPR.

Segnalazione di violazioni dei dati

Sebbene sia il GDPR che il LGPD richiedano alle organizzazioni di segnalare le violazioni dei dati all’autorità locale per la protezione dei dati, il livello di specificità varia ampiamente tra le due leggi. Il GDPR è esplicito: un’organizzazione deve segnalare una violazione dei dati entro 72 ore dalla sua scoperta (sebbene diverse organizzazioni stiano già testando tale scadenza).

Il LGPD non prevede alcuna scadenza fissa: l’articolo 48 si limita a stabilire che “il responsabile del trattamento deve comunicare all’autorità nazionale e all’interessato il verificarsi di un incidente di sicurezza che può creare rischi o danni rilevanti agli interessati … in un tempo ragionevole periodo, come definito dall’autorità nazionale. ” Poiché l’agenzia nazionale per la protezione dei dati non è stata ancora istituita, non ci sono indicazioni per ciò che costituisce un “periodo di tempo ragionevole”.

Multe

Un regolamento è forte quanto i suoi denti. Questo è il motivo per cui le multe massime del GDPR sono notevoli e richiedono alle organizzazioni che commettono gravi violazioni del GDPR di pagare fino a 20 milioni di euro o il 4% delle entrate globali annuali, a seconda di quale sia il valore più alto.

Le multe previste dalla LGPD sono molto meno severe. L’articolo 52 stabilisce che la sanzione massima per una violazione è “2% delle entrate di una persona giuridica privata, di un gruppo o di un conglomerato in Brasile, per l’anno fiscale precedente, tasse escluse, fino a un massimo totale di 50 milioni di real” (funziona fino a circa 11 milioni di euro). Le multe LGPD sono in linea con quelle del GDPR per infrazioni meno gravi, ma 11 milioni di euro non riguarderanno i maggiori responsabili del trattamento dei dati del mondo.

Questa non è una panoramica esaustiva della LGPD, ma dovrebbe rassicurare gli imprenditori che, sotto molti aspetti, se hanno raggiunto la conformità al GDPR, sono già sulla buona strada per conformarsi alla LGPD. Le leggi sulla protezione dei dati iniziano a essere prese in considerazione in tutto il mondo, dall’India agli Stati Uniti.