Che cos’è la legge Brasiliana sulla protezione dei dati personali (LGPD)? Ti riguarda?



La legge brasiliana sulla protezione dei dati personali (LGPD, Lei Geral de Proteção de Dado) può essere considerata come la risposta del Brasile al GDPR.

[...] la LGPD ha un ambito territoriale che si estende al di fuori del Brasile. Ciò significa che potresti rientrare nel suo ambito di applicazione anche se tu o la tua azienda non avete sede in Brasile [...]. 





Che cos’è la LGPD e cosa ti chiede di fare?

La legge brasiliana sulla protezione dei dati personali (LGPD, Lei Geral de Proteção de Dado) può essere considerata come la risposta del Brasile al GDPR. Pur con alcune differenze infatti, la LGPD ha parecchie somiglianze con il regolamento europeo e intende sostituire o completare l’attualmente frammentato panorama giuridico (composto da più di 40 norme federali) con un quadro normativo principale.

La LGPD mira a creare un nuovo quadro giuridico per l’uso dei dati personali in Brasile, sia online che offline, nel settore privato e pubblico.

In generale, la LGPD chiede che i dati personali vengano trattati solo per scopi legittimi, specifici, espliciti e chiaramente comunicati.

Analogamente al GDPR, si applicano i principi di trasparenza e di minimizzazione dei dati (di conseguenza si possono usare solo i dati necessari).

La data di entrata in vigore della LGPD è attualmente incerta, potendo entrare in vigore ancora in 2020. 

 

Quando si applica la LGPD (ambito territoriale)

Analogamente al GDPR, la LGPD ha un ambito territoriale che si estende al di fuori del Brasile. Ciò significa che potresti rientrare nel suo ambito di applicazione anche se tu o la tua azienda non avete sede in Brasile.

In termini pratici, la LGPD si applica quando:

  • le tue attività di trattamento dati sono svolte in Brasile (ad esempio, usi server con sede in Brasile);

  • offri beni o servizi a persone situate in Brasile, indipendentemente dalla loro nazionalità; oppure

  • tratti dati di persone che si trovano in Brasile (anche se queste si trovavano in Brasile solo al momento della raccolta dei dati, e da allora si sono spostate).

In termini più generali, rientri nell’ambito di applicazione della LGPD se tratti dati di persone che si trovano in Brasile o di chiunque si trovi all’interno del territorio brasiliano, indipendentemente dalla nazionalità.

Casi in cui non si applica la LGPD

Esistono alcune eccezioni che valgono anche quando il titolare del trattamento rientra nell’ambito di applicazione territoriale della LGPD. La LGPD non si applica se:

  • il trattamento dei dati personali è effettuato da una persona fisica, solo ed esclusivamente per scopi privati e non commerciali; oppure

  • i dati personali sono trattati esclusivamente per una delle seguenti finalità:

    • espressione giornalistica o artistica;

    • ricerca accademica;

    • sicurezza pubblica;

    • difesa e sicurezza nazionale;

    • indagine e perseguimento dei reati.

Cosa intende la LGPD per “dati personali”?

La definizione di “dati personali” che dà la LGPD è piuttosto ampia. Analogamente al GDPR, costituiscono dati personali tutte le informazioni che sono riconducibili a un individuo identificato o identificabile. Questo comprende anche dati che possono essere combinati con altre informazioni per identificare qualsiasi individuo.

Esempi di dati personali includono (ma non si limitano a) dati identificativi come nomi, dati genetici, biometrici o inerenti la salute, dati web come indirizzi IP, indirizzi e-mail personali, opinioni politiche e dati sull’orientamento sessuale.

Esempi di dati non personali includono i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati resi anonimi.

I dati sensibili secondo la LGPD

La LGPD identifica i dati “sensibili” come diversi dai dati “regolari” e applica regole speciali a questa categoria di dati personali.

Per dati sensibili si intendono i dati relativi all’origine razziale ed etnica, alle convinzioni religiose, alle opinioni politiche, allo stato di salute e alla vita sessuale; oppure i dati che consentono un’inequivocabile e persistente identificazione dell’utente, come i dati genetici o biometrici.

Potendo esporre più facilmente l’utente a rischi di discriminazione, i dati sensibili devono essere trattati con ulteriori livelli di sicurezza e con basi giuridiche molto specifiche.

In generale, puoi trattare dati sensibili solo se l’utente (o, se minorenne, il suo genitore/tutore legale) ha dato il proprio consenso per quel particolare trattamento. Si applicano comunque alcune eccezioni.

Il consenso secondo la LGPD

Essendo il consenso un argomento piuttosto delicato e spesso rilevante quando si parla di trattamento dei dati online, scopriamo qualcosa di più sui requisiti richiesti.

Secondo la LGPD, il consenso deve essere “libero, informato e non ambiguo”. Ciò significa che il consenso non deve essere forzato, l’azione di consenso richiesta all’utente deve essere chiara e gli utenti devono essere adeguatamente informati prima di prestare il consenso.

Per quanto riguarda il consenso per i minori di 12 anni, l’utente deve ottenere un consenso specifico ed esplicito da parte di un genitore o di un tutore.

Il consenso può essere prestato da un minore di 13-18 anni* a condizione che il trattamento dei suoi dati personali sia fatto nel suo interesse. Devi compiere ogni sforzo ragionevole (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.

* Nota: in Brasile, l’età riconosciuta per la piena capacità giuridica è di 18 anni.

La legislazione precedente versus LGPD

La legislazione precedente alla LGPD consentiva alle aziende di raccogliere e trattare dati personali disponibili al pubblico su internet o su qualsiasi altra fonte pubblica. Ai sensi della LGPD, questo non è più consentito.

Secondo le linee guida della LGPD, i dati personali pubblici possono essere raccolti e trattati solo in due modi:

  • per la stessa finalità per il quale i dati sono stati originariamente trattati – nel qual caso il consenso dell’utente non è richiesto; oppure

  • per una diversa finalità per la quale, in qualità di titolare del trattamento, puoi applicare una legittima base giuridica.

Nota: in base a quanto detto sopra, lo “scraping” o qualsiasi altro genere di raccolta di dati disponibili pubblicamente con finalità di marketing o altro saranno molto probabilmente limitate dalla LGPD.

Dati sensibili: i casi in cui il consenso non è necessario 

In caso di trattamento di dati sensibili, il consenso può essere evitato solo se il trattamento è assolutamente necessario per:

  • l’adempimento di un obbligo di legge che spetta al titolare del trattamento;

  • il trattamento condiviso necessario alla pubblica amministrazione per l’esecuzione di direttive pubbliche;

  • la realizzazione di studi da parte di un ente di ricerca – garantendo, ove possibile, l’anonimato dei dati personali sensibili;

  • la tutela degli interessi vitali e dell’incolumità fisica dell’utente o di terzi;

  • la tutela della salute nelle procedure svolte da personale, autorità o servizi sanitari;

  • il controllo sanitario in una procedura eseguita da professionisti o enti sanitari;

  • il regolare esercizio dei diritti – anche contrattuali, giudiziari, amministrativi, nonché di quelli concessi mediante arbitrato; o

  • la prevenzione di frodi e la sicurezza dell’utente (ad es. per l’identificazione e l’autenticazione della registrazione nei sistemi elettronici) – a condizione che i suoi diritti siano tutelati e non siano superati dalle sue libertà.

Dati dei minori: eccezioni all'obbligo di consenso 

Ai sensi della LGPD, le eccezioni si applicano se il trattamento è necessario per contattare i genitori o i tutori legali, o per proteggere il minore. I dati possono essere utilizzati solo una volta e non devono essere memorizzatI o condivisi con terzi senza un adeguato consenso.


Conseguenze del mancato adeguamento

Le conseguenze della mancata conformità alla LGPD prevedono sanzioni fino a 50 milioni di real brasiliani (circa 11,5 milioni di euro) o fino al 2% del fatturato annuo dell’azienda in Brasile, per ogni violazione. Altrettanto rilevanti sono anche gli altri provvedimenti che possono essere attuati nei confronti delle organizzazioni che hanno commesso una violazione.

Ai sensi della LGPD, tra i provvedimenti che l’Autorità brasiliana per la protezione dei dati personali può prendere ci sono avvertimenti, multe, la divulgazione pubblica della violazione, il divieto di continuare con le attività di trattamento oggetto dell’infrazione o l’obbligo di cancellare i dati ottenuti tramite quelle stesse attività.

Questo significa che se l’uso improprio riguarda, ad esempio, la raccolta di indirizzi email, l’organizzazione rischia di non poter utilizzare l’intera lista di email in suo possesso.

Inoltre, come il GDPR, la LGPD consente agli utenti di chiedere all’organizzazione il risarcimento di eventuali danni civili (pecuniari o morali) derivanti dall’inosservanza delle norme sulla privacy.

 
Vuoi sapere se la legge brasiliana riguarda la tua azienda? Il nostro team di professionisti ti offre una consulenza Privacy allineata alla tua realtà aziendale! Contatta ora! 
 
 
 
 
 
Scopri subito la nostra soluzione Privacy Facile
e trova la versione più adatta alle tue esigenze

SCOPRI


© Copyright 2022, REGOLAMENTO 679 è un marchio di
SCANAVINO & PARTNERS CONSULENZE srl

Sede legale e operativa:
c.so Unione Sovietica 612/15/A
10135 - Torino (TO)


P.Iva: 11670750014
E-mail: info@scanavinoepartners.it
Telefono: 011.906.37.55