Che cos’è la LGPD – Legge generale brasiliana sulla protezione dei dati?

Come altre leggi sulla protezione dei dati, la LGPD crea un quadro giuridico per la governance della raccolta e dell’utilizzo dei dati personali. Tuttavia, non si tratta semplicemente di una replica del GDPR, ma di differenze significative.

Di seguito discutiamo le basi della LGPD e le implicazioni per le aziende che operano all’interno e all’esterno del Brasile.

In precedenza, il Brasile aveva più di 40 statuti federali che regolavano i dati personali. L’obiettivo principale della LGPD era quello di consolidare queste diverse leggi in un unico quadro giuridico globale per la protezione dei dati.

In questo modo, i legislatori brasiliani miravano a migliorare il controllo e i diritti dei cittadini brasiliani sui propri dati personali. Ma anche per semplificare la complessa rete di statuti precedenti, alleggerendo il contesto normativo per le imprese internazionali e nazionali.

Coloro che sono già conformi al GDPR saranno anche conformi alla LGPD. Ci sono differenze fondamentali, tuttavia. La LGPD è organizzata intorno a nove diritti fondamentali, che definiscono collettivamente i dati personali e creano dieci basi giuridiche per il trattamento lecito dei dati personali.

I Nove Diritti sono descritti nell’articolo 18 della LGPD. Esso definisce i diritti dei cittadini brasiliani a:

1. Confermare l’esistenza del trattamento dei propri dati
2. Accedere ai propri dati
3. Correggere dati incompleti, imprecisi o non aggiornati
4. Anonimizzazione, blocco o cancellazione di dati non necessari o eccessivi o di dati trattati in modo non conforme alle disposizioni della LGPD
5. Portabilità dei dati a un altro fornitore di servizi o prodotti – su richiesta dell’interessato
6. Cancellare i propri dati personali
7. Essere informato sui soggetti pubblici e privati con cui il titolare del trattamento ha condiviso i dati personali
8. Essere informato sulla possibilità di negare il consenso e sulle conseguenze
9. Revoca il consenso

Questi diritti sono sostanzialmente simili a quelli descritti nel GDPR.

Il GDPR si distingue per i suoi “effetti extraterritoriali”, che obbligano al rispetto da parte di tutte le aziende a livello globale che si rivolgono ai cittadini dell’UE. Ci sono effetti simili in atto nella LGPD.

All’articolo 3, la LGPD delinea le organizzazioni a cui si applica la LGPD:

Per coloro che hanno familiarità con il GDPR dell’UE, ci sono alcune differenze notevoli. In primo luogo, la LGPD copre non solo i dati personali dei cittadini brasiliani, ma tutti gli individui che si trovano all’interno del territorio brasiliano.

Inoltre, come il GDPR, la LGPD ha un ambito territoriale oltre i confini brasiliani. Qualsiasi organizzazione che offra la fornitura di beni o servizi a un individuo con sede in Brasile deve agire in conformità con la LGPD.

Non tutti sono regolamentati dalla LGPD. Il regolamento non si applica se:

Come già detto, ai sensi dell’articolo 7 della LGPD, esistono dieci basi giuridiche per il trattamento lecito dei dati:

1. Con il consenso dell’interessato
2. Per l’adempimento di un obbligo legale o regolamentare da parte del titolare del trattamento
3. Dalla pubblica amministrazione, per il trattamento e l’uso condiviso di dati necessari per l’esecuzione delle politiche pubbliche previste da leggi o regolamenti, o basate su contratti, accordi o strumenti analoghi, fatto salvo il Capo IV della LGPD
4. Per lo svolgimento di studi da parte di enti di ricerca, garantendo, ove possibile, l’anonimizzazione dei dati personali
5. Quando necessario per l’esecuzione di un contratto o di procedure preliminari relative a un contratto di cui l’interessato è parte, su richiesta dello stesso
6. Per il regolare esercizio dei diritti nelle procedure giudiziarie, amministrative o arbitrali, quest’ultimo ai sensi della Legge Brasiliana sull’Arbitrato
7. Per la protezione della vita o dell’incolumità fisica dell’interessato o di terzi
8. Per proteggere la salute, esclusivamente, in una procedura eseguita da professionisti della salute, servizi sanitari o autorità sanitarie
9. Se necessario per soddisfare gli interessi legittimi del titolare del trattamento o di terzi, tranne quando prevalgono i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali
10. Per la tutela del credito

Piuttosto che consentire l’ampio trattamento dei dati personali ai sensi del regolamento, le autorità brasiliane consentono il trattamento lecito dei dati personali solo nelle circostanze di cui sopra.

Il mancato rispetto della lettera della LGPD può comportare una multa massima fino a 50 milioni di real (circa 8 milioni di euro) o il 2% delle entrate di un’entità in Brasile. Si tratta di un valore sostanzialmente inferiore alle sanzioni previste dal GDPR, che possono raggiungere i 20 milioni di euro o il 4% del fatturato globale annuo, a seconda di quale sia il valore più alto.

Con oltre 138 milioni di utenti Internet in Brasile, è il quarto mercato Internet più grande del mondo. Pertanto, il rispetto della LGPD è spesso richiesto alle organizzazioni di portata internazionale.

Per fortuna, il governo brasiliano ha messo in ombra il GDPR, il che significa che, per la maggior parte delle organizzazioni, il lavoro aggiuntivo è minimo. Tuttavia, è fondamentale essere consapevoli delle principali differenze tra queste normative di riferimento. In caso contrario, potresti incorrere in multe significative su entrambe le sponde dell’Atlantico.