Il 14 agosto 2018 il Brasile ha approvato la sua legge generale sulla protezione dei dati, la Lei Geral de Proteção de Dados (LGPD) brasiliana. Creata a partire dall’europeo GDPR, la nuova legislazione mira a sostituire e integrare norme che regolano l’uso dei dati personali da parte del settore pubblico e privato. Impostata per entrare in vigore il 15 agosto 2020, dopo che la sua scadenza iniziale di 18 mesi è stata prorogata di altri 6 mesi dal presidente Michel Temer, sono emersi dubbi sulla futura applicazione del LGPD quando lo stesso presidente ha posto il veto a diversi atti del disegno di legge prima della sua approvazione, in particolare quelli necessari per creare l’autorità brasiliana per la protezione dei dati, l’Autoridade Nacional de Proteção de Dados (ANPD).
Ogni incertezza è stata ora messa da parte: l‘8 luglio 2019, il nuovo presidente del Brasile, Jair Bolsonaro, ha promulgato la legge n. 13.853 / 2019 che modifica alcune disposizioni del LGPD e prevede la creazione dell’ANPD. Con la sua autorità per la protezione dei dati ora una realtà, il Brasile si sta muovendo a tutta velocità verso l’applicazione della LGPD.
Molte aziende che sono passate attraverso la fretta per la conformità al GDPR considerano il regolamento europeo come il più esauriente del suo genere al mondo oggi, ma ci sono notevoli differenze tra esso e il LGPD, il che significa che la conformità al GDPR non garantisce la conformità alla LGPD, sebbene è sicuramente un passo nella giusta direzione. Diamo un’occhiata ad alcune delle principali differenze.
Cosa afferma la LGPD sulla protezione dei dati
Sebbene sia il GDPR che il LGPD proteggano qualsiasi informazione relativa a una persona fisica identificata o identificabile, a differenza del GDPR, il LGPD non fornisce una definizione dettagliata del tipo di informazioni a cui si riferisce, rendendo il suo ambito molto ampio.
I dati resi anonimi non rientrano nell’ambito di applicazione di entrambe le leggi a condizione che siano state adottate misure ragionevoli per garantire che non possano essere nuovamente identificati. Il LGPD fa tuttavia un’eccezione: i dati sono considerati personali quando utilizzati per la profilazione del comportamento di una determinata persona fisica, se tale persona viene identificata.
I dati pseudonimizzati, nel frattempo, rientrano nell’ambito di applicazione del GDPR poiché sono considerati informazioni su una persona fisica identificabile, ma il LGPD non li menziona se non nel contesto della ricerca condotta dalle agenzie di sanità pubblica.
Ambito territoriale
Sia il GDPR che il LGPD hanno una portata extraterritoriale: si applicano a tutte le società che offrono beni o servizi a soggetti interessati nell’UE o in Brasile, indipendentemente da dove si trovino.
C’è una notevole differenza tra di loro: il GDPR include esplicitamente organizzazioni che non sono stabilite nell’UE, ma che monitorano il comportamento delle persone che vi si trovano. Il LGPD non dispone di tale disposizione. La LGPD non si applicherà inoltre ai flussi di dati che hanno origine al di fuori del Brasile e vengono semplicemente trasmessi, ma non ulteriormente elaborati nel paese.
Basi legali per il trattamento dei dati
Una delle principali differenze tra le due leggi sono le basi legali per l’elaborazione dei dati. Il GDPR ne elenca sei, mentre il LGPD va oltre e ne include dieci. Ai sei originali del GDPR: consenso esplicito, esecuzione contrattuale, compito pubblico, interesse vitale, obbligo legale e interesse legittimo, il LGPD ne aggiunge altri quattro: studi da parte di un ente di ricerca, esercizio dei diritti in procedimenti legali, tutela della salute e tutela del credito.
L’aggiunta più interessante a questo elenco è la protezione del credito, una disposizione esclusiva del Brasile, che è stata senza dubbio inclusa a causa delle attuali discussioni sulla riforma di una delle leggi che regolano il credit scoring in Brasile, la Positive Credit History Law.
Responsabili della protezione dei dati
Ai sensi del GDPR, i titolari del trattamento e gli incaricati del trattamento le cui attività principali consistono in operazioni di trattamento che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala o elaborazione su larga scala di categorie speciali di dati, sono tenuti a nominare un responsabile della protezione dei dati (DPO).
Il LGPD, invece, richiede solo ai responsabili del trattamento di nominare un DPO. Tuttavia, non limita le circostanze in cui deve essere nominato un DPO, il che significa che tutte le aziende, indipendentemente dalla loro dimensione, tipo o volume dei dati che raccolgono avranno bisogno di un DPO. Detto questo, mentre le cose stanno così al momento, l’ANPD è autorizzato ad adeguare questa disposizione e, ora che la sua creazione è stata assicurata, dovrebbe emanare regole complementari per limitare l’applicabilità di questo particolare requisito.
Ruoli
La legge afferma che ci sono tre ruoli principali nel trattamento dei dati, che sono il responsabile del trattamento, l’operatore e il responsabile.
Al responsabile del trattamento è assegnata la responsabilità di determinare tutte le politiche pertinenti e applicabili in merito al trattamento dei dati ed è anche incaricato di creare linee guida che l’operatore deve quindi eseguire. Questi ruoli sono simili a quelli del Titolare e del Responsabile del trattamento dati dal GDPR. Entrambi i ruoli sono indicati collettivamente come “agenti di trattamento”. Il responsabile deve cercare di colmare il divario tra il responsabile del trattamento, il proprietario o soggetto dei dati e l’agenzia o l’autorità governativa.
Richieste di accesso degli interessati
Il diritto di una persona all’accesso ai dati è garantito sia dal GDPR che dal LGPD. In base ad esso, gli interessati possono richiedere l’accesso ai dati che una società ha raccolto su di loro e può richiedere ulteriori azioni che lo riguardano: portabilità, cancellazione o correzione. Il GDPR consente alle organizzazioni 30 giorni per rispondere alle richieste di accesso degli interessati, mentre il LGPD concede loro solo 15 giorni.
C’è anche una differenza nel costo delle richieste: il LGPD le rende obbligatoriamente gratuite, mentre il GDPR rende facoltativa la gratuità
Notifiche di violazione dei dati obbligatorie
Sebbene entrambe le leggi abbiano reso obbligatorie le notifiche di violazione dei dati, i loro requisiti differiscono leggermente. Mentre il GDPR impone un rigoroso 72 ore in cui le aziende sono tenute a notificare alle autorità di protezione dei dati (DPA) delle violazioni dei dati, le organizzazioni che rientrano nell’incidenza del LGPD devono farlo entro un tempo “ragionevole” non definito. Questo periodo di tempo tuttavia è soggetto a modifiche anche da parte dell’ANPD. Il LGPD richiede alle aziende di notificare anche agli interessati le violazioni dei dati, cosa che non è un requisito ai sensi del GDPR.
Sanzioni
Le famigerate multe del GDPR consentono alle autorità di protezione dei dati di tutta Europa di emettere multe fino al 4% del fatturato annuo globale di un’azienda o 20 milioni di euro, a seconda di quale sia più alto. In base alla LGPD, le organizzazioni devono affrontare sanzioni simili, anche se leggermente meno gravi: fino al 2% delle entrate totali in Brasile nell’anno precedente o fino a 50 milioni di real brasiliani (circa 7 milioni e mezzo di euro), a seconda di quale sia il più alto. Il LGPD elenca anche le possibili sanzioni giornaliere per far rispettare la conformità.
Le agenzie governative non rientrano nel campo di applicazione delle multe LGPD, mentre il GDPR lascia che siano le DPA a decidere in merito.
Sebbene le sanzioni che coinvolgono il LGPD siano già state rinviate ad agosto 2021, le autorità per la protezione dei consumatori, i gruppi della società civile e i pubblici ministeri potrebbero ancora avviare procedimenti legali contro le società brasiliane e straniere sulla base di questioni di privacy. Senza un DPA stabilito, queste parti potrebbero voler far rispettare il LGPD, con richieste di risarcimento danni e indennizzi invece delle multe e sanzioni che sarebbero di responsabilità dell’imminente ANPD.
Conclusioni
Sebbene ci siano un gran numero di somiglianze tra il LGPD del Brasile e il GDPR europeo, ci sono punti come le basi legali e le notifiche obbligatorie di violazione dei dati su cui il LGPD va oltre la legislazione europea.
Ci sono anche molte disposizioni lasciate ampie nella legge brasiliana che sono soggette ad adeguamenti da parte dell’ANPD e che la nuova autorità probabilmente affronterà nei mesi che precedono l’applicazione del LGPD. Resta da vedere se le regole complementari che emetterà porteranno il LGPD più vicino o più lontano dal GDPR