La legge brasiliana sulla protezione dei dati personali (LGPD, Lei Geral de Proteção de Dado) può essere considerata come la risposta del Brasile al GDPR.

[…] la LGPD ha un ambito territoriale che si estende al di fuori del Brasile. Ciò significa che potresti rientrare nel suo ambito di applicazione anche se tu o la tua azienda non avete sede in Brasile […].

La legge brasiliana sulla protezione dei dati personali (LGPD, Lei Geral de Proteção de Dado) può essere considerata come la risposta del Brasile al GDPR. Pur con alcune differenze infatti, la LGPD ha parecchie somiglianze con il regolamento europeo e intende sostituire o completare l’attualmente frammentato panorama giuridico (composto da più di 40 norme federali) con un quadro normativo principale.

La LGPD mira a creare un nuovo quadro giuridico per l’uso dei dati personali in Brasile, sia online che offline, nel settore privato e pubblico.

In generale, la LGPD chiede che i dati personali vengano trattati solo per scopi legittimi, specifici, espliciti e chiaramente comunicati.

La data di entrata in vigore della LGPD è attualmente incerta, potendo entrare in vigore ancora in 2020.

Analogamente al GDPR, la LGPD ha un ambito territoriale che si estende al di fuori del Brasile. Ciò significa che potresti rientrare nel suo ambito di applicazione anche se tu o la tua azienda non avete sede in Brasile.

In termini pratici, la LGPD si applica quando:

• le tue attività di trattamento dati sono svolte in Brasile (ad esempio, usi server con sede in Brasile);
• offri beni o servizi a persone situate in Brasile, indipendentemente dalla loro nazionalità; oppure
• tratti dati di persone che si trovano in Brasile (anche se queste si trovavano in Brasile solo al momento della raccolta dei dati, e da allora si sono spostate).

In termini più generali, rientri nell’ambito di applicazione della LGPD se tratti dati di persone che si trovano in Brasile o di chiunque si trovi all’interno del territorio brasiliano, indipendentemente dalla nazionalità.

Esistono alcune eccezioni che valgono anche quando il titolare del trattamento rientra nell’ambito di applicazione territoriale della LGPD. La LGPD non si applica se:

• il trattamento dei dati personali è effettuato da una persona fisica, solo ed esclusivamente per scopi privati e non commerciali; oppure
• i dati personali sono trattati esclusivamente per una delle seguenti finalità:
  • espressione giornalistica o artistica;
  • ricerca accademica;
  • sicurezza pubblica;
  • difesa e sicurezza nazionale;
  • indagine e perseguimento dei reati.

La definizione di “dati personali” che dà la LGPD è piuttosto ampia. Analogamente al GDPR, costituiscono dati personali tutte le informazioni che sono riconducibili a un individuo identificato o identificabile. Questo comprende anche dati che possono essere combinati con altre informazioni per identificare qualsiasi individuo.

Esempi di dati personali includono (ma non si limitano a) dati identificativi come nomi, dati genetici, biometrici o inerenti la salute, dati web come indirizzi IP, indirizzi e-mail personali, opinioni politiche e dati sull’orientamento sessuale.

Esempi di dati non personali includono i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati resi anonimi.

La LGPD identifica i dati “sensibili” come diversi dai dati “regolari” e applica regole speciali a questa categoria di dati personali.

Potendo esporre più facilmente l’utente a rischi di discriminazione, i dati sensibili devono essere trattati con ulteriori livelli di sicurezza e con basi giuridiche molto specifiche.

In generale, puoi trattare dati sensibili solo se l’utente (o, se minorenne, il suo genitore/tutore legale) ha dato il proprio consenso per quel particolare trattamento. Si applicano comunque alcune eccezioni.

Essendo il consenso un argomento piuttosto delicato e spesso rilevante quando si parla di trattamento dei dati online, scopriamo qualcosa di più sui requisiti richiesti.

Secondo la LGPD, il consenso deve essere “libero, informato e non ambiguo”. Ciò significa che il consenso non deve essere forzato, l’azione di consenso richiesta all’utente deve essere chiara e gli utenti devono essere adeguatamente informati prima di prestare il consenso.

Per quanto riguarda il consenso per i minori di 12 anni, l’utente deve ottenere un consenso specifico ed esplicito da parte di un genitore o di un tutore.

* Nota: in Brasile, l’età riconosciuta per la piena capacità giuridica è di 18 anni.

La legislazione precedente alla LGPD consentiva alle aziende di raccogliere e trattare dati personali disponibili al pubblico su internet o su qualsiasi altra fonte pubblica. Ai sensi della LGPD, questo non è più consentito.

Secondo le linee guida della LGPD, i dati personali pubblici possono essere raccolti e trattati solo in due modi:

• per la stessa finalità per il quale i dati sono stati originariamente trattati – nel qual caso il consenso dell’utente non è richiesto; oppure
• per una diversa finalità per la quale, in qualità di titolare del trattamento, puoi applicare una legittima base giuridica.

Nota: in base a quanto detto sopra, lo “scraping” o qualsiasi altro genere di raccolta di dati disponibili pubblicamente con finalità di marketing o altro saranno molto probabilmente limitate dalla LGPD.

In caso di trattamento di dati sensibili, il consenso può essere evitato solo se il trattamento è assolutamente necessario per:

• l’adempimento di un obbligo di legge che spetta al titolare del trattamento;
• il trattamento condiviso necessario alla pubblica amministrazione per l’esecuzione di direttive pubbliche;
• la realizzazione di studi da parte di un ente di ricerca – garantendo, ove possibile, l’anonimato dei dati personali sensibili;
• la tutela degli interessi vitali e dell’incolumità fisica dell’utente o di terzi;
• la tutela della salute nelle procedure svolte da personale, autorità o servizi sanitari;
• il controllo sanitario in una procedura eseguita da professionisti o enti sanitari;
• il regolare esercizio dei diritti – anche contrattuali, giudiziari, amministrativi, nonché di quelli concessi mediante arbitrato; o
• la prevenzione di frodi e la sicurezza dell’utente (ad es. per l’identificazione e l’autenticazione della registrazione nei sistemi elettronici) – a condizione che i suoi diritti siano tutelati e non siano superati dalle sue libertà.

Ai sensi della LGPD, le eccezioni si applicano se il trattamento è necessario per contattare i genitori o i tutori legali, o per proteggere il minore. I dati possono essere utilizzati solo una volta e non devono essere memorizzatI o condivisi con terzi senza un adeguato consenso.

Le conseguenze della mancata conformità alla LGPD prevedono sanzioni fino a 50 milioni di real brasiliani (circa 11,5 milioni di euro) o fino al 2% del fatturato annuo dell’azienda in Brasile, per ogni violazione. Altrettanto rilevanti sono anche gli altri provvedimenti che possono essere attuati nei confronti delle organizzazioni che hanno commesso una violazione.

Ai sensi della LGPD, tra i provvedimenti che l’Autorità brasiliana per la protezione dei dati personali può prendere ci sono avvertimenti, multe, la divulgazione pubblica della violazione, il divieto di continuare con le attività di trattamento oggetto dell’infrazione o l’obbligo di cancellare i dati ottenuti tramite quelle stesse attività.

Inoltre, come il GDPR, la LGPD consente agli utenti di chiedere all’organizzazione il risarcimento di eventuali danni civili (pecuniari o morali) derivanti dall’inosservanza delle norme sulla privacy.

Vuoi sapere se la legge brasiliana riguarda la tua azienda? Il nostro team di professionisti ti offre una consulenza Privacy allineata alla tua realtà aziendale! Contatta ora!