La Lei geral de proteção de dados (LGPD), emanata il 14 agosto 2018 ed entrata in vigore il 18 settembre 2020, ha stravolto il panorama legislativo brasiliano in ambito data protection (si pensi che, precedentemente, erano all’incirca 40 le leggi federali in vigore che regolavano la materia), portando dunque armonia, coerenza e chiarezza.
Altra faccia della medaglia, la normativa porta con sé anche l’obbligo per le aziende e per gli enti di adeguarsi ai nuovi requisiti imposti.
La LGPD si ispira apertamente al General Data Protection Regulation (GDPR) europeo e, personalmente, ritengo che ciò abbia giocato un punto a favore per uno dei mercati più importanti a livello mondiale, come quello brasiliano, incrementando la fiducia dei mercati esteri.
Lei Geral de Proteção de Dados, le novità della nuova legge privacy brasiliana e le lezioni del GDPR
Indice degli argomenti
Maggiore consapevolezza sulla protezione dei dati
A distanza di tre anni dall’entrata in vigore della legge brasiliana sulla protezione dei dati personali, a parere di chi scrive, la consapevolezza è sicuramente il primo elemento da analizzare.
L’Autoridade Nacional de Proteção de Dados (ANPD), la data protection Authority brasiliana, imposta la prima fase del suo operato concentrandosi su campagne di sensibilizzazione e sulla redazione e pubblicazione di linee guida che possano aiutare cittadini, aziende ed enti a districarsi tra i nuovi concetti ed obblighi.
A titolo esemplificativo, vengono pubblicate le linee guida relative alla notifica di violazione dei dati personali, sulle definizioni di agenti del trattamento e di responsabile della protezione dei dati, sui cookies e la protezione dei dati personali.
Se la prima fase è incentrata sulla sensibilizzazione, possiamo adesso constatare che l’Autorità sta iniziando ad attuare un pieno enforcement della legge, tanto che in luglio di quest’anno è stata imposta la prima sanzione nei confronti di un’azienda che ha violato la normativa in oggetto.
Dal punto di vista dei cittadini, la consapevolezza si riflette anche nelle controversie nelle sedi giudiziarie. Se prima dell’entrata in vigore della legge gli interessati non disponevano di chiari rimedi contro l’uso improprio o illegittimo dei propri dati, dal 2020 tutto cambia e questi iniziano, dunque, a far valere i propri diritti anche con azioni amministrative e giudiziarie nelle opportune sedi.
Si osserva come negli ultimi anni il numero di contenziosi riguardanti la protezione dei dati è aumentato notevolmente rispetto al passato.
Una sempre crescente consapevolezza sul tema, in termini di business, ha fatto sì che la conformità con la LGPD si sia trasformata in una necessità. Se dobbiamo scegliere un fornitore che rispetta la legge ed uno che non è conforme, preferiremmo tutti fare affari con il primo, considerando anche il danno finanziario e reputazionale che potrebbe derivare da una relazione con un fornitore non conforme, come ad esempio in caso di un grave data breach.
Essere consapevoli, dunque, si traduce anche in un vantaggio sul mercato.
Accordo sul trattamento dei dati personali
La LGPD non prevede come obbligatorio, nel caso di trattamento dei dati personali, la sottoscrizione ed esecuzione di un accordo sul trattamento degli stessi.
Non esistono, infatti, norme specifiche sugli accordi tra titolare del trattamento e responsabile, l’unico requisito che un responsabile del trattamento è obbligato per legge a seguire è quello di operare conformemente a tutte le istruzioni fornite dal titolare per verificare la conformità alle sue istruzioni e alle norme relative alla protezione dei dati personali.
Abbiamo una legislazione molto più flessibile rispetto al GDPR sul punto. Manca, inoltre, la disciplina della figura del sub-responsabile.
Quanto sopra viene inoltre confermato dalle linee guida emesse dall’Autorità: linee guida sulle definizioni di agenti del trattamento e responsabile per la protezione dei dati.
Nonostante queste siano le premesse, la realtà se ne distacca leggermente. La sottoscrizione ed esecuzione di accordi in relazione al trattamento dei dati personali viene indubbiamente considerata una best practice ed è uno dei motivi per cui è sempre più richiesta sia tra clienti e fornitori che tra fornitori e sub-fornitori.
Non bisogna, inoltre, sottovalutare che un accordo scritto, inclusivo di chiare e semplici clausole disciplinanti i vari aspetti del trattamento, rappresenta sicuramente una valida prova documentale in termini di definizioni delle obbligazioni e delle responsabilità delle parti stesse.
Responsabile per la protezione dei dati personali
L’articolo 41 della LGPD richiede ai titolari del trattamento di nominare un responsabile per la protezione dei dati personali.
Quando la legge è entrata in vigore, tale articolo destava qualche preoccupazione poiché, sinceramente, piuttosto scarno. Non essendo definite circostanze specifiche, dall’articolo in oggetto si evince innanzitutto che tutte le organizzazioni che pongono in essere attività di trattamento dei dati personali sono tenute alla nomina di un responsabile per la protezione dei dati, ad eccezione dei titolari del trattamento di piccole dimensioni (secondo la definizione del regolamento ANPD n. 2/2022) che sono esonerati dall’obbligo di nomina, anche se quest’ultima è considerata tuttavia come una best practice.
L’ANPD, con le sue già citate linee guida, interviene sul tema fornendo alcune informazioni aggiuntive. L’Autorità brasiliana chiarisce che il ruolo di responsabile per la protezione dei dati personali può essere ricoperto sia da un dipendente dell’organizzazione che da un terzo. Il soggetto nominato come responsabile per la protezione dei dati può essere inoltre affiancato e supportato da un proprio team.
Nelle linee guida si chiarisce che il responsabile per la protezione dei dati deve disporre di risorse adeguate per svolgere le proprie attività, includendo nel concetto di risorse anche quelle umane. Si mantiene una certa flessibilità e poco formalismo in relazione all’atto di nomina, infatti, si raccomanda che il responsabile sia nominato con un atto formale, come un contratto di fornitura di servizi o un atto amministrativo, ma tale atto scritto formale non è obbligatoriamente previsto per legge.
Ciò che è previsto come obbligatorio è la pubblicazione dei dati di contatto del responsabile, preferibilmente sul sito web del titolare del trattamento.
Cosa dobbiamo aspettarci dal futuro
A novembre 2022 la data protection Authority brasiliana ha ufficialmente pubblicato la sua agenda per il biennio 2023-2024.
Per gli appassionati della materia e per gli esperti del settore, l’agenda dell’Autorità è uno strumento preziosissimo. Tra i punti previsti, sicuramente, desta forte interesse quello relativo al trasferimento dei dati al di fuori del Paese.
Al momento, la materia è disciplinata esclusivamente dall’ articolo 33 LGPD che, pur essendo di ispirazione GDPR, ben poco dice a livello operativo su come destreggiarsi con i trasferimenti.
Il 15 agosto 2023 l’Autorità ha aperto una consultazione pubblica sulla bozza di resolution sul trasferimento internazionale dei dati personali, chiusa il 14 settembre, per raccogliere le opinioni dei vari stakeholders che liberamente hanno partecipato. Scopo della resolution è regolamentare il trasferimento di dati personali a un Paese straniero o a organizzazioni internazionali di cui il Brasile è membro e che forniscono un livello adeguato di protezione dei dati in conformità con la LGPD.
La bozza contiene, inoltre, un modello di clausole contrattuali standard, che possono essere utilizzate come parte di un contratto specifico per regolare il trasferimento internazionale di dati o essere aggiunte a un contratto con un oggetto più ampio.
Gli agenti del trattamento, controller e processor se vogliamo identificarli in base al GDPR, che effettuano trasferimenti internazionali di dati mediante clausole contrattuali standard dovranno incorporare le stesse nei rispettivi strumenti contrattuali entro un periodo massimo di 180 giorni, a partire dalla data di pubblicazione della resolution.
Attendiamo con trepidante attesa la pubblicazione definitiva della stessa per ovviare ai vari dubbi e alle varie problematiche sorte in relazione al tema.
Altro punto di interesse riguarda un’ulteriore consultazione pubblica, aperta il 16 agosto 2023 dall’Autorità e chiusa il 16 settembre: quella relativa allo studio preliminare sull’interesse legittimo. Scopo dello stesso, come apertamente dichiarato dall’Autorità stessa, è quello di “contribuire al contenuto delle linee guida sull’ipotesi giuridica dell’interesse legittimo, combinando le competenze tecniche dell’Autorità con l’esperienza pratica degli agenti del trattamento in materia[1]”.
È bene ricordare che è tra i compiti/doveri dell’Autorità vi è ricompreso quello di aprirsi all’ascolto dei cittadini, degli agenti del trattamento e di chiunque ne avesse interesse, per questioni che siano di interesse rilevante.
Ultimo punto che vorrei attenzionare riguarda l’analisi preliminare del disegno di legge n. 2338/2023 sull’intelligenza artificiale al momento al vaglio del Senado Federal. L’analisi evidenzia convergenze e divergenze rispetto alla LGPD, nonché le disposizioni in conflitto con quest’ultima.
Vale la pena menzionare come, in base a quanto previsto nell’analisi, l’Autorità brasiliana ritiene che debba essere essa stessa l’autorità chiave nella regolamentazione e nella governance dell’IA in Brasile, soprattutto nei casi di trattamento dei dati personali, per una maggiore certezza giuridica evitando così possibili conflitti normativi.
In conclusione, ci aspettano numerose novità dal Brasile, in relazione alla data protection, vale la pena restare sintonizzati per non perdere gli aggiornamenti.
NOTE
Cit. Aberta consulta à sociedade sobre Estudo Preliminar a respeito do Legítimo Interesse — Autoridade Nacional de Proteção de Dados. ↑
