Lei Geral de Proteção de Dados, le novità della nuova legge privacy brasiliana e le lezioni del GDPR

Il 2020 ha portato con sé un’ulteriore normativa volta a tutelare la protezione dei dati personali: la Lei Geral de Proteção de Dados (LGPD) brasiliana. Entrata in vigore il 18 settembre 2020, la legge tenta di unificare gli oltre 40 diversi statuti che attualmente disciplinano i dati personali, sia online che offline.

Principali punti della Lei Geral de Proteção de Dados

Il Brasile, dunque, con la nuova Lei Geral de Proteção de Dados fa seguito al California Consumer Privacy Act (CCPA) e, in aggiunta al neo approvato California Privacy Rights Act (CPRA). La nuova normativa sulla data protection vedrà applicabili dal primo agosto 2021 anche le sanzioni da essa disciplinate.

Cerchiamo di capire quali sono i punti principali della LGPD e di comunione e differenza con il Regolamento europeo.

Ambito di applicazione della LGPD

La LGPD è rivolta a persone giuridiche di diritto pubblico o privato, indipendentemente dai mezzi, dal paese in cui si trovino, la loro sede centrale o il Paese in cui si trovano i dati, purché la raccolta ed il trattamento dei dati personali avvengano nel territorio nazionale brasiliano^[1].

La legge mira a tutelare i dati personali degli interessati del trattamento, ossia qualsiasi persona identificata o identificabile^[2].

Gli obblighi prevista dalla LGPD

Tra gli obblighi in capo al titolare previsti dalla LGPD troviamo:

1. tenuta dei registri del trattamento: titolari e responsabili devono tenere dei registri del trattamento, che riportino le attività di trasferimento da essi effettuate, specialmente se fondate su legittimo interesse^[3];
2. obbligo di effettuare valutazioni di impatto (DPIA) per alcuni trattamenti, non specificati dalla normativa, ma della cui opportunità di svolgimento darà chiarimenti l’autorità nazionale per la protezione dei dati (ANPD);^[4]
3. obbligo di nomina di un Data Protection Officer: è valido solamente per i titolari e non anche per i responsabili del trattamento e non vi sono circostanze tali per cui la nomina del DPO debba rendersi obbligatoria ex lege;^[5]
4. sicurezza del trattamento: titolari e responsabili del trattamento sono tenuti all’adozione di misure di sicurezza, tecniche ed organizzative per la protezione dei dati personali;^[6]
5. obbligo di notifica di data breach: i titolari del trattamento devono notificare all’ ANPD entro un termine ragionevole violazioni dei dati personali;^[7]
6. accountability e good practice: titolari e responsabili del trattamento devono adottare processi interni che garantiscano la responsabilizzazione nei confronti della tutela dei dati personali, prevedendo un privacy governance programme^[8].

I diritti previsti dalla LGPD

I soggetti interessati al trattamento possono, ai sensi della LGPD, esercitare:

1. il diritto di cancellazione: gli interessati possono richiedere la cancellazione dei propri dati^[9];
2. il diritto di essere informato: l’interessato può richiedere di accedere ai propri dati personali trattati, le rispettive finalità di trattamento, durata della conservazione, identità del titolare, i dati condivisi dal titolare^[10];
3. il diritto di opposizione al trattamento: l’interessato può richiedere in ogni momento la cessazione del trattamento dei propri dati personali, anche revocando il consenso da esso prestato^[11];
4. il diritto di accesso: l’interessato può chiedere al titolare i dati personali ad esso relativi, le finalità, le fonti di acquisizione dei dati^[12];
5. il diritto alla non discriminazione: l’interessato può richiedere se siano effettuate operazioni volte alla discriminazione nell’ambito dell’attività di trattamento automatizzato che impattino sugli interessi dell’interessato stesso^[13];
6. il diritto alla portabilità: l’interessato può richiedere che i propri dati vengano trasferiti ad un terzo fornitore di servizi o prodotti^[14].

Le sanzioni della Lei Geral de Proteção de Dados

In caso di violazione delle disposizioni della LGPD, l’articolo 52 stabilisce una sanzione massima per violazione del 2% del ricavato di un’entità giuridica privata, di un gruppo o di un conglomerato di imprese stabilite in Brasile, per l’anno fiscale precedente, al netto delle imposte, fino a un totale massimo di 50 milioni di real (circa 11 milioni di euro)^[15].

Ulteriori sanzioni possono inoltre essere applicate dall’autorità nazionale.

La Lei Geral de Proteção de Dados e il GDPR

La Legge brasiliana ha ben ripreso, in ottica di terminologia e di struttura, le previsioni del Regolamento europeo GDPR. Tuttavia, possono enuclearsi alcune principali differenze:

1. nomina del DPO: mentre il GDPR prevede espressamente le circostanze che richiedano una nomina obbligatoria del Responsabile per la Protezione dei Dati Personali, la LGPD prevede solamente la nomina da parte del titolare del trattamento di un deputato alla protezione dei dati personali;
2. basi giuridiche: contro le 7 basi legali del trattamento individuate dal GDPR, la LGPD ne conta 10. Queste sono: i) consenso dell’interessato, ii) adempimento di un obbligo legale o regolamentare del titolare, iii) adempimento alle politiche pubbliche previste da leggi o regolamenti, o basate su contratti, accordi o strumenti simili, iv) svolgimento di studi da parte di enti di ricerca che garantiscano, ove possibile, l’anonimizzazione dei dati personali, v) adempimento di un contratto o procedure preliminari relative ad un contratto di cui l’interessato è parte, su richiesta dell’interessato, vi) esercizio di diritti in procedimenti giudiziari, amministrativi o arbitrali, vii) motivi di tutela della vita o incolumità fisica dell’interessato o di terzi, viii) per motivi di tutela della salute, in una procedura svolta da operatori sanitari o da enti sanitari, ix) interessi legittimi del titolare del trattamento o di un terzo, salvo che su di essi prevalgano i diritti e le libertà fondamentali dell’interessato, x) tutela del credito (in caso di credit scoring);
3. data breach: mentre il GDPR prevede una notifica all’Autorità di controllo della violazione dei dati personali entro 72 ore dalla conoscenza della violazione, la LGPD richiede semplicemente che la comunicazione all’autorità nazionale avvenga in tempo ragionevole;
4. sanzioni: il GDPR prevede sanzioni che possono arrivare fino al 4% del fatturato annuo mondale lordo di gruppo, mentre la LGPD si limita al 2% dei ricavi singoli o di gruppo delle imprese e comunque fino ad un massimo di 50 milioni di reals.

Le affinità si percepiscono di gran lunga maggiori rispetto alle differenze tra la LGPD ed il GDPR, visto che le principali differenze si notano in ambiti di discipline già regolate da entrambe le normative.

Conclusioni

Anche in questa sede occorre evidenziare che ognuna delle normative esaminate è caratterizzata da un differente contesto ordinamentale, da differenti precedenti legislativi e da diversi iter approvativi.

Inoltre, il caveat imposto dalla sentenza del 16 luglio in materia di trasferimenti extra UE^[16], sembra aver creato malumori anche nei confronti di qualsiasi altro Paese Terzo che non sia stato collocato nella felice isola delle decisioni di adeguatezza: sembra sia giunto il momento, anche per il Brasile, di dimostrare il proprio impegno in materia di protezione dei dati personali.

È dunque giunto il tempo di convenire sulla portata del Regolamento UE 679/2016, che si è degnamente eletto a modello internazionale per la codificazione, anche in via indiretta, di previsioni volte alla protezione dei dati personali.

NOTE

1. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 3. ↑
2. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, n. V. ↑
3. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 37. ↑
4. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art, 5, 10, 38. ↑
5. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, art, 41. ↑
6. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, art, 41. ↑
7. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art. 46. ↑
8. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art 50. ↑
9. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art. 5,16,18. ↑
10. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), artt. 6, 9-10, 14, 18-19. ↑
11. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 15, art. 18. ↑
12. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 16,18,19. ↑
13. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 1,2, 6(IX), 20. ↑
14. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art, 11, 17,18, 40. ↑
15. Art. 52, I, Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019) “i soggetti del trattamento dei dati che commettono infrazioni alle norme previste dalla presente legge sono soggetti alle seguenti sanzioni amministrative, da applicare dalla autorità nazionale: (…)2% del ricavato di un’entità giuridica privata, di un gruppo o di un conglomerato stabiliti in Brasile, per l’anno fiscale precedente, al netto delle imposte, fino a un totale massimo di 50 milioni di real(…)”. ↑
16. CJEU ruling Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18) of July 16^th, 2020 ↑