In Brasile entra in vigore la Legge sulla protezione dei dati personali. Lo scorso 18 settembre, è entrata in vigore la Legge n. 13.709 del 2018 conosciuta come Lei Geral da Proteção de Dados (di seguito “LGPD”). A fine agosto, nel Senato Federale si era discusso per spostare, a causa della pandemia da Covid-19, l’entrata in vigore dalla legge al maggio 2021, ma le trattative non sono andate a buon fine e l’articolo di legge, che avrebbe previsto la posticipazione dell’entrata in vigore della citata legge, non è stato approvato.
La LGPD sicuramente presenta più somiglianze che differenze al testo del GDPR, a iniziare dall’ambito di applicazione territoriale della legge brasiliana. L’articolo 3 della LGPD stabilisce che la legge sarà applicabile alle persone fisiche o giuridiche, siano pubbliche o private, che raccolgano o trattino dati personali dentro il territorio nazionale o, comunque, di soggetti localizzati nel territorio nazionale, indipendentemente dalla localizzazione della sede dello stabilimento.
Questo significa che, a partire dal 18 settembre, tutti i soggetti che svolgono attività che comportino il trattamento di dati personali dentro il territorio brasiliano o, semplicemente, di persone localizzate nel territorio brasiliano dovranno adeguarsi alla nuova normativa.
Per aiutare le aziende e le altre organizzazioni a prendere consapevolezza delle modifiche volte ad implementare le procedure interne aziendali, il Centro di Liderança em Políticas de Informação (CLPI) e il Centro de Direito, Internet e Sociedade hanno pubblicato un documento – disponibile anche in lingua inglese – indicando le 12 priorità da osservare durante il processo di assessment e adeguamento alla LGPD. La LGPD si fonda sul principio generale in base al quale l’interessato deve essere l’unico soggetto che ha il potere decisionale sui propri dati personali, essendogli garantita, soprattutto, l’autonomia nell’utilizzo di tali dati.
Al fine di raggiungere questo obiettivo, diventa obbligatorio, per le aziende e organizzazioni che effettuano trattamenti di dati personali: fornire ai soggetti interessati un’informativa chiara ed esaustiva relativa alle operazioni di trattamento poste in essere, contente informazioni riguardo alle finalità, alla base giuridica e al periodo di conservazione dei dati trattati; effettuare la valutazione d’impatto ogniqualvolta il trattamento dei dati personali possa presentare rischi alla libertà e ai diritti fondamentali degli interessati; nonché tenere un registro dei trattamenti di dati effettuati nell’ambito delle attività svolte. Ai titolari e responsabili del trattamento è richiesto anche di implementare, all’interno della struttura organizzativa di appartenenza, i modelli di governance, al fine di dimostrare la loro accountability e garantire la corretta applicazione della LGPD. I citati obblighi sono analoghi, e spesso identici, a quelli previsti dal GDPR.
Nonostante il segnalato rapporto di identità o, comunque sia, di analogia fra il GDPR e la LGPD, quest’ultima presenta alcune novità di rilievo, anche per chi abbia dimestichezza con la materia.
La legge brasiliana sulla protezione dei dati personali presenta dieci presupposti di liceità per il trattamento di dati personali, che includono, ad esempio – oltre alle basi giuridiche già presenti nel GDPR – anche il trattamento di dati personali per finalità di protezione del credito.
Tale base giuridica ha richiesto maggior è stata oggetto di grande attenzione del legislatore, visto che in Brasile esiste un forte utilizzo dei dati personali per attività collegate all’analisi e alla valutazione della concessione di credito.
Infatti, già nel 2011, in un’ottica di protezione del consumatore, è stata creata una legge dedicata a disciplinare la creazione di banche dati, destinate alle operazioni finanziarie e alla concessione di credito. La citata legge è stata creata, in particolare, perché spesso le informazioni acquisite per la creazione del profilo del consumatore erano considerate invasive e non conformi al principio di minimizzazione. L’intenzione del legislatore, con l’entrata in vigore della LGPD, è di aumentare il livello di tutela del consumatore, visto che limiterà le società operanti nel settore del credito al trattamento dei soli dati necessari per raggiungere la finalità perseguita. Il trattamento dei dati personali appartenenti a particolari categorie (conosciuti anche come “dati sensibili”) è stato, invece, del tutto escluso per questa specifica base giuridica.
In Brasile entra in vigore la Legge sulla protezione dei dati personali: le principali novità
Un’altra importante novità è l’obbligo del titolare del trattamento di effettuare le cosiddette “LIAs”, che sarebbero valutazioni sul legittimo interesse del titolare, ogniqualvolta quest’ultimo basi le operazioni di trattamento su tale base giuridica.
Agli interessati, sono garantiti il diritto di accesso ai dati personali, rettifica, cancellazione, revoca del consenso, portabilità e opposizione, nonché la possibilità di presentare reclami all’Autorità Garante nazionale, la ANPD (acronimo di Autoridade Nacional de Proteção de Dados). Una differenza della LGPD che riguarda gli interessati è che il diritto di opposizione, ad esempio, potrà essere esercitato in relazione a tutti i trattamenti non basati sul consenso e non solo a quelli basati sul legittimo interesse o per l’esecuzione di un compito di interesse pubblico, come previsto dal GDPR.
Le sanzioni irrogabili a chi non osserva gli obblighi imposti dalla LGPD possono arrivare a R$ 50 milioni (intorno a € 10 milioni) o, per le imprese, fino 2 % del fatturato mondiale totale annuo dell’esercizio precedente.
Sono, inoltre, previste fra le altre sanzioni, l’applicazione di una multa giornaliera; la pubblicazione dell’infrazione dopo la conferma dell’evento; la limitazione del trattamento dei dati personali coinvolti nella violazione fino a che il trattamento sia regolarizzato; la cancellazione dei dati personali coinvolti nella violazione; o il divieto parziale o totale delle attività svolte dal titolare che risultino connesse al trattamento dei dati. Le sanzioni saranno applicate soltanto dopo il termine del procedimento amministrativo di competenza della ANPD.
Interessante evidenziare che la normativa brasiliana in materia di protezione dei dati personali, nonostante dal 2010 il tema fosse già in discussione sul territorio nazionale, è stata percepita dal legislatore come necessaria soltanto a partire dell’entrata in vigore del GDPR, nel 2016. La preoccupazione riguardo all’impatto che il GDPR avrebbe potuto causare agli scambi commerciali tra il Brasile e l’Europa è stata sufficiente per sensibilizzare il legislatore ad adottare una normativa in materia che fosse atta a garantire gli stessi livelli di tutela presenti nel territorio europeo.
Infine, nonostante la LGPD sia entrata in vigore il 18 settembre, le sanzioni previste dalla legge saranno applicabile soltanto a partire del 1° agosto 2021. I soggetti interessati, invece, potranno già da ora esercitare i loro diritti ai sensi della nuova legge.
