Se lavorate in Brasile o rivolgete i vostri servizi a residenti del Paese, la vostra attività potrebbe rientrare nella soglia legale della Lei Geral de Proteção de Dados(LGPD).
La Legge generale sulla protezione dei dati del Brasile è simile al Regolamento generale sulla protezione dei datiGDPR) dell'Europa e richiede di dimostrare la base legale per la raccolta dei dati personali.
Qui di seguito, scoprirete i requisiti della LGPD, il suo impatto sulle imprese e sui consumatori e le sanzioni previste in caso di violazione di questa legge.
- cos'è la Legge Generale sulla Protezione dei Dati (LGPD) del Brasile?
- Legge generale sulla protezione dei dati del Brasile Termini e definizioni chiave
- Cosa prevede la Legge generale sulla protezione dei dati del Brasile?
- Requisiti della LGPD
- LGPD e leggi globali sulla privacy: Similitudini e differenze
- Qual è l'impatto della Legge generale sulla protezione dei dati del Brasile sui consumatori?
- Qual è l'impatto della Legge generale sulla protezione dei dati del Brasile sulle imprese?
- Chi deve rispettare la Legge generale sulla protezione dei dati del Brasile?
- Come possono le aziende prepararsi all'LGPD?
- Come viene applicata la LGPD?
- Multe e sanzioni ai sensi della LGPD
- In che modo Termly contribuisce alla conformità alla LGPD?
- Esistono altre leggi sulla privacy in Brasile?
- Riassunto
cos'è la Legge Generale sulla Protezione dei Dati (LGPD) del Brasile?
La legge brasiliana sulla protezione generale dei dati, Lei Geral de Proteção de Dados(LGPD), è la principale legge sulla privacy dei dati dei consumatori.
Il documento delinea i diversi requisiti che gli enti devono seguire per raccogliere, elaborare e utilizzare legalmente le informazioni personali degli utenti di Internet in Brasile e descrive le sanzioni per chi viola la legge.
La LGPD è ufficialmente disponibile in portoghese, ma lo IAPP ha una buona traduzione non ufficiale in inglese della legge.
Quando è entrata in vigore la LGPD?
La legge brasiliana sulla protezione dei dati è stata approvata nel 2018 ed è entrata in vigore il 18 settembre 2020.
Legge generale sulla protezione dei dati del Brasile Termini e definizioni chiave
Di seguito, leggete alcuni termini e definizioni chiave della legge brasiliana sulla protezione dei dati tradotti in inglese.
Cosa prevede la Legge generale sulla protezione dei dati del Brasile?
La Legge generale sulla protezione dei dati del Brasile copre le informazioni personali dei cittadini brasiliani, indipendentemente dal fatto che siano residenti o meno nel Paese.
La copertura non si limita ai dati digitali, ma protegge anche le informazioni personali raccolte offline e di persona.
Requisiti della LGPD
Analizziamo i principali requisiti delineati dalla Legge generale sulla protezione dei dati del Brasile.
Base legale per il trattamento dei dati
Ai sensi dell'articolo 7 della LGPD, le organizzazioni possono raccogliere informazioni personali dagli utenti solo se ragionevoli e necessarie per una delle seguenti basi legali:
- Con il consenso dell'utente
- Per adempiere a un contratto con l'utente
- Per adempiere agli obblighi di legge
- Per interesse legittimo
- Per effettuare studi da parte di un ente di ricerca
- Misure di prevenzione delle frodi
- Misure di protezione del credito
- Per proteggere la vita o la sicurezza dell'interessato
Il responsabile del trattamento dei dati ha la responsabilità di dimostrare la legittimità della propria base giuridica per la raccolta dei dati personali.
Consenso
La definizione di consenso ai sensi della LGPD è simile a quella del GDPR dell'UE e deve essere:
- Liberamente dato
- Informato
- Attivo
- Inequivocabile
Per utilizzare legalmente il consenso come base legittima per il trattamento dei dati, è necessario ottenere il consenso degli utenti e consentire loro di cambiare idea in qualsiasi momento.
Inoltre, in Brasile il consenso viene comunemente frainteso come requisito per la raccolta di dati personali sensibili dagli utenti.
Tuttavia, la LGPD delinea diversi altri fondamenti giuridici per tale trattamento, sottolineando che non esiste una gerarchia tra queste basi legali.
I principi fondamentali
La LGPD delinea dieci principi fondamentali che richiede ai soggetti coperti di integrare nelle loro attività di raccolta e trattamento dei dati, tra cui i seguenti:
- Scopo
- Adeguatezza
- Necessità
- Accesso libero
- Qualità dei dati
- Trasparenza
- Sicurezza
- Prevenzione
- Non discriminazione
- Responsabilità
Questi principi fondamentali sono simili al GDPR per quanto riguarda l'ambito di applicazione, la portata e la definizione.
Calendario di conservazione dei dati
l'articolo 40 della LGPD stabilisce che le organizzazioni possono conservare i dati solo per il periodo di tempo più breve possibile per raggiungere lo scopo della raccolta delle informazioni presentate all'utente.
Sebbene la legge non indichi una durata effettiva, stabilisce che il trattamento non può continuare dopo che lo scopo iniziale è stato raggiunto.
Valutazioni sulla protezione dei dati
l'autorità di protezione dei dati in Brasile può richiedere ai responsabili del trattamento di effettuare valutazioni sulla protezione dei dati per vari motivi.
La valutazione deve considerare almeno i tipi di informazioni raccolte dagli utenti e le misure di sicurezza in atto per mantenere i dati al sicuro.
Trasferimenti internazionali di dati
Il 15 agosto 2023, l'autoridade Nacional de Proteção de Dados(ANPD), l'autorità brasiliana per la protezione dei dati, ha presentato una bozza di risoluzione riguardante la regolamentazione del trasferimento internazionale dei dati e i modelli di clausole contrattuali standard.
Il documento preliminare invitava il pubblico a fornire contributi nell'ambito di un più ampio sforzo per definire il panorama normativo per la circolazione internazionale dei dati personali dal Brasile.
Fa parte del punto 4 dell'Agenda normativa dell'ANPD per il periodo 2023/2024.
La bozza di regolamento affronta aspetti critici come le definizioni di trasferimento internazionale di dati, esportatore, importatore e altri termini chiave:
- Delinea i prerequisiti per effettuare trasferimenti internazionali di dati personali
- Delinea i doveri degli incaricati del trattamento dei dati
- Discute le varie modalità di trasferimento e l'applicazione di clausole contrattuali standard.
l'obiettivo dell'introduzione di questi modelli di clausole standard è quello di fornire un quadro strutturato e sicuro per gli scambi internazionali di dati, garantendo che i dati personali trasferiti dal Brasile siano protetti in modo coerente con i principi della LGPD.
Questo sviluppo è significativo perché mira ad allineare gli standard brasiliani di protezione dei dati alle pratiche globali, offrendo alle entità chiare linee guida per la conformità.
LGPD e leggi globali sulla privacy: Similitudini e differenze
Il Brasile è uno dei numerosi Paesi protetti da una legge sulla protezione dei dati e presenta alcune analogie con tutti i seguenti:
- La legge sulla privacy dei consumatori della California(CCPA)
- Il Regolamento generale sulla protezione dei dati (GDPR)
- Legge argentina sulla protezione dei dati personali(PDPA Argentina)
- Legge canadese sulla protezione delle informazioni personali e dei documenti elettronici(PIPEDA)
- La legge sudafricana sulla protezione delle informazioni personali(POPIA)
- Legge tailandese sulla protezione dei dati personali(PDPA)
- Legge sulla privacy dell'Australia del 1988(la legge sulla privacy)
- Legge sulla privacy della Nuova Zelanda 2020
Confrontate la LGPD con le altre leggi globali sulla privacy nella tabella seguente.
| Legge sulla privacy dei dati | Richiede il consenso opt-in* | Obbligo di pubblicare un'informativa sulla privacy | Delinea gli obblighi contrattuali con i terzi | Le aziende sono responsabili della sicurezza dei dati | Ha requisiti specifici per i trasferimenti internazionali di dati | Richiede linee guida aggiuntive per le categorie di informazioni sensibili (speciali). |
| Thailandia PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentina PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| GDPR | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Legge sulla privacy 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Legge sulla privacy 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Con alcune eccezioni per alcune leggi.
Qual è l'impatto della Legge generale sulla protezione dei dati del Brasile sui consumatori?
I consumatori, ai sensi della LGPD brasiliana, hanno un maggiore controllo sulle modalità di raccolta e utilizzo dei loro dati personali da parte di soggetti esterni, come spiegato nell'articolo 18.
Concede loro il diritto di:
- Portabilità dei dati
- Essere informati su come vengono utilizzate le loro informazioni, su chi le elabora e per quale scopo.
- revocare il consenso al trattamento dei dati in qualsiasi momento
- Opporsi al trattamento dei propri dati per il marketing diretto, il processo decisionale automatizzato o la profilazione.
- Rivedere le decisioni basate esclusivamente su un processo decisionale automatizzato
Le entità coperte devono soddisfare le richieste dei consumatori di agire in base a questi diritti o rischiano di incorrere in pesanti sanzioni.
A chi si applica la LGPD?
La LGPD si applica ai dati personali di chiunque si trovi in Brasile, indipendentemente dal suo status di cittadino.
Protegge le informazioni raccolte da enti online e offline e copre anche alcune informazioni disponibili al pubblico.
Tuttavia, la seguente raccolta di dati è esente dai requisiti della legge brasiliana sulla privacy:
- Dati trattati per attività personali o domestiche
- Dati trattati per finalità artistiche, accademiche, giornalistiche o letterarie
- Dati utilizzati per la sicurezza pubblica, la difesa nazionale o le indagini penali.
- Il trattamento di dati anonimizzati che non consentono di identificare un individuo
Qual è l'impatto della Legge generale sulla protezione dei dati del Brasile sulle imprese?
Oltre alle basi legali, alle valutazioni sulla protezione dei dati e alle linee guida sulla conservazione menzionate in precedenza, la LGPD brasiliana influisce anche sulle politiche sulla privacy e sui cookie delle aziende.
In che modo l'LGPD influisce sulla mia politica sulla privacy?
La legge brasiliana sulla protezione dei dati personali influisce sulla vostra politica sulla privacy richiedendo i seguenti dettagli, come indicato nell'articolo 9:
- Lo scopo del trattamento dei dati
- Il tipo di trattamento dei dati e la durata dello stesso
- La vostra identità aziendale e le informazioni di contatto
- Dettagli sui soggetti con cui i dati vengono condivisi e sui motivi della loro condivisione
- Le responsabilità degli incaricati del trattamento dei dati in materia di trattamento dei dati
- Quali sono i diritti degli utenti sui dati e come agire per ottenerli?
In che modo la LGPD influisce sulla mia politica sui cookie?
I requisiti di trasparenza delineati dalla LGPD brasiliana riguardano la vostra politica sui cookie, in quanto vi obbligano a spiegare chiaramente agli utenti:
- Quali cookie vengono utilizzati
- Perché si usano
- Quali dati raccolgono i cookie
- Quali diritti hanno gli utenti sui cookie
- Come agire in base a tali diritti
Assicuratevi che tutte queste informazioni compaiano nella vostra politica sui cookie, che dovreste collegare a una clausola della vostra politica sulla privacy in modo che gli utenti possano accedere facilmente a questi dettagli.
Chi deve rispettare la Legge generale sulla protezione dei dati del Brasile?
Le seguenti tipologie di aziende devono rispettare la LGPD del Brasile:
- Qualsiasi organizzazione operante in Brasile, comprese le organizzazioni non profit e gli enti governativi, che possieda dati personali.
- Qualsiasi organizzazione con sede al di fuori del Brasile che elabora i dati personali di individui nel Paese, anche se l'elaborazione stessa avviene al di fuori del Brasile.
Nel complesso, la legge ha un campo di applicazione molto ampio e si applica alle organizzazioni di tutto il mondo.
Chi è esente dalla Legge generale sulla protezione dei dati del Brasile?
Le uniche esenzioni alla Legge Generale sulla Protezione dei Dati del Brasile includono:
- Persone che trattano dati personali per scopi personali o domestici.
- Dati trattati per finalità artistiche o accademiche.
- Questioni di pubblica sicurezza, che sono soggette a regole diverse, come le autorità pubbliche.
Come possono le aziende prepararsi all'LGPD?
Per prepararsi alla conformità alla LGPD, le aziende devono aggiornare le loro politiche sulla privacy e sui cookie per soddisfare tutti i requisiti di trasparenza e notifica descritti dalla legge.
Dovete anche determinare la vostra base legale per la raccolta dei dati personali e utilizzare una gestione del consenso platformCMP) per raccogliere un consenso adeguato da parte degli utenti se questo è uno degli scopi del trattamento delle informazioni.
Aggiungete al vostro sito web un modulo per la richiesta di accesso ai dati personali (DSAR), in modo che gli utenti possano facilmente esercitare i loro diritti ai sensi di questa legge.
Infine, assicuratevi di utilizzare contratti appropriati se lavorate con i responsabili del trattamento dei dati ed eseguite valutazioni sulla protezione dei dati, se necessario.
Come viene applicata la LGPD?
l'autorità per la protezione dei dati in Brasile, l'autoridade Nacional de Proteção de Dados(ANPD), fa rispettare tutti gli aspetti della legge.
Sono responsabili della supervisione e dell'applicazione di tutte le conseguenze in caso di non conformità, tra cui l'esecuzione di indagini e l'emissione di avvertimenti e ordini per multe o sanzioni.
Multe e sanzioni ai sensi della LGPD
Le multe per la mancata conformità alla LGPD possono arrivare fino al 2% del fatturato annuale di un'azienda in Brasile.
Inoltre, gli individui hanno il diritto di intentare una causa civile se subiscono danni materiali o morali a causa di un'organizzazione che viola la LGPD.
In che modo Termly contribuisce alla conformità alla LGPD?
La gestione del consenso Platform di gestione del consenso Platform di Termly(CMP) è configurabile per soddisfare i requisiti di opt-out descritti dalla legge brasiliana sulla protezione dei dati in merito ai cookie utilizzati per la pubblicità mirata.
Inoltre, il nostro team sta attualmente lavorando a un aggiornamento del nostro generatore di informativa sulla privacy, che presto includerà le clausole necessarie per aiutare le aziende a conformarsi alla LGPD brasiliana.
Gli aggiornamenti richiedono tempo, ma gli utenti di Termly riceveranno un'e-mail di aggiornamento quando le modifiche saranno ufficialmente attive.
Il nostro generatore di informativa sulla privacy richiede solo pochi minuti per essere compilato e crea una polizza completa basata sulle vostre risposte a semplici domande sulla vostra attività.
È facile da usare, comodo, veloce e supportato dal nostro team legale e da esperti di privacy.
Esistono altre leggi sulla privacy in Brasile?
Oltre alla LGPD, in Brasile esistono diverse altre leggi sulla privacy, tra cui le seguenti:
- Marco Civil da Internet: Questa legge stabilisce i principi per l'utilizzo di Internet in Brasile.(Fonte)
- Código de Defesa do Consumidor: Questo codice delinea le disposizioni che richiedono buona fede e trasparenza nei rapporti con i consumatori.(Fonte)
- Estatuto da Criança e do Adolescente: Questa legge definisce le disposizioni per la protezione dei dati personali di bambini e adolescenti.(Fonte)
Riassunto
Se la vostra organizzazione raccoglie dati da utenti in Brasile, assicuratevi di essere conformi alla LGPD:
- Aggiornate la vostra politica sulla privacy e sui cookie per soddisfare tutti i requisiti di trasparenza e notifica.
- Assicurarsi di richiedere agli utenti un adeguato consenso opt-in, se necessario, implementando una gestione del consenso Platform compatibile.
- Se raccogliete dati sensibili, eseguite le opportune valutazioni sulla protezione dei dati.
- Utilizzate contratti conformi con gli incaricati del trattamento o i responsabili del trattamento dei dati con cui lavorate.
Qual è il modo più semplice per semplificare la conformità alla privacy? Fatevi aiutare da Termly!
Scoprite la nostra suite completa di soluzioni di conformità e iniziate a proteggere la vostra azienda e i vostri consumatori.
Per saperne di più su chi scrive
Scritto da Heloisa Valdívia, CIPM
In qualità di Certified Information Privacy Manager (CIPM) e consulente esperto in materia di privacy, Heloísa conosce a fondo il settore della privacy dei dati. Con la passione di salvaguardare i dati e garantire la conformità, fornisce preziose intuizioni e indicazioni pratiche per orientarsi nella complessità delle normative e delle best practice sulla privacy dei dati. Per saperne di più su chi scrive
