GUIDA NORMATIVA

Lei Geral de Proteção de Dados, le novità della nuova legge privacy brasiliana e le lezioni del GDPR

Anche il Brasile si è dotato di una nuova legge privacy, la Lei Geral de Proteção de Dados che, come il California Consumer Privacy Act, sembra riprendere alcune delle previsioni del GDPR. Cerchiamo dunque di capire quali sono i punti principali della LGPD e di contatto col Regolamento UE

03 Dic 2020
S
Valeria Specchio

Junior Associate Rödl & Partner

Il 2020 ha portato con sé un’ulteriore normativa volta a tutelare la protezione dei dati personali: la Lei Geral de Proteção de Dados (LGPD) brasiliana. Entrata in vigore il 18 settembre 2020, la legge tenta di unificare gli oltre 40 diversi statuti che attualmente disciplinano i dati personali, sia online che offline.

Principali punti della Lei Geral de Proteção de Dados

Il Brasile, dunque, con la nuova Lei Geral de Proteção de Dados fa seguito al California Consumer Privacy Act (CCPA) e, in aggiunta al neo approvato California Privacy Rights Act (CPRA). La nuova normativa sulla data protection vedrà applicabili dal primo agosto 2021 anche le sanzioni da essa disciplinate.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Cerchiamo di capire quali sono i punti principali della LGPD e di comunione e differenza con il Regolamento europeo.

Ambito di applicazione della LGPD

La LGPD è rivolta a persone giuridiche di diritto pubblico o privato, indipendentemente dai mezzi, dal paese in cui si trovino, la loro sede centrale o il Paese in cui si trovano i dati, purché la raccolta ed il trattamento dei dati personali avvengano nel territorio nazionale brasiliano[1].

La legge mira a tutelare i dati personali degli interessati del trattamento, ossia qualsiasi persona identificata o identificabile[2].

Gli obblighi prevista dalla LGPD

Tra gli obblighi in capo al titolare previsti dalla LGPD troviamo:

  1. tenuta dei registri del trattamento: titolari e responsabili devono tenere dei registri del trattamento, che riportino le attività di trasferimento da essi effettuate, specialmente se fondate su legittimo interesse[3];
  2. obbligo di effettuare valutazioni di impatto (DPIA) per alcuni trattamenti, non specificati dalla normativa, ma della cui opportunità di svolgimento darà chiarimenti l’autorità nazionale per la protezione dei dati (ANPD);[4]
  3. obbligo di nomina di un Data Protection Officer: è valido solamente per i titolari e non anche per i responsabili del trattamento e non vi sono circostanze tali per cui la nomina del DPO debba rendersi obbligatoria ex lege;[5]
  4. sicurezza del trattamento: titolari e responsabili del trattamento sono tenuti all’adozione di misure di sicurezza, tecniche ed organizzative per la protezione dei dati personali;[6]
  5. obbligo di notifica di data breach: i titolari del trattamento devono notificare all’ ANPD entro un termine ragionevole violazioni dei dati personali;[7]
  6. accountability e good practice: titolari e responsabili del trattamento devono adottare processi interni che garantiscano la responsabilizzazione nei confronti della tutela dei dati personali, prevedendo un privacy governance programme[8].

I diritti previsti dalla LGPD

I soggetti interessati al trattamento possono, ai sensi della LGPD, esercitare:

  1. il diritto di cancellazione: gli interessati possono richiedere la cancellazione dei propri dati[9];
  2. il diritto di essere informato: l’interessato può richiedere di accedere ai propri dati personali trattati, le rispettive finalità di trattamento, durata della conservazione, identità del titolare, i dati condivisi dal titolare[10];
  3. il diritto di opposizione al trattamento: l’interessato può richiedere in ogni momento la cessazione del trattamento dei propri dati personali, anche revocando il consenso da esso prestato[11];
  4. il diritto di accesso: l’interessato può chiedere al titolare i dati personali ad esso relativi, le finalità, le fonti di acquisizione dei dati[12];
  5. il diritto alla non discriminazione: l’interessato può richiedere se siano effettuate operazioni volte alla discriminazione nell’ambito dell’attività di trattamento automatizzato che impattino sugli interessi dell’interessato stesso[13];
  6. il diritto alla portabilità: l’interessato può richiedere che i propri dati vengano trasferiti ad un terzo fornitore di servizi o prodotti[14].

Le sanzioni della Lei Geral de Proteção de Dados

In caso di violazione delle disposizioni della LGPD, l’articolo 52 stabilisce una sanzione massima per violazione del 2% del ricavato di un’entità giuridica privata, di un gruppo o di un conglomerato di imprese stabilite in Brasile, per l’anno fiscale precedente, al netto delle imposte, fino a un totale massimo di 50 milioni di real (circa 11 milioni di euro)[15].

Ulteriori sanzioni possono inoltre essere applicate dall’autorità nazionale.

La Lei Geral de Proteção de Dados e il GDPR

La Legge brasiliana ha ben ripreso, in ottica di terminologia e di struttura, le previsioni del Regolamento europeo GDPR. Tuttavia, possono enuclearsi alcune principali differenze:

  1. nomina del DPO: mentre il GDPR prevede espressamente le circostanze che richiedano una nomina obbligatoria del Responsabile per la Protezione dei Dati Personali, la LGPD prevede solamente la nomina da parte del titolare del trattamento di un deputato alla protezione dei dati personali;
  2. basi giuridiche: contro le 7 basi legali del trattamento individuate dal GDPR, la LGPD ne conta 10. Queste sono: i) consenso dell’interessato, ii) adempimento di un obbligo legale o regolamentare del titolare, iii) adempimento alle politiche pubbliche previste da leggi o regolamenti, o basate su contratti, accordi o strumenti simili, iv) svolgimento di studi da parte di enti di ricerca che garantiscano, ove possibile, l’anonimizzazione dei dati personali, v) adempimento di un contratto o procedure preliminari relative ad un contratto di cui l’interessato è parte, su richiesta dell’interessato, vi) esercizio di diritti in procedimenti giudiziari, amministrativi o arbitrali, vii) motivi di tutela della vita o incolumità fisica dell’interessato o di terzi, viii) per motivi di tutela della salute, in una procedura svolta da operatori sanitari o da enti sanitari, ix) interessi legittimi del titolare del trattamento o di un terzo, salvo che su di essi prevalgano i diritti e le libertà fondamentali dell’interessato, x) tutela del credito (in caso di credit scoring);
  3. data breach: mentre il GDPR prevede una notifica all’Autorità di controllo della violazione dei dati personali entro 72 ore dalla conoscenza della violazione, la LGPD richiede semplicemente che la comunicazione all’autorità nazionale avvenga in tempo ragionevole;
  4. sanzioni: il GDPR prevede sanzioni che possono arrivare fino al 4% del fatturato annuo mondale lordo di gruppo, mentre la LGPD si limita al 2% dei ricavi singoli o di gruppo delle imprese e comunque fino ad un massimo di 50 milioni di reals.

Le affinità si percepiscono di gran lunga maggiori rispetto alle differenze tra la LGPD ed il GDPR, visto che le principali differenze si notano in ambiti di discipline già regolate da entrambe le normative.

Conclusioni

Anche in questa sede occorre evidenziare che ognuna delle normative esaminate è caratterizzata da un differente contesto ordinamentale, da differenti precedenti legislativi e da diversi iter approvativi.

Inoltre, il caveat imposto dalla sentenza del 16 luglio in materia di trasferimenti extra UE[16], sembra aver creato malumori anche nei confronti di qualsiasi altro Paese Terzo che non sia stato collocato nella felice isola delle decisioni di adeguatezza: sembra sia giunto il momento, anche per il Brasile, di dimostrare il proprio impegno in materia di protezione dei dati personali.

È dunque giunto il tempo di convenire sulla portata del Regolamento UE 679/2016, che si è degnamente eletto a modello internazionale per la codificazione, anche in via indiretta, di previsioni volte alla protezione dei dati personali.

NOTE

  1. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 3.
  2. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, n. V.
  3. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 37.
  4. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art, 5, 10, 38.
  5. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, art, 41.
  6. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, art, 41.
  7. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art. 46.
  8. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art 50.
  9. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art. 5,16,18.
  10. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), artt. 6, 9-10, 14, 18-19.
  11. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 15, art. 18.
  12. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 16,18,19.
  13. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 1,2, 6(IX), 20.
  14. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art, 11, 17,18, 40.
  15. Art. 52, I, Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019) “i soggetti del trattamento dei dati che commettono infrazioni alle norme previste dalla presente legge sono soggetti alle seguenti sanzioni amministrative, da applicare dalla autorità nazionale: (…)2% del ricavato di un’entità giuridica privata, di un gruppo o di un conglomerato stabiliti in Brasile, per l’anno fiscale precedente, al netto delle imposte, fino a un totale massimo di 50 milioni di real(…)”.
  16. CJEU ruling Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18) of July 16th, 2020

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr