La Lei Geral de Protecao de Dados Pessoais (LGPD), Legge n. 13.709/2018, e il quadro normativo generale del Brasile sulla protezione dei dati personali. In vigore dal settembre 2020, con sanzioni amministrative applicabili dall’agosto 2021, la LGPD stabilisce regole chiare su come le organizzazioni devono raccogliere, conservare, trattare e condividere i dati personali. Con l’Autoridade Nacional de Protecao de Dados (ANPD) che regola e applica attivamente la legge, comprendere i propri obblighi non e piu facoltativo: e una necessita operativa e legale. Per le aziende italiane che operano in Brasile o trattano dati di residenti brasiliani, la LGPD si aggiunge agli obblighi gia imposti dal GDPR e dal Codice della Privacy italiano, supervisionati dal Garante per la protezione dei dati personali.
I principi della LGPD
L’articolo 6 della LGPD stabilisce dieci principi che devono guidare tutte le attivita di trattamento dei dati personali:
1. Finalita (Finalidade). Il trattamento deve essere effettuato per finalita legittime, specifiche ed esplicite, comunicate all’interessato. Nessuna raccolta di dati senza un obiettivo documentato.
2. Adeguatezza (Adequacao). Il trattamento deve essere compatibile con le finalita comunicate all’interessato. I dati raccolti devono essere pertinenti e proporzionali.
3. Necessita (Necessidade). Il trattamento deve essere limitato al minimo necessario per raggiungere le sue finalita. Questo principio, equivalente alla minimizzazione dei dati nel GDPR (articolo 5(1)(c)), contrasta la raccolta eccessiva.
4. Libero accesso (Livre acesso). Gli interessati devono avere un accesso facile e gratuito alle informazioni sulla forma e la durata del trattamento, nonche alla totalita dei loro dati personali.
5. Qualita dei dati (Qualidade dos dados). L’accuratezza, la chiarezza, la pertinenza e l’attualita dei dati devono essere garantite in conformita con la finalita del trattamento.
6. Trasparenza (Transparencia). Devono essere fornite informazioni chiare, precise e facilmente accessibili sul trattamento e sui rispettivi agenti di trattamento. Questo principio rispecchia l’obbligo di trasparenza del GDPR (articoli 12-14).
7. Sicurezza (Seguranca). Devono essere utilizzate misure tecniche e amministrative per proteggere i dati personali da accessi non autorizzati e situazioni accidentali o illecite.
8. Prevenzione (Prevencao). Devono essere adottate misure per prevenire i danni derivanti dal trattamento dei dati personali.
9. Non discriminazione (Nao discriminacao). Il trattamento non puo essere effettuato per finalita discriminatorie illecite o abusive.
10. Responsabilizzazione e rendicontazione (Responsabilizacao e prestacao de contas). L’agente di trattamento deve dimostrare l’adozione di misure efficaci in grado di comprovare la conformita alle norme.
Chi deve conformarsi alla LGPD
La LGPD ha un’ampia applicazione extraterritoriale (articolo 3). Si applica a qualsiasi operazione di trattamento di dati personali che:
- Viene effettuata sul territorio brasiliano
- Ha come scopo l’offerta o la fornitura di beni o servizi a persone situate in Brasile
- Coinvolge dati personali raccolti sul territorio brasiliano
Portata extraterritoriale. Un’azienda con sede in Italia, Germania o Stati Uniti che offre prodotti o servizi a consumatori brasiliani o raccoglie dati di persone in Brasile e soggetta alla LGPD. Questa portata e comparabile a quella del GDPR europeo (articolo 3 del GDPR), che il Garante per la protezione dei dati personali applica alle aziende italiane.
Eccezioni. La LGPD non si applica al trattamento effettuato da una persona fisica per finalita esclusivamente private e non economiche, per finalita esclusivamente giornalistiche, artistiche o accademiche, o dallo Stato per finalita di sicurezza pubblica, difesa nazionale e indagine penale (articolo 4).
Basi giuridiche del trattamento
La LGPD stabilisce dieci basi giuridiche nell’articolo 7 che autorizzano il trattamento dei dati personali. Ogni operazione di trattamento deve fondarsi su almeno una di esse:
1. Consenso dell’interessato. Deve essere libero, informato, inequivocabile e fornito per una finalita specifica. Il consenso puo essere revocato in qualsiasi momento.
2. Adempimento di un obbligo legale o regolamentare.
3. Esecuzione di politiche pubbliche da parte della pubblica amministrazione.
4. Studi di ricerca da parte di organismi di ricerca.
5. Esecuzione di un contratto o procedure preliminari relative a un contratto di cui l’interessato e parte.
6. Esercizio regolare di diritti in procedimenti giudiziari, amministrativi o arbitrali.
7. Protezione della vita o dell’incolumita fisica dell’interessato o di un terzo.
8. Tutela della salute in procedure effettuate da professionisti sanitari o enti sanitari.
9. Legittimo interesse del titolare del trattamento o di un terzo. Richiede un test di proporzionalita (articolo 10) che bilanci gli interessi del titolare con i diritti e le aspettative dell’interessato. Questo concetto e simile al legittimo interesse del GDPR (articolo 6(1)(f)), su cui il Garante ha pubblicato linee guida dettagliate.
10. Protezione del credito.
Per i dati sensibili (articolo 11), le basi giuridiche sono piu restrittive: consenso specifico o necessita per l’adempimento di un obbligo legale, l’esecuzione di politiche pubbliche, la ricerca, l’esercizio di diritti, la protezione della vita o la tutela della salute.
Diritti degli interessati
L’articolo 18 della LGPD garantisce agli interessati un insieme completo di diritti:
Conferma e accesso. L’interessato puo richiedere la conferma dell’esistenza di un trattamento e l’accesso ai propri dati personali.
Rettifica. Diritto di richiedere la rettifica di dati incompleti, inesatti o obsoleti.
Anonimizzazione, blocco o cancellazione. Diritto di richiedere l’anonimizzazione, il blocco o la cancellazione di dati non necessari, eccessivi o non conformi.
Portabilita. Diritto di richiedere la portabilita dei dati a un altro fornitore di servizi o prodotti, su richiesta espressa.
Cancellazione. Diritto di richiedere la cancellazione dei dati personali trattati sulla base del consenso.
Informazione sulla condivisione. Diritto di ottenere informazioni sulle entita pubbliche e private con cui il titolare ha condiviso i dati.
Revoca del consenso. Diritto di revocare il consenso in qualsiasi momento, con dichiarazione espressa.
Questi diritti sono ampiamente equivalenti a quelli previsti dal GDPR (articoli 15-22), che in Italia il Garante per la protezione dei dati personali supervisiona.
Responsabile della protezione dei dati (Encarregado)
L’articolo 41 della LGPD obbliga il titolare del trattamento a designare un responsabile della protezione dei dati (encarregado). Le sue funzioni comprendono:
- Accettare reclami e comunicazioni degli interessati e fornire chiarimenti
- Ricevere comunicazioni dall’ANPD e adottare le misure appropriate
- Consigliare dipendenti e collaboratori sulle pratiche di protezione dei dati
- Svolgere altri compiti assegnati dal titolare o stabiliti da regolamenti complementari
L’ANPD puo stabilire regole complementari sulla dispensa dalla designazione del DPO per agenti di trattamento di piccole dimensioni. In Italia, il Garante supervisiona il ruolo equivalente del DPO come definito dal GDPR (articolo 37) e dal Codice della Privacy.
Rapporto di impatto sulla protezione dei dati
L’articolo 38 della LGPD prevede che l’ANPD possa richiedere al titolare la preparazione di un rapporto di impatto sulla protezione dei dati (RIPD). Questo rapporto deve contenere:
- Una descrizione dei tipi di dati raccolti
- La metodologia utilizzata per la raccolta
- Le misure di sicurezza delle informazioni
- L’analisi del titolare riguardo alle misure, garanzie e meccanismi di mitigazione dei rischi
Sebbene l’ANPD non abbia ancora completamente regolamentato i criteri per la preparazione obbligatoria del RIPD, e altamente consigliabile che le aziende che trattano dati su larga scala o gestiscono dati sensibili preparino questo documento in modo proattivo. Questo e analogo alla Valutazione d’Impatto sulla Protezione dei Dati (DPIA) richiesta dal GDPR (articolo 35) e raccomandata dal Garante per i trattamenti ad alto rischio.
Trasferimenti internazionali di dati
La LGPD regola i trasferimenti internazionali di dati personali nell’articolo 33. I trasferimenti sono consentiti quando:
- Verso paesi o organizzazioni internazionali che offrono un livello di protezione adeguato
- Quando il titolare offre garanzie di conformita ai principi della LGPD (clausole contrattuali specifiche, clausole tipo, norme vincolanti d’impresa)
- Attraverso il consenso specifico dell’interessato
- Per l’adempimento di un obbligo legale o regolamentare
- Per la cooperazione giuridica internazionale
L’ANPD sta lavorando alla regolamentazione dei meccanismi di trasferimento, comprese le clausole contrattuali tipo e i criteri di adeguatezza, seguendo i meccanismi europei del GDPR. Le aziende italiane che trasferiscono dati tra l’Italia, l’UE e il Brasile devono quindi assicurare la conformita sotto entrambi i regimi.
Sanzioni e penalita
L’articolo 52 della LGPD stabilisce un regime di sanzioni amministrative applicabili dall’ANPD:
Ammonimento. Con indicazione del termine per l’adozione di misure correttive.
Sanzione pecuniaria semplice. Fino al 2% del fatturato dell’entita giuridica privata, del gruppo o del conglomerato in Brasile nell’ultimo esercizio fiscale, escluse le imposte, limitata a un totale di 50 milioni di BRL per infrazione.
Sanzione pecuniaria giornaliera. Soggetta allo stesso limite totale di 50 milioni di BRL.
Pubblicazione dell’infrazione. Dopo verifica e conferma.
Blocco dei dati personali relativi all’infrazione fino alla regolarizzazione.
Cancellazione dei dati personali relativi all’infrazione.
Sospensione parziale del funzionamento del database per un massimo di 6 mesi, prorogabile per un periodo equivalente.
Sospensione dell’attivita di trattamento dei dati per un massimo di 6 mesi, prorogabile per un periodo equivalente.
Divieto parziale o totale delle attivita relative al trattamento dei dati.
L’ANPD ha gia applicato sanzioni a imprese brasiliane, inclusi ammonimenti e ordini di conformita. Per confronto, il Garante in Italia puo imporre sanzioni fino a 20 milioni di euro o il 4% del fatturato mondiale annuo in virtu del GDPR.
Quattro approcci alla conformita LGPD
Assumere un avvocato specializzato
Costo: da 15.000 a 50.000 BRL per un programma di conformita completo. Tempistica: da 4 a 8 settimane.
Un avvocato specializzato in protezione dei dati puo effettuare una mappatura completa dei flussi di dati, redigere politiche interne, formare il personale e strutturare la risposta agli incidenti. Raccomandato per aziende con grandi volumi di dati o dati sensibili.
Utilizzare uno strumento di IA generico
Costo apparente: 0 BRL. Costo reale: le lacune di conformita che crea.
Gli strumenti di IA generici possono generare testo che assomiglia a una politica sulla privacy ma non possono verificare i flussi di dati effettivi ne garantire la copertura delle dieci basi giuridiche e dei principi della LGPD.
Copiare un modello gratuito
Costo: 0 BRL. Rischio: elevato.
I modelli gratuiti sono generici, spesso obsoleti e mai adattati alla vostra attivita specifica. L’ANPD si aspetta che la vostra politica sulla privacy rifletta le vostre pratiche di trattamento effettive.
Utilizzare un generatore di documenti legali specializzato
Costo: 19,90 € a 49,90 €. Tempistica: meno di 10 minuti.
Un generatore specializzato pone domande mirate sulla vostra attivita e produce una politica sulla privacy che risponde ai requisiti della LGPD, incluse le basi giuridiche, i diritti degli interessati e gli obblighi di trasparenza.
Per verificare rapidamente la conformita del vostro sito, utilizzate il nostro scanner di conformita gratuito. Consultate anche il nostro confronto LGPD vs GDPR per le differenze principali, e la nostra guida sulla politica di privacy LGPD.
Conclusione
La LGPD ha trasformato il panorama della protezione dei dati in Brasile. Con principi chiari, basi giuridiche definite, diritti completi per gli interessati e sanzioni che possono raggiungere i 50 milioni di BRL, la conformita non e piu un’opzione: e un obbligo legale con conseguenze reali. Per le aziende italiane che operano in Brasile o trattano dati di residenti brasiliani, la LGPD si aggiunge agli obblighi del GDPR supervisionati dal Garante per la protezione dei dati personali. L’ANPD e attiva nell’applicazione e nella regolamentazione, e il quadro normativo continua a evolversi. Ogni giorno senza conformita e un giorno di esposizione non necessaria a rischi regolamentari e reputazionali. Agite ora per proteggere la vostra azienda e la fiducia dei vostri clienti.