Se la vostra azienda serve clienti sia in Brasile che nell’Unione Europea, siete soggetti a due dei quadri normativi sulla protezione dei dati piu significativi al mondo: la Lei Geral de Protecao de Dados Pessoais (LGPD, Legge n. 13.709/2018) del Brasile e il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo. Sebbene entrambe le leggi condividano obiettivi simili e la LGPD sia stata influenzata dal GDPR, esistono differenze significative che incidono direttamente sulla vostra strategia di conformita. Questa guida confronta i due quadri normativi per aiutarvi a costruire un approccio integrato, con particolare attenzione alla prospettiva italiana e al ruolo del Garante per la protezione dei dati personali.
Origini e fondamenti
GDPR. Adottato nel 2016 ed in vigore dal maggio 2018, il GDPR e un regolamento direttamente applicabile in tutti i 27 Stati membri dell’UE. Si fonda sul principio che la protezione dei dati e un diritto fondamentale (articolo 8 della Carta dei diritti fondamentali dell’UE). E prescrittivo, dettagliato e accompagnato da un ampio corpus di giurisprudenza e indicazioni delle autorita nazionali. In Italia, il Garante per la protezione dei dati personali e l’autorita di controllo, affiancato dal Codice della Privacy (D.Lgs. 196/2003) come modificato dal D.Lgs. 101/2018.
LGPD. Emanata nel 2018 ed in vigore dal settembre 2020, la LGPD si e ampiamente ispirata al GDPR ma e stata adattata al contesto giuridico brasiliano. Incorpora elementi del Codice di protezione del consumatore, del Marco Civil da Internet e della Costituzione federale (articolo 5, commi X e XII). L’ANPD, creata nel 2020, sta ancora costruendo il quadro normativo completo.
Ambito di applicazione
Chi e protetto
GDPR: Qualsiasi persona fisica (interessato) situata nell’Unione Europea, indipendentemente dalla nazionalita o dalla residenza.
LGPD: Qualsiasi persona fisica i cui dati personali sono trattati in operazioni effettuate sul territorio brasiliano, finalizzate all’offerta di beni o servizi a persone in Brasile, o che coinvolgono dati raccolti in Brasile (articolo 3).
Quali aziende devono conformarsi
GDPR: Qualsiasi organizzazione, ovunque nel mondo, che tratti dati personali di persone nell’UE, a condizione che offra beni o servizi a residenti dell’UE o ne monitori il comportamento (articolo 3). Nessuna soglia di fatturato o volume minimo di dati.
LGPD: Qualsiasi organizzazione, ovunque nel mondo, che effettui operazioni di trattamento alle condizioni dell’articolo 3. Anch’essa senza soglia di fatturato.
Entrambe le leggi hanno portata extraterritoriale, il che significa che le aziende al di fuori del Brasile o dell’UE possono essere tenute alla conformita. Il Garante ha gia trattato casi che coinvolgono imprese non europee.
Basi giuridiche del trattamento
Questo e uno dei settori in cui le due leggi sono piu simili, ma con differenze importanti.
GDPR: Sei basi giuridiche (articolo 6) — consenso, esecuzione di un contratto, obbligo legale, interessi vitali, interesse pubblico e legittimo interesse.
LGPD: Dieci basi giuridiche (articolo 7) — le sei del GDPR piu protezione del credito, tutela della salute, studi di ricerca da parte di organismi di ricerca ed esercizio regolare di diritti.
| Base giuridica | GDPR | LGPD |
|---|---|---|
| Consenso | Articolo 6(1)(a) | Articolo 7, I |
| Obbligo legale | Articolo 6(1)(c) | Articolo 7, II |
| Esecuzione contrattuale | Articolo 6(1)(b) | Articolo 7, V |
| Legittimo interesse | Articolo 6(1)(f) | Articolo 7, IX |
| Protezione della vita | Articolo 6(1)(d) | Articolo 7, VII |
| Interesse pubblico | Articolo 6(1)(e) | Articolo 7, III |
| Protezione del credito | Non previsto | Articolo 7, X |
| Tutela della salute | Inclusa negli interessi vitali | Articolo 7, VIII (base autonoma) |
| Ricerca | Inclusa nell’interesse pubblico | Articolo 7, IV (base autonoma) |
| Esercizio di diritti | Incluso nell’obbligo legale | Articolo 7, VI (base autonoma) |
La LGPD e piu granulare nelle sue basi giuridiche, creando basi autonome per situazioni che il GDPR tratta come sottocategorie di basi piu ampie.
Consenso
GDPR: Deve essere liberamente prestato, specifico, informato e inequivocabile (articolo 7). L’onere della prova spetta al titolare del trattamento. Il consenso per i dati sensibili deve essere esplicito (articolo 9).
LGPD: Deve essere libero, informato e inequivocabile, fornito per iscritto o con altri mezzi che dimostrino l’espressione di volonta dell’interessato (articolo 8). Per i dati sensibili, il consenso deve essere specifico e evidenziato (articolo 11).
Le differenze pratiche sono sottili ma rilevanti. Il GDPR richiede che il consenso sia “specifico” per ciascuna finalita, mentre la LGPD lo richiede “per finalita determinate”. La LGPD specifica inoltre che il consenso scritto deve figurare in una clausola distinta dalle altre clausole contrattuali. Il Garante ha pubblicato linee guida dettagliate sul consenso nel quadro del GDPR.
Diritti degli interessati
Entrambe le leggi conferiscono un robusto insieme di diritti, ma con differenze notevoli:
| Diritto | GDPR | LGPD |
|---|---|---|
| Accesso | Articolo 15 | Articolo 18, I e II |
| Rettifica | Articolo 16 | Articolo 18, III |
| Cancellazione | Articolo 17 (diritto all’oblio) | Articolo 18, IV (anonimizzazione, blocco o cancellazione) |
| Portabilita | Articolo 20 | Articolo 18, V |
| Opposizione | Articolo 21 | Articolo 18, IV (parzialmente) |
| Revisione decisioni automatizzate | Articolo 22 | Articolo 20 |
| Informazione sulla condivisione | Implicito negli articoli 13-14 | Articolo 18, VII (diritto esplicito) |
| Tempo di risposta | 1 mese (prorogabile a 3) | 15 giorni per la conferma; periodo ragionevole per gli altri |
Differenza notevole: la LGPD garantisce esplicitamente il diritto all’informazione sulle entita con cui i dati sono stati condivisi (articolo 18, VII), mentre il GDPR tratta questo aspetto nell’ambito degli obblighi di trasparenza. La LGPD prevede anche la revisione delle decisioni automatizzate (articolo 20) ma senza il requisito dell’intervento umano che il GDPR stabilisce all’articolo 22.
Dati sensibili
GDPR: Categorie particolari di dati (articolo 9) — origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, vita sessuale o orientamento sessuale. Il trattamento e vietato salvo eccezioni specifiche.
LGPD: Dati sensibili (articolo 5, II) — origine razziale o etnica, convinzione religiosa, opinione politica, appartenenza sindacale o a un’organizzazione religiosa, filosofica o politica, dati relativi alla salute, vita sessuale, dati genetici o biometrici.
Le categorie sono simili ma non identiche. La LGPD include “convinzione filosofica” e “appartenenza a organizzazioni filosofiche o politiche”, che non hanno un equivalente diretto nel GDPR. Il GDPR include esplicitamente le “opinioni politiche”, mentre la LGPD utilizza “opinione politica”.
Trasferimenti internazionali di dati
GDPR: I trasferimenti al di fuori dello SEE richiedono una decisione di adeguatezza, Clausole Contrattuali Standard (CCS), Norme Vincolanti d’Impresa (BCR) o un altro meccanismo approvato (capo V). Il processo e rigoroso e ben regolamentato. Il Garante supervisiona il rispetto di questi meccanismi da parte delle aziende italiane, con particolare attenzione dopo la sentenza Schrems II.
LGPD: L’articolo 33 elenca diverse condizioni per i trasferimenti internazionali, tra cui paesi con un livello di protezione adeguato, clausole contrattuali specifiche, clausole tipo, norme vincolanti d’impresa e consenso specifico. L’ANPD sta ancora regolamentando i meccanismi, e il quadro non e cosi sviluppato come quello europeo.
In pratica, le aziende che dispongono gia di CCS ai sensi del GDPR possono adattarle per la LGPD, ma dovrebbero attendere i regolamenti definitivi dell’ANPD per garantire piena conformita.
Sanzioni e applicazione
| Aspetto | GDPR | LGPD |
|---|---|---|
| Sanzione massima | 20 M EUR o 4 % del fatturato mondiale | 50 milioni BRL o 2 % dei ricavi in Brasile |
| Base di calcolo | Fatturato mondiale | Ricavi in Brasile (non mondiali) |
| Autorita | DPA nazionali (Garante, ecc.) | ANPD |
| Potere sanzionatorio diretto | Si | Si |
| Sanzioni non pecuniarie | Divieto di trattamento | Blocco, cancellazione, sospensione, divieto |
| Azione privata | Si (articolo 82) | Si (Codice Civile + Codice del Consumatore) |
Il GDPR prevede sanzioni pecuniarie potenzialmente molto piu elevate (base mondiale vs solo Brasile). Il Garante ha gia imposto sanzioni significative ad aziende italiane e multinazionali. Tuttavia, la LGPD offre sanzioni non pecuniarie severe — la sospensione o il divieto delle attivita di trattamento puo essere piu devastante per un’azienda di una sanzione pecuniaria.
DPO / Encarregado
GDPR: Obbligatorio per autorita pubbliche, monitoraggio sistematico su larga scala o trattamento su larga scala di dati sensibili (articolo 37).
LGPD: Obbligatorio per tutti i titolari del trattamento (articolo 41). L’ANPD puo stabilire esenzioni per agenti di trattamento di piccole dimensioni.
La LGPD e piu ampia in questo requisito: mentre il GDPR limita l’obbligo a situazioni specifiche, la LGPD lo impone come regola generale.
Strategia di conformita per aziende bi-giurisdizionali
1. Iniziare con la conformita GDPR. I requisiti europei sono generalmente piu restrittivi. Una solida conformita GDPR copre la maggior parte degli obblighi LGPD. Le aziende italiane gia conformi alle indicazioni del Garante e al Codice della Privacy hanno un vantaggio significativo.
2. Aggiungere gli elementi specifici della LGPD. Le quattro basi giuridiche aggiuntive, il termine di risposta di 15 giorni per la conferma, il diritto esplicito all’informazione sulla condivisione e le sanzioni non pecuniarie richiedono attenzione specifica.
3. Adattare la base di calcolo delle sanzioni. Il GDPR calcola sul fatturato mondiale; la LGPD sui ricavi in Brasile. Questo puo influire sulla vostra analisi del rischio.
4. Seguire l’ANPD. L’autorita brasiliana sta ancora costruendo il suo quadro normativo. I regolamenti sui trasferimenti internazionali, i rapporti di impatto e i criteri di adeguatezza sono in fase di sviluppo.
5. Documentare tutto. I registri dei trattamenti (articolo 30 del GDPR), i registri degli incidenti (entrambi) e i registri delle richieste degli interessati (entrambi) sono essenziali per dimostrare la conformita.
Per verificare la conformita del vostro sito in pochi secondi, utilizzate il nostro scanner di conformita gratuito. Per approfondire, consultate la nostra guida completa alla LGPD e la nostra guida sulla politica di privacy LGPD.
Conclusione
La LGPD e il GDPR condividono origini e obiettivi ma differiscono in dettagli che contano nella pratica. La LGPD ha piu basi giuridiche, un ambito piu ampio per i requisiti DPO e sanzioni non pecuniarie potenzialmente piu severe. Il GDPR prevede sanzioni finanziarie piu elevate, diritti degli interessati piu dettagliati e un quadro normativo piu maturo, con l’esperienza di autorita come il Garante. Per le aziende che operano in entrambe le giurisdizioni, l’approccio piu efficace e basarsi sulla conformita GDPR e integrarla con le specificita della LGPD. L’inazione non e un’opzione: i rischi normativi su entrambi i lati dell’Atlantico continuano a crescere.