E’ il GDPR europeo ad aver ispirato il Congresso del Brasile nell’approvazione della nuova normativa sulla protezione dei dati volta a migliorare la sicurezza online e la privacy degli utenti.[1]
Il 14 agosto 2018, infatti, il Brasile ha approvato la Lei Geral de Proteção de Dados Pessoais (LGPD), n.13.709/2018 con la previsione della sua entrata in vigore 18 mesi dopo la sua pubblicazione, vale a dire nel febbraio 2020, fornendo in tale modo alle imprese, organizzazione e operatori interessate dall’applicazione della normativa il tempo di adeguarsi alle sue previsioni.
Il testo, frutto di un’ampia discussione, così come il GDPR, mira non solo a garantire i diritti individuali, ma anche a promuovere lo sviluppo economico, tecnologico e dell’innovazione attraverso regole chiare, trasparenti e complete per un uso consapevole dei dati personali. A seguito dell’adozione di una legge generale sulla protezione dei dati, il Brasile entra ora a far parte del gruppo di oltre 120 paesi che vengono considerati in possesso di un adeguato livello di protezione dei dati personali.
Dove si applica il GDPR “alla brasiliana”
La LGPD ha un’applicazione trasversale e multisettoriale, per tutti i settori dell’economia, sia pubblici che privati, sia per le attività online che offline, salvo alcune eccezioni negli ambiti della sicurezza nazionale e pubblica, della ricerca, e per scopi artistici e giornalistici. La legge fornisce la definizione di dato personale ed elenca le basi giuridiche che ne autorizzano l’uso – fra questi, in particolare, il consenso, l’esigenza contrattuale e la necessità di soddisfare gli interessi legittimi del titolare del trattamento o di una terza parte – oltre ai principi generali di protezione dei dati, i diritti fondamentali dei soggetti interessati, gli obblighi e i limiti che dovrebbero essere applicati a qualsiasi entità che tratti dati personali.
In conformità con la nuova LGPD brasiliana, i dati potranno essere trattati solo in presenza di una base giuridica che ne legittimi il trattamento. Il consenso dovrà essere libero ed informato, fornito per uno scopo specifico e revocabile in qualsiasi momento. La legge prevede inoltre che il requisito del consenso si consideri rinunciato laddove l’interessato abbia manifestamente reso pubblicoi propri dati personali. Come nella maggior parte delle normative privacy, sono previste protezioni ulteriori applicabili a determinate categorie di dati quali i dati personali di minori ed i dati sensibili.
Per quanto concerne i diritti degli interessati, come nel Gdpr, vengono indicati il diritto di accesso ai dati, la loro rettifica, modifica e cancellazione, il diritto di opposizione, il diritto ad essere informati sulle finalità dell’uso dei dati e sul loro trattamento. Una significativa novità è sicuramente rappresentata dall’introduzione del diritto alla portabilità dei dati, che consente all’interessato di richiedere non solo una copia completa dei propri dati, ma anche di averli forniti in un formato interoperabile, che mira a facilitare il loro trasferimento ad altri servizi, anche per i concorrenti. Per la sua natura, questo nuovo diritto viene visto come un forte elemento di competizione tra diverse società che offrono servizi simili basati sull’uso di dati personali.
Privacy by design e trasparenza alla base
La LGPD rivendica un’ampia applicabilità, anche al di fuori del Brasile in quanto si applica a qualsiasi elaborazione (i) effettuata nel territorio nazionale, (ii) associata all’offerta di beni o servizi sul territorio nazionale o che coinvolgono dati personali di individui situati nel territorio nazionale; (iii) ad ogni elaborazione dei dati personali raccolti nel territorio nazionale. Come nel GDPR, questo ampio campo di applicazione si applica alle attività di trattamento condotte al di fuori del Brasile, ma che colpiscono o colpiscono i cittadini brasiliani.
Con riferimento ai principi generali che guidano la LGPD emergono il principio di limitazione delle finalità, il principio di necessità, di trasparenza, di sicurezza, di non discriminazione, i principi di privacy by design e by default nonché il principio di accountability volto a dimostrare la conformità alle disposizioni della normativa privacy. Conformità che potrà essere dimostrata anche mediante la Data Protection Impact Assessment.
Anche per quanto riguarda il regime di responsabilità il testo normativo ricalca le previsioni del Gdpr, sancendo la responsabilità in solido per il titolare del trattamento ed il responsabile del trattamento laddove si verifichino incidenti di sicurezza delle informazioni, ma anche per l’uso improprio e non autorizzato dei dati nonché per l’inosservanza delle previsioni della LGPD.
Sono inoltre stati introdotti una serie di strumenti giuridici per favorire la circolazione dei dati e per rendere legittimi i trasferimenti internazionali di dati personali – oltre al consenso specifico ed esplicito degli interessati – in presenza di adeguate garanzie quali norme vincolanti di impresa e clausole tipo di protezione dei dati, adozione di sigilli, certificati e codici di condotta emessi dall’Autorità per la protezione dei dati.
Ma il Dpo non sarà obbligatorio
La normativa privacy brasiliana sancisce inoltre l’obbligo del registro del trattamento, l’adozione di adeguate misure tecniche, di sicurezza e amministrative per la protezione dei dati personali ed introduce la figura del Dpo, pur tuttavia non indicando le ipotesi di obbligatorietà della sua nomina. Spetterà quindi all’Autorità per la protezione dei dati il compito di emanare norme complementari volte ad individuare le ipotesi di obbligatorietà del Dpo così come gli standard tecnici minimi per la protezione dei dati, considerando la natura dei dati trattati, le caratteristiche specifiche del trattamento e lo stato attuale della tecnologia.
Per quanto riguarda il regime sanzionatorio, sono previste sanzioni amministrative per la violazione della LGPD le quali possono variare dal 2% del fatturato fino ad un massimo di cinquanta milioni di reais per infrazione ed è previsto anche un meccanismo di sanzione giornaliera per obbligare a cessare le violazioni.
Una spinta alla nascita del Garante dati personali
In conclusione, sebbene la LGPD espanda in modo significativo il quadro di protezione dei dati personali in Brasile e collochi il paese tra una delle poche giurisdizioni a fornire protezione sui dati personali simili a quelle offerte dall’Unione Europea, essa non si era spinta ad istituire un’autorità di protezione dei dati. Tale circostanza, insieme all’assenza di considerando all’interno del testo normativo e di linee guida volte a favorire la sua comprensione ed interpretazione, potrebbero rendere il processo di adeguamento per gli operatori che trattano dati personali più complesso.
Il problema dell’assenza di un’Autorità garante è stato infine affrontato il 28 dicembre 2018 dal presidente uscente Michel Temer, il quale ha firmato un ordine esecutivo dell’ultimo minuto – Medida Provisória n.869 / 18 – che ha apportato alcune importanti modifiche alla LGPD e in particolare ha istituito l’autorità nazionale brasiliana per la protezione dei dati, l’Autoridade Nacional de Proteção de Dados o “ANPD”, che avrà fra i suoi compiti quello di emanare le norme, i regolamenti e le linee guida in materia di protezione dei dati personali e di privacy.
LGPD, ecco la tempistica
Con l’ordine esecutivo n. 869/18 è stato inoltre stabilito che (i) la LGPD entrerà in vigore solo nell’agosto 2020, sei mesi dopo la data inizialmente prevista; (ii) che il ruolo de Dpo non necessariamente dovrà essere eseguito da una persona fisica, potendo la funzione essere ricoperta da un comitato interno, da un dipartimento o gruppo di lavoro e potrà anche essere delegata o esternalizzata a terzi, come società specializzate e studi legali; (iii) il soggetto interessato continuerà ad avere diritto a che le sue informazioni siano riviste e/o corrette, ma la revisione non dovrà essere necessariamente eseguita da un individuo, potendo il processo essere realizzato da un sistema automatizzato.
L’ordine esecutivo è entrato in vigore immediatamente; tuttavia, dovrà essere convertito in legge dal Congresso brasiliano entro 120 giorni al fine di continuare a essere valido e diventare permanente.
La legge brasiliana in materia di protezione dei dati personali dimostra come il Gdpr costituisca un riferimento per un approccio comune per lo sviluppo globale dei servizi digitali.
Non vi è a tutt’oggi nessuna decisione della Commissione Europea sinora pubblicata in materia di adeguatezza di Paesi terzi che riguardi il Brasile[2] . La costituzione in Brasile di un’Autorità garante per la protezione dei dati personali costituisce, pertanto, come abbiamo visto, una pietra angolare del sistema per le imprese e gli operatori e un notevole progresso.
Le imprese e organizzazioni che hanno rapporti con il Brasile dovranno esaminare la legge brasiliana, approfondire e descrivere i processi, definire ruoli e le responsabilità, riformulare le informative e approfondire il sistema di gestione dei diritti degli interessati e prevedere sessioni formative e di training in materia.
Tra gli aspetti più interessanti da approfondire, occorre segnalare la tematica del data retention in relazione al profilo delle operazioni di raccolta, archiviazione, analisi e trattamento di dati personali ad opera dei fornitori di connessione o di applicazione di internet (data retention) sottoposte, anche alla luce del Marco Civil, alla legislazione brasiliana e pertanto alle prescrizioni concernenti i diritti connessi alla protezione dei dati personali e alla segretezza delle comunicazioni private e dei registri.
Un altro aspetto da esaminare e approfondire è costituito dall’impatto della legge brasiliana in materia di protezione dei dati personali sul divieto di marketing mirato (c.d. Targeted advertsing) previsto dal Marco Civil.
La legge brasiliana in materia di protezione dei dati personali può costituire una preziosa occasione per favorire l’economia digitale del più importante paese dell’America latina a vantaggio di tutti.
Il presente contributo ha natura personale e non impegnativa per gli enti di appartenenza degli autori
- Il diritto alla protezione dei dati personali degli utenti in Brasile è stato riconosciuto nel Marco Civil la legge n. 12.965/14 c.d. Marco Civil Da Internet che stabilisce principi, garanzie, diritti e doveri per l’utilizzo della rete internet in Brasile. Tale legge prevede che la disciplina dell’uso di internet è vincolata al rispetto del principio della protezione della privacy e della protezione dei dati personali nelle forme stabilite dalla legge. La garanzia del diritto alla privacy e alla libertà d’espressione si estende, poi, anche alle comunicazioni ed è condizione necessaria per poter garantire il pieno esercizio del diritto d’accesso ad internet.
- Per approfondimenti: https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi