🧠 Il blog è dedicato al tema vpn e sicurezza, privacy dei dati su Internet. Parliamo di tendenze attuali e notizie relative alla protezione.

La LGPD del Brasile andrà meglio del GDPR? Forse no

8

Il GDPR europeo (Regolamento generale sulla protezione dei dati) ha portato l'importanza della legislazione sulla privacy nella coscienza pubblica in tutto il mondo. Spinta dalle crescenti preoccupazioni sulla privacy con Big Tech (Facebook, Google, Apple ecc.) che incidono spudoratamente sulla privacy degli utenti, la stesura del GDPR ha presto ispirato altri paesi a seguire le proprie leggi sulla protezione dei dati. Gli Stati Uniti sono arrivati ​​con il CCPA, l'Australia con l'emendamento sulla privacy, il Giappone con l'emendamento sulla legge sulla protezione delle informazioni personali, così come la Tailandia, la Corea del Sud, il Canada e altri.

La più recente di tali leggi ispirate al GDPR è la legge generale sulla protezione dei dati brasiliana, Lei Geral de Proteção de Dados Pessoais (LGPD). La LGPD dovrebbe essere introdotta nell'agosto 2020 e dovrebbe razionalizzare e unificare la natura frammentata delle leggi sulla privacy in Brasile, con circa 40 statuti legali di questo tipo che regolano la protezione dei dati nel paese in modo industriale.

Questo articolo delinea brevemente i punti principali della legge, le sue differenze con il GDPR e le questioni relative all'applicazione e al governo della LGPD. Gran parte di ciò che segue è stato co-autore del Sig. Leandro Chahde, un avvocato brasiliano presso Advogado Zona Norte che conosce direttamente la LGPD.

A chi si applica la LGPD?

Come il GDPR, la LGPD si applica a qualsiasi individuo con sede in Brasile, indipendentemente dalla nazionalità. Ciò significa che qualsiasi azienda o sito Web nel mondo che elabora i dati di un individuo che vive in Brasile deve rispettare la LGPD. La natura extraterritoriale della legge la rende importante quanto il GDPR, poiché tutte le aziende, nazionali o multinazionali, grandi o piccole, sono soggette agli stessi standard e sanzioni. sotto LGPD.

Diritti dei consumatori ai sensi della LGPD

La LGPD si compone di 10 capitoli per un totale di 65 articoli. Questi articoli definiscono i diritti e le disposizioni contemplati dalla LGPD. Sebbene qui non sia possibile un trattamento completo della legge, i seguenti sono i diritti chiave delle persone sotto LGPD:

Consenso esplicito: l'interessato deve essere chiaramente informato sul motivo della raccolta dei dati personali e sulla finalità del loro utilizzo.

Rettifica: il titolare può richiedere modifiche ai propri dati (rettifiche, aggiornamenti e cancellazioni).

Diritto all'oblio: indipendentemente dal motivo, il titolare può richiedere la cancellazione dei propri dati all'interno di un determinato sistema.

Portabilità: deve essere possibile per il titolare poter esportare i propri dati personali da un sistema all'altro.

Diritto alla spiegazione:  il titolare può richiedere informazioni su tutti gli algoritmi che interagiscono con i suoi dati per capire, ad esempio, perché è stato negato un prestito bancario.

In cosa differisce dal GDPR?

Il GDPR e la LGPD condividono molti punti di somiglianza, ma differiscono anche in diversi aspetti importanti:

  • Trattamento dei Dati Sensibili: La normativa europea vieta il trattamento dei dati sensibili, stabilendo alcune eccezioni al divieto. Due di essi non erano inclusi nel diritto brasiliano: (i) Dati resi pubblici dal titolare; (ii) Dati relativi a membri attuali o precedenti di fondazioni, associazioni o organizzazioni senza scopo di lucro, trattati per scopi legittimi e con adeguate misure di sicurezza.
  • Marketing diretto: la legge brasiliana applica le regole generali di consenso, trasparenza e diritto di opposizione ai titolari dei dati personali. L'Europeo, invece, presenta previsioni specifiche. L'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati personali, che include la definizione di profili nella misura in cui sia connesso al marketing diretto.
  • Rapporto tra Titolare e Gestore: sebbene la legge brasiliana stabilisca che l'operatore debba effettuare il trattamento dei dati secondo le istruzioni del titolare del trattamento, non è richiesta la formalizzazione attraverso un contratto. A sua volta, il diritto europeo prevede che il trattamento dei dati effettuato da un operatore debba essere disciplinato da un contratto o altro atto giuridico che leghi il titolare del trattamento all'operatore.
  • Rapporto d'impatto:  la legge brasiliana non ha chiarito in quali situazioni il titolare del trattamento sarà tenuto a realizzare un rapporto d'impatto sulla protezione dei dati personali, delegando al successivo regolamento il trattamento di tale materia. La normativa europea prevede che il titolare del trattamento debba fornire una relazione di impatto sulla protezione dei dati personali, quando il trattamento comporta un rischio elevato per il diritto e la libertà delle persone. Il GDPR fornisce anche una descrizione dettagliata di ciò che dovrebbe essere trattato in questo rapporto.
  • Trasferimento internazionale di dati: la legge brasiliana consente il trasferimento di dati personali a paesi o organismi internazionali che forniscono un'adeguata protezione dei dati personali. La legge è sintetica in merito a tale procedura ed elementi da ritenersi adeguati. La LGPD stabilisce solo linee guida generiche che devono essere osservate dalle autorità nazionali. Le normative europee sostengono che il trasferimento internazionale di dati può essere effettuato indipendentemente da una specifica autorizzazione se la Commissione Europea riconosce che il Paese terzo garantisce un livello di protezione adeguato. In caso negativo, il trasferimento internazionale sarà soggetto ad adeguate garanzie, che dovranno essere garantite dall'Agente. Tutte le procedure e gli elementi presi in considerazione dalla Commissione per l'autorizzazione del trasferimento sono descritti nel GDPR.
  • Vigilanza sulle Forze dell'Ordine:  Il disegno di legge che ha originato la LGPD prevedeva l'istituzione del Garante nazionale per la protezione dei dati personali, seguendo la linea del regolamento europeo. Tuttavia, le disposizioni che ne prevedevano la creazione e le responsabilità sono state poste il veto, in quanto incostituzionali nell'iter legislativo. La normativa europea prevede la creazione del Comitato europeo per la protezione dei dati, incaricato di garantire l'applicazione coerente del GDPR.

Quando è entrato in vigore il GDPR, i provider VPN hanno dovuto rinnovare le proprie politiche sulla privacy per adeguarsi alle disposizioni della nuova legislazione. Sarà interessante vedere se la LGPD sarà trattata con lo stesso rispetto dall'industria delle VPN.

Quanto sarà efficace?

L'autorità responsabile della regolamentazione e dell'applicazione della LGPD è l' Autorità nazionale per la protezione dei dati (ANPD). Tuttavia, nessun membro dell'organismo è stato ancora nominato. Inoltre, il fatto che l'ANPD sarà strettamente legato al governo solleva serie preoccupazioni sull'equa applicazione della legge.

In Brasile, le principali agenzie di regolamentazione sono di proprietà statale. La conseguenza di ciò è la politicizzazione di questi organismi e, di conseguenza, la corruzione. Il favoritismo nei confronti di potenti imprese e l'ingiusta ingerenza del governo che promuovono i loro interessi politici non è, quindi, fuori dalle carte.

Il fatto che il GDPR stesso non sia riuscito in gran parte a ritenere le aziende responsabili, dopo due anni dalla sua scomparsa, è estremamente scoraggiante. La società di browser Web Brave ha presentato un reclamo alla Commissione europea, affermando che i governi europei non hanno fornito le risorse necessarie alle autorità di protezione dei dati per svolgere i loro compiti.

Pertanto, i timori che LGPD subisca la stessa sorte del GDPR sono del tutto validi. Allo stesso tempo, tuttavia, abbiamo esempi positivi di agenzie statali che lavorano in modo squisito in Brasile, come PROCON, che agisce in difesa dei diritti dei consumatori.

Il Brasile è un paese noto per avere leggi che funzionano e altre che non lo fanno. Sulla base di precedenti esperienze, la convinzione che la legge adempirà parzialmente al suo ruolo non è troppo inverosimile. Ci sarà interesse da parte del governo ad ottenere fondi attraverso sanzioni che verranno applicate alle aziende che non rispettano i parametri stabiliti dalla Legge generale sulla protezione dei dati.

Infine, ci sarà sicuramente una grande magistratura della questione, da parte di aziende che si sentono ingiuste a causa di sanzioni illegali o abusive. Resta da sapere se la magistratura brasiliana sarà tecnicamente in grado di risolvere tali conflitti.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More