Brasile v. UE: il futuro della protezione dei dati in America Latina

Questo articolo è stato scritto da Pablo Palazzi ed è stato originariamente pubblicato qui. È stato riprodotto in questo blog con il consenso degli autori.

La nuova legge generale sulla protezione dei dati del Brasile (GDPL) è stata pubblicata nella Gazzetta ufficiale del Brasile il 15 agosto 2018 (legge n. 13.709) 1. La legge entrerà in vigore tra 18 mesi.

La legge è stata promulgata con un veto presidenziale parziale che riguardava principalmente le disposizioni relative all’autorità di controllo. Quindi ora tocca a
il Presidente decide dove localizzare l’autorità regolatoria del GDPL.

Le disposizioni contenute nel GDPL generalmente seguono il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR). Ad esempio, il
le definizioni si basano sul GPDR.

Per quanto riguarda l’applicazione della legge, la sezione 3 stabilisce che la legge è
applicabile a qualsiasi trattamento di dati effettuato da una persona fisica o giuridica, indipendentemente dal paese in cui si trova la sede centrale o dal paese in cui si trovano i dati.

La legge fornisce le seguenti basi legali per il trattamento dei dati personali:

1. Consenso dell’interessato.

2. Rispetto di un obbligo legale o regolamentare da parte del responsabile del trattamento.

3. Elaborazione da parte della pubblica amministrazione quando necessario per l’esecuzione
delle politiche pubbliche previste da leggi o regolamenti.

4. Esecuzione di studi da parte di entità di ricerca, assicurando, ove possibile,
l’anonimizzazione dei dati personali.

5. Se necessario per l’esecuzione di un contratto o di procedure preliminari
in relazione a un contratto di cui l’interessato è parte, su richiesta
dell’interessato.

6. Per l’esercizio regolare dei diritti in materia giudiziaria, amministrativa o arbitrale
procedure.

7. Per la protezione della vita o della sicurezza fisica dell’interessato o di un terzo
partiti.

Secondo la nuova legge, il consenso, che può essere fornito con qualsiasi mezzo, è un
requisito essenziale per il trattamento dei dati personali. Il GDPL stabilisce una serie di requisiti specifici per il consenso. Ad esempio, deve essere fornito per scopi specifici e in caso di consenso scritto, deve apparire evidenziato in modo da distinguersi dalle altre clausole di
l’accordo. Il consenso può anche essere revocato in qualsiasi momento.

Un altro punto saliente è che la GDPL comprende una disposizione specifica per il trattamento dei dati personali di minori (bambini e adolescenti). In questi casi, il trattamento dei dati deve essere effettuato con il consenso di uno dei genitori o del legale rappresentante e deve essere evidenziato anche il consenso. Secondo il codice civile brasiliano, i minori di 16 anni non possono fornire il consenso ma richiedono il consenso dei genitori.

Altri aspetti simili al GDPR includono:

  1. Il trasferimento internazionale di dati personali è consentito solo a paesi che
    fornire un livello di protezione dei dati personali adeguato alle disposizioni della GDPL, a meno che il responsabile del trattamento non offra e dimostri garanzie
    sotto forma di: a) specifiche clausole contrattuali per un determinato trasferimento;
    b) clausole contrattuali standard; oppure c) regole aziendali vincolanti (“globali”).
  2. Un requisito per preparare una valutazione d’impatto sulla protezione dei dati.
  3. È necessario nominare un responsabile della protezione dei dati e la sua identità e
    le informazioni di contatto devono essere rese pubbliche.
  4. I responsabili del trattamento devono adottare misure di sicurezza.
  5. Gli incidenti di sicurezza devono essere notificati al DPA e agli interessati
    colpiti.

Il GDPL fornisce a tutti gli interessati (persone fisiche) un diritto di accesso
ai dati personali e correzione. In caso di mancata risposta da parte del responsabile del trattamento dei dati, esiste il diritto di citare in giudizio in virtù dell’azione sui dati habeas (come già autorizzato in una legge precedente).

Inoltre, gli interessati hanno il diritto di richiedere una revisione naturale
persona quando le decisioni vengono prese esclusivamente sulla base del trattamento automatizzato di dati personali che influisce sui loro interessi, comprese le decisioni intese a definire il loro profilo personale, professionale, di consumo o di credito o gli aspetti della loro personalità.

Le sezioni poste dal veto dal Presidente includevano questioni come:
• la creazione di un’autorità di controllo;
• la capacità di sospendere o vietare il trattamento dei dati per violazioni del
legge, fatto salvo il fatto che i giudici possano imporre tali sanzioni;
e
• l’obbligo per gli enti pubblici che comporta la divulgazione di trasferimenti
tra agenzie governative.

Una volta creata l’autorità indipendente, il Brasile potrebbe essere un possibile candidato
per adeguatezza secondo le nuove regole del GDPR.

Per quanto riguarda le ammende, la Sezione 52.2 prevede che le ammende possano raggiungere il 2%
le entrate dell’anno precedente dell’azienda in Brasile, con un massimo di
50.000.000 di reais (€ 11,4 milioni) per infrazione. Aggiunto a questo, paragrafo
3 stabilisce che le sanzioni possono essere periodicamente aggiornate.

Il GDPL ha notevolmente aumentato gli standard di protezione dei dati in Brasile. Prima dell’emanazione del GDPL, c’era solo una disposizione nel consumatore
legge sulla protezione limitata alle agenzie di segnalazione del credito e una legge
legato solo alla privacy di Internet (il noto Marco civil de Internet). esso
si potrebbe dire che le nuove disposizioni sono vicine al livello di protezione dei dati fornito dalle norme dell’Unione Europea.

Il Brasile non è l’unico paese dell’America Latina a incorporare lo stile GDPR
legislazione. Il 19 settembre 2018 il presidente argentino ha inviato il nuovo DP
fattura al congresso. Il disegno di legge è stato ampiamente dibattuto dal mondo accademico, dal governo e
aziende durante il 2017 e il 2018 e infine il Presidente lo ha inviato al Congresso
per discussione e approvazione.