Il 15 agosto 2018, è stata pubblicata la legge nº 13,709 che prevede il trattamento dei dati personali da parte di persone fisiche o giuridiche di diritto pubblico o privato. Ispirato dal recente regolamento europeo sul questo soggetto (il General Data Protection Regulation – GDPR), la nuova legge entrerà in vigore tra 18 mesi.

La nuova legge definisce i “dati personali” come qualsiasi informazione relativa a una persona fisica identificata o identificabile (come nome, indirizzo, numero di carta d’identità, posta elettronica, dati di posizione ed indirizzo IP) e “trattamento” come l’intera operazione fatta con i dati personali, come la raccolta, la produzione, la classificazione, l’uso, la riproduzione, l'elaborazione, lo stoccaggio, il trasferimento e la diffusione.

Sebbene molto meno dettagliato del GDPR, la legge brasiliana è complessa e dipenderà dal regolamento speciale. Aggiunge 65 articoli divisi in 10 capitoli. Tra le sue varie disposizioni, ci sono regole sul trattamento dei dati sensibili (tra gli altri, dati sull’origine razziale o etnica, credo religioso, opinione politica, salute o vita personale, genetica o biometrica), trattamento dei dati di bambini ed adolescenti, trasferimento internazionale di dati personali ed attuazione di buone pratiche e misure di sicurezza.

Sottolineiamo di seguito alcuni aspetti rilevanti della nuova legge, in gran parte coerenti con le linee guida del GPDR:

Estraterritoriale.  La nuova legge è applicabile non solo al trattamento dei dati effettuati in Brasile o che coinvolgono dati provenienti da individui situati nel territorio nazionale, ma anche a trattamenti effettuati all'estero purché con dati raccolti nel territorio nazionale o allo scopo l’offerta o la fornitura dei beni o servizi a persone residenti in Brasile.

Ipotesi di Trattamento e di Consenso.  La nuova legge consente il trattamento dei dati personali solo in determinati casi. In alcuni casi, il consenso del titolare può essere esentato, ad esempio, se necessario per l'esecuzione del contratto o le procedure preliminari relative a un contratto che coinvolge il titolare, per l’adempimento di obblighi legali o regolamentari, per l'esercizio dei diritti nei procedimenti giudiziari, amministrativo o arbitrale, o quando v’è “interesse legittimo” da parte che tratta i dati. Salvo quanto espressamente previsto, il trattamento richiede il consenso esplicito e specifico del titolare, ottenuto sulla base di chiare informazioni sullo scopo, sulla forma e sulla durata di tale trattamento. 

Diritti del Titolare.  Il titolare ha un controllo completo sui propri dati, essere in grado di accedervi, richiedere la loro correzione, anonimizzazione o portabilità, revocare il consenso che è stato fornito per il loro trattamento, o richiedere la cancellazione dei dati trattati con il suo consenso. 

Penalità e Responsabilità.  La legge prevede multe che possono raggiungere R$ 50 milioni e la responsabilità oggettiva per danni causati.

La nuova legge è stata sanzionata dal Presidente con veti, tra cui si mette in evidenza il veto alla creazione dell’Autorità Nazionale per la Protezione dei Dati - ANDP. Secondo il disegno di legge approvato dal Congresso Nazionale, l’ANDP sarebbe un'agenzia speciale con poteri per proteggere i dati personali e supervisionare la conformità con la nuova legge.

Martim Francisco Marques Machado (martim.machado@cgmlaw.com.br)

Ricardo Pinto da Rocha Neto (rochaneto@abe.adv.br)

* Il testo di cui sopra e la sua traduzione riflettono esclusivamente la comprensione del/i suo/i Autore/i, e ITALCAM non ha alcun consenso e responsabilità per il suo contenuto.