Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

La legge brasiliana sulla protezione dei dati (LGPD). Guida per web agency e siti web.

25/03/2022

La legge brasiliana sulla protezione dei dati personali (LGPD). Guida per web agency e siti web. 

 

Se vendi prodotti o servizi in Brasile o tratti dati personali di utenti brasiliani la legge brasiliana sulla protezione dei dati personali (LGPD) si applica al tuo ecommerce.


Questa legge, infatti, disciplina il trattamento dei dati personali degli utenti brasiliani; rappresenta l'equivalente brasiliano del GDPR europeo.


L'obiettivo del LGPD è quello di permettere ai consumatori brasiliani di avere pieno controllo dei dati personali conferiti a un sito di commercio elettronico.


Sebbene le similitudini con il GDPR siano molte, la legge brasiliana sulla protezione dei dati personali presenta alcune differenze che è importante conoscere.


La guida viene costantemente aggiornata grazie al contributo dei nostri corrispondenti legali brasiliani. Per scoprire tutti gli aggiornamenti sulla LGPD segui i nostri canali FacebookLinkedIn e YouTube.


Leggi anche la guida su come adeguare il tuo sito web al CCPA, la legge privacy californiana.
 


LGPD. Considerazioni generali


La LGPD porta la legge brasiliana sulla protezione dei dati personali in linea con altri regolamenti sulla privacy in tutto il mondo.


La legge è in vigore dal 18 settembre 2020. 


Fondamentalmente, la LGPD stabilisce regole chiare su come le persone possono raccogliere, elaborare e utilizzare i dati personali raccolti in Brasile.


I siti web devono seguire in sostanza 10 principi. Abbiamo analizzato questi principi, declinandoli nel contesto digitale di un sito web. 

  • Legittimità: Non si possono elaborare dati personali senza un motivo lecito.
  • Necessità: Vietato raccogliere più dati di quelli necessari per uno scopo specifico.
  • Adeguatezza: Obbligo di implementare processi adeguati per gestire i dati in modo sicuro.
  • Responsabilità: Il sito web è responsabile dei dati personali conferiti dagli utenti.
  • Sicurezza: Il sito web non può raccogliere dati personali senza adeguati protocolli di sicurezza informatica.
  • Integrità: Il sito deve mantenere registri di dati accurati e di qualità.
  • Trasparenza: Obbligo di pubblicare una privacy policy di facile lettura.
  • Accessibilità: Gli utenti del sito web devono poter accedere ai dati che li riguardano.
  • Prevenzione: Obbligo di adottare  misure per ridurre la probabilità di una violazione dei dati.
  • Non discriminazione: È illegale trattare i dati per motivi discriminatori.

 

I dati personali.


Come per il GDPR, anche per la LGPD il "dato personale" è qualsiasi informazione che può identificare una persona fisica.


Pertanto, il dato personale è quello che identifica o rende identificabile una personal fisica.


Ecco alcuni esempi di "dato personale" per la LGPD:

  • generalità
  • codice fiscale
  • indirizzo di spedizione
  • indirizzo IP. 


A chi si applica la legge brasiliana sulla protezione dei dati personali


L'ambito di applicazione territoriale rappresenta un'altra somiglianza tra GDPR e LGPD.


Infatti, la legge brasiliana sulla protezione dei dati personali si applica a qualsiasi sito web che tratti dati personali di persone fisiche che si trovano in Brasile. Ciò, a prescindere da dove sia collocata l'azienda.


Quindi, se il tuo sito ha clienti brasiliani la LGPD si applica.


Ovviamente, l'applicazione della legge brasiliana sulla protezione dei dati personali non si applica sempre e solo quando nel tuo database si trovino dati personali di brasiliani.


E' necessario che il sito sia diretto verso utenti brasiliani. Ciò accade quando, ad esempio:

  • il sito ha una versione in lingua brasiliana
  • l'ecommerce vende anche in real brasiliano (la monte ufficiale del Brasile)
  • il sito consegna in Brasile.


In questi casi il sito offre prodotti e servizi in Brasile e, pertanto, se ha dati personali di utenti brasiliani la LGPD trova applicazione.


Differenze tra LGPD e GDPR


Di seguito descriviamo le principali differenze tra il GDPR e la legge brasiliana di protezione dei dati personali.


Nomina del DPO


Sia il GDPR che la LGPD impongono alle aziende di assumere un responsabile della protezione dei dati (DPO).
 

Tuttavia, mentre il GDPR prevede casi specifici di applicazione del DPO, l'articolo 41 della LGPD prevede che:

"Il responsabile del trattamento nomina un funzionario incaricato del trattamento dei dati".


Ciò implica che qualsiasi azienda che tratta dati personali di utenti brasiliani deve nominare un DPO. 


Questo è uno dei pochi ambiti dove la LGPD è più rigorosa del GDPR.


Basi giuridiche


Il GDPR prevede 6 basi giuridiche per trattare i dati personali degli utenti. Invece, la LGPD ne prevede 10.


Ecco le basi giuridiche previste dalla legge brasiliana sulla protezione dei dati personali:

  • Consenso della persona interessata;
  • Adempiere a un obbligo legale;
  • Eseguire politiche pubbliche previste da leggi o regolamenti, o basate su contratti, accordi o strumenti simili;
  • Realizzare studi da parte di enti di ricerca che garantiscano, quando possibile, l'anonimizzazione dei dati personali;
  • Eseguire un contratto o procedure preliminari relative a un contratto di cui l'interessato è parte, su richiesta dello stesso;
  • Esercitare diritti in procedure giudiziarie, amministrative o arbitrali;
  • Proteggere la vita o l'incolumità fisica dell'interessato o di un terzo;
  • Proteggere la salute, in una procedura effettuata da professionisti o da entità sanitarie;
  • Soddisfare i legittimi interessi del titolare del trattamento o di un terzo, tranne quando prevalgono i diritti e le libertà fondamentali dell'interessato, che richiedono la protezione dei dati personali;
  •  Proteggere il credito.


Non vi sono differenze sostanziali nelle basi giuridiche per siti web


Sebbene la LGPD preveda 10 basi giuridiche non vi sono sostanziali modifiche per siti web o ecommerce.


Infatti, come accade per il GDPR, un sito web utilizzerà alternativamente le seguenti basi giuridiche per trattare i dati personali degli utenti:

  • consenso. Questo accade in ambito marketing, per inviare comunicazioni pubblicitarie.
  • eseguire un contratto. E' la base giuridiche che permette di trattare dati personali dei clienti che hanno comprato un prodotto o un servizio.
  • legittimo interesse. E' utilizzato ad esempio per rispondere alle richieste degli utenti.

 

Le sanzioni


Il GDPR può multare il sito irregolare con una sanzioni fino a 20 milioni di euro o il 4% del fatturato globale annuo, se superiore.


Le multe della LGPD sono molto meno severe.


L'articolo 52 stabilisce che la multa massima per una violazione è "il 2% delle entrate di una persona giuridica privata, di un gruppo o di un conglomerato in Brasile, per l'anno fiscale precedente, escluse le tasse, fino ad un massimo totale di 50 milioni di real" (questo equivale a circa 11 milioni di euro).


Conclusioni


Se il tuo sito web ha pubblicato una privacy policy a norma del GDPR, è ragionevole ritenere che stia rispettando anche la LGPD.


L'unica accortezza da attuare è quella di verificare se il sito web offre beni e servizi anche in Brasile e se sta trattando dati personali di brasiliani.


In questo caso, sarà opportuno prevedere una specifica clausola che informi gli utenti brasiliani dei loro diritti.


LegalBlink è stato strutturato per rispettare anche la LGPD.


Pertanto, se usi il nostro generatore di documenti legali e tratti dati personali di cittadini europei la tua privacy policy rispetta anche i requisiti previsti da questa normativa.


Ancora dubbi?


Contattaci per email. Il nostro Team di legali è a tua disposizione!


Con LegalBlink ottieni assistenza legale su temi privacy ed ecommerce. Inoltre, con il nostro innovativo generatore di documenti legali ottieni una privacy policy sempre adeguata alle caratteristiche del tuo sito web.

Team LegalBlink