Ispirata al Regolamento Generale Protezione Dati Personali (GDPR), il 15 agosto 2018 è stata approvata e pubblicata in Brasile la Legge 13.709, relativa alla protezione dei dati personali e privacy che entrerà in vigore il 15 gennaio 2020.
La legislazione si applica ai dati raccolti su supporti fisici o digitali, nel settore pubblico e privato e la violazione delle relative regole comporterà sanzioni e multe, anche nei confronti delle aziende con sede all’estero, sempreché il trattamento dei dati sia realizzato in territorio nazionale.
È rivolta nei confronti di persone fisiche o giuridiche, pubbliche o private che raccolgono e trattano i dati dei cittadini nel territorio nazionale, sia fisicamente che tramite strumenti digitali.
Tuttavia, la legge non riguarda il trattamento dei dati effettuato da una persona fisica esclusivamente per scopi privati e non economici o per scopi esclusivamente giornalistici, artistici, accademici, per la sicurezza nazionale e la difesa.
La nuova legge innova alcuni aspetti, quali la creazione della figura degli agenti di trattamento, che sono rispettivamente il “controllore” (responsabile delle decisioni relative al trattamento dei dati personali) e l’”operatore” (colui che effettua il trattamento dei dati in nome del “controllore”) . Mentre il controllore dovrà nominare un dipendente incaricato al trattamento dei dati, l’operatore potrà essere assunto per il trattamento e la gestione dei dati raccolti.
Il Governo Federale dovrebbe emanare una nuova legge con l’obiettivo di creare organismi di regolamentazione.
La nuova legge sulla protezione dei dati personali entrerà in vigore nel 2020 e la violazione dei relativi obblighi comporterà le seguenti sanzioni:
– Avvertimento, indicando un termine per l’adozione di misure correttive;
– Multa fino al 2% dell’utile della persona giuridica o gruppo societario nel suo ultimo anno esercizio, tasse escluse. Questa sanzione è comunque limitata all’importo di R$ 50.000.000,00 ad infrazione;
– Penale giornaliera, sempre osservando il limite totale di R$ 50.000.000,00;
– La divulgazione pubblica dell’infrazione, una volta confermata la relativa violazione;
– Blocco dei dati personali a cui si riferisce l’infrazione fino al relativo adeguamento;
– Eliminazione dei dati personali nei confronti dei quali si riferisce l’infrazione;
– Sospensione parziale o totale del funzionamento del database di cui all’infrazione per un periodo massimo di sei mesi, prorogabile per lo stesso periodo, fino a quando il responsabile del trattamento non avrà adeguato l’attività di trattamento;
– Sospensione dell’esercizio dell’attività di trattamento dei dati personali a cui l’infrazione si riferisce per il periodo massimo di sei mesi, prorogabile per lo stesso periodo;
– Divieto parziale o totale dall’esercizio delle attività connesse al trattamento dei dati.
Le sanzioni devono essere applicate dopo una procedura amministrativa che permetta l’opportunità di difesa e dovrebbero essere applicate secondo criteri quali la gravità e la natura delle infrazioni, la buona fede del trasgressore, il vantaggio ottenuto o voluto, la condizione economica del trasgressore, recidiva e grado di danno.