Di Renato Afonso Gonçalves*

Nell'articolo sfondo tracciamo una panoramica storica della protezione dei dati personali, culminata con l'edizione del Regolamento generale sulla protezione dei dati – RGPD europeo e della Legge generale brasiliana sulla protezione dei dati – LGPD.

Come visto, il GDPR europeo, Regolamento (UE) 2016/679, è forse la legge sulla protezione dei dati più importante al momento, in quanto cerca il necessario equilibrio tra lo sviluppo di un enorme mercato digitale e la protezione dei dati personali, generando riflessi anche per quelle nazioni che intrattengono relazioni commerciali con l'Europa. Tale diploma è il risultato del processo di maturazione di esperienze nell'affrontare la materia in ambito legislativo, regolamentare e giurisprudenziale.[I] È il riconoscimento che la questione acquista proporzioni enormi relativamente agli aspetti economici, sociali e culturali.

Il RGPD, entrato in vigore il 25 maggio 2018, è composto da 173 Considerando e 99 Articoli, il che denota non solo la grande lunghezza del diploma ma la preoccupazione del legislatore europeo nel dettagliarne il contenuto al fine di facilitarne l'applicazione, sebbene sia prevista un'apertura legislativa e regolamentare per gli Stati membri per migliorarne l'applicazione nei rispettivi territori.[Ii]

Questa volta il Regolamento europeo cerca di stabilire l'ambito materiale e territoriale di applicazione delle norme; stabilire definizioni, principi e condizioni per il trattamento di diverse categorie di dati personali; conferire diritti ai titolari dei dati personali; stabilire norme relative ai responsabili della movimentazione e ai loro subappaltatori; stabilire regole per il trasferimento internazionale di dati personali; stabilire meccanismi di controllo pubblico e amministrativo e sanzioni per la violazione dei suoi precetti; e standardizzare la protezione dei dati nell'ambito dei rapporti di lavoro.

In una sintesi molto serrata, cercheremo di evidenziare gli aspetti principali del nuovo diploma europeo.

Va notato che lo scopo del RGPD è "contribuire alla creazione di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, al progresso economico e sociale, al consolidamento e alla convergenza delle economie a livello di mercato interno e al benessere delle persone”.[Iii] Con ciò non si tratta di vietare le attività economiche nel mondo digitale, al contrario, si tratta di garantire che tali attività siano svolte nel presupposto del rispetto del diritto fondamentale alla protezione dei dati, che, di conseguenza, garantisce anche un giusto competizione tra agenti economici. Come affermato nel Considerando 7 del RGPD, la "sicurezza giuridica e la sicurezza pratica per le persone fisiche, gli operatori economici e le autorità pubbliche" devono essere rafforzate.

Il diploma in esame stabilisce un concetto ampio di “dati personali”[Iv], che sono considerate qualsiasi informazione relativa a una persona fisica identificata o identificabile (persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificatore, come un nome, un numero di identificazione, dati relativi all'ubicazione, identificatori elettronici ovvero ad uno o più elementi propri dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di detta persona fisica).

La stessa ampiezza è stata utilizzata per la concettualizzazione del trattamento dei dati come un'operazione o un insieme di operazioni effettuate su dati personali o su insiemi di dati personali, con modalità automatizzate o non automatizzate, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, conservazione, adattamento o alterazione, reperimento, consultazione, utilizzo, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione.[V] Con questo, è chiaro che il RGPD ha notevolmente ampliato il suo spettro di incidenza, interessando attività professionali o commerciali che hanno come presupposto o strumento di sviluppo una qualche forma di manipolazione dei dati personali.

Va notato che il RGPD ha stabilito una categorizzazione dei dati personali e diversi spettri di protezione, a seconda dell'espressione della privacy o dell'intimità del soggetto. Sono quelli che la dottrina chiama dati personali sensibili (intimità) o non sensibili (privacy). Per questo motivo, l'articolo 9 del RGPD stabilisce come regola generale che “il trattamento di dati personali (sensibili) che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché il trattamento di dati genetici dati biometrici per identificare in modo univoco una persona, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona”, quindi, di una maggiore responsabilità per le loro violazioni.

Un altro aspetto rilevante riguarda la liceità del trattamento[Vi] di dati personali, che si verifica solo se il rispettivo titolare ha prestato il dovuto consenso per una o più specifiche finalità, come la fase precontrattuale o l'esecuzione di un contratto; per l'adempimento di un obbligo legale al quale è soggetto il titolare del trattamento; per la difesa di interessi vitali dell'interessato o di un'altra persona fisica; per l'esercizio di funzioni di interesse pubblico o l'esercizio di pubblici poteri di cui è investito il titolare del trattamento; ai fini dei legittimi interessi perseguiti dal titolare o da terzi, salvo che prevalgano gli interessi o i diritti e le libertà fondamentali del titolare che richiedono la protezione dei dati personali, in particolare se il titolare è un minore[Vii], ipotesi non applicabile qualora il trattamento dei dati sia effettuato da pubbliche autorità nell'espletamento dei propri compiti con modalità telematiche.

Pertanto, il trattamento dei dati personali può avvenire solo in modo lecito, leale e trasparente, mirando a finalità determinate, esplicite e legittime, e non può essere successivamente trattato in modo incompatibile con tali finalità. I dati devono essere adeguati, pertinenti e limitati alle finalità previste (minimizzazione dei dati) per le quali sono trattati, e devono essere mantenuti esatti, aggiornati e conservati in modo da consentire l'identificazione dei loro titolari durante il periodo necessario alle finalità per cui sono trattati (limitazione della conservazione), e potranno essere conservati per lunghi periodi, purché trattati esclusivamente per finalità archivistiche di interesse pubblico, ovvero per finalità di ricerca scientifica, storica o statistica.

La sicurezza acquista centralità nel RGPD, mirando a proteggere i dati personali da trattamenti non autorizzati o illeciti, nonché dalla loro perdita accidentale, distruzione o danneggiamento, con l'adozione di adeguate misure tecniche o organizzative, motivo per cui tutti i titolari del trattamento sono ritenuti responsabili. -responsabile della manipolazione, richiedendo la registrazione di tutte le attività di trattamento e gestione del rischio, con nomina di un responsabile e segnalazione alle autorità competenti di eventuali violazioni.

Per rendere efficaci le sue regole, il RGPD stabilisce potenti sanzioni per la sua violazione, consentendo agli Stati membri di regolamentare la materia in ogni momento per ampliare lo spettro di efficacia. È quanto prevede il suo articolo 58, che attribuisce a ciascuna autorità dei suoi Stati membri il potere di correzione mediante diffide, richiami, determinazione per l'adozione di procedure specifiche, revoca delle certificazioni, applicazione di sanzioni pecuniarie elevate (articolo 83[Viii]), e determinazione della sospensione dell'invio dei dati a destinatari in Paesi terzi o ad organizzazioni internazionali.

Infine, si richiama l'attenzione sull'aspetto della territorialità che mira a proteggere i dati personali dei residenti europei in qualsiasi parte del mondo. L'articolo 3 del RGPD prescrive che il diploma si applichi al trattamento dei dati dei residenti europei, indipendentemente dal fatto che il trattamento avvenga all'interno o all'esterno dell'Unione Europea.

Prevede inoltre la sua applicazione quando il titolare o il responsabile del trattamento, non stabilito nell'Unione, offre beni o servizi nell'Unione, o intende controllare il comportamento dell'interessato, a condizione che tale comportamento avvenga nell'Unione europea. Per questi motivi, tutti i soggetti che instaurano qualsiasi tipo di rapporto economico con l'Unione Europea devono necessariamente osservare il RGPD.

A seguito di questo scenario, lo stesso vale per il trasferimento dei dati di persone residenti in Europa. È quanto stabilisce l'articolo 44 del GDPR, prescrivendo che “qualsiasi trasferimento di dati personali che sono o saranno oggetto di trattamento successivamente al trasferimento verso un paese terzo o un'organizzazione internazionale è effettuato solo se, fatte salve le altre disposizioni dell'art. presente regolamento, le condizioni stabilite nel presente capo sono rispettate dal titolare del trattamento e dal responsabile del trattamento, anche per quanto riguarda i trasferimenti successivi di dati personali dal paese terzo o dall'organizzazione internazionale verso un altro paese terzo o altra organizzazione internazionale. Tutte le disposizioni del presente capo sono applicate in modo tale da non compromettere il livello di protezione delle persone fisiche garantito dal presente regolamento”.

Dopo una rapida analisi del GDPR, passiamo alla nuova LGPD brasiliana.

Come visto, la LGPD è arrivata a integrare il quadro legislativo esistente fino al 2018 per la protezione dei dati personali, rafforzando così la protezione brasiliana della privacy, dell'intimità, dell'onore, dell'immagine e della dignità della persona umana.

La società brasiliana desiderava da tempo un diploma specifico in materia, e l'edizione del RGPD europeo ne ha accelerato l'approvazione, in quanto è diventato strategico e vitale per la nostra economia stabilire livelli di protezione simili a quello europeo, in modo da contribuire a la competitività internazionale delle imprese brasiliane.

Inizialmente, va notato che la LGPD entrerà in vigore solo nel febbraio 2020, proprio in modo che la società brasiliana e il mercato possano adattarsi alle nuove esigenze.

Si tratta di una legge che istituisce principi da osservare in materia, stipulati nell'elenco esemplare dell'articolo 6, e che contempla la figura della buona fede, delineata e consolidata nel diritto civile.

Pertanto, i principi espressi nella LGPD sono: obiettivo – il trattamento deve essere effettuato per finalità legittime, determinate e senza possibilità di manipolazione incompatibile con tali finalità; adeguatezza – il trattamento deve essere compatibile con le finalità comunicate all'interessato; bisogno – il trattamento deve essere limitato al minimo necessario per il conseguimento delle finalità; accesso libero – deve essere garantita ai titolari una facile e gratuita consultazione sulle modalità e sulla durata del trattamento, nonché l'accesso a tutti i loro dati; qualità dei dati – devono essere garantite l'esattezza, la chiarezza, la pertinenza e l'attualità dei dati; trasparenza – deve essere garantita la fornitura di informazioni chiare e facilmente accessibili da parte dei titolari; sicurezza – devono essere adottate misure tecniche e amministrative in grado di proteggere i dati da accessi non autorizzati; prevenzione – devono essere adottate misure per prevenire il verificarsi di danni dovuti al trattamento dei dati personali; non discriminazione – impossibilità di trattamento per finalità discriminatorie; responsabilità e responsabilità – dimostrazione di misure efficaci per osservare e dimostrare il rispetto delle norme sulla protezione dei dati personali.

Questi principi guidano tutte le attività che trattano dati personali e sono combinati con il dovere di privacy dal design e privacy per impostazione predefinita. privacy in base alla progettazione o privacy dal concepimento, è un concetto legato all'ingegneria dei sistemi, che tiene conto della privacy durante tutto il processo di costruzione ed esecuzione (adottando, ad esempio, pseudonimizzazione e crittografia), rispettando i valori umani durante tutto il processo. Privacy per impostazione predefinita o protezione per impostazione predefinita, implica che i gestori devono garantire che i dati personali siano trattati con la massima protezione della privacy (solo i dati necessari devono essere trattati per un periodo di conservazione breve e con accessibilità limitata) in modo che, per impostazione predefinita, i dati personali non siano messi a disposizione di un numero indefinito di persone. Il RGPD, nel suo articolo 25, ha delineato positivamente questi concetti, cosa che non è avvenuta con la LGPD. Tuttavia, la congiunzione degli articoli 6 e 46 della LGPD consente di dedurre che tali principi/concetti sono stati recepiti dal nostro ordinamento.

Come il GDPR, la nostra legge definisce l'ambito della sua applicazione materiale e territoriale, stabilendo definizioni, principi e condizioni per il trattamento di diverse categorie di dati personali. Attribuisce inoltre diritti ai titolari dei dati personali, stabilendo regole per i responsabili del trattamento e per i loro subappaltatori, e delineando meccanismi di controllo pubblico e amministrativo e sanzioni per la violazione dei suoi precetti.

A differenza del RGPD, la nostra legge pone il diritto fondamentale all'autodeterminazione informativa (articolo 2, II), che a nostro avviso è un aspetto positivo, poiché consolida questa importante conquista dell'umanità di fronte alle nuove tecnologie nella cultura giuridica nazionale .

La nuova legge brasiliana per la protezione dei dati personali diventa la legge generale in materia, che irradia comandi a tutti i settori del diritto e deve essere applicata e interpretata sistematicamente dai precetti costituzionali della materia. Pertanto, la LGPD ha un carattere a matrice che avrà un impatto su più settori dell'economia e dell'attività statale.

Questa volta, come regola generale, qualsiasi trattamento, raccolta o elaborazione di dati personali effettuati nel territorio nazionale, i cui titolari si trovano in Brasile, sono soggetti alla legge brasiliana, indipendentemente dal luogo o dalla nazionalità della persona che li tratta. È esclusa dalla sua applicazione la manipolazione da parte di una persona fisica per scopi privati; effettuato per scopi giornalistici o artistici o accademici; svolti per finalità di pubblica sicurezza, di difesa dello Stato, di sicurezza dello Stato o di indagine e repressione di reati, ipotesi che saranno soggette alle proprie norme, nel rispetto del regolare procedimento, dei principi generali di tutela e dei diritti del titolare.

La manipolazione dei dati personali di bambini e adolescenti è stata contemplata nella LGPD, che tratta l'argomento all'articolo 14, ricordando che in questi casi la legge deve essere applicata e interpretata in linea con lo Statuto del fanciullo e dell'adolescente - ECA, e il codice civile. A differenza del RGPD, la nostra legge non fissa il limite di età dell'interessato per promuovere autonomamente il consenso, limitandosi a stabilire che “il trattamento dei dati personali dei minori deve essere effettuato con lo specifico e prominente consenso prestato dall'ultimo dei genitori o tutore legale” (§ 1 dell'articolo 14). Si capisce, quindi, che l'art. 2 della Corte dei conti europea, che considera bambino fino a dodici anni di età.

Sulla scia del RGPG, la legge brasiliana non ha esitato ad affrontare la questione dell'anonimizzazione dei dati, ovvero l'uso di ragionevoli mezzi tecnici disponibili al momento del trattamento, attraverso i quali i dati perdono la possibilità di associazione, diretta o indiretta , a un individuo. Come notato, questi dati non sono considerati personali tranne quando il processo di anonimizzazione può essere annullato, utilizzando esclusivamente mezzi propri o attraverso sforzi ragionevoli, considerando fattori oggettivi come costi e tempi per invertire il processo di anonimizzazione (pseudoanonimizzazione).

Altro aspetto degno di nota è quello che fa riferimento alla responsabilità civile per danni ai dati personali, materia trattata in maniera molto simile a quella prevista dal Codice del Consumo - CDC. Per inciso, il testo del nuovo diploma aveva ragione a sottolineare che le lesioni ai dati personali nei rapporti con i consumatori saranno indagate in integrazione con il CDC (articolo 45 della LGPD).

Pertanto, riconoscendo la possibilità del verificarsi di danni patrimoniali, morali, individuali o collettivi da parte degli incaricati del trattamento, l'articolo 40 della LGPD stabilisce la regola generale della solidarietà tra il responsabile del trattamento e l'operatore quando quest'ultimo non adempie agli obblighi del legislazione sulla protezione dei dati o quando non ha seguito le istruzioni legittime del responsabile del trattamento. I titolari sono solidali anche quando sono direttamente coinvolti nel trattamento che ha comportato un danno per l'interessato.

Le eccezioni a questa regola di solidarietà sono previste dall'articolo 43 della LGPD. Questi sono: quando il responsabile del trattamento (titolare o operatore) dimostra di non aver trattato i dati personali a lui assegnati; quando dimostra che, sebbene abbia effettuato il trattamento dei dati personali a lui affidati, non vi è stata alcuna violazione della normativa sulla protezione dei dati; o dimostrando che il danno è dovuto alla sola colpa dell'interessato o di terzi.Per questo sistema, la legge riserva la possibilità di azione di ritorno, e la tutela collettiva in giudizio con l'applicazione della CDC e della legge sull'azione civile pubblica.

Un'altra misura analoga a quella raccomandata dalla CDC è quella che prevede l'inversione dell'onere della prova a favore dell'interessato, quando l'asserzione è credibile, vi è mancanza di sufficienza ai fini della produzione della prova, o quando la produzione di prove da parte dell'interessato risulta eccessivamente onerosa.

A differenza del RGPD, che prevede un periodo di 72 ore, la LGPD prevede solo l'obbligo del titolare del trattamento di comunicare, entro un termine ragionevole, all'Autorità nazionale e al titolare il verificarsi di un incidente di sicurezza che può comportare un rischio significativo o danni. La nostra legge a questo punto è fallita in quanto non ci sono elementi per la definizione di un termine ragionevole, che sarà eventualmente preposto alla regolamentazione da parte dell'Autorità nazionale. In tal caso, l'Autorità nazionale può adottare provvedimenti analoghi a quelli dell'art ricordare consumistico, come l'ampia diffusione del fatto sui media (ipotesi molto imbarazzante per l'immagine del controllore), nonché altre misure ritenute necessarie per invertire o mitigare gli effetti dell'accaduto.

Per quanto riguarda il trasferimento internazionale dei dati personali (articoli da 33 a 36), la legge brasiliana ha seguito il percorso del RGPD, consentendolo solo per quei paesi o organizzazioni internazionali che forniscono un grado di protezione dei dati personali adeguato a quello previsto dalla LGPD ovvero quando il titolare offra e dimostri la conformità, attraverso disposizioni contrattuali, standard aziendali, sigilli, certificati e codici di condotta regolarmente rilasciati, con contenuto definito o verificato dall'Autorità nazionale.

Altro requisito indispensabile per il trasferimento internazionale dei dati personali è la necessità di uno specifico consenso dell'interessato, che deve essere evidenziato e distinto dalle altre finalità.

Infine, per quanto riguarda le sanzioni amministrative, la LGPD ha fatto bene a stabilire importi elevati. Pertanto, secondo la fattispecie, l'Autorità nazionale, concluso il procedimento amministrativo e assicuratasi piena difesa, può disporre l'ammonimento; multa semplice fino al 2% della fatturazione della persona giuridica privata, gruppo o conglomerato in Brasile nel suo ultimo anno fiscale, limitata in totale a R$ 50.000.000,00 per infrazione; multa giornaliera; pubblicizzare l'infrazione e bloccare i dati personali cui si riferisce l'infrazione fino alla sua regolarizzazione.

Come visto, il mondo digitale ha raggiunto uno straordinario grado di sviluppo. La crescente dipendenza tecnologica dell'umanità aumenta solo la quantità e il flusso di dati personali disponibili per le tecnologie dirompenti. Proteggere la privacy, l'intimità, l'immagine e i dati personali è un compito indispensabile per il necessario equilibrio nel mondo postmoderno.

Pertanto, seguendo l'esempio di quanto accaduto in Europa, la società civile e le imprese brasiliane devono adattarsi alla LGPD, come un bisogno urgente nel mondo sempre più globalizzato dell'economia digitale.

Pertanto, le aziende dovrebbero istituire o rivedere il modo in cui raccolgono, manipolano, archiviano ed elaborano i dati personali. Questo adattamento è molto prezioso in tutti i sensi, dal consolidamento dell'affidabilità di queste aziende davanti a consumatori e clienti, alla possibilità di pari condizioni per la concorrenza internazionale. In questo senso, la protezione dei dati e conformità sono i presupposti di base dell'attività imprenditoriale nel XNUMX° secolo.

La LGPD per molti aspetti è vicina, perché per certi versi ispirata, al GDPR europeo. Tuttavia, pur rappresentando un buon inizio, riteniamo che la nuova legge abbia lasciato un po' a desiderare sotto molti aspetti, non disciplinando o disciplinando in modo insufficiente, materie quali: dati anagrafici nei rapporti di lavoro; nello spettro delle indagini penali e degli illeciti amministrativi; video sorveglianza; diritto all'oblio; biotecnologia; profilazione; subappalto; aspetti tecnici di sicurezza, condotta e certificazione; cooperazione e coerenza; libertà di espressione e informazione; atti pubblici; trattamento effettuato da enti religiosi, tra gli altri.

È vero che spetterà alla dottrina e alla giurisprudenza superare eventuali lacune e antinomie derivanti da questa situazione. La stessa creazione del Garante nazionale per la protezione dei dati personali legato all'amministrazione diretta, insieme alla Presidenza della Repubblica, evidenzia il mare di difficoltà che si prospettano. Era imperativo creare un'autarchia speciale con maggiore indipendenza istituzionale, funzionale e finanziaria, per adattare il nostro sistema agli standard internazionali.

Molto probabilmente vedremo bussare alle porte delle giurisdizioni superiori i conflitti di interessi economici derivanti dall'applicazione della LGPD, come è avvenuto con il punto di riferimento civile di internet e le relazioni attorno al WhatsApp, che discute i limiti dell'intervento statale nello sviluppo e nell'uso della crittografia. La legge sulla registrazione positiva è l'esempio più chiaro e flagrante di conflitto con la LGPD, soprattutto per quanto riguarda la materia del consenso del titolare dei dati personali.

Questioni come quelle che coinvolgono l'attività di Cambridge Analytica nel processo di Brexit e nelle elezioni americane, cominciano ad essere sollevate in Brasile con accuse di proliferazione di notizie false nelle elezioni presidenziali del 2018. L'influenza giuridica americana che tratta la materia alla luce del diritto di proprietà contrasta con la concezione europea di inquadrare il diritto alla protezione dei dati personali nell'ambito dei diritti umani. La schizofrenia viveva nel mondo legale del paese (diritto civile x common law) influenzerà notevolmente il futuro della LGPD.

Il Brasile sta attraversando una profonda crisi politica, economica, sociale e istituzionale raramente vista nella nostra storia. Autoritarismo da parte degli agenti pubblici, palese mancanza di rispetto per l'ordine costituzionale e per i diritti umani, odio e intolleranza, spuntano giorno e notte nelle strade e soprattutto nel mondo digitale.

È in questo scenario che nasce la LGPD. Un buon inizio, che potrebbe essere migliore. Un futuro da costruire lungo linee tortuose, che richiederanno molto lavoro e superamento da parte del mondo legale per implementare la piena protezione dei dati personali in Brasile.

*Renato Afonso Goncalves, avvocato, è dottorando in Scienze storico-giuridiche presso la Facoltà di Giurisprudenza dell'Università di Lisbona.

[I]Prestare attenzione alle sentenze paradigmatiche della Corte di giustizia dell'Unione europea: Digital Rights Ireland, 2014 – Cause C-293/12 e C-594/12; Google Spain SL e Google Inc, 2014 (causa C-131/12); e Maximillian Schrems, dal 2015 – Processo C-362/2014. CORTE DI GIUSTIZIA DELL'UNIONE EUROPEA. Disponibile su: https://curia.europa.eu/jcms/jcms/j_6/pt/.

[Ii]A titolo di esempio, in Portogallo è stata emanata la legge nº 58/2019, dell'08 agosto 2019, che garantisce l'attuazione, nell'ordinamento giuridico nazionale, del regolamento (UE) 2016/679, sulla protezione delle persone fisiche riguarda il trattamento dei dati personali e la libera circolazione di tali dati. Disponibile su: https://www.cnpd.pt/.

[Iii]Considerando 2 del GDPR.

[Iv]Articolo 4, 1, GDPR.

[V]Articolo 4 del GDPR.

[Vi]Articolo 6 del GDPR.

[Vii]L'articolo 8 del GDPR richiede il consenso dei genitori o dei tutori per il trattamento dei dati personali dei minori di 16 anni. D'altra parte, il regolamento consente alle leggi degli Stati membri di ridurre tale limite, che non può essere inferiore a 13 anni.

[Viii]Possono variare da 10 milioni di euro o il 2% del fatturato annuo globale dell'azienda, a 20 milioni di euro o il 4% delle vendite annuali globali dell'azienda.