Brazylijska ustawa LGPD (Lei Geral de Proteção de Dados) to nowy akt prawny dotyczący ochrony danych, którego będą musiały przestrzegać wszystkie firmy przetwarzające dane osobowe użytkowników z Brazylii, zarówno te brazylijskie, jak i zagraniczne. Ustawa, po dość sporym opóźnieniu spowodowanym pandemią, ma wejść w życie 16 sierpnia 2020 r.
Przyjrzyjmy się zatem jak wygląda porównanie znanej nam ustawy RODO z jej brazylijskim odpowiednikiem.
Lei Geral de Proteção de Dados (lub w skrócie LGPD), podobnie jak RODO i wyraźne się nią inspirując, ma na celu wprowadzenie bardzo potrzebnych wyjaśnień do dotychczasowych brazylijskich ram prawnych. Próbuje zatem ujednolicić ponad 40 różnych ustaw, które obecnie regulują kwestie danych osobowych, zarówno w świecie online jak i offline oraz zastąpić niektóre przepisy i uzupełnić inne.
Innym podobieństwem z RODO jest fakt, że LGPD ma zastosowanie do każdej firmy lub organizacji, która przetwarza dane osobowe Brazylijczyków, niezależnie od tego, gdzie ta firma lub organizacja się znajduje. Jeśli więc Twoja firma ma klientów w Brazylii, powinieneś zacząć przygotowywać się do zastosowania zgodnie z przepisami LGPD. Na szczęście pozostało jeszcze trochę czasu zanim prawo wejdzie w życie. A jeśli w dodatku zastosowałeś już dotychczas przepisy RODO to można powiedzieć, że większość pracy już za Tobą.
Podobieństwa między RODO a LGPD
Oprócz zastosowania eksterytorialnego LGPD i RODO ujednolicają kilka podstawowych zasad ochrony danych.
Dane osobowe
Chociaż LGPD nie podaje jednej definicji danych osobowych po bliższym zapoznaniu się z ustawą można dostrzec elementy definicji danych osobowych znanej nam już z RODO. W różnych miejscach w treści LGPD znajdujemy informacje, że dane osobowe oznaczają wszelkiego rodzaju dane, które same w sobie lub w połączeniu z innymi danymi pozwalają na zidentyfikowanie osoby fizycznej. Chociaż definicja ta zostanie prawdopodobnie bliżej wyjaśniona gdy Brazylia zbliży się do wdrożenia LGPD, na chwilę obecną LGPD przedstawia szeroki pogląd na to, które dane kwalifikują się jako dane osobowe, nawet w bardziej ekspansywny sposób niż RODO.
Prawa osób, których dane dotyczą
Artykuł 18 to kolejny fragment LGPD, który wyda się znajomy właścicielom firm, którzy mieli już do czynienia z RODO. Określa on dziewięć podstawowych praw przysługujących podmiotom danych:
- Prawo do potwierdzenia istnienia przetwarzania;
- Prawo dostępu do danych;
- Prawo do poprawiania niekompletnych, niedokładnych lub nieaktualnych danych;
- Prawo do anonimizacji, blokowania lub usuwania niepotrzebnych lub nadmiernych danych lub danych, które nie są przetwarzane zgodnie z LGPD;
- Prawo do przenoszenia danych do innego usługodawcy lub dostawcy produktu, na podstawie wyraźnego żądania;
- Prawo do usunięcia danych osobowych przetwarzanych za zgodą osoby, której dane dotyczą;
- Prawo do informacji o podmiotach publicznych i prywatnych, którym administrator danych udostępnił dane;
- Prawo do informacji o możliwości odmowy zgody i konsekwencjach takiej odmowy;
- Prawo do odwołania zgody.
Chociaż RODO znane jest z przyznania osobom, których dane dotyczą, ośmiu podstawowych praw, są to zasadniczo te same prawa, o których wspomina LGPD. Wydaje się, że LGPD podzieliło jednak „Prawo do informacji o podmiotach publicznych i prywatnych, którym administrator udostępnił dane” z bardziej ogólnego „prawa do informacji” RODO aby było to bardziej jasne.
Różnice między LGPD a RODO
Pomimo podobnych celów i widocznego wpływu RODO na brazylijskich ustawodawców, istnieją pewne kluczowe różnice między tymi dwoma aktami prawnymi.
Inspektorzy ochrony danych
Oba akty wymagają od firm i organizacji zatrudnienia inspektora ochrony danych (DPO). Chociaż RODO określa, kiedy wymagany jest inspektor ochrony danych, w art. 41 LGPD stwierdza się po prostu: „Administrator powołuje funkcjonariusza odpowiedzialnego za przetwarzanie danych”, co sugeruje, że każda organizacja przetwarzająca dane osób z Brazylii będzie musiała zatrudnić inspektora ochrony danych. Jest to kolejny obszar, który prawdopodobnie otrzyma dalsze wyjaśnienia, ale jak napisano, jest to jeden z niewielu obszarów, w których LGPD jest bardziej rygorystyczny niż RODO.
Podstawa prawna przetwarzania danych
Być może najistotniejsza różnica między LGPD a RODO dotyczy tego, co kwalifikuje się jako podstawa prawna przetwarzania danych. RODO posiada sześć podstaw prawnych przetwarzania, a administrator danych musi wybrać jedną z nich jako uzasadnienie wykorzystania informacji osoby, której dane dotyczą. Z kolei w art. 7 LGPD wymienia się ich 10:
- Aby spełnić prawne lub regulacyjne obowiązki administratora;
- W celu realizacji polityk publicznych przewidzianych w przepisach ustawowych lub wykonawczych lub na podstawie umów, porozumień lub podobnych instrumentów;
- W celu realizacji polityki publicznej zgodnej z przepisami ustawowymi lub wykonawczymi lub na podstawie umów, porozumienia lub podstawowych instrumentów;
- W celu przeprowadzenia badań przez jednostki badawcze, które zapewniają, w miarę możliwości, anonimizację danych osobowych;
- W celu wykonania umowy lub procedur wstępnych związanych z umową, której stroną jest osoba, której dotyczą dane, na wniosek osoby, której dane dotyczą;
- W celu wykonywania praw w postępowaniach sądowych, administracyjnych lub arbitrażowych;
- W celu ochrony życia lub bezpieczeństwa fizycznego osoby, której dane dotyczą, lub strony trzeciej;
- W celu ochrony zdrowia, w procedurze przeprowadzanej przez pracowników służby zdrowia lub podmiotów opieki zdrowotnej;
- W celu realizacji uzasadnionych interesów administratora lub strony trzeciej, z wyjątkiem przypadków, gdy przeważają podstawowe prawa i wolności podmiotu danych, które wymagają ochrony danych osobowych;
- W celu ochrony kredytu (w odniesieniu do oceny zdolności kredytowej).
Ochrona kredytu jako podstawa prawna przetwarzania danych jest zatem istotnym odstępstwem od RODO.
Zgłaszanie naruszeń danych
Chociaż zarówno RODO jak i LGPD wymagają od organizacji zgłaszania naruszeń danych lokalnemu organowi ochrony danych, poziom szczegółowości różni się znacznie między tymi dwiema ustawami. Przepisy RODO są jednoznaczne: organizacja musi zgłosić naruszenie danych w ciągu 72 godzin od ich wykrycia (chociaż różne organizacje już testują ten termin).
LGPD nie określa żadnego ostatecznego terminu: art. 48 ogranicza się do stwierdzenia, że „administrator danych musi powiadomić organ krajowy i osobę, której dane dotyczą o incydencie związanym z bezpieczeństwem, który może stwarzać ryzyko lub istotną szkodę dla osób, których dane dotyczą… w rozsądnym terminie, określonym przez organ krajowy”. Ponieważ krajowa agencja ochrony danych nie została jeszcze ustanowiona, brak jest wskazówek na temat tego, co stanowi „rozsądny termin”.
Grzywny
O mocy regulacji prawnej świadczy wysokość kary za jej naruszenie. Dlatego maksymalne kary pieniężne RODO są znaczne, wymagając od organizacji popełniających poważne naruszenia RODO zapłacenia do 20 mln EUR lub 4% rocznych globalnych dochodów, w zależności od tego, która z tych kwot jest wyższa.
Grzywny wynikające z przepisów LGPD są znacznie mniej surowe. Artykuł 52 stanowi, że maksymalna grzywna za ich naruszenie wynosi „2% dochodu prywatnej osoby prawnej, grupy lub konglomeratu w Brazylii w poprzednim roku podatkowym, bez podatków, maksymalnie do 50 milionów reali” (co odpowiada kwocie około 11 milionów euro). Kary przewidziane przez LGPD odpowiadają karom RODO za mniej rażące wykroczenia ale 11 milionów euro nie będzie dotyczyć największych procesorów danych na świecie.
Oczywiście nasza analiza nie wyczerpuje wszystkich istotnych kwestii dotyczących LGPD ale powinna uspokoić właścicieli firm, że pod wieloma względami, jeśli ich biznes jest prowadzony już zgodnie z przepisami RODO są oni już na dobrej drodze do przestrzegania również przepisów ustawy LGPD.
https://www.ecommercebrasil.com.br/noticias/lgpd-agosto-2020-multas-senado/
https://www2.deloitte.com/br/en/pages/risk/articles/lgpd.html
