GDPR vs LGPD: Confronto tra le leggi sulla privacy dell'UE e del Brasile
La LGPD (Lei Geral de Protecao de Dados) del Brasile è stata modellata strettamente sul GDPR ed è entrata in vigore nel 2020. Sebbene entrambe le leggi condividano principi simili sulla protezione dei dati, la LGPD definisce 10 basi giuridiche per il trattamento (rispetto alle 6 del GDPR) e ha una struttura sanzionatoria diversa. L'ANPD (Autoridade Nacional de Protecao de Dados) funge da autorità di applicazione del Brasile.
| Caratteristica | GDPR | LGPD |
|---|---|---|
| Ambito geografico | Unione Europea e stati membri del SEE | Brasile (si applica al trattamento dei dati di persone in Brasile) |
| A chi si applica | Qualsiasi organizzazione che tratti dati di residenti dell'UE | Qualsiasi organizzazione che tratti dati personali di persone in Brasile, indipendentemente dalla sede |
| Requisiti di consenso | È richiesto il consenso opt-in; 6 basi giuridiche per il trattamento | È richiesto il consenso opt-in; 10 basi giuridiche per il trattamento |
| Regole su cookie e tracciamento | I cookie non essenziali richiedono consenso esplicito preventivo ai sensi della Direttiva ePrivacy | Nessuna legge specifica sui cookie, ma i principi di consenso si applicano al tracciamento online |
| Diritti individuali | Accesso, rettifica, cancellazione, portabilità, limitazione, opposizione | Accesso, correzione, anonimizzazione, cancellazione, portabilità, informazioni sulla condivisione, revisione delle decisioni automatizzate |
| Sanzioni massime | Fino a EUR 20 milioni o il 4% del fatturato annuo globale | Fino al 2% del fatturato in Brasile, limitato a BRL 50 milioni per infrazione |
| Autorità di applicazione | Autorità Nazionali per la Protezione dei Dati di ogni stato membro dell'UE | ANPD (Autoridade Nacional de Protecao de Dados) |
Differenze principali
La LGPD prevede 10 basi giuridiche per il trattamento dei dati personali, rispetto alle 6 del GDPR. Oltre al familiare consenso, contratto, obbligo legale, interessi vitali, interesse pubblico e interessi legittimi, la LGPD include la protezione del credito, la protezione della salute, la ricerca da parte di enti di studio e l'esercizio regolare dei diritti in procedimenti giudiziari o amministrativi.
Le sanzioni differiscono significativamente in scala. Le multe del GDPR possono raggiungere fino a EUR 20 milioni o il 4% del fatturato annuo globale. Le sanzioni della LGPD sono limitate al 2% del fatturato dell'azienda in Brasile (non globale), fino a BRL 50 milioni per infrazione. Sebbene ciò sia sostanziale, è generalmente considerato meno severo del calcolo basato sul fatturato globale del GDPR.
Entrambe le leggi concedono diritti individuali simili, ma la LGPD include un diritto specifico all'informazione sulle entità pubbliche e private con cui i dati sono stati condivisi, e un diritto alla revisione delle decisioni automatizzate. Il GDPR ha un diritto più ampio alla portabilità dei dati e disposizioni più dettagliate sul processo decisionale automatizzato, inclusa la profilazione.
Come aiuta Pryvii
Pryvii supporta la scansione rispetto ai requisiti sia del GDPR che della LGPD. Verifica il tuo sito web per le informative sulla privacy in portoghese, i meccanismi di consenso appropriati e le informative richieste sulla condivisione dei dati con terze parti. La scansione multi-normativa evidenzia le lacune specifiche di ciascuna legge.
Domande frequenti
La LGPD è sostanzialmente una copia del GDPR?
La LGPD è stata fortemente influenzata dal GDPR e condivide molti principi, ma non è identica. Le differenze chiave includono più basi giuridiche per il trattamento (10 vs 6), una struttura sanzionatoria diversa (limitata al 2% del fatturato in Brasile) e alcune disposizioni uniche sulla protezione del credito e il trattamento dei dati sanitari.
Ho bisogno di un DPO ai sensi di entrambe le leggi?
Il GDPR richiede un Responsabile della Protezione dei Dati in circostanze specifiche, come quando il trattamento è effettuato da un'autorità pubblica o comporta un monitoraggio sistematico su larga scala. La LGPD richiede a tutti i titolari del trattamento di nominare un DPO (chiamato encarregado), sebbene l'ANPD abbia attenuato questo requisito per le piccole imprese.
Posso trasferire dati tra l'UE e il Brasile?
I trasferimenti di dati richiedono garanzie adeguate ai sensi di entrambe le leggi. Il Brasile non ha ancora una decisione di adeguatezza GDPR dall'UE. I trasferimenti si basano tipicamente su Clausole Contrattuali Standard o altri meccanismi approvati. La LGPD limita anche i trasferimenti internazionali e richiede una protezione adeguata nel paese ricevente.
Confronti correlati
Verifica la tua conformità
Scansiona il tuo sito web rispetto a più normative in pochi minuti.