Pour les responsables de la protection de la vie privée qui ont eu fort à faire cet été avec la Entrée en vigueur le 1er juillet de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), suivi du invalidation soudaine du Privacy Shield quelques semaines plus tard, la loi générale brésilienne sur la protection des données (Loi Geral de Protecão de Dados L’entrée en vigueur de la LGPD constitue une troisième surprise.
Malgré le décret du président brésilien Jair Bolsonaro visant à reporter la date d'entrée en vigueur de la LGPD à la fin de l'année — et l'approbation du report par le Congrès national — la Le Sénat brésilien a finalement annulé le report, ce qui fera entrer la loi en vigueur le 10 septembre.
Comment se conformer à la LGPD
La LGPD présente un certain nombre de défis pratiques en matière de conformité. Le premier est la nécessité découverte plus approfondie. Les approches traditionnelles de découverte de données n’identifient pas systématiquement les données personnelles et les données sensibles à des fins de traitement.
Une définition élargie des données personnelles dans le cadre de la LGPD exige que les entreprises soient en mesure de relier et de classer les données — et comprendre comment les identifiants sont liés les uns aux autres en fonction de mesures telles que la proximité.
En outre, les nouveaux droits sur les données prévus par la loi créent un besoin plus profond pour les entreprises de comprendre les données dans leur contexte afin de pouvoir les traiter de manière appropriée, de faciliter les exigences de rectification et d'effacement et d'avoir la capacité de créer des politiques qui sont en phase avec l'ensemble strict de bases juridiques pour le traitement des données.
Les nouvelles exigences de conservation en vertu de la LGPD créent la nécessité de définir des règles internes politiques de conservation des données que les entreprises peuvent prendre des mesures immédiates — y compris les données collectées via un service en ligne — tout en étant en mesure d'identifier les données en double et redondantes, ce qui s'étend dans l'espace de gouvernance des données.
Avec BigID, les entreprises peuvent anticiper ces défis en :
- Connaître leurs données: Combiner l’identification des données personnelles et la classification des données sensibles.
- Comprendre à qui appartiennent les données: Contextualisez les données avec le profilage d’identité et l’indexation des données qui couvrent les données personnelles et les données sensibles.
- Marquage et étiquetage des données à des fins juridiques : S’assurer que les données sont traitées conformément aux bases juridiques définies par la loi.
- Minimiser les données en double ou sensibles: Activez la minimisation des données avec l’identification des doublons et appliquez des règles de conservation en fonction d’un objectif divulgué.
- Gestion des risques liés aux données: Découvrez, classez et mappez les informations d’identification des utilisateurs pour appliquer des contrôles de réduction des risques de violation.
- Automatisation de l'exécution des droits d'accès aux données: Automatisez l'exécution manuelle des demandes d'accès et de suppression de données individuelles.
- Rapport sur les données dont ils disposent: Activez les flux de travail de correction et validez si des données sensibles sont capturées.
- Détection des transferts de données transfrontaliers hors politique:Suivez les violations d'accès, d'utilisation et de transfert des données dans toute l'organisation pour une action immédiate.
Les différences entre LGPD et RGPD
Portée territoriale
De la même manière que le Règlement général sur la protection des données (RGPD) de l'UE protège les données des résidents de l'UE, LGPD applique des obligations de protection des données à toute entreprise — publique ou privée, opérant en ligne et hors ligne — qui traite les données personnelles des résidents brésiliens, quel que soit le lieu où se trouve l'entreprise.
Données personnelles et données personnelles sensibles
Les lois utilisent une terminologie similaire pour désigner « responsables du traitement » et « sous-traitants » de données et sont presque identiques dans la manière dont ils définissent les données personnelles comme « des informations relatives à une personne physique identifiée ou identifiable ».
En d'autres termes, les données personnelles, au sens du RGPD et de la LGPD, comprennent les données qui identifient directement une personne ou la rendent identifiable. Les données anonymisées ne relèvent pas expressément du champ d'application du RGPD ni de la LGPD.
Bien que la LGPD inclue également une définition similaire des « données personnelles sensibles » comme le RGPD, la loi brésilienne établit un ensemble d’exigences plus strictes et réduit le nombre de bases juridiques disponibles pour tout traitement de ce type de données.
Bases juridiques du traitement des données personnelles
Le RGPD établit six bases légales pour le traitement des données personnelles non sensibles — et la LGPD les respecte toutes, en plus d'en ajouter quatre autres, élargissant ainsi les conditions dans lesquelles le traitement peut être autorisé.
Les bases juridiques de la LGPD également stipulées par le RGPD comprennent :
- consentement des propriétaires de données
- se conformer à une obligation légale
- faire respecter les réglementations ou les politiques publiques en vertu de la loi
- protéger la vie ou la santé de quelqu'un
- si nécessaire à l'exécution d'un contrat
- pour servir les intérêts légitimes du responsable du traitement ou de tiers
Les nouvelles bases légales stipulées par la LGPD comprennent :
- à des fins de recherche, à condition que les données soient anonymisées
- pour la protection du crédit
- à des fins de soins de santé par des professionnels et des entités de santé
- faire valoir ses droits dans le cadre de procédures judiciaires ou administratives
Délais de conservation des données
À l’instar du RGPD, les entreprises ne peuvent conserver des données personnelles que tant que l’une de ces bases juridiques autorisant leur traitement est en vigueur.
Si une entreprise opère au Brésil et propose des services en ligne, elle doit se conformer aux obligations de conservation des données prévues par la loi sur Internet. Cela signifie qu'elle doit conserver les enregistrements d'accès aux applications Internet, y compris l'adresse IP des utilisateurs, pendant six mois dans un environnement sécurisé.
Droits des personnes concernées par la LGPD
La LGPD fournit un certain nombre de droits des personnes concernées concernant leurs données personnelles. Les responsables du traitement sont légalement tenus de garantir aux personnes concernées la possibilité d'exercer ces droits, et les sous-traitants peuvent également recevoir une demande des personnes concernées pour garantir l'exercice de leurs droits.
Les droits des personnes concernées sur leurs données personnelles comprennent le droit de :
- confirmer l'existence de données personnelles traitées
- accéder aux données personnelles
- rectifier les données incomplètes, inexactes ou obsolètes
- supprimer les données personnelles inutiles, excessives ou non conformes
- demander expressément que les données soient transférables vers un autre service ou fournisseur
- effacer toutes les données personnelles traitées avec le consentement de la personne concernée
- être informé des tiers avec lesquels les données sont partagées
- être informé de la possibilité de refuser le consentement — et des conséquences de ce refus
- retirer son consentement
- demander un examen de la prise de décision automatisée
Dans l'UE, en vertu du RGPD, les entreprises doivent répondre aux demandes d'accès aux données des personnes concernées (DSAR) dans un délai d'un mois, avec des exceptions pour les demandes plus complexes. Cependant, le délai de la LGPD est réduit de moitié, soit 15 jours. La LGPD exige également immédiat réponse à d’autres demandes de la personne concernée, en dehors de l’accès.
Transferts transfrontaliers
La loi prévoit également des restrictions sur les transferts transfrontaliers de données vers des pays tiers, garantissant un niveau de protection adéquat. À l'heure actuelle, on ignore quels pays sont concernés ni quelles garanties appropriées sont prévues, comme Clauses contractuelles types ou des règles d’entreprise contraignantes sur lesquelles les entreprises peuvent compter.
L’hypothèse est que, puisque la LGPD s’inspire largement du RGPD, il est probable que les pays de l’Union européenne seront considérés comme adéquats.
Date et agence d'application de la LGPD, ANPD
Bien que les dispositions de la LGPD relatives aux sanctions n'entreront en vigueur qu'à partir du 1er août 2021, les Brésiliens ont le droit de demander réparation s'ils estiment avoir subi un préjudice en raison d'une violation de la loi. À l'instar des États-Unis, le Brésil est considéré comme une société litigieuse : entre les avocats des plaignants et plus de 900 procureurs, de nombreuses actions civiles seront probablement intentées au nom de parties civiles et du public.
Le président Bolsonaro a déjà approuvé une structure réglementaire et un cadre pour établir un Autorité brésilienne de protection des données (l'« ANPD »), qui est chargé de superviser les mesures de protection des données personnelles, d'élaborer des lignes directrices pertinentes et d'enquêter sur la loi et de l'appliquer.
délégués à la protection des données
Le rôle des délégués à la protection des données (DPD) est plus strict dans le cadre du RGPD que dans celui de la LGPD. Alors que le RGPD précise certaines conditions dans lesquelles les organisations doivent nommer un DPD, la LGPD ne contient aucune spécification de ce type, stipulant plus largement que « le responsable du traitement désigne un responsable du traitement des données ».
Cela suggère que, bien que les organisations soumises à la LGPD soient tenues de nommer un DPD, leurs différents rôles et leur relative indépendance par rapport au bureau de la protection de la vie privée restent flous. On espère que des éclaircissements seront apportés à mesure que l'ANPD développera davantage de lignes directrices et de contrôles, mais cela reste à voir.
Sanctions en cas de violation de la LGPD
La LGPD prévoit de lourdes sanctions d'application en plus de la responsabilité civile, telles que des amendes allant jusqu'à 2% du revenu brut de l'entreprise au Brésil au cours de son exercice précédent, la suspension temporaire de la capacité de l'entreprise à utiliser les données personnelles, la suspension partielle ou totale de la base de données et la suspension des activités commerciales.
Par conséquent, toute organisation traitant les données personnelles des résidents brésiliens doit s’assurer qu’elles sont en conformité à la LGPD et prêter une attention particulière à toute directive émise par les régulateurs dans les mois à venir.
Découvrez comment BigID peut vous aider vous assurez la conformité de votre organisation avec la LGPD afin de pouvoir, comme le dit le dicton brésilien, fique tranquille.
Auteur
