A Lei de Proteção de Informações Pessoais da África do Sul (POPIA) tem como objetivo dar aos cidadãos da África do Sul mais controle sobre seus dados e exige que qualquer organização que processe informações pessoais na África do Sul para proteger esses dados. O POPIA se concentra nos direitos de proteção de dados para os titulares de dados, que entraram em vigor em 1º de julho de 2020, já que o Presidente da África do Sul declarou que a aplicação do POPIA ocorrerá em 1º de julho de 2021.
A POPIA é comparável à POPIA da União Europeia (UE). Regulamento Geral sobre a Proteção de Dados (GDPR) e deriva de muitos dos princípios fundamentais. Ele consiste em conceder a seus cidadãos direitos específicos de direitos sobre suas informações pessoaisA lei de proteção de dados, os requisitos para o processamento de dados, a definição de informações pessoais para a proteção do usuário final, as multas por violações de privacidade e a formação do órgão regulador de informações (SAIR) para aplicar e monitorar as novas leis.
Para muitas organizações que operam dentro e fora da África do Sul, compreender as diferenças e semelhanças será essencial para uma preparação e conformidade adequadas.
Há semelhanças e diferenças importantes entre a POPIA e o GDPR:
Personalização de PII (dados pessoais POPIA vs. dados pessoais GDPR)
- POPIA se aplica ao dados pessoais de qualquer indivíduo, independentemente de sua nacionalidade. Portanto, enquanto o GDPR foi projetado apenas para proteger os cidadãos da UE, o POPIA abrange qualquer pessoa cujos dados pessoais sejam processados no território sul-africano ou por uma empresa sul-africana.
- Embora tanto a POPIA quanto o GDPR dividam a definição de dados em informações pessoais e informações pessoais especiais (ou dados confidenciais no GDPR), a POPIA também atribui infrações penais a informações vulneráveis.
Proteção de dados
- Tanto a POPIA quanto o GDPR descrevem apenas aspectos muito gerais segurança de dados apenas declarando que você deve implementar medidas técnicas e organizacionais apropriadas para proteger os dados pessoais em sua posse.
- O POPIA exige que todas as empresas e organizações indiquem um Information Officer (automaticamente atribuído ao CEO), cuja função e responsabilidades diferem em áreas importantes do Data Protection Officer do GDPR. Além disso, o POPIA também exige que as empresas e organizações nomeiem um Diretor de Informações Adjunto.
Relatórios de violações
- O procedimento POPIA para relatar uma violação de dados é semelhante ao GDPR, onde, em geral, você deve notificar tanto o órgão regulador relevante quanto os indivíduos afetados pela violação.
- A POPIA afirma que você deve fazer isso assim que for razoavelmente possível após tomar conhecimento da violação. No entanto, o GDPR exige que você notifique sua autoridade supervisora dentro do período limitado de 72 horas.
Penalidades: POPIA vs. GDPR
- A penalidade financeira por uma infração da POPIA pode chegar a $10 milhões de ZAR (rands sul-africanos), o que é significativamente menor do que uma possível multa de Multa do GDPRque pode chegar a até 20 milhões de euros ou 4% do faturamento global anual.
- Em comparação, as sanções do GDPR se concentram mais diretamente na não conformidade. No entanto, ao estabelecer uma multa, as autoridades de fiscalização europeias ainda podem considerar o grau de cooperação e demonstração que uma organização demonstra durante suas investigações.
- De acordo com a legislação sul-africana, os indivíduos podem ser responsabilizados criminalmente e condenados à prisão por até 10 anos em casos mais graves. As sanções da POPIA se aplicam à não conformidade e a uma série de outros delitos, incluindo dificultar, obstruir ou influenciar ilegalmente os funcionários responsáveis pela aplicação da lei, não comparecer a audiências judiciais, mentir sob juramento.
Preparando-se para a POPIA
Você tem uma pegada de dados na África do Sul? Muitas organizações já fizeram os ajustes necessários para cumprir as regulamentações globais existentes, como CPRA, CDPA, LGDPe GDPR. Independentemente disso, é essencial aplicar uma estratégia de privacidade proativa para estar em conformidade com os requisitos distintos da POPIA e integrar-se à regulamentação de privacidade existente, em vez de ficar em um estado reativo.
Obter um Demonstração 1:1 para ver como a BigID ajuda as organizações a atenderem aos requisitos futuros de conformidade com a POPIA e a criarem um programa de privacidade proativo para empresas existentes e em desenvolvimento regulamentos.