Pular para o conteúdo
Ver todas as postagens

África do Sul Aborda a privacidade de dados: Lei de Proteção de Informações Pessoais (POPIA)

O Lei de Proteção de Informações Pessoais da África do Sul (POPIA) foca nos direitos de proteção de dados dos titulares de dados da África do Sul — e proporciona aos cidadãos sul-africanos maior controle sobre seus dados pessoais. A POPIA também exige que qualquer organização que processe informações pessoais na África do Sul proteja esses dados.

O que é POPIA? 

A versão final de POPIA da África do Sul — que entra em vigor em 1º de julho de 2021 — é a mais recente grande lei de privacidade de dados do mundo a ser modelada de perto após a da UE GDPR.

A lei dá aos cidadãos — ou aos titulares dos dados — poderes executáveis direitos sobre suas informações pessoais, estabelece oito requisitos mínimos para o processamento de dados (por exemplo, a introdução do consentimento como base legal necessária), cria uma definição ampla de informações pessoais para proteção abrangente do usuário final e forma um Regulador de Informações (SAIR) para aplicar e supervisionar as disposições.

Dados Pessoais e Dados Pessoais Sensíveis

POPIA se aplica a qualquer empresa ou organização processamento de informações pessoais na África do Sul, que reside no país ou que não reside no país, mas faz uso de meios de processamento automatizados ou não automatizados na África do Sul.

POPIA define informações pessoais amplamente como qualquer informação relacionada não apenas a uma pessoa viva, mas também a uma empresa ou entidade legal.

Dados pessoais, tanto no âmbito da POPIA quanto do GDPR, incluem dados que identificam uma pessoa específica ou dados que tornam uma pessoa reconhecível. Embora a POPIA também inclua uma definição semelhante de dados pessoais e informações pessoais especiais (ou dados confidenciais no GDPR), a lei sul-africana estabelece alguns requisitos rigorosos que atribuem infrações criminais a dados sensíveis e vulneráveis.

Processamento de dados

A POPIA define o processamento de dados como a coleta, o recebimento, o registro, a organização, o armazenamento, a fusão, a vinculação e muito mais, de informações pessoais. A POPIA permite que empresas e organizações processem dados se isso for considerado do "interesse legítimo" do usuário, o que pode gerar ambiguidade para possíveis abusos e dificuldades de execução.

A POPIA também cria oito condições para processamento legal de dados, em que o consentimento do titular dos dados é fundamental. Cabe aos sites, empresas e organizações (“partes responsáveis”) comprovar que seu processamento é lícito — ou que os consentimentos corretos foram obtidos dos usuários. A POPIA define consentimento como qualquer expressão de escolha voluntária, específica e informada.

Transferência e compartilhamento de dados

Transferências de informações pessoais de dentro para fora da África do Sul são proibidas pela POPIA — com as seguintes exceções:

  • transferências transfronteiriças são permitidas para terceiros sujeitos a obrigações legais ou corporativas proteção de dados regras substancialmente semelhantes às suas.
  • certos tipos de transferência estão isentos das condições, como quando um indivíduo consentiu com a transferência ou quando a transferência é necessária para cumprir um contrato.

Direitos de Dados

O POPIA cria nove direitos acionáveis para cidadãos sul-africanos (titulares de dados), incluindo, mas não se limitando ao direito de acesso, direito de correção e direito de exclusão.

Semelhante ao GDPR, os cidadãos podem solicitar gratuitamente a confirmação de que processam ou não suas informações pessoais. Diferentemente do GDPR, o POPIA permite que organizações cobrem uma taxa para fornecer aos indivíduos uma cópia das informações que uma empresa mantém sobre eles. As organizações que optarem por fazê-lo devem fornecer uma estimativa por escrito do custo com antecedência.

A POPIA também exige que as organizações respondam a qualquer uma dessas Solicitação DSAR dentro de um prazo razoável. O RGPD, por outro lado, é mais específico e estabelece que, em circunstâncias normais, as organizações devem responder a uma solicitação de acesso ao titular dos dados (DSAR) sem demora — e no máximo dentro de um mês.

Multas, penalidades e prisão, meu Deus!

As ramificações financeiras de uma violação do POPIA têm uma penalidade máxima de $10 milhões de ZAR (rands sul-africanos), o que é muito menor do que uma Multa do GDPR máximo de € 20 milhões ou 4% de faturamento global anual. No entanto, as autoridades europeias de fiscalização podem considerar o grau de cooperação demonstrado por uma organização durante suas investigações.

Como uma camada adicional à legislação sul-africana, os indivíduos podem ser responsabilizados criminalmente e condenados à prisão por até 10 anos em casos mais graves.

Em comparação com a POPIA, as sanções do GDPR se concentram mais diretamente no descumprimento. As sanções da POPIA se aplicam ao descumprimento e a uma série de outras infrações, incluindo dificultar, obstruir ou influenciar ilegalmente autoridades policiais que não comparecem a audiências judiciais sob juramento.

Com o BigID, as empresas podem evitar essas penalidades e se antecipar aos desafios de conformidade com a POPIA:

Qualquer organização que processe dados pessoais de residentes sul-africanos deve garantir que eles estejam conformidade com a POPIA e preste muita atenção a qualquer recomendação divulgada pelos reguladores nos próximos meses.

Veja como o BigID pode ajudar você garante a conformidade da sua organização com o POPIA.

Conteúdo