África do Sul Aborda a questão da privacidade de dados: Lei de Proteção de Informações Pessoais (POPIA)

O Lei de Proteção de Informações Pessoais da África do Sul (POPIA) A Lei de Proteção de Dados Pessoais (POPIA) concentra-se nos direitos de proteção de dados dos titulares de dados na África do Sul e proporciona aos cidadãos sul-africanos maior controle sobre seus dados pessoais. A POPIA também exige que qualquer organização que processe informações pessoais na África do Sul proteja esses dados.

O que é POPIA? 

A versão final de POPIA da África do Sul — que entra em vigor em 1º de julho de 2021 — é a mais recente grande lei de privacidade de dados do mundo a ser modelada de perto segundo a da UE. RGPD.

A lei confere aos cidadãos — ou titulares dos dados — direitos exigíveis. direitos sobre suas informações pessoaisA lei estabelece oito requisitos mínimos para o processamento de dados (por exemplo, introduzindo o consentimento como uma base legal obrigatória), cria uma definição ampla de informações pessoais para uma proteção abrangente do usuário final e constitui um Regulador de Informação (SAIR) para fazer cumprir e supervisionar as disposições.

Dados pessoais e dados pessoais sensíveis

A POPIA aplica-se a qualquer empresa ou organização. processamento de informações pessoais Na África do Sul, quem reside no país, ou quem não reside no país, mas utiliza meios de processamento automatizados ou não automatizados dentro da África do Sul.

POPIA define informações pessoais Em termos gerais, abrange qualquer informação relacionada não apenas a uma pessoa viva, mas também a uma empresa ou entidade jurídica.

Tanto a POPIA quanto o GDPR definem dados pessoais como aqueles que identificam uma pessoa específica ou que tornam uma pessoa reconhecível. A POPIA também inclui uma definição semelhante de dados pessoais e informações pessoais especiais (ou dados sensíveis No âmbito do RGPD (Regulamento Geral sobre a Proteção de Dados), a lei sul-africana estabelece alguns requisitos rigorosos que tipificam como crimes os dados sensíveis e vulneráveis.

Processamento de dados

A POPIA define o processamento de dados como a coleta, o recebimento, o registro, a organização, o armazenamento, a fusão, a vinculação e outras ações relacionadas a informações pessoais. A POPIA permite que empresas e organizações processem dados se isso for considerado do "interesse legítimo" do usuário, o que pode gerar ambiguidade e dificultar possíveis abusos e medidas de fiscalização.

A POPIA também cria oito condições para processamento de dados lícito, em que o consentimento do titular dos dados é fundamental. Cabe aos sites, empresas e organizações (“partes responsáveis”) comprovar que o processamento de dados é lícito — ou seja, que os consentimentos corretos foram obtidos dos usuários. A POPIA define consentimento como qualquer manifestação de escolha voluntária, específica e informada.

Transferência e compartilhamento de dados

A Lei de Proteção de Informações Pessoais (POPIA) proíbe a transferência de informações pessoais de dentro para fora da África do Sul, com as seguintes exceções:

• Transferências internacionais são permitidas para terceiros sujeitos a obrigações legais ou corporativas. proteção de dados regras substancialmente semelhantes às suas próprias.
• Certos tipos de transferência estão isentos das condições, como quando um indivíduo consentiu com a transferência ou quando a transferência é necessária para cumprir um contrato.

Direitos de dados

A POPIA cria nove direitos acionáveis para os cidadãos sul-africanos (titulares dos dados), incluindo, entre outros, o direito de acesso, o direito de retificação e o direito de eliminação.

Semelhante ao GDPR, os cidadãos podem solicitar gratuitamente a confirmação de que suas informações pessoais são processadas ou não. Diferentemente do GDPR, a POPIA permite que as organizações cobrem uma taxa para fornecer aos indivíduos uma cópia das informações que a empresa detém sobre eles. As organizações que optarem por fazê-lo devem fornecer uma estimativa de custo por escrito antecipadamente.

A POPIA também exige que as organizações respondam a qualquer solicitação desse tipo. Solicitação DSAR dentro de um prazo razoável. O RGPD, por outro lado, é mais específico e afirma que, em circunstâncias normais, as organizações devem responder a um Solicitação de acesso do titular dos dados (DSAR) Sem demora — e no máximo dentro de um mês.

Multas, penalidades e prisão, meu Deus!

As consequências financeiras de uma violação da POPIA têm uma penalidade máxima de 1.410 milhões de ZAR (rands sul-africanos), que é muito menor do que uma Multa do RGPD O limite máximo é de 20 milhões de euros ou 41 TP3T de volume de negócios global anual. No entanto, as autoridades europeias de fiscalização podem considerar o grau de cooperação demonstrado por uma organização durante as suas investigações.

Como um elemento adicional à legislação sul-africana, os indivíduos podem ser responsabilizados criminalmente e condenados a penas de prisão de até 10 anos em casos mais graves.

Em comparação com a POPIA, as sanções do GDPR focam-se mais diretamente no incumprimento. As sanções da POPIA aplicam-se ao incumprimento e a uma série de outras infrações, incluindo dificultar, obstruir ou influenciar ilegalmente agentes da lei, não comparecer a audiências judiciais e mentir sob juramento.

Com o BigID, as empresas podem evitar essas penalidades e se antecipar aos desafios de conformidade com a POPIA:

• Descubra dadosIdentificar dados pessoais e classificar dados sensíveis.
• Contextualizar dados: Correlacionar relações entre dados, trazendo contexto para dados pessoais e dados sensíveis.
• Dados de rótulos e etiquetas para fins legais: Assegure-se de que os dados estão sendo processados em conformidade com as normas de privacidade.
• Minimize dados duplicados ou sensíveis.Ativar a minimização de dados com identificação de duplicados e aplicar regras de retenção com base em uma finalidade legal.
• Gerenciar o risco de dadosDescobrir, classificar e mapear dados para aplicar controles de redução de risco de violação de dados.
• Automatizar o cumprimento dos direitos de dadosAutomatizar o atendimento manual de solicitações individuais de acesso e exclusão de dados.
• Relatar de quem são os dados que eles possuem: ativar fluxos de trabalho de correção e validar se dados sensíveis estão sendo coletados.
• Detectar transferências de dados transfronteiriças que violem as políticas estabelecidas.Monitorar violações de acesso, uso e transferência de dados em toda a organização para ação imediata.

Qualquer organização que processe dados pessoais de residentes sul-africanos deve garantir que esteja em conformidade com as normas vigentes. conformidade Esteja ciente da Lei de Proteção de Dados Pessoais (POPIA) e preste muita atenção a quaisquer recomendações divulgadas pelos órgãos reguladores nos próximos meses.

Veja como o BigID pode ajudar. Você garante a conformidade da sua organização com a POPIA.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produto, desenvolvimento de conteúdo e estratégia digital. Com foco em insights baseados em dados e marketing integrado, ocupou cargos de liderança em diversos setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, responsável por elevar a qualidade do conteúdo em todos os pilares, regiões e públicos, criando conteúdo atraente em diversos formatos, como vídeos, artigos, checklists, white papers e guias.