África do Sul Aborda a privacidade de dados: Lei de Proteção de Informações Pessoais (POPIA)

O Lei de Proteção de Informações Pessoais da África do Sul (POPIA) foca nos direitos de proteção de dados dos titulares de dados da África do Sul — e proporciona aos cidadãos sul-africanos maior controle sobre seus dados pessoais. A POPIA também exige que qualquer organização que processe informações pessoais na África do Sul proteja esses dados.

O que é POPIA? 

A versão final de POPIA da África do Sul — que entra em vigor em 1º de julho de 2021 — é a mais recente grande lei de privacidade de dados do mundo a ser modelada de perto após a da UE GDPR.

A lei dá aos cidadãos — ou aos titulares dos dados — poderes executáveis direitos sobre suas informações pessoais, estabelece oito requisitos mínimos para o processamento de dados (por exemplo, a introdução do consentimento como base legal necessária), cria uma definição ampla de informações pessoais para proteção abrangente do usuário final e forma um Regulador de Informações (SAIR) para aplicar e supervisionar as disposições.

Dados Pessoais e Dados Pessoais Sensíveis

POPIA se aplica a qualquer empresa ou organização processamento de informações pessoais na África do Sul, que reside no país ou que não reside no país, mas faz uso de meios de processamento automatizados ou não automatizados na África do Sul.

POPIA define informações pessoais amplamente como qualquer informação relacionada não apenas a uma pessoa viva, mas também a uma empresa ou entidade legal.

Dados pessoais, tanto no âmbito da POPIA quanto do GDPR, incluem dados que identificam uma pessoa específica ou dados que tornam uma pessoa reconhecível. Embora a POPIA também inclua uma definição semelhante de dados pessoais e informações pessoais especiais (ou dados confidenciais no GDPR), a lei sul-africana estabelece alguns requisitos rigorosos que atribuem infrações criminais a dados sensíveis e vulneráveis.

Processamento de dados

A POPIA define o processamento de dados como a coleta, o recebimento, o registro, a organização, o armazenamento, a fusão, a vinculação e muito mais, de informações pessoais. A POPIA permite que empresas e organizações processem dados se isso for considerado do "interesse legítimo" do usuário, o que pode gerar ambiguidade para possíveis abusos e dificuldades de execução.

A POPIA também cria oito condições para processamento legal de dados, em que o consentimento do titular dos dados é fundamental. Cabe aos sites, empresas e organizações (“partes responsáveis”) comprovar que seu processamento é lícito — ou que os consentimentos corretos foram obtidos dos usuários. A POPIA define consentimento como qualquer expressão de escolha voluntária, específica e informada.

Transferência e compartilhamento de dados

Transferências de informações pessoais de dentro para fora da África do Sul são proibidas pela POPIA — com as seguintes exceções:

• transferências transfronteiriças são permitidas para terceiros sujeitos a obrigações legais ou corporativas proteção de dados regras substancialmente semelhantes às suas.
• certos tipos de transferência estão isentos das condições, como quando um indivíduo consentiu com a transferência ou quando a transferência é necessária para cumprir um contrato.

Direitos de Dados

O POPIA cria nove direitos acionáveis para cidadãos sul-africanos (titulares de dados), incluindo, mas não se limitando ao direito de acesso, direito de correção e direito de exclusão.

Semelhante ao GDPR, os cidadãos podem solicitar gratuitamente a confirmação de que processam ou não suas informações pessoais. Diferentemente do GDPR, o POPIA permite que organizações cobrem uma taxa para fornecer aos indivíduos uma cópia das informações que uma empresa mantém sobre eles. As organizações que optarem por fazê-lo devem fornecer uma estimativa por escrito do custo com antecedência.

A POPIA também exige que as organizações respondam a qualquer uma dessas Solicitação DSAR dentro de um prazo razoável. O RGPD, por outro lado, é mais específico e estabelece que, em circunstâncias normais, as organizações devem responder a uma solicitação de acesso ao titular dos dados (DSAR) sem demora — e no máximo dentro de um mês.

Multas, penalidades e prisão, meu Deus!

As ramificações financeiras de uma violação do POPIA têm uma penalidade máxima de $10 milhões de ZAR (rands sul-africanos), o que é muito menor do que uma Multa do GDPR máximo de € 20 milhões ou 4% de faturamento global anual. No entanto, as autoridades europeias de fiscalização podem considerar o grau de cooperação demonstrado por uma organização durante suas investigações.

Como uma camada adicional à legislação sul-africana, os indivíduos podem ser responsabilizados criminalmente e condenados à prisão por até 10 anos em casos mais graves.

Em comparação com a POPIA, as sanções do GDPR se concentram mais diretamente no descumprimento. As sanções da POPIA se aplicam ao descumprimento e a uma série de outras infrações, incluindo dificultar, obstruir ou influenciar ilegalmente autoridades policiais que não comparecem a audiências judiciais sob juramento.

Com o BigID, as empresas podem evitar essas penalidades e se antecipar aos desafios de conformidade com a POPIA:

• Descubra dados: Identificar dados pessoais e classificar dados sensíveis.
• Contextualizar dados: Correlacione relacionamentos entre dados trazendo contexto aos dados pessoais e dados confidenciais.
• Rotular e etiquetar dados para fins legais: Garantir que os dados estejam sendo processados de acordo com os regulamentos de privacidade.
• Minimize dados duplicados ou confidenciais: Habilite a minimização de dados com identificação duplicada e aplique regras de retenção com base em uma finalidade legal.
• Gerenciar risco de dados: Descubra, classifique e mapeie dados para aplicar controles para redução de risco de violação.
• Automatize o cumprimento dos direitos de dados: Automatize o atendimento manual de solicitações individuais de acesso e exclusão de dados.
• Relatar de quem são os dados que eles possuem: Habilite fluxos de trabalho de correção e valide se dados confidenciais estão sendo capturados.
• Detecte transferências de dados transfronteiriças fora das políticas: Rastreie violações de acesso, uso e transferência de dados em toda a organização para tomar medidas imediatas.

Qualquer organização que processe dados pessoais de residentes sul-africanos deve garantir que eles estejam conformidade com a POPIA e preste muita atenção a qualquer recomendação divulgada pelos reguladores nos próximos meses.

Veja como o BigID pode ajudar você garante a conformidade da sua organização com o POPIA.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.