Le norme privacy in California e Brasile: così cresce l’influenza del GDPR

Poco più di due secoli dopo l’emanazione del Code Napoléon fortemente voluto dall’imperatore francese, esportato nei Paesi del suo impero e preso a modello da molti altri stati europei – l’Europa unificata rivedeva la precedente direttiva 95/46/CE in materia di protezione dei dati, emanando il Regolamento 679/2016 (Gdpr).

Nessuno avrebbe immaginato l’impatto che la normativa avrebbe avuto, non solo per gli Stati membri, ma anche per i Paesi che si trovano al di fuori del territorio dell’Unione Europea. Proprio quei territori tenuti al momento sotto scacco dalla sentenza Schrems II^[1] iniziano a dare segni di volontà di valorizzazione dei dati personali.

In California, il 1 gennaio 2020 è entrato in vigore il California Consumer Privacy Act o CCPA, che mutua molti elementi dal GDPR e spiega i suoi effetti verso le aziende che trattino “informazioni personali” di utenti residenti in California. Il 3 novembre 2020 è stata approvata la proposta del California Privacy Rights Act, che mira a stringere e rafforzare il perimetro del CCPA.

In Brasile, il 18 settembre 2020 è entrata in vigore la Lei Geral de Proteção de Dados, che vedrà applicabili dal 1 agosto 2021 anche le sanzioni da essa disciplinate.

Cerchiamo di capire quali sono i punti principali e di comunione e differenza con il Regolamento europeo.

Il CCPA californiano

Il California Consumer Privacy Act AB-375, del 2018 è la legge californiana del 2018, entrata in vigore il 1 gennaio 2020^[2] ed è volta a offrire ai consumatori un maggiore controllo sulle proprie informazioni personali raccolte dalle aziende.

La legge è stata soggetta a revisioni nel 2018 e nel 2019^[3], prima di entrare in vigore nella sua formula finale.

Ambito di applicazione

La legge è rivolta a società, associazioni o altri enti giuridici a scopo di lucro, controllanti o controllate che condividano il marchio di impresa, che raccolgano informazioni personali dei consumatori o per conto dei quali tali informazioni sono raccolte e che, da sole o insieme ad altri, determinano gli scopi e i mezzi del trattamento delle informazioni personali dei consumatori, che abbiano interessi economici nello Stato della California, e che soddisfino una o più delle seguenti soglie:

• fatturato annuo lordo superiore a venticinque milioni di dollari ($25.000.000.000);
• annualmente acquistino, per proprio conto o con altri terzi, ricevano a fini commerciali, vendano, o divulghino a fini commerciali, per proprio conto o con altri terzi, i dati personali di 50.000 o più consumatori, nuclei familiari o dispositivi;
• almeno il 50% o più dei ricavi annuali derivino dalla vendita di informazioni personali dei consumatori.^[4]

Qualora, pertanto, le aziende sopra identificate “vendano” o “divulghino” informazioni personali^[5] dei consumatori (o anche nuclei familiari o relativi a dispositivi, connessi ad internet o IoT), quali persone fisiche residenti nello Stato della California^[6], sono soggette a determinati obblighi. Vediamo quali.

Obblighi

Privacy policy: le aziende che rientrano nel perimetro del CCPA sono quindi tenute a rispettare innanzitutto l’obbligo di tenere una privacy policy sul sito, aggiornata almeno annualmente, che riporti una descrizione dei diritti in capo ai consumatori e le finalità e la tipologia di informazioni personali e un elenco delle informazioni vendute o divulgate nell’anno precedente.

Diritti

Ai consumatori vengono riconosciuti i seguenti diritti:

• diritto di opt-out: il consumatore può richiedere che le sue informazioni personali non siano divulgate o vendute dalle aziende e/o dai propri partner. In questo caso, l’azienda deve astenersi dal proporre nuovamente la raccolta delle informazioni del consumatore per almeno 12 mesi dall’esercizio del diritto di opt-out;
• diritto di accesso: il consumatore può richiedere se sia in corso o meno una vendita o divulgazione di informazioni personali, che coinvolga anche terzi, che lo riguardano e quali informazioni ne siano oggetto e che riguardi l’arco temporale dei 12 mesi precedenti la richiesta;
• diritto di cancellazione: il consumatore può richiedere la cancellazione dei dati raccolti dall’azienda e dai suoi provider;
• diritto a non subire discriminazioni: il consumatore che abbia esercitato il proprio diritto di opt-out non deve essere discriminato (es. mediante differenti trattamenti sui prezzi, mediante incentivi a non effettuare l’opt-out, oppure mediante concessione di maggiori vantaggi a chi non abbia esercitato il diritto);
• diritto di riscontro: il consumatore deve ricevere un riscontro entro 45 giorni dalla propria richiesta. L’azienda può, tuttavia, previa motivazione, prorogare il proprio riscontro dai 45 ai 90 giorni;
• diritto di azione (right to action): qualora un soggetto decida di intentare un’azione legale (right to action) nei confronti dell’azienda, potrà farlo solamente: a) previa notifica all’azienda con almeno 30 giorni di preavviso e b) coinvolgendo il procuratore generale della California. ^[7]

Sanzioni

Le aziende che non ottemperino alle previsioni di cui al CCPA possono andare incontro a sanzioni da 2.500 dollari per singola violazione che non sia intenzionale a 7.500 dollari per una violazione intenzionale. Le sanzioni non sono applicate se l’azienda provvede a porre rimedio alla violazione entro 30 giorni dalla notifica della presunta non conformità.^[8]

Il CPRA

Il 3 novembre 2020 è stata approvata la proposta di estensione del CCPA, mediante il testo del California Privacy Rights Act del 2020, avanzata su votazione degli elettori Californiani ed è volta non ad abrogare, bensì ad integrare le previsioni del CCPA. Entrerà in vigore dal 1 gennaio 2023^[9].

Principali novità

Tra le novità introdotte dal CPRA vi sono:

• Diritto di rettifica: il consumatore avrà il diritto di richiedere alle aziende la correzione delle proprie informazioni personali mantenute sino a quel momento inesatte;
• Dati sensibili: il CCPRA introduce una nuova categoria di dati, ossia i c.d. sensitive data, quali ad esempio: codice fiscale, numero della patente, numero di passaporto, informazioni sul conto finanziario, informazioni sulle carte di credito o debito, informazioni sull’esatta geolocalizzazione, informazioni sull’origine razziale o etnica, sulle opinioni religiose o politiche, l’appartenenza a sindacati, informazioni sull’orientamento o vita sessuale del consumatore e sulla propria salute, informazioni contenute all’interno di posta, e-mail, messaggi del consumatore, eccetto se destinati all’azienda;
• Diritto alla limitazione delle informazioni sensibili (“Limit the Use of My Sensitive Personal Information”): le privacy policy dovranno contenere una sezione apposita che permetta ai consumatori di accedere direttamente alla richiesta di limitazione dell’utilizzo delle proprie informazioni sensibili;
• Il nuovo Privacy Regulator: verrà istituita un’Agenzia (statale o federale) che prenderà le veci del procuratore generale della California (finora unico organo di riferimento per eventuali azioni o reclami effettuati dai consumatori) ed avrà il solo scopo di provvedere a regolamentare la protezione dei dati dei consumatori;
• Maggiore responsabilità in caso di Data Breach: il consumatore avrà il diritto di agire privatamente per la compromissione di indirizzi e-mail, in combinazione con una password o domande e risposte di sicurezza che potrebbero garantire l’accesso all’account di un utente;^[10]
• Minimizzazione e periodo di conservazione massimo dei dati: l’azienda dovrà informare i propri consumatori sul periodo di conservazione previsto per ciascuna categoria di dati da essa raccolti. Il consumatore avrà il diritto di richiedere che siano utilizzate le sole informazioni necessarie alle finalità descritte dall’azienda;
• Introduzione della “condivisione” dei dati: diversamente dalla vendita, verrà chiarito e disciplinato il concetto di condivisione dei dati, che si aggiungerà anche a quello dell’esistente “disclosure”, ovvero divulgazione.

La normativa californiana e il GDPR

Già solamente leggendo le caratteristiche delle normative californiane, ci si accorge delle affinità con il GDPR.

In particolare, il nuovo CPRA, mira ad integrare la precedente versione della normativa sulla protezione dei dati dei consumatori con previsioni che appaiono prestate dal Regolamento europeo.

Tuttavia, enucleiamo alcuni punti di differenza:

• Ambito di applicazione: la normativa è volta a tutelare i soli residenti nello Stato della California ed è rivolta a specifiche aziende, individuate in basi a criteri in termini di grandezza imprenditoriale e tipologia di business;
• Base giuridica: la normativa parte dal presupposto che le aziende utilizzino le informazioni personali dei consumatori, ma non si riferisce alle modalità e basi mediante le quali tali dati siano raccolti;
• Misure: benché vi siano continui riferimenti ad obblighi e doveri non vi sono (ancora) precise indicazioni circa le modalità dell’utilizzo dei dati dei consumatori;
• Ruoli: poca attenzione è rivolta ai ruoli rivestiti dalle aziende. Si fa riferimento a terzi soggetti, destinatari della vendita, condivisione o divulgazione delle informazioni personali, ma non sono disciplinati in un’ottica di attribuzione delle responsabilità (il CPRA nella versione attuale timidamente prevede oneri per providers e contractors con specifico riferimento al diritto di cancellazione^[11], ma non ne disciplina ruolo e responsabilità rispetto ai business). Allo stesso modo, manca una figura che sia internamente incaricata della verifica dell’adeguamento dei business alle previsioni in materia di protezione delle informazioni personali dei consumatori, come l’europeo DPO;
• Trasferimenti: manca una specifica disciplina del trasferimento delle informazioni personali, soprattutto alla luce del fatto che molte aziende che si trovino fuori dallo Stato della California o degli Stati Uniti possano effettivamente avere interessi economici in California e rivolgersi ad utenti californiani, senza contare i terzi providers o contractors, che sono agganciati alla normativa e che potrebbero essere situati in Stati o Paesi terzi.

Può quindi constatarsi come mentre CCPA e (futuro) CPRA disciplinano il “nocciolo” dell’utilizzo dei dati, focalizzandosi in una già in atto divulgazione, vendita e condivisione, nonché sui diritti dei consumatori, il GDPR fornisce le istruzioni, dal progetto alla successiva conservazione dei dati personali per le persone giuridiche che li trattino.

Ciononostante, molti sono, come si è potuto notare, i punti di contatto tra le normative, seppur appartenenti a differenti ordinamenti.

LGPD: nuove norme privacy in Brasile

Il 2020 ha portato con sé un’ulteriore normativa volta a tutelare la protezione dei dati personali: la Lei Geral de Proteção de Dados brasiliana. Entrata in vigore il 18 settembre 2020, la legge tenta di unificare gli oltre 40 diversi statuti che attualmente disciplinano i dati personali, sia online che offline^[12].

Ambito di applicazione

La LGPD è rivolta a persone giuridiche di diritto pubblico o privato, indipendentemente dai mezzi, dal paese in cui si trovino, la loro sede centrale o il Paese in cui si trovano i dati, purché la raccolta ed il trattamento dei dati personali avvengano nel territorio nazionale brasiliano^[13]. La legge mira a tutelare i dati personali degli interessati del trattamento, ossia qualsiasi persona identificata o identificabile^[14].

Obblighi

Tra gli obblighi in capo al titolare previsti dalla LGPD troviamo:

• Tenuta dei registri del trattamento: titolari e responsabili devono tenere dei registri del trattamento, che riportino le attività di trasferimento da essi effettuate, specialmente se fondate su legittimo interesse^[15];
• Obbligo di effettuare valutazioni di impatto (DPIA) per alcuni trattamenti, non specificati dalla normativa, ma della cui opportunità di svolgimento darà chiarimenti l’autorità nazionale per la protezione dei dati (ANPD);^[16]
• Obbligo di nomina di un Data Protection Officer: è valido solamente per i titolari e non anche per i responsabili del trattamento e non vi sono circostanze tali per cui la nomina del DPO debba rendersi obbligatoria ex lege;^[17]
• Sicurezza del trattamento: titolari e responsabili del trattamento sono tenuti all’adozione di misure di sicurezza, tecniche ed organizzative per la protezione dei dati personali;^[18]
• Obbligo di notifica di Data Breach: i titolari del trattamento devono notificare all’ ANPD entro un termine ragionevole violazioni dei dati personali;^[19]
• Accountability e good practice: titolari e responsabili del trattamento devono adottare processi interni che garantiscano la responsabilizzazione nei confronti della tutela dei dati personali, prevedendo un privacy governance programme.^[20]

Diritti

I soggetti interessati al trattamento, possono, ai sensi della LGPD, esercitare:

• Il diritto di cancellazione: gli interessati possono richiedere la cancellazione dei propri dati^[21];
• il diritto di essere informato: l’interessato può richiedere di accedere ai propri dati personali trattati, le rispettive finalità di trattamento, durata della conservazione, identità del titolare, i dati condivisi dal titolare^[22];
• il diritto di opposizione al trattamento: l’interessato può richiedere in ogni momento la cessazione del trattamento dei propri dati personali, anche revocando il consenso da esso prestato^[23];
• il diritto di accesso: l’interessato può chiedere al titolare i dati personali ad esso relativi, le finalità, le fonti di acquisizione dei dati^[24];
• il diritto alla non discriminazione: l’interessato può richiedere se siano effettuate operazioni volte alla discriminazione nell’ambito della attività di trattamento automatizzato che impattino sugli interessi dell’interessato stesso^[25];
• il diritto alla portabilità: l’interessato può richiedere che i propri dati vengano trasferiti ad un terzo fornitore di servizi o prodotti^[26].

Sanzioni

In caso di violazione delle disposizioni della LGPD, l’articolo 52 stabilisce una sanzione massima per violazione del 2% del ricavato di un’entità giuridica privata, di un gruppo o di un conglomerato di imprese stabilite in Brasile, per l’anno fiscale precedente, al netto delle imposte, fino a un totale massimo di 50 milioni di real (circa 11 milioni di euro)^[27].

Ulteriori sanzioni possono inoltre essere applicate dall’autorità nazionale.

La normativa brasiliana e il GDPR

La Legge brasiliana ha ben ripreso, in ottica di terminologia e di struttura, le previsioni del cugino Regolamento europeo. Tuttavia, possono enuclearsi alcune principali differenze:

• Nomina del DPO: mentre il GDPR prevede espressamente le circostanze che richiedano una nomina obbligatoria del Responsabile per la Protezione dei Dati Personali, la LGPD prevede solamente la nomina da parte del titolare del trattamento di un deputato alla protezione dei dati personali;
• Basi giuridiche: contro le 7 basi legali del trattamento individuate dal GDPR, la LGPD ne conta 10. Queste sono: i) consenso dell’interessato, ii) adempimento di un obbligo legale o regolamentare del titolare, iii) adempimento alle politiche pubbliche previste da leggi o regolamenti, o basate su contratti, accordi o strumenti simili, iv) svolgimento di studi da parte di enti di ricerca che garantiscano, ove possibile, l’anonimizzazione dei dati personali, v) adempimento di un contratto o procedure preliminari relative ad un contratto di cui l’interessato è parte, su richiesta dell’interessato, vi) esercizio di diritti in procedimenti giudiziari, amministrativi o arbitrali, vii) motivi di tutela della vita o incolumità fisica dell’interessato o di terzi, viii) per motivi di tutela della salute, in una procedura svolta da operatori sanitari o da enti sanitari, ix) interessi legittimi del titolare del trattamento o di un terzo, salvo che su di essi prevalgano i diritti e le libertà fondamentali dell’interessato, x) tutela del credito (in caso di credit scoring);
• Data Breach: mentre il GDPR prevede una notifica all’Autorità di controllo della violazione dei dati personali entro 72 ore dalla conoscenza della violazione, la LGPD richiede semplicemente che la comunicazione all’autorità nazionale avvenga in tempo ragionevole;
• Sanzioni: il GDPR prevede sanzioni che possono arrivare fino al 4% del fatturato annuo mondale lordo di gruppo, mentre la LGPD si limita al 2% dei ricavi singoli o di gruppo delle imprese e comunque fino ad un massimo di 50 milioni di reals.^[28]

Le affinità si percepiscono di gran lunga maggiori rispetto alle differenze tra la LGPD ed il GDPR, visto che le principali differenze si notano in ambiti di discipline già regolate da entrambe le normative.

Conclusioni

Il quadro appena delineato fa riferimento solo ad alcune delle normative più recenti in materia di dati personali.

Ogni normativa, tra quelle illustrate, è caratterizzata da un differente contesto ordinamentale, da differenti precedenti legislativi e da diversi iter approvativi.

Inoltre, nonostante il muro innalzato dalla sentenza Schrems II^[29], (parti de) gli Stati Uniti stanno cercando di dimostrare all’Europa di voler valorizzare maggiormente la protezione dei dati personali – creando, forse, delle basi per futuri trasferimenti EU/US.

Infine, il caveat imposto dalla sentenza del 16 luglio in materia di trasferimenti extra UE, ha creato malumori anche nei confronti di qualsiasi altro Paese terzo che non sia stato collocato nella felice isola delle Decisioni di Adeguatezza: sembra sia giunto il momento, anche per il Brasile, di dimostrare il proprio impegno in materia di protezione dei dati personali.

Ciononostante, anche i più scettici, che siano arrivati fin qui, avranno convenuto sulla portata del Regolamento UE 679/2016, che si è degnamente eletto a modello internazionale per la codificazione- anche in via indiretta- di previsioni volte alla protezione dei dati personali, proprio – o quasi – come fu per l’ottocentesco Code Civil.

______________________________________________________________________________

1. CJEU ruling Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18) of July 16^th, 2020 ↑
2. Fonte: State of California Department of Justice- California Consumer Privacy Act (CCPA) https://oag.ca.gov/privacy/ccpa ↑
3. California Legislative information, AB-375 Privacy: personal information: businesses.(2017-2018) (2018-2019) http://leginfo.legislature.ca.gov/faces/billHistoryClient.xhtml?bill_id=201720180AB375 ↑
4. AB 375, Sez. 1798.140., lett. (c) ↑
5. Rientrano nella categoria di informazioni personali: informazioni che identifichino, direttamente o indirettamente o siano collegate direttamente o indirettamente ad un consumatore o nucleo familiare, quali i) dati identificativi, ii) informazioni commerciali, iii) dati biometrici iv) informazioni sul collegamento internet o la navigazione online (es. cronologia, informazioni derivanti da interconnesioni con app e dispositivi), v) dati di geolocalizzazione, vi) informazione uditiva, visiva, olfattiva, elettronica, termica, o simile vii) informazioni professionali viii) informazioni accademiche ix) informazioni che permettano la profilazione dl consumatore. Sono escluse dal perimetro le informazioni pubbliche e le informazioni in forma aggregata o de-identificata- AB 375, Sez. 1798.140., lett. (o) ↑
6. AB 375, Sez. 1798.140., lett. (g) ↑
7. AB 375, Sezz. 1798.110-135 ↑
8. AB 375, Sezz. 1798.155 ↑
9. “California Approves the CPRA, a Major Shift in U.S. Privacy Regulation”, National Law Review, Volume X, Number 322 ↑
10. “California Approves the CPRA, a Major Shift in U.S. Privacy Regulation”, National Law Review, Volume X, Number 322 ↑
11. Sec. 5, THE CALIFORNIA PRIVACY RIGHTS ACT OF 2020, “Amendments to version 3”, https://oag.ca.gov/system/files/initiatives/pdfs/19-0021A1%20%28Consumer%20Privacy%20-%20Version%203%29_1.pdf ↑
12. https://gdpr.eu/gdpr-vs-lgpd/ ↑
13. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 3 ↑
14. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, n. V ↑
15. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 37 ↑
16. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art, 5, 10, 38 ↑
17. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, art, 41 ↑
18. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 5, art, 41 ↑
19. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art. 46 ↑
20. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art 50 ↑
21. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 6, art. 5,16,18 ↑
22. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), artt. 6, 9-10, 14, 18-19 ↑
23. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 15, art. 18 ↑
24. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 16,18,19 ↑
25. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art. 1,2, 6(IX), 20 ↑
26. Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019), art, 11, 17,18, 40 ↑
27. Art. 52, I, Brazilian Data Protection Law (LGPD) (As amended by Law No. 13,853/2019) “i soggetti del trattamento dei dati che commettono infrazioni alle norme previste dalla presente legge sono soggetti alle seguenti sanzioni amministrative, da applicare dalla autorità nazionale: (…)2% del ricavato di un’entità giuridica privata, di un gruppo o di un conglomerato stabiliti in Brasile, per l’anno fiscale precedente, al netto delle imposte, fino a un totale massimo di 50 milioni di real(…)” ↑
28. https://gdpr.eu/gdpr-vs-lgpd/ ↑
29. CJEU ruling Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18) of July 16^th, 2020 ↑