Negli ultimi anni, i legislatori hanno posto sempre più l’accento sulla protezione dei dati personali. Di conseguenza, è emersa una nuova legislazione per proteggere le informazioni dei consumatori. Questa legislazione include il Regolamento generale sulla protezione dei dati dell’UE (GDPR). L’America ha contribuito al Consumer Privacy Act (CCPA) della California. A questo, il Brasile ha recentemente aggiunto la Lei Geral de Proteção de Dados (LGPD), la legge sulla protezione dei dati generali. Il GDPR e il CCPA hanno attirato gran parte dell’attenzione dei media dal 2018. I professionisti del marketing devono anche essere consapevoli dell’LGPD e dei suoi regolamenti. Come il GDPR e il CCPA, la LGDP pone restrizioni sull’uso, l’elaborazione, la raccolta e la conservazione dei dati personali.
Queste restrizioni si applicano sia ai dati raccolti elettronicamente che a quelli in forma fisica. Lo statuto ha un impatto su tutti i settori e le industrie dell’economia brasiliana.
LGPD: di cosa si tratta
Prima che il Brasile promulgasse la LGPD, il quadro normativo sulla la protezione dei dati sembrava abbastanza diverso. Basato sul settore, è stato principalmente supervisionato dal Codice nazionale per la protezione dei consumatori e dal suo quadro sui diritti civili per Internet (Internet Act).
Dopo aver redatto la LGPD, il Brasile ha creato l’autorità nazionale brasiliana per la protezione dei dati. Progettata per far rispettare la LGPD, l’autorità nazionale brasiliana per la protezione dei dati ha esteso il periodo di conformità alla LGPD fino ad agosto 2020.
Cosa devi sapere, in quanto marketer, sulla LGDP? Che impatto avrà sul modo in cui la tua azienda fa affari? Cominciamo con una comprensione di quali individui e aziende governa il LGDP.
La LGDP si applica a qualsiasi individuo o organizzazione, privato o pubblico, coinvolto nelle seguenti attività :
- Intenzione di offrire o fornire beni o servizi a persone in Brasile
- Raccolta o elaborazione di dati personali in Brasile
L”individuo o l’organizzazione non deve per forza avere la sede centrale in Brasile, basta solo che abbia un indirizzo fisico brasiliano. Quindi, potresti già essere sotto la giurisdizione della LGDP e non rendertene nemmeno conto.
Qual è la posta in gioco se non rispetti questi regolamenti? Possono comportare multe fino al due percento dei ricavi lordi della tua azienda dal Brasile.
Questa cifra equivale a 50 milioni di reais (13 milioni di dollari) per ogni violazione.
Cosa regola il LGDP?
La LGDP limita la raccolta e l’uso delle informazioni personali. In questo caso, le informazioni oi dati personali sono definiti in generale come qualsiasi cosa relativa a una persona fisica identificata o identificabile. Sia in formato digitale che non. A differenza di altre leggi sulla privacy, tuttavia, la definizione della LGDP non include esempi di dati personali. Tuttavia, definisce “dati personali sensibili” qualsiasi informazione relativa a:
- Origine etnica o razziale
- Opinione politica
- Credenza religiosa
- Organizzazione filosofica o politica
- Salute
- Orientamento sessuale
- Dati genetici o biometrici
- Appartenenza a sindacati
Come il GDPR, tuttavia, ci sono alcune notevoli eccezioni alla regola. Il trattamento di dati anonimi o personali relativi a scopi domestici, giornalistici, accademici, artistici o di sicurezza nazionale è esente dalla governance della LGPD. Le informazioni business-to-business (B2B) non rientrano nella competenza della LGDP. Nemmeno i dati zero-party o dichiarati derivati da interazioni dirette con i clienti (ad es. sondaggi, ecc…)
È fondamenrale informare i dipendenti e fargli comprendere le migliori pratiche per rimanere conformi a GDPR, CCPA e LGDP. Dopotutto, il 52% dei dipendenti americani dichiara di conoscere poco o nulla le leggi che regolano la corretta gestione delle informazioni sensibili.
La loro mancanza di conoscenza potrebbe costare alla tua azienda milioni di dollari. Assicurati che ogni dipendente della tua azienda, sia nei reparti IT, risorse umane o servizio clienti, abbia una formazione approfondita.
Quali entità impatta la LGPD
Come il GDPR, la LGPD fa distinzioni tra titolari e responsabili del trattamento dei dati personali. In che modo questa normativa definisce controllori e incaricati del trattamento? La LGDP definisce i titolari del trattamento come quelle entità legali o fisiche che decidono perché e come elaborare e raccogliere dati personali. I responsabili del trattamento sono quei soggetti che trattano i dati secondo le istruzioni impartite dai titolari.
LGDP e GDPR
Quando si tratta di nuove normative sulla protezione dei dati, è necessario comprendere le somiglianze e differenze con quelle che sono già in vigore. Il GDPR dell’UE ha ispirato la LGDP. Tuttavia, esistono molte differenze tra questi due statuti.
Per prima cosa, la LGDP include mezzi extra legali di trattamento dei dati personali. Comprende anche una base aggiuntiva relativa alla protezione del credito. Esistono anche differenze significative quando si tratta della base del “legittimo interesse” per l’elaborazione.
Da un lato, lo standard LGDP è soddisfatto quando il trattamento dei dati personali promuove e supporta le attività del responsabile del trattamento. Queste attività vengono comunque passate attraverso il filtro dei diritti alla privacy tutelati dell’interessato. D’altra parte, il GDPR stabilisce che i legittimi interessi del titolare per il trattamento non possono prevalere sulle libertà e sui diritti fondamentali dell’interessato. Di conseguenza, la LGDP appare più flessibile quando si tratta di trattare i dati personali.
Esiste anche una distinzione in merito al tempo di segnalazione con ciascuna di queste leggi. Il GDPR aderisce a una rigorosa scadenza di 72 ore per la segnalazione di violazioni dei dati. La LGDP, tuttavia, richiede la segnalazione entro un “tempo ragionevole”.
La LGDP e i responsabili della protezione dei dati (DPO)
Tutte le società che rientrano nella governance della LGDP in quanto titolari del trattamento devono nominare un responsabile della protezione dei dati (DPO). Questa parte del LGDP, tuttavia, richiede ancora maggiori chiarimenti da parte dell’Autorità nazionale brasiliana per la protezione dei dati. Tuttavia, esploreremo i regolamenti così come sono attualmente. Prima di dare un’occhiata più da vicino al ruolo del DPO, vale la pena notare un’altra differenza tra LGDP e GDPR.
A differenza della LGDP, il GDPR richiede solo la nomina di un DPO in circostanze specifiche. La nomina di un DPO rappresenta, di gran lunga, uno dei cambiamenti più significativi che le aziende americane devono adeguarsi per rimanere conformi alla LGDP. Soprattutto se non sono presenti nell’UE o in Brasile. Il GDPR richiede la nomina di un rappresentante nell’UE. La LGDP, tuttavia, è meno chiara su questo punto. Ulteriori chiarimenti da parte dei legislatori in merito ai requisiti per i DPO sarebbero utili.
Accordi sul trattamento dei dati
Un’altra area di ambiguità rimane quella degli accordi sul trattamento dei dati. I legislatori brasiliani devono ancora spiegare se la LGDP richiederà o meno accordi sul trattamento dei dati tra processori e raccoglitori. Anche se attualmente non esiste un articolo funzionale riguardo a questi accordi, ciò non significa che bisognerebbe trascurare questo passaggio.
La maggior parte degli esperti consiglia di implementare l’elaborazione dei dati in modo che tutte le parti coinvolte comprendano le rispettive responsabilità. Quali responsabilità dovrebbe coprire tale accordo sul trattamento dei dati? Tutto, dalla raccolta all’utilizzo dei dati e alla loro protezione. Perché prendere questa precauzione aggiuntiva? Sarà utile in caso di incidenti che coinvolgono dati personali.
Quando si tratta dell’impatto della LGDP sulle imprese americane, ricorda questi tre punti critici:
- La LGDP si applica in modo extraterritoriale
- La LGPD si applica solo ai dati personali
- La LGPD è tecnologicamente cieca
- Il GDPR, il CCPA e la LGDP contengono simili misure di conformità
Diamo uno sguardo più da vicino a ciascuno di questi quattro punti da asporto. Approfondiremo anche il motivo per cui sono fondamentali per la capacità della tua azienda di aderire al LGDP.
1. La natura extraterritoriale della LGDP
Innanzitutto, la LGDP, come sia il GDPR che il CCPA, si applica anche extraterritorialmente. In altre parole, ha un impatto anche sulle aziende che non hanno una presenza fisica in Brasile. Per scoprire se si applica a te, devi esaminare più da vicino i dati che hai compilato.
Stai raccogliendo ed elaborando i dati personali dei brasiliani? Avete in programma di fare marketing o di fornire beni/servizi a persone in Brasile? Se hai risposto sì a una di queste domande, sei sotto la giurisdizione della LGDP. In altre parole, tutte le disposizioni della LGDP si applicano a te.
2. La LGPD e i dati personali
In secondo luogo, GDPR, CCPA e LGDP si applicano solo ai dati personali. Pertanto, quando si tratta di dati non personali come quelli utilizzati per il marketing business-to-business (B2B), queste leggi sulla privacy non si applicano. E se ritieni che i dati che stai utilizzando ricadano in una zona particolare? Dovrai condurre un’analisi e una mappatura dei dati. Perché? In modo che tu possa comprendere meglio i diversi tipi di dati che fluiscono nell’azienda dall’inizio fino alla fine del ciclo di vita dei dati. Per creare una mappa dei dati utile e accurata, dovrai fare affidamento sui contributi dei reparti aziendali basati sui dati, come le risorse umane e il marketing.
Una volta che la tua azienda ha generato una mappa di questo tipo, avrai una rappresentazione visiva per identificare le aree di dati non conformi all’interno dell’attuale panorama dei dati della tua azienda.
La natura tecnologicamente cieca della LGDP
Dal punto di vista del marketing, può essere facile dimenticare che tutte le normative sulla protezione dei dati sono tecnologicamente cieche. Cosa significa? Significa che non fanno distinzione tra dati personali derivati da un formato digitale o documentazione cartacea.
Inoltre, questi statuti si applicheranno per molti anni a venire. Indipendentemente dai cambiamenti tecnologici che si verificano nel frattempo. Questo vale per tutto, dalle tecnologie blockchain all’intelligenza artificiale.
Come potete immaginare, le implicazioni pervasive e a lungo termine di questi corpi legislativi si stanno già dimostrando una sfida alla conformità per le organizzazioni future. Man mano che procedi con il tuo sforzo di mappatura dei dati, devi tenerlo presente. In caso contrario, potresti trascurare la raccolta dei dati e le attività di elaborazione che rientrano nelle normative LGDP.
Come per tutte le cose nella vita, quando si tratta di GDPR, CCPA e LGDP, le vecchie lezioni sono le lezioni migliori. È meglio prevenire che curare.
I punti in comune tra GDPR, CCPA e LGDP
Per le aziende statunitensi che operano in Brasile che hanno già lavorato diligentemente per conformarsi alla GDPR e alle misure sui dati personali del CCPA, aderendo a i requisiti della LGDP saranno molto più semplici. Ciascuno di questi statuti ha al centro gli stessi obiettivi primari, proteggere la privacy degli utenti di Internet. Di conseguenza, in ognuno di essi operano molti meccanismi simili. Per prima cosa, i meccanismi attraverso i quali le aziende rispondono alle richieste di accesso dei soggetti (SAR) sono più o meno gli stessi. Sebbene la LGDP non specifichi la necessità di accordi sul trattamento dei dati, fa molto per dimostrare la sua conformità. Rimane una tra le migliori tattiche disponibili per proteggere gli interessi della tua azienda in futuro.
Preparati per la scadenza ad agosto
Quando si tratta di rispettare le nuove normative sulla privacy dei dati come GDPR, CCPA e LGDP, è tempo di essere proattivi. Queste normative potrebbero avere un impatto finanziario catastrofico sulla tua attività. Il tempo è essenziale. Le aziende hanno tempo fino al 20 agosto 2020 per diventare conformi. Qualcosa di meno della ratifica di un provvedimento provvisorio non fermerà il ticchettio del tempo.
Ecco perché devi capire come funzionano queste normative e cosa devi fare per rendere conformi la tua raccolta e il trattamento dei dati personali dei clienti. È anche ora che ti impegni con il marketing interattivo e i dati dichiarati.
Affidarsi a dati dichiarati o privi di parti è un modo comprovato per aumentare il coinvolgimento di potenziali clienti di alta qualità.