Sign in / Join
Pixnio

Le Brésil adopte à son tour une loi sur la protection des données personnelles

Après l'Union européenne en mai dernier, le Brésil vient lui aussi de produire sa propre réglementation sur la protection des données, à travers la loi n° 13.709 du 14 août 2018. Décryptage de ces nouvelles règles qui deviendront obligatoires d’ici à 18 mois.

Principe et règles générales

Tout d'abord, la norme a comme principe le respect de la privacité, l’autodétermination sur ses informations, la liberté d'expression, l’intimité et le droit à l’image. Mais elle vise aussi le développement économique, technologique et l'innovation, sans parler de la libre concurrence et de la protection des consommateurs.

Selon les nouvelles règles, les données sensibles sont les données personnelles sur la race, l’ethnie, l’appartenance religieuse, les opinions politiques, les liens religieux, philosophiques ou les données sur la santé, la vie sexuelle, les données génétiques ou biologiques liées à une personne.

Enfin, la notion de traitement de données a une définition très large : il s'agit de toute opération de collecte, production, réception, classification, utilisation, accès, reproduction, transmission, distribution, traitement, archivage, stockage, élimination, évaluation ou contrôle des informations, modification, communication, transfert, diffusion ou extraction de données personnelles.

Champ d'application

Le champ d'application de cette norme concerne toute opération de traitement réalisée au Brésil par une entreprise ou personne physique de droit privé ou public.

L'activité de traitement de données est celle qui a comme but l'offre de biens ou services ou le traitement de données des individus situés au Brésil, et les traitements de données qui ont été collectées au Brésil.

En revanche, ne sont pas objet de la loi les traitements de données personnelles :

- réalisés par une personne physique dans un but exclusivement personnel ;

- un but exclusivement journalistique, artistique ou académique ;

- réalisés dans un but exclusivement de protection de la sécurité publique, défense nationale ou sécurité de l’Etat brésilien ou des activités d’investigation et répressions pénales.

Éléments pour le traitement des données

Tout traitement de données doit être au préalable consenti. Le consentement doit être explicite, par écrit ou tout autre moyen qui démontre que le titulaire des données a vraiment a voulu les fournir.

A tout moment, ce consentement peut être refusé par le titulaire des données à la suite de sa demande formelle. Et pour cela, la personne qui traite les données doit créer des mécanismes et des chaînes d’information sans aucun coût pour le titulaire des données.

En cas de contestation, la charge de la preuve que le titulaire des données a vraiment voulu les fournir est à la personne qui traite les données.

Le traitement des informations

Lors du traitement des données, l’organe doit garder en tête qu’elle doit informer et mettre à disposition du titulaire des données des informations sur :

  • la finalité spécifique du traitement des données ;
  • la forme et la durée du traitement, en prenant en compte les secrets commerciaux et industriels ;
  • le responsable du traitement, des informations sur le partage des données et dans ce cas les finalités ;
  • le droit des titulaires.

Dans le cas d’un changement de la finalité du traitement des données, son titulaire doit être informé.

Le titulaire des données a aussi le droit de savoir si une entreprise a ses données personnelles traitées ou sauvegardées. Dans ce cas, ces informations sauvegardées doivent être rendues par l´entreprise en format électronique ou papier.

Il est important de remarquer que tout traitement de données d’enfants et d’adolescents doit être seulement effectué après autorisation d’un de ses parents.

Durée du traitement de données

Si la finalité du traitement des données a été conclue, le responsable de ce traitement doit effacer ou détruire les informations.

Transfert international de données

Il est possible que les données personnelles d´une personne soient transférées dans un autre pays seulement si :

  • ces informations sont envoyées à des pays ou des organisations internationales qui protègent les données avec un niveau de protection au moins équivalent à celui décrit dans cette loi ;
  • le responsable du traitement peut offrir ou prouver qu´il respecte les règles de protection des données.

Toutefois, il est possible de faire un tel transfert international dans le cas d'une coopération juridique internationale entre les pays ou pour garder la protection de la vie du titulaire des tiers.

Sanctions

Si les agents qui traitent les données ne respectent pas les règles décrites dans la loi, ils  peuvent faire l’objet de sanctions qui vont d'une simple alerte jusqu'à une amende pécuniaire équivalente  à 2 % du chiffre d'affaires, limitée à 50 millions de reais par infraction.

Pontes Vieira Advogados / Alameda dos Guaramomis, 1040 - 04076-012 São Paulo
iurevieira@pontesvieira.com.br / info@pontesvieira.com.br / Tél. : +55 (11) 2365-7484

Laisser une réponse