Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Che cos’è la LGPD e come adeguare il proprio sito

Guida alla legge brasiliana sulla protezione dei dati personali (LGPD)

Che cos’è la LGPD? Ti riguarda? Come rispettarla? Lo spieghiamo nella maniera più semplice possibile qui di seguito.

In breve

Che cos’è la LGPD e cosa ti chiede di fare?

La legge brasiliana sulla protezione dei dati personali (LGPD, Lei Geral de Proteção de Dados) può essere considerata come la risposta del Brasile al GDPR. Pur con alcune differenze infatti, la LGPD ha parecchie somiglianze con il regolamento europeo e intende sostituire o completare l’attualmente frammentato panorama giuridico (composto da più di 40 norme federali) con un quadro normativo principale.

La LGPD mira a creare un nuovo quadro giuridico per l’uso dei dati personali in Brasile, sia online che offline, nel settore privato e pubblico.

In generale, la LGPD chiede che i dati personali vengano trattati solo per scopi legittimi, specifici, espliciti e chiaramente comunicati. Analogamente al GDPR, si applicano i principi di trasparenza e di minimizzazione dei dati (di conseguenza si possono usare solo i dati necessari).

Il Senato si è opposto alla proposta di posticipare la data di applicazione della LGPD a dicembre, come prova il disegno di legge (PLV) 34/2020. Il Presidente del Brasile ha poi approvato tale disegno, confermando il 18 settembre 2020 come la data di entrata in vigore della LGPD. È stato inoltre emanato un decreto per la creazione di un’Autorità per la protezione dei dati (ANPD, Autoridade Nacional de Proteção de Dados).

L’APD del Brasile (ANPD) ha pubblicato una nuova versione delle sue “Linee guida per i responsabili del trattamento e i responsabili per la protezione dei dati”, chiarendo alcuni concetti della LGPD e delle linee guida precedenti. Leggi l’aggiornamento qui.

Definizioni usate in questa guida
  • Con il termine “utente” (anche noto come “interessato“) si intende una persona i cui dati personali sono trattati da un titolare del trattamento o da un responsabile del trattamento.
  • Con il termine “titolare del trattamento” si intende una qualsiasi persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali degli utenti.
  • Con il termine “responsabile del trattamento” o “operatore” si intende una qualsiasi persona fisica o giuridica coinvolta nel trattamento dei dati personali degli utenti per conto del titolare del trattamento.
  • Con il termine “Autorità per la protezione dei dati (DPA, Data Protection Authority)” si intende l’Autorità brasiliana per la protezione dei dati (ANPD, Autoridade Nacional de Proteção de Dados).

Ad esempio, una società può raccogliere informazioni sugli utenti tramite il proprio sito web e memorizzarle utilizzando un servizio in cloud di terza parte. In questo scenario, la società è il titolare del trattamento dei dati, mentre l’organizzazione che eroga il servizio in cloud è il responsabile del trattamento dei dati.

Quando si applica la LGPD (ambito territoriale)

Analogamente al GDPR, la LGPD ha un ambito territoriale che si estende al di fuori del Brasile. Ciò significa che potresti rientrare nel suo ambito di applicazione anche se tu o la tua azienda non avete sede in Brasile.

In termini pratici, la LGPD si applica quando:

  • le tue attività di trattamento dati sono svolte in Brasile (ad esempio, usi server con sede in Brasile);
  • offri beni o servizi a persone situate in Brasile, indipendentemente dalla loro nazionalità; oppure
  • tratti dati di persone che si trovano in Brasile (anche se queste si trovavano in Brasile solo al momento della raccolta dei dati, e da allora si sono spostate).

In termini più generali, rientri nell’ambito di applicazione della LGPD se tratti dati di persone che si trovano in Brasile o di chiunque si trovi all’interno del territorio brasiliano, indipendentemente dalla nazionalità.

Eccezioni

Esistono alcune eccezioni che valgono anche quando il titolare del trattamento rientra nell’ambito di applicazione territoriale della LGPD. La LGPD non si applica se:

  • il trattamento dei dati personali è effettuato da una persona fisica, solo ed esclusivamente per scopi privati e non commerciali; oppure
  • i dati personali sono trattati esclusivamente per una delle seguenti finalità:
    • espressione giornalistica o artistica,
    • ricerca accademica,
    • sicurezza pubblica,
    • difesa e sicurezza nazionale,
    • indagine e perseguimento dei reati.

Cosa intende la LGPD per “dati personali”?

La definizione di “dati personali” che dà la LGPD è piuttosto ampia. Analogamente al GDPR, costituiscono dati personali tutte le informazioni che sono riconducibili a un individuo identificato o identificabile. Questo comprende anche dati che possono essere combinati con altre informazioni per identificare qualsiasi individuo.

LGPD e dati resi anonimi

I dati resi anonimi (che non possono cioè portare – direttamente o indirettamente, e con mezzi ragionevoli – all’identificazione di una persona) non rientrano nell’ambito di applicazione della LGPD. Se tuttavia il processo di anonimizzazione è reversibile, o se i dati vengono usati con finalità di profilazione del comportamento, la LGPD continua ad applicarsi.

Esempi di dati personali includono (ma non si limitano a) dati identificativi come nomi, dati genetici, biometrici o inerenti la salute, dati web come indirizzi IP, indirizzi e-mail personali, opinioni politiche e dati sull’orientamento sessuale.

Esempi di dati non personali includono i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati resi anonimi.

I dati sensibili secondo la LGPD

La LGPD identifica i dati “sensibili” come diversi dai dati “regolari” e applica regole speciali a questa categoria di dati personali. Per dati sensibili si intendono i dati relativi all’origine razziale ed etnica, alle convinzioni religiose, alle opinioni politiche, allo stato di salute e alla vita sessuale; oppure i dati che consentono un’inequivocabile e persistente identificazione dell’utente, come i dati genetici o biometrici.

Potendo esporre più facilmente l’utente a rischi di discriminazione, i dati sensibili devono essere trattati con ulteriori livelli di sicurezza e con basi giuridiche molto specifiche.

In generale, puoi trattare dati sensibili solo se l’utente (o, se minorenne, il suo genitore/tutore legale) ha dato il proprio consenso per quel particolare trattamento. Si applicano comunque alcune eccezioni.

REQUISITI PRINCIPALI DELLA LGPD E COME ADEGUARSI

Concetti chiave della LGPD

Principi per il trattamento

I principi per il trattamento dei dati personali secondo la LGPD sono molto simili a quelli del GDPR. In particolare:

  • Il trattamento deve avere una finalità. Ciò significa che qualsiasi attività di trattamento dei dati deve essere svolta per scopi legittimi, specifici, espliciti e chiaramente comunicati. Non puoi effettuare alcun trattamento aggiuntivo che non sia in linea con le finalità originarie comunicate.
  • Adeguatezza. Sia il modo di trattare i dati, sia i dati trattati, devono essere in linea con le finalità del trattamento.
  • Limitazione delle finalità. Simile al concetto di minimizzazione dei dati ai sensi del GDPR, significa che devi limitarti a trattare solo i dati necessari per il raggiungimento delle tue finalità.
  • Libertà di esercitare i propri diritti e di accedere ai propri dati. Gli utenti devono poter esercitare liberamente i loro diritti ai sensi della LGPD e devono poter accedere liberamente e gratuitamente a tutte le informazioni relative al trattamento dei propri dati personali.
  • Integrità dei dati. In qualità di titolare del trattamento, devi garantire l’esattezza dei dati trattati e mantenerli aggiornati e pertinenti alle finalità del trattamento.
  • Trasparenza. Le informazioni sul trattamento dei dati devono essere chiare, precise e facilmente accessibili agli utenti. Gli utenti devono inoltre poter accedere alle informazioni relative alle terze parti con cui condividi tali dati.
  • Sicurezza. Sia il titolare del trattamento che gli eventuali responsabili del trattamento devono essere sicuri di disporre di misure tecniche e organizzative che proteggono i dati personali da accessi non autorizzati, distruzione accidentale o illecita, perdita, alterazione e comunicazione o diffusione non autorizzata.
  • Prevenzione. È responsabilità del titolare e del responsabile del trattamento adottare misure tecniche e organizzative atte a prevenire eventuali danni causati dal trattamento dei dati personali.
  • Non discriminazione. Nessun trattamento dei dati deve avvenire con finalità discriminatorie.
  • Responsabilità. In qualità di titolare del trattamento dei dati, sei tenuto a rispettare la legge e devi essere in grado di dimostrarlo.

Basi giuridiche per il trattamento dei dati ai sensi della LGPD

Secondo la LGPD i dati possono essere trattati solo se esiste almeno una base giuridica per farlo. Le basi giuridiche sono:

  1. il consenso dell’utente;
  2. l’adempimento di un obbligo di legge che si applica al titolare del trattamento;
  3. l’esecuzione di direttive pubbliche (laddove tali direttive siano supportate da leggi, regolamenti o accordi contrattuali);
  4. lo svolgimento di studi da parte di enti di ricerca – ove possibile garantendo l’anonimato dei dati personali utilizzati; *
  5. l’adempimento di un accordo contrattuale di cui l’utente è partecipe (o le sue attività precedenti);
  6. il regolare esercizio dei diritti in procedimenti giudiziari, amministrativi o arbitrali; *
  7. la tutela di interessi vitali dell’utente o di terzi;
  8. la tutela della salute – in una procedura eseguita da personale, autorità o servizi sanitari; *
  9. l’interesse legittimo del titolare del trattamento o delle terze parti, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente;
  10. protezione del credito, comprese le disposizioni di legge in materia *

* Non prevista dal GDPR

Il consenso secondo la LGPD

Essendo il consenso un argomento piuttosto delicato e spesso rilevante quando si parla di trattamento dei dati online, scopriamo qualcosa di più sui requisiti richiesti.

Secondo la LGPD, il consenso deve essere “libero, informato e non ambiguo”. Ciò significa che il consenso non deve essere forzato, l’azione di consenso richiesta all’utente deve essere chiara e gli utenti devono essere adeguatamente informati prima di prestare il consenso.

Per quanto riguarda il consenso per i minori di 12 anni, l’utente deve ottenere un consenso specifico ed esplicito da parte di un genitore o di un tutore. Il consenso può essere prestato da un minore di 13-18 anni* a condizione che il trattamento dei suoi dati personali sia fatto nel suo interesse. Devi compiere ogni sforzo ragionevole (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.

* Nota: in Brasile, l’età riconosciuta per la piena capacità giuridica è di 18 anni.

Eccezioni

Dati disponibili pubblicamente

La legislazione precedente alla LGPD consentiva alle aziende di raccogliere e trattare dati personali disponibili al pubblico su internet o su qualsiasi altra fonte pubblica. Ai sensi della LGPD, questo non è più consentito.

Secondo le linee guida della LGPD, i dati personali pubblici possono essere raccolti e trattati solo in due modi:

  • per la stessa finalità per il quale i dati sono stati originariamente trattati – nel qual caso il consenso dell’utente non è richiesto; oppure
  • per una diversa finalità per la quale, in qualità di titolare del trattamento, puoi applicare una legittima base giuridica.

Nota: in base a quanto detto sopra, lo “scraping” o qualsiasi altro genere di raccolta di dati disponibili pubblicamente con finalità di marketing o altro saranno molto probabilmente limitate dalla LGPD.

Dati sensibili

In caso di trattamento di dati sensibili, il consenso può essere evitato solo se il trattamento è assolutamente necessario per:

  • l’adempimento di un obbligo di legge che spetta al titolare del trattamento;
  • il trattamento condiviso necessario alla pubblica amministrazione per l’esecuzione di direttive pubbliche;
  • la realizzazione di studi da parte di un ente di ricerca – garantendo, ove possibile, l’anonimato dei dati personali sensibili;
  • la tutela degli interessi vitali e dell’incolumità fisica dell’utente o di terzi;
  • la tutela della salute nelle procedure svolte da personale, autorità o servizi sanitari.
  • il controllo sanitario in una procedura eseguita da professionisti o enti sanitari;
  • il regolare esercizio dei diritti – anche contrattuali, giudiziari, amministrativi, nonché di quelli concessi mediante arbitrato; o
  • la prevenzione di frodi e la sicurezza dell’utente (ad es. per l’identificazione e l’autenticazione della registrazione nei sistemi elettronici) – a condizione che i suoi diritti siano tutelati e non siano superati dalle sue libertà.

Dati dei minori

Ai sensi della LGPD, le eccezioni all’obbligo di consenso per il trattamento dei dati di minori si applicano se il trattamento è necessario per contattare i genitori o i tutori legali, o per proteggere il minore. I dati possono essere utilizzati solo una volta e non devono essere memorizzatI o condivisi con terzi senza un adeguato consenso.

Diritti degli utenti ai sensi della LGPD

Ai sensi della LGPD, gli utenti hanno il diritto di:

  • Conferma. Gli utenti hanno il diritto di ricevere conferma dell’esistenza di un trattamento.
  • Accesso. Gli utenti hanno il diritto di accedere ai propri dati trattati dal titolare.
  • Portabilità dei dati. Su espressa richiesta, gli utenti hanno il diritto di trasferire i propri dati ad un altro fornitore di servizi o prodotti, in conformità alle norme dell’autorità nazionale e nel rispetto del segreto commerciale e industriale.
  • Rettifica. Gli utenti hanno il diritto di richiedere la rettifica dei propri dati personali se sono imprecisi o incompleti.
  • Anonimizzazione. Gli utenti hanno diritto all’anonimizzazione, al blocco o all’eliminazione dei dati personali non necessari o in eccesso, o di qualsiasi dato non trattato in conformità alla LGPD.
  • Cancellazione/oblio. Gli utenti hanno il diritto di far cancellare i loro dati personali se il trattamento di tali dati è basato sul consenso.
  • Essere informati. Gli utenti hanno il diritto di essere informati sui responsabili del trattamento e sulle terze parti che accedono o trattano i suoi dati personali. Ha inoltre il diritto ad essere informati sulle proprie scelte di consenso e sulle conseguenze del rifiuto di quest’ultimo.
  • Revoca. Gli utenti hanno il diritto di revocare o ritirare il proprio consenso.
  • Presentare reclami. Gli utenti hanno il diritto di presentare un reclamo all’Autorità per la protezione dei dati.
  • Opporsi. Gli utenti hanno il diritto di opporsi al trattamento dei propri dati personali in caso di mancato rispetto delle disposizioni di legge.
  • Richiesta di revisione. Gli utenti hanno il diritto di richiedere la revisione delle decisioni prese sulla base di un trattamento automatizzato dei dati riguardanti i loro interessi. Questo include decisioni usate per definire il loro profilo personale, professionale, cliente e di credito, o gli aspetti della loro personalità.

Obblighi del titolare e del responsabile del trattamento secondo la LGPD

Trasferimento transfrontaliero di dati personali

Per trasferire dati protetti dalla LGPD al di fuori del Brasile devi tenere presente alcune linee guida. La LGPD infatti consente il trasferimento transfrontaliero di dati personali a patto che venga garantito un adeguato livello di protezione.

In termini pratici, ciò significa che il trasferimento è consentito solo se il paese di destinazione ha una legislazione con un adeguato livello di protezione. La valutazione del livello di adeguatezza del paese ricevente o dell’organizzazione è effettuata dall’autorità per la protezione dei dati (DPA).

Puoi trasferire i dati all’estero anche in assenza di un sufficiente livello di adeguatezza, purché si verifichi una di queste condizioni:

  • il titolare del trattamento riceve il consenso informato, esplicito e preventivo dell’utente – che deve essere separato dalle altre finalità e richieste di trattamento;
  • il titolare del trattamento assicura il rispetto della LGPD attraverso un’apposita sezione contrattuale dedicata, clausole contrattuali tipo, o regole aziendali valide su scala internazionale;
  • il trasferimento dei dati è conforme agli standard stabiliti tramite certificati validi e codici di condotta regolarmente approvati dal DPA;
  • il DPA autorizza direttamente il trasferimento;
  • il trasferimento è necessario per la cooperazione giuridica internazionale tra gli organismi pubblici di intelligence, di indagine e di perseguimento penale (in conformità al diritto internazionale);
  • il trasferimento è necessario per proteggere gli interessi vitali o l’incolumità fisica dell’utente o di terzi;
  • il trasferimento è necessario per far rispettare l’ordine pubblico;
  • il trasferimento è il risultato di un impegno assunto in un accordo di cooperazione internazionale;
  • il trasferimento è essenziale per l’adempimento di un obbligo di legge del titolare del trattamento o è necessario per l’esercizio dei diritti in tribunale o in un procedimento arbitrale; oppure
  • il trasferimento è necessario per adempiere ad un accordo con l’utente.

Registro del trattamento

Ai sensi della LGPD, titolari e responsabili del trattamento sono tenuti a conservare un registro delle loro attività di trattamento dei dati personali – soprattutto quando il trattamento è basato su un interesse legittimo.

Salvo deroghe concesse dall’autorità per la protezione dei dati personali, tutti i titolari e i responsabili – indipendentemente dalle dimensioni, dalla frequenza del trattamento o dal tipo di dati trattati – devono adempiere a questo obbligo.

Valutazione d’impatto sulla protezione dei dati (DPIA)

In sostanza, una valutazione d’impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment) è un processo utilizzato per aiutare il titolare del trattamento a rispettare le norme sulla riservatezza dei dati – garantendo che i principi fondamentali siano effettivamente rispettati.

Ai sensi della LGPD, in genere una DPIA contiene la descrizione delle attività di trattamento dei dati personali che potrebbero comportare rischi per i diritti e le libertà civili, nonché misure, salvaguardie e meccanismi per mitigare tale rischio.

Una DPIA deve includere:

  • una descrizione delle categorie di dati personali trattati;
  • le modalità di raccolta di tali dati;
  • le misure di sicurezza utilizzate; e
  • una descrizione delle misure utilizzate per mitigare i rischi connessi al trattamento dei dati.

La legge non stabilisce esplicitamente quando è necessaria una DPIA, ma l’autorità per la protezione dei dati personali può richiedere l’esecuzione di una DPIA in qualsiasi momento.

Nomina di un responsabile per la protezione dei dati (DPO)

Ai sensi della LGPD, il titolare del trattamento dei dati deve, senza alcuna eccezione, nominare un responsabile per la protezione dei dati (DPO). Il DPO si occupa di:

  • ricevere reclami e comunicazioni da parte degli utenti, fornire chiarimenti e adottare misure pertinenti;
  • consigliare dipendenti e collaboratori del titolare del trattamento sulle misure da adottare per proteggere i dati personali trattati;
  • ricevere le comunicazioni dell’autorità per la protezione dei dati personali e adottare le misure del caso; e
  • espletare ogni altro compito “indicato dal titolare del trattamento o stabilito da norme complementari”.

Sicurezza e violazione dei dati

Ai sensi della LGPD, titolari, responsabili e qualunque altro operatore coinvolto nel trattamento dei dati personali devono attuare misure di sicurezza tecniche e amministrative per proteggere i dati personali da accessi non autorizzati e da distruzione accidentale o illecita, perdita, alterazione, comunicazione o qualsiasi altro trattamento illegittimo.

Qualsiasi incidente di sicurezza che possa comportare rischi o danni agli utenti deve essere comunicato entro un ragionevole lasso di tempo al DPA.

Tale comunicazione deve includere:

  • la natura dei dati personali interessati;
  • informazioni sugli utenti interessati;
  • informazioni sulle misure tecniche e di sicurezza utilizzate per la protezione dei dati (soggette al segreto commerciale e industriale);
  • i rischi connessi all’incidente;
  • le ragioni di un eventuale ritardo nella segnalazione dell’incidente al DPA (nei casi in cui la comunicazione non sia stata immediata); e
  • le misure che sono state o saranno adottate per contrastare o attenuare i danni.

All’atto della notifica della violazione, l’autorità per la protezione dei dati può ordinare al titolare del trattamento di allertare i media o di adottare altre misure per mitigare le conseguenze dell’incidente.

Trasparenza

Analogamente al GDPR, la trasparenza è un principio fondamentale della LGPD. Ai sensi della LGPD gli utenti hanno il diritto di accedere facilmente alle informazioni sul trattamento dei loro dati personali.

Tali informazioni comprendono:

  • le finalità del trattamento;
  • il tipo e la durata del trattamento;
  • gli estremi identificativi del titolare del trattamento;
  • i dati di contatto del titolare del trattamento;
  • l’indicazione delle altre figure con cui condivide i dati e perché;
  • le responsabilità degli incaricati del trattamento;
  • i diritti dell’utente (con espressa indicazione dell’Art. 18 della LGPD), le modalità di esercizio di tali diritti, e se i dati personali saranno trattati per rispondere ad una richiesta di esercizio di tali diritti.

Responsabilità: privacy by design e privacy by default

La LGPD stabilisce che titolari e responsabili del trattamento possono attuare processi interni che garantiscano il rispetto della legge. Ciò comprende un programma di governance della privacy e misure che ne dimostrano l’efficacia.

Il programma di governance dovrebbe, come minimo:

  • mostrare l’impegno del titolare del trattamento a garantire il rispetto delle regole e delle buone prassi;
  • essere applicabile all’intero set di dati personali sotto il controllo del particolare responsabile del trattamento – indipendentemente dal mezzo utilizzato per la raccolta dei dati;
  • essere adattato alla particolare struttura, alla portata e al volume delle operazioni, nonché alla sensibilità dei dati trattati;
  • stabilisce adeguate politiche e garanzie basate su un processo di valutazione sistematica degli impatti e dei rischi per la privacy;
  • hanno lo scopo di creare un rapporto di fiducia con l’utente attraverso la trasparenza;
  • assicura che i meccanismi di partecipazione dell’utente siano integrati nella struttura generale di governance del programma e stabilisce e applica meccanismi di controllo interni ed esterni;
  • disporre di piani e soluzioni per rispondere agli incidenti; * disporre di piani e soluzioni per rispondere agli incidenti; e
  • è costantemente aggiornato sulla base delle informazioni ottenute dal monitoraggio continuo e dalle valutazioni periodiche.

Quando necessario (soprattutto su richiesta dell’autorità nazionale), il titolare del trattamento dev’essere in grado di dimostrare l’efficacia del proprio programma di governance della privacy.

Conseguenze del mancato adeguamento

Le conseguenze della mancata conformità alla LGPD prevedono sanzioni pari al 2% del fatturato annuo dell’azienda – fino a 50 milioni di real brasiliani (circa 11,5 milioni di euro) – per singola violazione. Altrettanto rilevanti sono anche gli altri provvedimenti che possono essere attuati nei confronti delle organizzazioni che hanno commesso una violazione.

Le conseguenze della mancata conformità alla LGPD prevedono sanzioni pari al 2% del fatturato annuo dell’azienda – fino a 50 milioni di real brasiliani (circa 11,5 milioni di euro) – per singola violazione.

Ai sensi della LGPD, tra i provvedimenti che l’Autorità brasiliana per la protezione dei dati personali può prendere ci sono avvertimenti, multe, la divulgazione pubblica della violazione, il divieto di continuare con le attività di trattamento oggetto dell’infrazione o l’obbligo di cancellare i dati ottenuti tramite quelle stesse attività. Questo significa che se l’uso improprio riguarda, ad esempio, la raccolta di indirizzi email, l’organizzazione rischia di non poter utilizzare l’intera lista di email in suo possesso. L’Autorità brasiliana può anche chiedere di sospendere l’uso dei dati oggetto dell’infrazione per un massimo di 6 mesi, bloccando ogni attività che ne fa uso.

Inoltre, come il GDPR, la LGPD consente agli utenti di chiedere all’organizzazione il risarcimento di eventuali danni civili (pecuniari o morali) derivanti dall’inosservanza delle norme sulla privacy.

Come adeguarsi alla LGPD

Checklist per adeguarsi in pratica

Come iubenda può aiutarti ad adeguarti alla LGPD

Sul fronte della compliance, uno dei primi passi è garantire che i propri documenti siano conformi alla normativa. In iubenda adottiamo un approccio a 360° in materia di adeguamento alla normative sulla protezione dei dati.

Sviluppiamo soluzioni tenendo conto delle disposizioni più severe e offriamo servizi completi e personalizzabili in base alle proprie esigenze. In questo modo, iubenda ti assiste nel rispetto degli obblighi di legge, riducendo così il rischio di controversie, proteggendo i tuoi clienti ed aiutandoti a consolidare fiducia e credibilità.

Ecco cosa devi fare per adeguarti.

Privacy Policy

Le privacy policy generate con iubenda ti permettono di essere conforme alla LGPD, in quanto ti danno la possibilità di applicare le protezioni previste dalla normativa agli utenti brasiliani.

Il nostro Generatore di Privacy Policy ti permette di creare facilmente una privacy policy professionale, legalmente accurata e perfettamente integrata con il tuo sito web o la tua app. Per aggiungere una qualsiasi delle tante clausole pre-configurate disponibili o scrivere le proprie clausole personalizzate è sufficiente un click.

La nostra soluzione – attivabile con un click – ti permette di soddisfare i requisiti della LGPD in tutta semplicità:

  • puoi indicare informative, clausole e istruzioni con un linguaggio in linea con quanto richiesto dalla LGPD; e
  • una volta attivata l’opzione nel generatore, la tua privacy policy si aggiorna automaticamente con le clausole della LGPD – non dovrai inserire nuovamente il codice di integrazione sul tuo sito.

Inoltre, hai la possibilità di includere una cookie policy (necessaria se il tuo sito web utilizza cookie e si rivolge anche a utenti UE). Le policy sono personalizzate in base alle tue esigenze e vengono gestite da remoto dal nostro team legale.

Scopri le funzionalità del nostro Generatore di Privacy Policy.

Registro delle attività di trattamento dei dati

Adeguarsi alla LGPD nella pratica può rivelarsi una vera e propria sfida tecnica. Ciò vale soprattutto per la gestione della privacy interna.

La nostra soluzione Registro delle attività di trattamento dei dati ti aiuta a registrare e gestire facilmente tutte le attività di trattamento dei dati all’interno della tua organizzazione, così da soddisfare i requisiti della LGPD e adempiere agli obblighi di legge.

Il Registro delle attività di trattamento dei dati consente di creare un registro del trattamento definendo le attività effettuate scegliendo da oltre 1700 opzioni pre-configurate, descrivendo le proprie aree di trattamento (ovvero, le aree all’interno delle quali le attività di trattamento dei dati sono tra loro omogenee), individuando responsabili ed altri soggetti e documentando le basi giuridiche e le altre informazioni richieste dalla LGPD.

Scopri le funzionalità del Registro delle attività di trattamento dei dati o leggi la nostra guida introduttiva.

Al fine di adeguarsi alle normative sulla privacy come la LGPD e il GDPR, devi archiviare una prova del consenso così da poter dimostrare che quest’ultimo è stato validamente raccolto.

Il nostro Consent Database semplifica questo processo permettendoti di registrare e di gestire facilmente le prove del consenso per ogni tuo utente. Il Consent Database ti aiuta a tracciare ogni aspetto del consenso (inclusi documenti o note legali e moduli di consenso presentati all’utente al momento della raccolta del consenso), nonché le preferenze espresse dall’utente.

Per utilizzarla, attiva il Consent Database e ottieni la tua chiave API. Procedi quindi alla configurazione via HTTP API o tramite widget JS. Potrai subito recuperare i consensi salvati e tenerli aggiornati.

Scopri le funzionalità del Consent Database o leggi la guida introduttiva.

Privacy Controls and Cookie Solution

💡 Se operi in Brasile o hai utenti brasiliani, è consigliato mostrare un cookie banner per chiedere il consenso dei tuoi utenti prima di installare cookie non tecnici.

La nostra Privacy Controls and Cookie Solution è semplice da generare! Personalizza il tuo cookie banner, raccogli il consenso e attiva il blocco preventivo con riattivazione asincrona.

Adegua il tuo sito alla LGPD in pochi minuti

Inizia la generazione

Tieni presente che di tanto in tanto i requisiti di legge cambiano o vengono aggiornati. È pertanto necessario assicurarsi che i propri documenti rispondano ai requisiti più recenti. Ecco perché iubenda usa una funzione di incorporazione e non il semplice copia e incolla. In questo modo, grazie alle continue revisioni effettuate da remoto dal nostro team legale, i tuoi documenti sono sempre aggiornati .

Leggi anche