LGPD in Brasile e guest WiFi: guida alla conformità

LGPD in Brasile e WiFi per gli ospiti: una guida alla conformità. Un briefing di Purple Intelligence. Benvenuto al briefing di Purple Intelligence. Sono il tuo conduttore e oggi affronteremo un tema che ogni IT manager, network architect e responsabile della conformità che opera in Brasile deve gestire correttamente: la Lei Geral de Proteção de Dados — la LGPD — e in particolare cosa significa per le tue installazioni WiFi per gli ospiti. Se sei già conforme al GDPR per quanto riguarda le tue attività europee, potresti supporre che il Brasile sia una semplice estensione di quel lavoro. E avresti in parte ragione, ma solo in parte. La LGPD presenta alcune differenze significative che coglieranno di sorpresa le multinazionali che si limitano a copiare e incollare il proprio approccio alla conformità UE. E con l'ANPD — l'autorità brasiliana per la protezione dei dati — che sta costantemente perfezionando la propria capacità di applicazione delle norme, la finestra per un approccio superficiale si sta chiudendo rapidamente. Entriamo quindi nel vivo. Esamineremo il quadro normativo, le basi giuridiche che si applicano effettivamente alle registrazioni al WiFi, il confronto tra l'ANPD e autorità di regolamentazione come l'ICO e la CNIL, e come deve essere strutturato il tuo Captive Portal per mantenerti dalla parte corretta della legge. Iniziamo con le basi. La LGPD — Legge numero 13.709 — è entrata in vigore nell'agosto 2020, con sanzioni amministrative a partire da agosto 2021. È stata modellata strettamente sul GDPR, il che significa che se ne comprendi uno, hai una base solida per l'altro. Ma il diavolo sta nei dettagli. Nel momento in cui un ospite si connette alla tua rete WiFi, stai raccogliendo dati personali. Indirizzi MAC, indirizzi IP, timestamp di connessione, durata della sessione — tutto questo rientra perfettamente nella definizione di dati personali della LGPD. Se aggiungi un modulo di registrazione su Captive Portal che raccoglie nomi, indirizzi email o numeri di telefono, sei entrato decisamente in un territorio che richiede una chiara base giuridica per il trattamento. La LGPD prevede dieci basi giuridiche ai sensi dell'Articolo 7. Per il WiFi ospiti, tre sono particolarmente rilevanti. In primo luogo, il consenso — Articolo 7, numero romano I. Questa è la base più semplice: l'ospite accetta attivamente la tua informativa sulla privacy e seleziona una casella di consenso prima di connettersi. Il consenso deve essere libero, informato, inequivocabile e specifico per lo scopo. Non è possibile associare il consenso al marketing a quello per la connettività di base — queste devono essere caselle di controllo separate. In secondo luogo, l'esecuzione del contratto — Articolo 7, numero romano V. Questo si applica quando la connettività WiFi fa parte di un servizio contrattualizzato. Un ospite di un hotel che ha prenotato una camera che include l'accesso WiFi può vedere i propri dati di connessione trattati in base a questa base giuridica, perché è necessario per fornire il servizio richiesto. Questa è una base più lineare per gli operatori del settore ricettivo rispetto al consenso, poiché non richiede una spunta attiva — è intrinseca al rapporto di servizio.In terzo luogo, il legittimo interesse — Articolo 7, numero romano nove. Questa è la base più flessibile ma anche la più esposta dal punto di vista legale. È necessario condurre e documentare una valutazione del legittimo interesse — un test di bilanciamento — che dimostri che i vostri interessi non prevalgono sui diritti fondamentali dell'interessato. Per la registrazione di base della sicurezza di rete, questo è generalmente difendibile. Per l'analisi comportamentale o la profilazione di marketing, diventa molto più difficile da giustificare. Ora, ecco qualcosa che coglie di sorpresa molti operatori: il Marco Civil da Internet. Questo è il quadro dei diritti civili di internet in Brasile — Legge 12.965 del 2014 — e si affianca alla LGPD anziché esserne superato. Ai sensi dell'Articolo 13 del Marco Civil, i fornitori di connessione internet devono conservare i log di connessione per un minimo di un anno. Se la vostra struttura fornisce accesso a internet al pubblico, potreste rientrare in questa definizione. Ciò significa che la vostra policy di conservazione dei dati non può semplicemente dichiarare che cancellate tutto dopo 30 giorni — avete l'obbligo di legge di conservare i log di connessione per dodici mesi, indipendentemente da ciò che dice l'informativa sulla privacy LGPD in merito alla minimizzazione dei dati. Parliamo dell'ANPD — l'Autoridade Nacional de Proteção de Dados. È stata istituita dalla stessa LGPD e opera come un'autorità federale speciale collegata al Ministero della Giustizia. Il suo mandato copre la supervisione, l'orientamento e l'applicazione delle norme. Come si confronta con l'ICO nel Regno Unito o la CNIL in Francia? La risposta onesta è che l'ANPD sta ancora maturando. L'ICO ha emesso sanzioni per decine di milioni — British Airways ha ricevuto una penale di venti milioni di sterline, Marriott diciotto virgola quattro milioni. La CNIL ha multato Google per centocinquanta milioni di euro e Facebook per sessanta milioni. La prima sanzione dell'ANPD, emessa a luglio 2023, è stata di quattordicimilaquattrocento reais brasiliani — circa tremila dollari statunitensi — contro una prima azienda di telemarketing. Nel 2024, le sue azioni esecutive sono state tutte rivolte a enti del settore pubblico e si sono tradotte in ammonimenti anziché in sanzioni pecuniarie. Ma non lasciatevi cullare dal compiacimento. La traiettoria di applicazione dell'ANPD è chiaramente in ascesa. Nel luglio 2024 ha emesso una misura preventiva contro Meta, ordinando la sospensione immediata della policy sui dati di addestramento dell'IA di Meta. Nel dicembre 2024 ha intrapreso un'azione contro X Corp in merito ai dati dei minori. L'agenda normativa dell'ANPD per il 2025 e il 2026 dà esplicitamente priorità all'intelligenza artificiale e al riconoscimento facciale — il che è direttamente rilevante per qualsiasi struttura che implementi l'autenticazione biometrica per l'accesso WiFi. La sanzione massima ai sensi della LGPD è pari al due percento del fatturato annuo brasiliano di un'azienda, con un limite massimo di cinquanta milioni di reais per violazione — circa nove milioni di euro al tasso di cambio attuale. È una cifra significativamente inferiore al quattro percento del fatturato globale previsto dal GDPR, ma viene calcolata solo sul fatturato brasiliano. Per una multinazionale con importanti attività in Brasile, l'esposizione è comunque rilevante. Una differenza fondamentale rispetto al GDPR: la LGPD richiede un Data Protection Officer per tutti i titolari del trattamento, senza eccezioni. Ai sensi del GDPR, il DPO è obbligatorio solo in circostanze specifiche. Secondo la LGPD, se tratti dati personali in Brasile, ne hai bisogno. La Risoluzione ANPD 18, pubblicata a luglio 2024, definisce nel dettaglio le responsabilità e le qualifiche richieste. I dati di contatto del DPO devono essere resi pubblici, in genere sul tuo sito web. I diritti degli interessati ai sensi della LGPD sono nove, rispetto agli otto del GDPR. Le differenze pratiche per gli operatori WiFi sono due. In primo luogo, hai quindici giorni di tempo per rispondere a una richiesta di accesso da parte dell'interessato, la metà rispetto alla finestra di trenta giorni del GDPR. Se gestisci la rete di una grande struttura con migliaia di connessioni giornaliere, i tuoi processi di recupero dei dati e di risposta devono essere operativamente in grado di rispettare questa scadenza più serrata. In secondo luogo, la LGPD include un diritto esplicito a richiedere l'anonimizzazione dei dati, non solo la cancellazione. La tua piattaforma deve supportare entrambe le risposte. Quindi, come si presenta in concreto un'implementazione conforme? Vediamo insieme i principali requisiti di implementazione. Il tuo Captive Portal deve mostrare un'informativa sulla privacy in portoghese — portoghese brasiliano, non portoghese europeo. L'informativa deve identificare il titolare del trattamento, indicare la base giuridica del trattamento, specificare le finalità per cui i dati saranno utilizzati, identificare eventuali terze parti con cui i dati saranno condivisi e fornire i dati di contatto del DPO. Questo non è negoziabile. Le caselle di controllo del consenso devono essere deselezionate per impostazione predefinita. Le caselle preselezionate non costituiscono un consenso valido ai sensi della LGPD, così come non lo sono ai sensi del GDPR. Il consenso al marketing deve essere separato dal consenso alla connettività: non puoi vincolare l'accesso a Internet al fatto che l'ospite accetti di ricevere e-mail promozionali. Sulla minimizzazione dei dati: raccogli solo ciò di cui hai effettivamente bisogno. Se distribuisci il WiFi per gli ospiti puramente per la connettività, non hai bisogno della data di nascita o dell'indirizzo di casa. Se gestisci un programma di fidelizzazione tramite la tua piattaforma WiFi, devi giustificare ogni campo di dati aggiuntivo rispetto allo scopo dichiarato. Per la conservazione dei dati, documenta esplicitamente la tua policy. Log di connessione: minimo un anno ai sensi del Marco Civil. Dati di marketing: conservali solo per il tempo necessario allo scopo dichiarato e cancellali in caso di revoca del consenso. La tua piattaforma di analytics WiFi dovrebbe supportare pianificazioni di conservazione automatizzate e workflow di cancellazione. La trappola più grande che vedo nella pratica è il problema del consenso cumulativo. Gli operatori creano una singola schermata di consenso che copre connettività, analytics e marketing in un'unica casella di controllo. Questo non è conforme né alla LGPD né al GDPR. Separa i consensi. Sì, aggiunge attrito. Ma l'alternativa è un'azione sanzionatoria che ti costerà molto di più. Il secondo errore principale consiste nell'ignorare il Marco Civil. Gli operatori che si concentrano interamente sulla conformità alla LGPD e dimenticano l'obbligo di conservazione dei registri di connessione per un anno previsto dal Marco Civil creano un tipo diverso di esposizione legale. Si tratta di due strumenti giuridici distinti ed entrambi sono applicabili. Terzo errore: non implementare un flusso di lavoro per i diritti degli interessati. Non è sufficiente avere un'informativa sulla privacy che dica "contattaci per esercitare i tuoi diritti". È necessario un processo operativo — un indirizzo e-mail dedicato o un modulo web, un flusso di lavoro interno documentato e la capacità tecnica di recuperare, correggere, esportare o eliminare i dati di uno specifico individuo entro quindici giorni. Permettetemi di passare in rassegna alcune rapide domande che sento regolarmente dai clienti. Abbiamo bisogno di un DPO se abbiamo solo una sede in Brasile? Sì. La LGPD si applica a tutti i titolari del trattamento che elaborano dati personali in Brasile, indipendentemente dalla scala. Possiamo utilizzare il legittimo interesse come base per la WiFi analytics? Potenzialmente sì, ma è necessaria una valutazione del legittimo interesse documentata. Per la sicurezza di rete di base e l'analisi operativa, è difendibile. Per la profilazione di marketing comportamentale, è molto più difficile da giustificare. E per quanto riguarda l'autenticazione biometrica — il riconoscimento facciale sul Captive Portal WiFi? Si tratta di dati sensibili ai sensi della LGPD. È necessario un consenso esplicito e occorre prestare molta attenzione a come vengono memorizzati ed elaborati. L'ANPD ha questo aspetto direttamente nel mirino per l'applicazione delle sanzioni nel periodo 2025-2026. Siamo conformi al GDPR — questo ci copre anche per la LGPD? In gran parte sì, ma non del tutto. La finestra temporale più stretta per rispondere alle richieste di accesso degli interessati, il requisito obbligatorio del DPO, l'obbligo di conservazione del Marco Civil e il requisito dell'informativa in lingua portoghese sono tutte aree in cui la sola conformità al GDPR non sarà sufficiente. Per riassumere: la LGPD è un quadro di protezione dei dati maturo, ispirato al GDPR, con alcune importanti caratteristiche specifiche per il Brasile. Per gli operatori di guest WiFi, le azioni chiave sono queste. Verificate il vostro Captive Portal: la vostra informativa sulla privacy è in portoghese brasiliano, indica la base giuridica, le vostre caselle di controllo per il consenso sono separate e deselezionate per impostazione predefinita? Nominate un DPO e pubblicate i suoi dati di contatto. Questo è obbligatorio per tutti i titolari del trattamento. Verificate la vostra politica di conservazione dei dati rispetto al requisito di un anno del Marco Civil per i registri di connessione. Costruite un flusso di lavoro per i diritti degli interessati in grado di rispondere entro quindici giorni. E se state implementando qualsiasi forma di autenticazione biometrica o analisi avanzata, eseguite una valutazione d'impatto sulla protezione dei dati prima di andare online. La piattaforma guest WiFi di Purple è progettata tenendo conto di questi requisiti di conformità — flussi di consenso configurabili, pianificazioni di conservazione automatizzate e strumenti per i diritti degli interessati che funzionano sia nelle giurisdizioni GDPR che LGPD. Se state effettuando un deployment in tutto il Brasile e desiderate discutere della vostra architettura di conformità specifica, contattate il team di Purple. Questo è tutto per il briefing di oggi. Grazie per l'ascolto e alla prossima.