La loi générale sur la protection des données (LGPD), loi nº 13.709, du 14 août 2018, est une législation brésilienne qui établit des lignes directrices pour la collecte, le stockage, le traitement et le partage des données personnelles, imposant un contrôle et une protection accrus de ces informations. La LGPD a un impact direct sur plusieurs secteurs de l'économie, dont le secteur bancaire, qui est connu pour traiter une grande quantité de données personnelles et sensibles de ses clients.
Tout d'abord, il est important de comprendre que la LGPD classe les informations personnelles en deux catégories : les données personnelles et les données sensibles. Les données personnelles sont toutes les informations relatives à une personne physique identifiée ou identifiable. Les données sensibles sont des données personnelles qui révèlent l'origine raciale ou ethnique, les croyances religieuses, les opinions politiques, des données concernant la santé ou la vie sexuelle, des données génétiques ou biométriques.
Dans le secteur bancaire, tant les données personnelles que les données sensibles sont collectées et traitées régulièrement. Par exemple, lors de l'ouverture d'un compte bancaire, la banque collecte des données personnelles telles que nom, adresse, numéro CPF, entre autres. De plus, lors de la demande de prêt, la banque peut collecter des données sensibles, telles que des informations sur la situation financière du client.
Selon la LGPD, le traitement des données personnelles ne peut être effectué que dans les situations suivantes : avec le consentement du titulaire ; pour se conformer à une obligation légale ou réglementaire ; pour l'exécution des procédures contractuelles ou d'avant-contrat ; pour l'exercice régulier des droits dans les procédures judiciaires, administratives ou arbitrales ; pour la protection du crédit ; et pour servir les intérêts légitimes du responsable du traitement ou d'un tiers.
Dans le cas du secteur bancaire, le traitement des données est souvent effectué pour se conformer à une obligation légale ou réglementaire, pour exécuter un contrat ou pour protéger le crédit. Cependant, dans de nombreux cas, la banque doit obtenir le consentement de la personne concernée pour pouvoir les traiter. Le consentement doit être libre, éclairé et sans ambiguïté, et la personne concernée a le droit de le retirer à tout moment.
La LGPD établit également que la personne concernée a le droit d'accéder à ses données personnelles, de corriger des données incomplètes, inexactes ou périmées, d'anonymiser, de bloquer ou d'éliminer les données inutiles, excessives ou traitées en violation de la loi, la portabilité des données vers un autre fournisseur de services ou de produits, l'élimination des données personnelles traitées avec le consentement de la personne concernée, l'information des entités publiques et privées avec lesquelles le responsable du traitement a effectué une utilisation partagée des données, des informations sur la possibilité de ne pas donner son consentement et sur les conséquences d'un refus, et la révocation du consentement.
p>Pour garantir le respect de la LGPD, les banques doivent mettre en œuvre des mesures techniques et administratives pour protéger les données personnelles contre les accès non autorisés et les situations de destruction, perte, altération, communication ou diffusion indues ou accidentelles. Cela peut inclure le cryptage des données, l'anonymisation des données, la mise en œuvre de politiques de sécurité des informations, la réalisation d'audits réguliers, entre autres mesures.
En cas de violation de données, la LGPD prévoit l'application de sanctions administratives, qui peuvent aller d'avertissements à des amendes pouvant aller jusqu'à 2 % des revenus de l'entreprise, limitées à 50 millions de reais par violation. En outre, l'entreprise peut être tenue de publier l'occurrence de la violation dans les médias et de signaler la violation à la personne concernée.
Par conséquent, la LGPD représente une étape importante dans la protection des données personnelles au Brésil et a un impact significatif sur le secteur bancaire. Pour se conformer à la loi, les banques doivent revoir leurs politiques et pratiques de collecte, de stockage, de traitement et de partage des données, et mettre en place des mesures pour assurer la protection des données personnelles de leurs clients.