Den 14. august 2024, Brasilien fejrer 6-årsdagen for Lov om Beskyttelse af Personoplysninger (LGPD). Lovgivningen markerede fremskridtet i beskyttelsen af privatlivets fred og personoplysninger i landet. Godkendt den 14. august 2018, LGPD trådte i kraft i september 2020, med sanktioner gældende fra august 2021.
LGPD definer personoplysninger som enhver information, der kan identificere eller gøre en fysisk eller juridisk person identificerbar, som som, CPF, RG, e-mail og øvrige oplysninger. Hovedformålet med LGPD er at sikre, at disse data anvendes på en sikker og gennemsigtig måde, undgå misbrug og sikre beskyttelse og juridisk sikkerhed for borgerne
I maj 2021, to år efter vedtagelsen af LGPD, Højesteret (STF), anerkendte beskyttelsen af personoplysninger som en grundlæggende ret. Denne anerkendelse blev inkluderet i den føderale forfatning i februar 2022, através da Emenda Constitucional Nº 115/22. Med den føderale forfatning fra 1988, rettigheder til privatliv, privatlivets fred og hemmeligheden om kommunikation var allerede blevet positiviseret, men beskyttelse af persondata er først for nylig blevet en del af forfatningsteksten. Lover som Marco Civil for Internettet og Lov om Adgang til Oplysninger var vigtige forløbere, der bidrog til formuleringen af LGPD
Efter vedtagelsen af loven, virksomhederne måtte tilpasse sig den nye lovgivning, vedtagelse af specifikke praksisser. Dette involverede oprettelsen af politikker og procedurer for privatlivets fred, uddannelse af medarbejdere og implementering af informationssikkerhedsteknologier. LGPD fastsætter bøder og sanktioner for overtrædelse, hvad -teoretisk- incentiverede virksomhederne til at overholde loven
Imidlertid, LGPD er stadig ikke fuldt ud overholdt i nogle dele af landet. En en undersøgelse udført af portalen LGPD Brasil viste at, selv om der er obligatorisk, kun 16% af virksomhederne i landet er i overensstemmelse med loven. Dette afslører at, selvom der allerede er en vis bevidsthed om loven, hun er stadig ret koncentreret i store bycentre, og det er nødvendigt at bringe denne viden til andre regioner i landet
Advokaten og specialist i digital ret fra FGV, Lucas Maldonado D. Latiner, peger at en af de største udfordringer ved tilpasningen til LGPD er manglen på viden om loven og hvordan den påvirker virksomhedernes drift. Mange organisationer ved stadig ikke, at lovgivningen gælder for deres branche. Advokaten bemærker, at lovgivningen omfatter virksomheder fra forskellige sektorer, som finansiering, uddannelse, detailhandel osv. Alle skal tilpasse sig, ellers er de udsat for sanktioner
For ham, bestemmelserne om databeskyttelse var spredt over forskellige love, vanskeliggør fortolkningen og anvendelsen af disse rettigheder. "Den enhed, der er fremmet af LGPD, har bragt klarhed og sammenhæng til den brasilianske reguleringsramme". Derudover, vi vi skabelsen af den Nationale Databeskyttelsesmyndighed (ANPD) for at sikre tilsyn og overholdelse af loven, kommenter. I dag, ANPD er ansvarlig for at udstede resolutioner og vejledninger, der hjælper databehandlere med at forstå og overholde forpligtelserne
Hvad kan man forvente af en stadig mere teknologisk fremtid
Selvom det regulatoriske rammeværk er avanceret betydeligt siden dets implementering, der er flere spørgsmål, som stadig skal tages op af den nationale databeskyttelsesmyndighed (ANPD) for at sikre, at anvendelsen fortsat er effektiv
Et af de emner, der er i fokus, er reguleringen af internationale dataoverførsler. I 2022, ANPD har lanceret en offentlig høring for at skabe retningslinjer for, hvordan personlige data kan sendes ud af Brasilien. LGPD kræver, at disse overførsler sker på en måde, der sikrer passende beskyttelse af data i andre lande. Til det, ANPD skal fastsætte klare regler, inklusive om lande, som man anser for at have beskyttelsesniveauer, der er kompatible med brasiliansk lovgivning
En anden punkt, det er reguleringen af Kunstig Intelligens (AI). Indtil nu, den brasilianske lovgivning behandler ikke specifikt brugen af AI i forhold til databeskyttelse. ANPD deltager i diskussionerne om lovforslag nr. 2.338/2023, som ønsker at etablere en lovgivningsmæssig ramme for AI og som bliver vurderet af den føderale senat
Advokaten fremhæver, at et af de vigtigste punkter er, at virksomhederne etablerer sikkerhedsforanstaltninger, teknikker og administrative, nødvendige for beskyttelsen af personoplysninger. Disse retningslinjer kan inkludere minimumsstandarder for sikkerhed, brug af kryptografi, firewalls og adgangspolitikker,. Implementeringen af hver enkelt af dem er en måde at forebygge sikkerhedshændelser på, hvordan datalækager, og sikre, at oplysningerne er beskyttet mod uautoriseret adgang
