Il 14 agosto 2024, il Brasile celebra il 6° anniversario della Legge Generale sulla Protezione dei Dati Personali (LGPD). La legislazione ha segnato un progresso nella protezione della privacy e dei dati personali nel paese. Approvata il 14 agosto 2018, la LGPD è entrata in vigore a settembre 2020, con sanzioni applicabili a partire da agosto 2021.
La LGPD definisce i dati personali come qualsiasi informazione che possa identificare o rendere identificabile una persona fisica o giuridica, come nome, CPF, RG, e-mail e altri dati. La principale finalità del LGPD è garantire che questi dati siano utilizzati in modo sicuro e trasparente, evitando l'uso improprio e garantendo la protezione e la sicurezza giuridica dei cittadini
A maggio 2021, due anni dopo l'entrata in vigore della LGPD, la Corte Suprema Federale (STF), ha riconosciuto la protezione dei dati personali come un diritto fondamentale. Questo riconoscimento è stato incluso nella Costituzione Federale nel febbraio 2022, através da Emenda Constitucional Nº 115/22. Con la Costituzione Federale del 1988, i diritti alla privacy, la privacy e il segreto delle comunicazioni erano già stati positivamente affermati, ma maggiore protezione dei dati personali è stata inclusa nel testo costituzionale più recentemente. Leggi come il Marco Civile di Internet e la Legge sull'Accesso all'Informazione sono state importanti precursori che hanno contribuito alla formulazione del GDPR
Dopo la promulgazione della legge, le aziende hanno dovuto adattarsi alla nuova legislazione, adottando pratiche specifiche. Questo ha comportato la creazione di politiche e procedure sulla privacy, formazione dei dipendenti e implementazione di tecnologie per la sicurezza delle informazioni. La LGPD stabilisce multe e sanzioni per la violazione, cosa -teoricamente- ha incentivato le aziende a conformarsi con la legge
Tuttavia, la LGPD non è ancora pienamente rispettata in alcune parti del paese. Un'indagine condotta dal portale LGPD Brasil ha mostrato che, anche con l'obbligatorietà, solo il 16% delle aziende del paese è conforme alla legge. Questo rivela che, anche se c'è già una certa consapevolezza sulla legge, è ancora abbastanza concentrata nei grandi centri urbani, è necessario portare questa conoscenza in altre regioni del paese
L'avvocato e specialista in diritto digitale della FGV, Lucas Maldonado D. Latini, indica che una delle maggiori difficoltà per l'adeguamento al GDPR è la mancanza di conoscenza sulla legge e su come essa influisca sulle operazioni delle aziende. Molte organizzazioni non sanno ancora che la legislazione si applica al loro settore di attività. L'avvocato osserva che la legislazione comprende aziende di diversi settori, come finanze, istruzione, retail ecc. Tutti devono adeguarsi o sono soggetti a sanzioni
Per lui, le disposizioni sulla protezione dei dati erano disperse in diverse leggi, difficoltando l'interpretazione e l'applicazione di questi diritti. "L'unificazione promossa dalla LGPD ha portato chiarezza e coesione al quadro normativo brasiliano". Inoltre, abbiamo creato l'Autorità Nazionale per la Protezione dei Dati (ANPD) per garantire la vigilanza e il rispetto della legge, commenta. Oggi, l'ANPD è responsabile dell'emissione di risoluzioni e guide orientative che aiutano gli agenti di trattamento dei dati a comprendere e rispettare gli obblighi
Cosa aspettarsi da un futuro sempre più tecnologico
Sebbene il quadro normativo sia avanzato significativamente dalla sua attuazione, ci sono diverse questioni che devono ancora essere affrontate dall'Autorità Nazionale per la Protezione dei Dati (ANPD) per garantire che l'applicazione continui a essere efficace
Uno dei temi in evidenza è la regolamentazione dei trasferimenti internazionali di dati. Nel 2022, l'ANPD ha lanciato una consultazione pubblica per creare linee guida su come i dati personali possono essere inviati al di fuori del Brasile. La LGPD richiede che tali trasferimenti siano effettuati in modo da garantire la protezione adeguata dei dati in altri paesi. Per questo, l'ANPD deve stabilire regole chiare, inclusivo sui paesi che considera avere livelli di protezione compatibili con la legislazione brasiliana
Un altro punto, è la regolamentazione dell'Intelligenza Artificiale (IA). Fino ad ora, la legislazione brasiliana non affronta specificamente l'uso dell'IA in relazione alla protezione dei dati. L'ANPD sta partecipando alle discussioni del Progetto di Legge n. 2.338/2023, che mira a stabilire un quadro giuridico per l'IA ed è attualmente in fase di valutazione da parte del Senato Federale
L'avvocato sottolinea che uno dei punti più importanti è che le aziende stabiliscano misure di sicurezza, tecniche e amministrative, necessarie per la protezione dei dati personali. Queste linee guida possono includere standard minimi di sicurezza, uso della crittografia, firewall e politiche di accesso,. L'implementazione di ognuna di esse è un modo per prevenire incidenti di sicurezza, come perdite di dati, e garantire che le informazioni siano protette da accessi non autorizzati
