W dniu 14 sierpnia 2024 roku, brazylia obchodzi 6stą rocznicę Ustawy Ogólnej Ochrony Danych Osobowych (LGPD). Ustawodawstwo zaznaczyło postęp w ochronie prywatności i danych osobowych w kraju. Zatwierdzona w 14 sierpnia 2018 r., LGPD wszedł w życie we wrześniu 2020 r., z sankcjami mającymi zastosowanie od sierpnia 2021.
LGPD definiuje dane osobowe jako wszelkie informacje, które mogą identyfikować lub uczynić identyfikowalnymi osobę fizyczną lub prawną, jak na imię, CPF, RG, e-mail i inne dane. Głównym celem LGPD jest zapewnienie, że te dane są wykorzystywane w sposób bezpieczny i transparentny, zapobiegając niewłaściwemu wykorzystaniu i zapewniając ochronę i bezpieczeństwo prawne obywateli
W maju 2021 r., dwa lata po sankcjonawd LGPD, o Sąd Najwyższy Federalny (STF), uznała ochronę danych osobowych jako prawo podstawowe. To uznanie zostało włączone do Konstytucji Federalnej w lutym 2022, através da Emenda Constitucional Nº 115/22. Z Konstytucją Federalną z 1988, prawa do prywatności, prywatność i tajemnica komunikacji już zostały zostały pozytywne, ale ochrona danych osobowych tylko stało się częścią tekstu konstytucyjnego dopiero niedawno. Prawa jak Rama Cywilna Internetu i Ustawa O Dostępie do Informacji były ważnymi prekursorami które przyczyniły się do sformułowania LGPD
Po promulgacji ustawy, przedsiębiorstwa musiały dostosować się do nowego prawodawstwa, przyjmując praktyki określone. To obejmowało stworzenie polityk i procedur prywatności, szkolenie pracowników i wdrożenie technologii bezpieczeństwa informacji. LGPD ustanawia grzywny i sankcje za nieprzestrzeganie, co to -teoretycznie- zachęcił firmy do dostosowania się do prawa
Jednakże, LGPD jeszcze nie jest w pełni spełniona w niektórych częściach kraju. Badanie przeprowadzone przez portal LGPD Brazylia pokazało że, nawet z obowiązkowością, tylko 16% firm w kraju są zgodne z prawem. To ujawnia że, chociaż już ma pewną świadomośćwiedzenie o prawie, ona nadal jest dość skoncentrowana w dużych ośrodkach miejskich, i jest konieczne wziąć tę wiedzę do innych regionów kraju
Prawnik i specjalista w prawie cyfrowym przez FGV, Lucas Maldonado D. Latini, wskazuje że jedną z największych trudności dla dostosowania do LGPD jest w braku wiedzy na temat prawa i jak ono wpływa na operacje firm. Wiele organizacji wciąż nie wie, że ustawodawstwo odnosi się do ich gałęzi działalności. Prawnik zauważa że ustawodawstwo obejmuje przedsiębiorstwa z różnych sektorów, jak finanse, edukacja, sprzedaż detaliczna itd. Wszyscy muszą się dostosować lub są podlegają sankcjom
Dla niego, przepisy dotyczące ochrony danych były rozproszone w różnych ustawach, utrudniając interpretację i stosowanie tych praw. ⁇ Unifikacja promowana przez LGPD przyniosła jasność i spójność do ram regulacyjnych brazylijskiego. Ponadto, mieliśmy utworzenie Narodowego Urzędu Ochrony Danych (ANPD) do zapewnienia nadzoru i przestrzegania prawa ⁇, komentuj. Dziś, ANPD jest odpowiedzialna za wydawanie rezolucji i przewodników wytycznych, które pomagają podmiotom przetwarzającym dane zrozumieć i wypełnić obowiązki
Czego oczekiwać dla coraz bardziej technologicznej przyszłości
Chociaż ramy regulacyjne posunęły się znacząco od swojego wdrożenia, jest kilka kwestii, które nadal muszą być rozwiązane przez Narodowy Autorytet Ochrony Danych (ANPD) w celu zapewnienia, że egzekwowanie nadal będzie skuteczne
Jednym z tematów w fokusie jest regulacja międzynarodowych transferów danych. W 2022, ANPD uruchomiła konsultację publiczną do stworzenia wytycznych na temat jak dane osobowe mogą być wysyłane na zewnątrz Brazylii. LGPD wymaga, aby takie transfery były robione w sposób zapewniający odpowiednią ochronę danych w innych krajach. Do tego, ANPD musi ustanowić jasne zasady, w tym o krajach w których uważa mieć poziomy ochrony zgodne z ustawodawstwem brazylijskim
Inny punkt, jest regulacja Inteligencji Sztucznej (AI). Do tej pory, prawo brazylijskie nie zajmuje się konkretnie użyciem AI w odniesieniu do ochrony danych. ANPD jest uczestniczącym w dyskusjach Prawa Ustawy nr 2.338/2023, który ma na celu ustanowić ramę prawną dla AI i jest oceniany przez Senat Federalny
Prawnik podkreśla że jednym z najważniejszych punktów jest że firmy ustanawiają środki bezpieczeństwa, techniki i administracyjne, niezbędnych dla ochrony danych osobowych. Te wytyczne mogą zawierać minimalne standardy bezpieczeństwa, użycie szyfrowania, firewalls i polityki dostępu,. Wdrożenie każdej z nich jest sposobem zapobiegania incydentom bezpieczeństwa, jak wycieki danych, i zapewnić że informacje są chronione przed dostępami nieautoryzowanymi
