Den 14 augusti 2024, Brasilien firar 6-årsjubileet av den allmänna lagen om skydd av personuppgifter (LGPD). Lagstiftningen markerade framsteg i skyddet av privatlivet och personuppgifter i landet. Godkänd den 14 augusti 2018, LGPD trädde i kraft i september 2020, med sanktioner som gäller från och med augusti 2021.
LGPD definierar personuppgifter som all information som kan identifiera eller göra en fysisk eller juridisk person identifierbar, som som, CPF, RG, e-post och övriga uppgifter. Huvudsyftet med LGPD är att säkerställa att dessa uppgifter används på ett säkert och transparent sätt, undvika missbruk och säkerställa skydd och rättssäkerhet för medborgarna
I maj 2021, två år efter antagandet av LGPD, Högsta domstolen (STF), erkände skyddet av personuppgifter som en grundläggande rättighet. Denna erkännande inkluderades i den federala konstitutionen i februari 2022, através da Emenda Constitucional Nº 115/22. Med den federala konstitutionen från 1988, rättigheterna till privatliv, privatliv och sekretess för kommunikationer hade redan blivit positivt bekräftade, mer skydd av personuppgifter har nyligen blivit en del av konstitutionstexten. Lag som Marco Civil da Internet och lagen om tillgång till information var viktiga föregångare som bidrog till utformningen av LGPD
Efter antagandet av lagen, företagen behövde anpassa sig till den nya lagstiftningen, genom att anta specifika metoder. Det innebar skapandet av sekretesspolicyer och procedurer, utbildning av anställda och implementering av informationssäkerhetstekniker. LGPD fastställer böter och sanktioner för överträdelse, vad -teoretiskt- uppmuntrade företagen att följa lagen
Emellertid, LGPD är fortfarande inte fullt efterlevd i vissa delar av landet. En undersökning utförd av portalen LGPD Brasil visade att, även med obligatoriet, bara 16% av företagen i landet följer lagen. Detta avslöjar att, även om det redan finns en viss medvetenhet om lagen, hon är fortfarande ganska koncentrerad i stora stadsområden, och det är nödvändigt att föra denna kunskap till andra regioner i landet
Advokaten och specialist inom digital rätt vid FGV, Lucas Maldonado D. Latiner, pekar att en av de största svårigheterna för anpassningen till LGPD är bristen på kunskap om lagen och hur den påverkar företagens verksamhet. Många organisationer vet fortfarande inte att lagstiftningen gäller för deras verksamhetsområde. Advokaten påpekar att lagstiftningen omfattar företag från olika sektorer, som ekonomi, utbildning, detaljhandel osv. Alla måste anpassa sig eller riskera sanktioner
För honom, bestämmelserna om dataskydd var spridda i olika lagar, svårigheter att tolka och tillämpa dessa rättigheter. Den enhet som främjades av LGPD har gett klarhet och sammanhang till den brasilianska regleringsramen. Dessutom, vi skapandet av den nationella dataskyddsmyndigheten (ANPD) för att säkerställa tillsyn och efterlevnad av lagen, kommentera. Idag, ANPD är ansvarig för att utfärda resolutioner och vägledande dokument som hjälper databehandlare att förstå och uppfylla sina skyldigheter
Vad man kan förvänta sig av en alltmer teknologisk framtid
Även om den regulatoriska ramen har avancerat betydligt sedan dess införande, det finns flera frågor som fortfarande behöver tas upp av den nationella dataskyddsmyndigheten (ANPD) för att säkerställa att tillämpningen fortsätter att vara effektiv
Ett av de centrala ämnena är regleringen av internationella datatransfereringar. År 2022, ANPD har lanserat en offentlig konsultation för att skapa riktlinjer om hur personuppgifter kan skickas utanför Brasilien. LGPD kräver att dessa överföringar görs på ett sätt som säkerställer adekvat skydd av data i andra länder. För detta, ANPD måste fastställa tydliga regler, inklusive om länder som anses ha skyddsnivåer som är förenliga med brasiliansk lagstiftning
En annan punkt, det är regleringen av artificiell intelligens (AI). Fram till nu, den brasilianska lagstiftningen tar inte specifikt upp användningen av AI i förhållande till dataskydd. ANPD deltar i diskussionerna om lagförslag nr 2.338/2023, som syftar till att etablera en rättslig ram för AI och utvärderas av den federala senaten
Advokaten framhäver att en av de viktigaste punkterna är att företagen ska införa säkerhetsåtgärder, tekniska och administrativa, nödvändiga för skyddet av personuppgifter. Dessa riktlinjer kan inkludera minimikrav på säkerhet, användning av kryptografi, brandväggar och åtkomstpolicyer,. Implementeringen av var och en av dem är ett sätt att förebygga säkerhetsincidenter, som läckor av data, och säkerställa att informationen är skyddad mot obehörig åtkomst
