Am 14. August 2024 feiert Brasil den 6. Jahrestag des Allgemeinen Datenschutzgesetzes (LGPD). Die Gesetzgebung markierte den Fortschritt beim Schutz der Privatsphäre und der persönlichen Daten im Land. Am 14. August 2018 genehmigt, tratierte die LGPD im September 2020 in Kraft, mit Sanktionen ab August 2021.
Die LGPD definiert personenbezogene Daten als alle Informationen, die eine natürliche oder juristische Person identifizieren oder identifizierbar machen können, wie Name, CPF, RG, E-Mail und andere Daten. Das Hauptziel des LGPD ist es sicherzustellen, dass diese Daten sicher und transparent verwendet werden, um Missbrauch zu vermeiden und den Schutz sowie die rechtliche Sicherheit der Bürger zu gewährleisten.
Im Mai 2021, zwei Jahre nach der Verabschiedung des LGPD, erkannte das Oberste Bundesgericht (STF) den Schutz personenbezogener Daten als ein Grundrecht an. Diese Anerkennung wurde im Februar 2022 in die Bundesverfassung aufgenommen, durch die Verfassungsänderung Nr. 115/22. Mit der Verfassung von 1988 wurden die Rechte auf Privatsphäre, Datenschutz und Vertraulichkeit der Kommunikation bereits verankert, aber der Schutz personenbezogener Daten wurde erst vor Kurzem in den Verfassungstext aufgenommen. Gesetze wie das Marco Civil da Internet und das Gesetz zum Zugang zu Informationen waren wichtige Vorläufer, die zur Ausarbeitung des LGPD beigetragen haben.
Nach der Verkündung des Gesetzes mussten die Unternehmen sich an die neue Gesetzgebung anpassen und spezifische Praktiken übernehmen. Dies umfasste die Erstellung von Datenschutzrichtlinien und -verfahren, Mitarbeiterschulungen und die Implementierung von Informationssicherheitstechnologien. Die LGPD sieht Bußgelder und Sanktionen bei Verstößen vor, was -theoretisch- die Unternehmen dazu motiviert hat, die Vorschriften einzuhalten.
Dennoch wird die LGPD in einigen Teilen des Landes noch nicht vollständig umgesetzt. Eine Umfrage des Portals LGPD Brasil zeigte, dass trotz der Verpflichtung nur 16 % der Unternehmen im Land die Vorschriften einhalten. Dies zeigt, dass obwohl bereits ein gewisses Bewusstsein für das Gesetz besteht, es sich noch stark auf große städtische Zentren konzentriert, und es notwendig ist, dieses Wissen in andere Regionen des Landes zu tragen.
Der Anwalt und Spezialist für digitales Recht an der FGV, Lucas Maldonado D. Latini, weist darauf hin, dass eine der größten Schwierigkeiten bei der Anpassung an die LGPD im Mangel an Kenntnissen über das Gesetz und dessen Auswirkungen auf die Geschäftsabläufe liegt. Viele Organisationen wissen noch nicht, dass die Gesetzgebung in ihrem Tätigkeitsbereich gilt. Der Anwalt stellt fest, dass die Gesetzgebung Unternehmen aus verschiedenen Sektoren umfasst, wie Finanzen, Bildung, Einzelhandel usw. Jeder muss sich anpassen oder ist Sanktionen ausgesetzt.
Für ihn waren die Bestimmungen zum Datenschutz in verschiedenen Gesetzen verstreut, was die Interpretation und Anwendung dieser Rechte erschwerte. Die durch die LGPD geförderte Vereinheitlichung brachte Klarheit und Kohärenz in den brasilianischen Rechtsrahmen. Außerdem wurde die Nationale Datenschutzbehörde (ANPD) eingerichtet, um die Überwachung und Einhaltung des Gesetzes zu gewährleisten, kommentiert er. Heute ist die ANPD verantwortlich für die Ausstellung von Beschlüssen und Orientierungshilfen, die den Datenverarbeitern helfen, die Verpflichtungen zu verstehen und einzuhalten.
Was erwartet uns in einer zunehmend technologischen Zukunft?
Obwohl der Regulierungsrahmen seit seiner Einführung deutliche Fortschritte gemacht hat, gibt es noch einige Probleme, die von der Nationalen Datenschutzbehörde (ANPD) gelöst werden müssen, um sicherzustellen, dass die Durchsetzung weiterhin wirksam bleibt.
Eines der Schwerpunktthemen ist die Regulierung internationaler Datenübertragungen. Im Jahr 2022 hat die ANPD eine öffentliche Konsultation gestartet, um Richtlinien darüber zu erstellen, wie personenbezogene Daten ins Ausland übertragen werden können. Die LGPD verlangt, dass diese Übermittlungen so erfolgen, dass der angemessene Schutz der Daten in anderen Ländern gewährleistet ist. Dazu muss die ANPD klare Regeln festlegen, einschließlich bezüglich der Länder, die sie als Länder mit Schutzniveaus betrachtet, die mit der brasilianischen Gesetzgebung vereinbar sind.
Ein weiterer Punkt ist die Regulierung der Künstlichen Intelligenz (KI). Bislang behandelt die brasilianische Gesetzgebung den Einsatz von KI im Zusammenhang mit dem Datenschutz nicht ausdrücklich. Die ANPD nimmt an den Diskussionen des Gesetzesentwurfs Nr. 2.338/2023 teil, der einen rechtlichen Rahmen für KI schaffen soll und vom BundesSenat geprüft wird.
Der Anwalt hebt hervor, dass einer der wichtigsten Punkte darin besteht, dass die Unternehmen Sicherheitsmaßnahmen, technische und administrative, ergreifen, die zum Schutz der personenbezogenen Daten erforderlich sind. Diese Richtlinien können Mindeststandards für Sicherheit, den Einsatz von Verschlüsselung, Firewalls und Zugriffspolitiken umfassen. Die Implementierung jeder einzelnen ist eine Möglichkeit, Sicherheitsvorfälle wie Datenlecks zu verhindern und sicherzustellen, dass die Informationen vor unbefugtem Zugriff geschützt sind.
