Das Allgemeine Datenschutzgesetz (LGPD) feiert in Brasilien sein siebtes Jahr, in einem Kontext, in dem der Datenschutz bereits in verschiedenen Wirtschaftsbereichen Einfluss nimmt und die Art und Weise verändert, wie personenbezogene Daten verarbeitet werden. Gleichzeitig hat der Rahmen eine neue Ära der Governance, Sicherheit und Transparenz im Umgang mit personenbezogenen Daten eingeleitet.
„Mehr als ein normatives Instrument hat die LGPD in Brasilien eine neue Ebene des Datenschutzes etabliert, die direkt die Unternehmensstrategien und das Bewusstsein der Gesellschaft für die Nutzung persönlicher Daten beeinflusst“, erklärt Carla do Couto Hellu Battilana, Partnerin im Bereich Cybersecurity & Data Privacy bei TozziniFreire Advogados.
Seit der Veröffentlichung des LGPD haben sich die Sichtweise auf den Datenschutz in Brasilien erheblich verändert. Zu den bedeutendsten Meilensteinen in den letzten sieben Jahren gehört die Verfassungsänderung Nr. 115/2022, die den Schutz personenbezogener Daten als Grundrecht anerkannt hat, neben Garantien wie Meinungsfreiheit und Menschenwürde. Diese Anerkennung brachte mehr Rechtssicherheit für Bürger und Unternehmen und schützte die Gesetzgebung vor Rückschritten, erklärt Battilana.
Ein weiterer Fortschritt war die Reifung bei der Anwendung des berechtigten Interesses als rechtliche Grundlage für die Datenverarbeitung, die durch zusätzliche Klarstellungen im Leitfaden der Nationalen Datenschutzbehörde (ANPD) unterstützt wurde. „Durch die Festlegung klarerer Parameter hat die ANPD dazu beigetragen, die Bedürfnisse der Unternehmen mit dem Schutz der Rechte der Betroffenen in Einklang zu bringen“, sagte Battilana.
Die Regulierung des internationalen Datentransfers markierte einen weiteren wichtigen Schritt. Die Resolution CD/ANPD Nr. 19/2024 hat spezifische Regeln für Standardvertragsklauseln und technische Sicherheitsmaßnahmen festgelegt. „Heute verfügen die Unternehmen über eine Reihe von Regeln, um sicherzustellen, dass die Daten geschützt bleiben, unabhängig vom Zielland“, betont Battilana.
Laut Battilana sind die Überwachung und Durchsetzung von Sanktionen durch die ANPD häufiger und strukturierter geworden, vor allem nach der Resolution CD/ANPD Nr. 4/2023, die Kriterien für die Bemessung der Strafen festlegte. Die aktivere Präsenz der Behörde erhöht die Reife der Organisationen und die Wirksamkeit des Gesetzes.
Die Veröffentlichung des Leitfadens CD/ANPD Nr. 1/2023 hat die Anforderung der Zustimmung als rechtliche Grundlage für die Verarbeitung von Daten von Kindern und Jugendlichen gelockert, vorausgesetzt, das Prinzip des besten Interesses des Minderjährigen wird respektiert. „Die Veränderung verringert den Schutz nicht, sondern bietet legitime Alternativen für Fälle, in denen die Zustimmung nicht der geeignetste Weg ist“, sagt Battilana.
Im Bereich der Technologie gewinnt die ANPD in den Diskussionen über künstliche Intelligenz an Bedeutung, indem sie eine launchtSandkastenregulatorisch und aktiv an den Diskussionen des Gesetzesentwurfs Nr. 2.338/2023 teilnehmen, der sie zur nationalen Koordinatorin für KI-Governance machen könnte. „Die Schnittstelle zwischen KI und Datenschutz ist unvermeidlich und erfordert erhöhte Aufmerksamkeit, damit Innovation Hand in Hand mit Sicherheit und Privatsphäre geht“, bewertet Battilana.
Mit den Fortschritten beim Datenschutz steigt im Land das Bewusstsein für Cyberrisiken und die Bedeutung der Meldung von Vorfällen, eine entscheidende Maßnahme zur Schadensbegrenzung. Die Resolution CD/ANPD Nr. 1/2024 hat auch dazu beigetragen, klare Protokolle festzulegen, damit Unternehmen Vorfälle an die Behörde und die Betroffenen melden können.
Der Blick in die Zukunft des LGPD bedeutet, Trends wie den Fortschritt der künstlichen Intelligenz, die Integration internationaler Datenschutzstandards und die Raffinesse der Cyber-Bedrohungen zu verfolgen. Ein sich ständig weiterentwickelndes Szenario, das Aktualisierung und Engagement aller beteiligten Akteure erfordert, betont Battilana.
