14. elokuuta 2024 Brasil juhlii henkilötietojen yleistä suojauslakia (LGPD) kuudetta vuosipäivää. Lainsäädäntö on edistänyt yksityisyyden ja henkilötietojen suojelua maassa. Hyväksytty 14. elokuuta 2018, LGPD tuli voimaan syyskuussa 2020, ja seuraamukset alkoivat olla voimassa elokuussa 2021.
LGPD määrittelee henkilötiedoiksi kaiken tiedon, joka voi tunnistaa tai tehdä tunnistettavaksi fyysisen tai oikeushenkilön, kuten nimi, CPF, RG, sähköposti ja muut tiedot. LGPD:n pääasiallinen tarkoitus on varmistaa, että nämä tiedot käytetään turvallisesti ja läpinäkyvästi, välttäen väärinkäyttöä ja taaten kansalaisten oikeudellinen suoja ja turvallisuus.
Toukohtikuussa 2021, kaksi vuotta LGPD:n voimaantulon jälkeen, korkeimman oikeuden (STF) tuomioistuin tunnusti henkilötietojen suojan perusoikeudeksi. Tämä tunnustus sisällytettiin liittovaltion perustuslakiin helmikuussa 2022, perustuslakiuudistuksella nro 115/22. Vuoden 1988 perustuslain kanssa yksityisyyden, yksityisyyden ja viestinnän salaisuuden oikeudet oli jo vahvistettu laissa, mutta henkilötietojen suoja tuli osaksi perustuslakia vasta myöhemmin. Käytännöt kuten Internetin Marco Civil ja Tiedonsaantilaki olivat tärkeitä edelläkävijöitä, jotka osaltaan vaikuttivat LGPD:n muotoiluun.
Lain voimaantulaisen jälkeen yritysten oli sopeuduttava uuteen lainsäädäntöön omaksumalla erityisiä käytäntöjä. Se siihen liittyi tietosuojakäytäntöjen ja -menettelyjen laatiminen, henkilöstön kouluttaminen ja tietoturvateknologioiden käyttöönotto. LGPD määrää sakkoja ja rangaistuksia noudattamatta jättämisestä, mikä teoreettisesti kannusti yrityksiä noudattamaan lakia.
Kuitenkin LGPD:tä ei vielä täysin noudateta joissakin osissa maata. LGPD Brasil -portaalin tekemän tutkimuksen mukaan, vaikka se onkin pakollinen, vain 16 % maan yrityksistä noudattaa lakia. Tämä paljastaa, että vaikka hänellä on jo jonkin verran tietoisuutta laista, hän on silti melko keskittynyt suuriin kaupunkikeskuksiin, ja tämä tietoisuus on vietävä muihin maan alueisiin.
Oikeudenkäyttäjä ja digitaalisen oikeuden asiantuntija FGV:ltä, Lucas Maldonado D. Latini, toteaa, että yksi suurimmista vaikeuksista LGPD:hen sopeutumisessa on tiedon puute laista ja siitä, miten se vaikuttaa yritysten toimintaan. Monet organisaatiot eivät vielä tiedä, että lainsäädäntö koskee heidän toimialaansa. Lakimies huomauttaa, että lainsäädäntö kattaa yrityksiä eri toimialoilta, kuten rahoitus, koulutus, vähittäiskauppa jne. Kaikkien on sopeuduttava tai heitä voidaan rangaista.
Hänelle tietosuojamääräykset olivat hajallaan eri laeissa, mikä vaikeutti näiden oikeuksien tulkintaa ja soveltamista. LGPD:n edistäminen yhdisti Brasilian sääntelykehikon selkeyteen ja johdonmukaisuuteen. Lisäksi perustettiin Kansallinen tietosuojaviranomainen (ANPD) valvomaan lain noudattamista ja valvontaa, hän kommentoi. Tänään ANPD on vastuussa päätösten ja ohjaavien ohjeiden antamisesta, jotka auttavat tietojen käsittelijöitä ymmärtämään ja noudattamaan velvoitteitaan.
Mitä odottaa yhä teknologisemmasta tulevaisuudesta?
Vaikka sääntelykehys on edistynyt merkittävästi sen käyttöönoton jälkeen, on useita kysymyksiä, jotka Kansallinen tietosuojaviranomainen (ANPD) tarvitsee vielä käsitellä varmistaakseen, että soveltaminen pysyy tehokkaana.
Yksi keskeisistä aiheista on kansainvälisten tietojen siirtojen sääntely. Vuonna 2022 ANPD julkaisi julkisen kuulemisen luodakseen ohjeita siitä, miten henkilötietoja voidaan lähettää Brasilian ulkopuolelle. LGPD vaatii, että nämä siirrot tehdään tavalla, joka varmistaa asianmukaisen tietosuojan muissa maissa. Tämän vuoksi ANPD:n on asetettava selkeät säännöt, mukaan lukien maat, joissa se katsoo olevan suojan tasot yhteensopivia brasilialaisen lainsäädännön kanssa.
Toinen kohta on tekoälyn (AI) sääntely. Tähän mennessä brasilian lainsäädäntö ei käsittele erityisesti tekoälyn käyttöä tietosuojan osalta. ANPD osallistuu lakiehdotus nro 2.338/2023 keskusteluihin, jonka tavoitteena on luoda oikeudellinen kehys tekoälylle, ja sitä arvioi liittovaltion senaatti.
Asianajaja korostaa, että yksi tärkeimmistä kohdista on, että yritykset ottavat käyttöön tarvittavat tekniset ja hallinnolliset turvallisuustoimenpiteet henkilötietojen suojaamiseksi. Näitä ohjeita voivat olla vähimmäisturvastandardit, salauksen käyttö, palomuurit ja pääsynhallintapolitiikat. Jokaisen niiden toteuttaminen on tapa ehkäistä tietoturvaloukkauksia, kuten tietovuotoja, ja varmistaa, että tiedot ovat suojattuja luvattomalta pääsyltä.
