Le 14 août 2024, le Brésil célèbre le 6e anniversaire de la Loi Générale sur la Protection des Données Personnelles (LGPD). La législation a marqué une avancée dans la protection de la vie privée et des données personnelles dans le pays. Aprobée le 14 août 2018, la LGPD est entrée en vigueur en septembre 2020, avec des sanctions applicables à partir d'août 2021.
A LGPD define os dados pessoais como qualquer informação que possa identificar ou tornar identificável uma pessoa física ou jurídica, como nome, CPF, RG, e-mail e demais dados. La principale finalité de la LGPD est de garantir que ces données soient utilisées de manière sûre et transparente, en évitant l'utilisation abusive et en assurant la protection et la sécurité juridique des citoyens.
En mai 2021, deux ans après l'entrée en vigueur de la LGPD, la Cour suprême fédérale (STF) a reconnu la protection des données personnelles comme un droit fondamental. Cette reconnaissance a été intégrée dans la Constitution fédérale en février 2022, par la Constitutionnelle n° 115/22. Avec la Constitution fédérale de 1988, les droits à l'intimité, à la vie privée et au secret des communications avaient déjà été consacrés, mais la protection des données personnelles n'a été intégrée au texte constitutionnel que plus récemment. Leis como o Marco Civil da Internet e a Lei de Acesso à Informação foram importantes precursoras que contribuíram para a formulação da LGPD.
Après la promulgation de la loi, les entreprises ont dû s'adapter à la nouvelle législation en adoptant des pratiques spécifiques. Cela a impliqué la création de politiques et de procédures de confidentialité, la formation du personnel et la mise en œuvre de technologies de sécurité de l'information. A LGPD estabelece multas e sanções pelo não cumprimento, o que -teoricamente- incentivou as empresas a se conformarem com a lei.
Cependant, la LGPD n'est pas encore pleinement respectée dans certaines régions du pays. Une enquête menée par le portail LGPD Brasil a montré que, même avec l'obligation, seulement 16 % des entreprises du pays sont conformes à la loi. Cela révèle que, bien qu'elle ait déjà une certaine conscience de la loi, elle reste encore principalement concentrée dans les grands centres urbains, et il est nécessaire de diffuser cette connaissance dans d'autres régions du pays.
L'avocat et spécialiste en droit numérique de la FGV, Lucas Maldonado D. Latini, souligne que l'une des plus grandes difficultés pour la conformité à la LGPD réside dans le manque de connaissance de la loi et de la manière dont elle affecte les opérations des entreprises. De nombreuses organisations ne savent pas encore que la législation s'applique à leur secteur d'activité. L'avocat remarque que la législation couvre des entreprises de divers secteurs, tels que la finance, l'éducation, la vente au détail, etc. Tous doivent se conformer ou sont soumis à des sanctions.
Pour lui, les dispositions concernant la protection des données étaient dispersées dans plusieurs lois, rendant l'interprétation et l'application de ces droits plus difficiles. « La unification promue par la LGPD a apporté clarté et cohérence au cadre réglementaire brésilien. De plus, nous avons assisté à la création de l'Autorité Nationale de Protection des Données (ANPD) pour assurer la surveillance et le respect de la loi », commente-t-il. Aujourd'hui, l'ANPD est responsable de l'émission de résolutions et de guides d'orientation qui aident les responsables du traitement des données à comprendre et à respecter leurs obligations.
À quoi faut-il s’attendre dans un avenir de plus en plus technologique ?
Bien que le cadre réglementaire ait considérablement progressé depuis sa mise en œuvre, plusieurs questions doivent encore être traitées par l’Autorité nationale de protection des données (ANPD) pour garantir que l’application continue d’être efficace.
Un des sujets en focus est la réglementation des transferts internationaux de données. En 2022, l'ANPD a lancé une consultation publique pour établir des lignes directrices sur la manière dont les données personnelles peuvent être envoyées hors du Brésil. A LGPD exige que essas transferências sejam feitas de forma a garantir a proteção adequada dos dados em outros países. Pour cela, l'ANPD doit établir des règles claires, y compris sur les pays qu'elle considère comme ayant des niveaux de protection compatibles avec la législation brésilienne.
Un autre point concerne la réglementation de l'intelligence artificielle (IA). Pour le moment, la législation brésilienne n'aborde pas spécifiquement l'utilisation de l'IA en ce qui concerne la protection des données. A ANPD participe aux discussions du Projet de loi n° 2.338/2023, qui vise à établir un cadre juridique pour l'IA et est en cours d'évaluation par le Sénat fédéral.
L'avocat souligne que l'un des points les plus importants est que les entreprises mettent en place des mesures de sécurité, techniques et administratives, nécessaires à la protection des données personnelles. Ces directives peuvent inclure des normes minimales de sécurité, l'utilisation de cryptographie, des pare-feu et des politiques d'accès. La mise en œuvre de chacune d'elles est une façon de prévenir les incidents de sécurité, tels que les fuites de données, et de garantir que les informations soient protégées contre les accès non autorisés.
