14 अगस्त 2024 को, ब्राज़ील व्यक्तिगत डेटा संरक्षण कानून (LGPD) के 6वें वर्षगांठ का जश्न मनाता है। कानून ने देश में गोपनीयता और व्यक्तिगत डेटा की सुरक्षा में प्रगति को चिह्नित किया। 14 अगस्त 2018 को स्वीकृत, LGPD सितंबर 2020 में लागू हुई, और इसके प्रावधान अगस्त 2021 से लागू होंगे।
LGPD व्यक्तिगत डेटा को किसी भी ऐसी जानकारी के रूप में परिभाषित करता है जो किसी व्यक्ति या कानूनी व्यक्ति की पहचान कर सके या पहचान योग्य बना सके, जैसे नाम, CPF, RG, ईमेल और अन्य डेटा। LGPD का मुख्य उद्देश्य इन डेटा का सुरक्षित और पारदर्शी तरीके से उपयोग सुनिश्चित करना है, अनुचित उपयोग से बचाना और नागरिकों के कानूनी संरक्षण और सुरक्षा सुनिश्चित करना।
मई 2021 में, LGPD के कार्यान्वयन के दो साल बाद, सुप्रीम कोर्ट ऑफ़ ब्राज़ील (STF) ने व्यक्तिगत डेटा संरक्षण को एक मौलिक अधिकार के रूप में मान्यता दी। यह मान्यता फरवरी 2022 में संघीय संविधान में संशोधन संख्या 115/22 के माध्यम से शामिल की गई थी। 1988 के संघीय संविधान के साथ, गोपनीयता, निजता और संचार की गोपनीयता के अधिकार पहले ही स्थापित हो चुके थे, लेकिन व्यक्तिगत डेटा की सुरक्षा केवल हाल ही में संविधान के पाठ का हिस्सा बनी है। इंटरनेट के मारको सिविल और सूचना पहुंच कानून जैसे कानून महत्वपूर्ण अग्रदूत थे जिन्होंने LGPD के निर्माण में योगदान दिया।
कानून के promulgation के बाद, कंपनियों को नई कानून के अनुसार अपने आप को समायोजित करना पड़ा, विशिष्ट प्रथाओं को अपनाते हुए। इसमें गोपनीयता नीतियों और प्रक्रियाओं का निर्माण, कर्मचारियों का प्रशिक्षण और सूचना सुरक्षा प्रौद्योगिकियों का कार्यान्वयन शामिल था। LGPD उल्लंघन के लिए जुर्माने और दंड निर्धारित करता है, जिसने सैद्धांतिक रूप से कंपनियों को कानून का पालन करने के लिए प्रेरित किया।
हालांकि, LGPD अभी भी देश के कुछ हिस्सों में पूरी तरह से लागू नहीं हुई है। LGPD Brasil पोर्टल द्वारा किए गए एक सर्वेक्षण में पाया गया कि, आवश्यकतानुसार होने के बावजूद, देश की केवल 16% कंपनियां कानून का पालन कर रही हैं। यह दर्शाता है कि, यद्यपि उसके पास कानून के बारे में कुछ जागरूकता है, फिर भी यह मुख्य रूप से बड़े शहरी केंद्रों में ही केंद्रित है, और इस ज्ञान को देश के अन्य क्षेत्रों में भी पहुंचाना आवश्यक है।
एफजीवी से डिजिटल कानून में विशेषज्ञ और वकील लुकास मॉल्डोनाडो डी. लाटिनी का कहना है कि LGPD के अनुपालन में सबसे बड़ी कठिनाइयों में से एक कानून के बारे में जानकारी की कमी और यह कैसे कंपनियों के संचालन को प्रभावित करता है। कई संगठन अभी भी नहीं जानते कि कानून उनके कार्यक्षेत्र पर लागू होता है। वकील नोट करता है कि कानून विभिन्न क्षेत्रों की कंपनियों को शामिल करता है, जैसे वित्त, शिक्षा, खुदरा आदि। हर किसी को अनुकूलित करना आवश्यक है या उन्हें दंड का सामना करना पड़ सकता है।
उसके लिए, डेटा संरक्षण से संबंधित प्रावधान विभिन्न कानूनों में बिखरे हुए थे, जिससे इन अधिकारों की व्याख्या और कार्यान्वयन में कठिनाई होती थी। "LGPD द्वारा प्रायोजित एकीकरण ने ब्राज़ीलियाई नियामक ढांचे में स्पष्टता और सुसंगतता लाई है। इसके अलावा, डेटा संरक्षण राष्ट्रीय प्राधिकरण (ANPD) का निर्माण किया गया है ताकि निरीक्षण और कानून का पालन सुनिश्चित किया जा सके," वह टिप्पणी करता है। आज, ANPD डेटा प्रोसेसिंग एजेंटों को समझने और कर्तव्यों का पालन करने में मदद करने वाले निर्देश और मार्गदर्शक दिशानिर्देश जारी करने के लिए जिम्मेदार है।
भविष्य में और अधिक तकनीकी होने की क्या उम्मीदें हैं?
हालांकि नियामक ढांचा अपनी स्थापना के बाद से काफी प्रगति कर चुका है, लेकिन डेटा संरक्षण राष्ट्रीय प्राधिकरण (ANPD) द्वारा अभी भी कई मुद्दों को संबोधित करने की आवश्यकता है ताकि अनुप्रयोग प्रभावी बना रहे।
एक मुख्य विषय अंतरराष्ट्रीय डेटा ट्रांसफर के नियम हैं। 2022 में, ANPD ने व्यक्तिगत डेटा को ब्राजील के बाहर भेजने के तरीके पर दिशानिर्देश बनाने के लिए एक सार्वजनिक परामर्श शुरू किया। LGPD यह सुनिश्चित करने के लिए कि इन स्थानांतरणों को इस तरह से किया जाए कि अन्य देशों में डेटा की उचित सुरक्षा सुनिश्चित हो सके। इसके लिए, ANPD को स्पष्ट नियम स्थापित करने की आवश्यकता है, जिसमें उन देशों के बारे में भी शामिल है जिनके बारे में माना जाता है कि उनके संरक्षण स्तर ब्राज़ीलियाई कानून के साथ मेल खाते हैं।
एक और बिंदु है, कृत्रिम बुद्धिमत्ता (एआई) का विनियमन। अब तक, ब्राज़ीलियन कानून डेटा संरक्षण के संदर्भ में AI के उपयोग को विशेष रूप से नहीं संबोधित करता है। ए ANPD आईए के लिए एक कानूनी ढांचा स्थापित करने वाले विधेयक संख्या 2.338/2023 के चर्चा में भाग ले रहा है, जिसे फेडरल सेंसट द्वारा मूल्यांकित किया जा रहा है।
वकील ने यह उजागर किया कि सबसे महत्वपूर्ण बातों में से एक यह है कि कंपनियां व्यक्तिगत डेटा की सुरक्षा के लिए आवश्यक सुरक्षा, तकनीकी और प्रशासनिक उपाय स्थापित करें। इन दिशानिर्देशों में न्यूनतम सुरक्षा मानकों, एन्क्रिप्शन का उपयोग, फायरवॉल और पहुंच नीतियों को शामिल किया जा सकता है। इनमें से प्रत्येक का कार्यान्वयन सुरक्षा घटनाओं को रोकने का एक तरीका है, जैसे डेटा लीक, और सुनिश्चित करना कि जानकारी अनधिकृत पहुंच से सुरक्षित हो।
