Il 14 agosto 2024, il Brasile celebra il 6° anniversario della Legge Generale sulla Protezione dei Dati Personali (LGPD). La legislazione ha segnato il progresso nella protezione della privacy e dei dati personali nel paese. Approvata il 14 agosto 2018, la LGPD è entrata in vigore a settembre 2020, con sanzioni applicabili a partire da agosto 2021.
La LGPD definisce i dati personali come qualsiasi informazione che possa identificare o rendere identificabile una persona fisica o giuridica, come nome, CPF, RG, e-mail e altri dati. La principale finalità della LGPD è garantire che questi dati siano utilizzati in modo sicuro e trasparente, evitando l'uso improprio e assicurando la protezione e la sicurezza giuridica dei cittadini.
A maggio 2021, due anni dopo l'entrata in vigore della LGPD, la Corte Suprema Federale (STF) ha riconosciuto la protezione dei dati personali come un diritto fondamentale. Questo riconoscimento è stato incluso nella Costituzione Federale nel febbraio 2022, attraverso la Emendamento Costituzionale n. 115/22. Con la Costituzione Federale del 1988, i diritti all'intimità, alla privacy e al segreto delle comunicazioni erano già stati sanciti, ma la protezione dei dati personali è entrata a far parte del testo costituzionale solo più recentemente. Le leggi come il Marco Civile di Internet e la Legge sull'Accesso alle Informazioni sono state importanti precursori che hanno contribuito alla formulazione della LGPD.
Dopo l'emanazione della legge, le aziende hanno dovuto adeguarsi alla nuova normativa, adottando pratiche specifiche. Ciò ha comportato la creazione di politiche e procedure sulla privacy, la formazione del personale e l'implementazione di tecnologie di sicurezza delle informazioni. Il LGPD stabilisce multe e sanzioni per la violazione, il che -teoricamente- ha incentivato le aziende a conformarsi alla legge.
Tuttavia, la LGPD non è ancora pienamente rispettata in alcune parti del paese. Un'indagine condotta dal portale LGPD Brasil ha mostrato che, nonostante l'obbligo, solo il 16% delle aziende del paese è conforme alla legge. Ciò rivela che, sebbene abbia già una certa consapevolezza sulla legge, essa è ancora abbastanza concentrata nei grandi centri urbani, ed è necessario portare questa conoscenza in altre regioni del paese.
L'avvocato e specialista in diritto digitale presso la FGV, Lucas Maldonado D. Latini, indica che una delle maggiori difficoltà nell'adeguarsi alla LGPD è la mancanza di conoscenza sulla legge e su come essa influenzi le operazioni delle aziende. Molte organizzazioni ancora non sanno che la legislazione si applica al loro settore di attività. L'avvocato osserva che la legislazione comprende aziende di diversi settori, come finanza, istruzione, vendita al dettaglio, ecc. Tutti devono adeguarsi o sono soggetti a sanzioni.
Per lui, le disposizioni sulla protezione dei dati erano sparse in diverse leggi, rendendo difficile l'interpretazione e l'applicazione di questi diritti. L'unificazione promossa dalla LGPD ha portato chiarezza e coesione al quadro normativo brasiliano. Inoltre, abbiamo assistito alla creazione dell'Autorità Nazionale per la Protezione dei Dati (ANPD) per garantire la supervisione e l'applicazione della legge, commenta. Oggi, l'ANPD è responsabile di emanare risoluzioni e linee guida che aiutano gli agenti del trattamento dei dati a comprendere e adempiere agli obblighi.
Cosa aspettarsi da un futuro sempre più tecnologico?
Sebbene il quadro normativo abbia compiuto notevoli progressi dalla sua attuazione, vi sono ancora diverse questioni che l'Autorità nazionale per la protezione dei dati (ANPD) deve affrontare per garantire che l'applicazione continui a essere efficace.
Uno dei argomenti principali è la regolamentazione dei trasferimenti internazionali di dati. Nel 2022, l'ANPD ha avviato una consultazione pubblica per creare linee guida su come i dati personali possano essere inviati fuori dal Brasile. Il RGPD richiede che tali trasferimenti siano effettuati in modo da garantire la protezione adeguata dei dati in altri paesi. Per questo, l'ANPD deve stabilire regole chiare, inclusi sui paesi in cui considera di avere livelli di protezione compatibili con la legislazione brasiliana.
Un altro punto è la regolamentazione dell'Intelligenza Artificiale (IA). Fino ad ora, la legislazione brasiliana non affronta specificamente l'uso dell'IA in relazione alla protezione dei dati. L'ANPD sta partecipando alle discussioni del Progetto di Legge n. 2.338/2023, che mira a stabilire un quadro legale per l'IA ed è in fase di valutazione dal Senato Federale.
L'avvocato sottolinea che uno dei punti più importanti è che le aziende adottino misure di sicurezza, tecniche e amministrative, necessarie per la protezione dei dati personali. Queste linee guida possono includere standard minimi di sicurezza, utilizzo di crittografia, firewall e politiche di accesso. L'implementazione di ciascuna di esse è una forma di prevenire incidenti di sicurezza, come perdite di dati, e garantire che le informazioni siano protette contro accessi non autorizzati.
