La Legge Generale sulla Protezione dei Dati Personali (LGPD) compie sette anni in Brasile in un contesto in cui la protezione dei dati influisce già su vari aspetti dei settori dell'economia, trasformando il modo in cui i dati personali vengono trattati. Contemporaneamente, la pietra miliare ha stabilito una nuova era di governance, sicurezza e trasparenza nel trattamento delle informazioni personali.
"Più di uno strumento normativo, la LGPD ha consolidato in Brasile un nuovo livello di protezione della privacy, influenzando direttamente le strategie aziendali e la consapevolezza della società sull'uso dei dati personali", afferma Carla do Couto Hellu Battilana, partner nell'area di Cybersecurity & Data Privacy di TozziniFreire Advogados.
Da quando a LGPD foi publicada, tivemos diversas mudanças na forma como o tema da proteção de dados é visto no Brasil. Tra i traguardi più significativi degli ultimi 7 anni c'è la Emenda Constitucional nº 115/2022, che ha riconosciuto la protezione dei dati personali come diritto fondamentale, accanto a garanzie come la libertà di espressione e la dignità umana. Questo riconoscimento ha portato maggiore sicurezza giuridica per cittadini e imprese, oltre a proteggere la legislazione da regressi», spiega Battilana.
Un altro progresso è stato la maturazione nell'applicazione dell'interesse legittimo come base giuridica per il trattamento dei dati, che ha ricevuto chiarimenti aggiuntivi nella Guida pubblicata dall'Autorità Nazionale per la Protezione dei Dati (ANPD). "Stabilendo parametri più chiari, l'ANPD ha contribuito a equilibrare la necessità delle aziende con la tutela dei diritti dei titolari", ha detto Battilana.
La regolamentazione del trasferimento internazionale dei dati ha fatto un altro passo importante. La Risoluzione CD/ANPD n. 19/2024 ha stabilito regole specifiche per le clausole contrattuali standard e le misure tecniche di sicurezza. "Oggi, le aziende dispongono di una serie di regole per garantire che i dati rimangano protetti, indipendentemente dal paese di destinazione", sottolinea Battilana.
Secondo Battilana, la sorveglianza e l'applicazione delle sanzioni da parte dell'ANPD sono diventate più frequenti e strutturate, soprattutto dopo la Risoluzione CD/ANPD n. 4/2023, che ha definito i criteri per la dosimetria delle sanzioni. La presenza più attiva dell'autorità sta elevando la maturità delle organizzazioni e l'efficacia della legge.
La pubblicazione dell'Enunciato CD/ANPD n. 1/2023 ha reso più flessibile l'esigenza del consenso come base legale per il trattamento dei dati di bambini e adolescenti, purché venga rispettato il principio del miglior interesse del minore. "Il cambiamento non riduce la protezione, ma offre alternative legittime per i casi in cui il consenso non sia la strada più appropriata", dice Battilana.
Nel campo della tecnologia, l'ANPD sta assumendo un ruolo di primo piano nelle discussioni sull'intelligenza artificiale, lanciando unsabbieraregolamentare e partecipare attivamente ai dibattiti del Progetto di Legge n. 2.338/2023, che potrebbe renderla la coordinatrice nazionale di governance dell'IA. L'intersezione tra IA e protezione dei dati è inevitabile e richiede un'attenzione particolare affinché l'innovazione cammini di pari passo con la sicurezza e la privacy, valuta Battilana.
Con i progressi nella protezione dei dati, nel paese cresce la consapevolezza sui rischi informatici e l'importanza della segnalazione degli incidenti, misura fondamentale per mitigare i danni. La Risoluzione CD/ANPD n. 1/2024 ha anche contribuito stabilendo protocolli chiari affinché le aziende possano comunicare gli incidenti all'autorità e ai titolari dei dati.
Guardare al futuro della LGPD significa seguire le tendenze come il progresso dell'intelligenza artificiale, l'integrazione degli standard internazionali di protezione dei dati e la sofisticazione delle minacce informatiche. Uno scenario in continua evoluzione che richiede aggiornamenti e impegno di tutti gli attori coinvolti, sottolinea Battilana.
