個人情報保護法(LGPD)は、ブラジルで7周年を迎えました。データ保護は、経済の様々な分野に影響を与え、個人データの扱いを変革しつつあります。同時に、この法律は、個人情報の取り扱いにおける新たなガバナンス、セキュリティ、透明性の時代を切り開きました。
「LGPDは、単なる法的規範を超え、ブラジルにおけるプライバシー保護の水準を一新し、企業戦略や国民の個人データ利用に関する意識に直接的な影響を与えました。」と、TozziniFreire弁護士事務所のサイバーセキュリティ&データプライバシー部門のパートナーであるCarla do Couto Hellu Battilana氏は述べています。
LGPDが公布されて以来、ブラジルにおけるデータ保護に関する見解は大きく変化しました。過去7年間で最も重要な出来事の一つに、憲法115号改正(2022年)があります。この改正は、データ保護を、表現の自由や人間の尊厳といった権利と並列した基本的人権として認めています。「この承認により、市民と企業はより法的安全性を獲得し、法律の退行を防ぐという効果も期待できます」とバティラーナ氏は説明しています。
法的根拠として正当な利益をデータ処理に適用する際の成熟も、新たな進歩でした。これは、ブラジル国民データ保護庁 (ANPD) が公開したガイダンスに、追加の解説が加えられることで促進されました。「より明確な基準を設けることで、ANPD は企業のニーズとデータ主体の権利保護のバランスをとることに貢献しました」と Battilana 氏は述べました。
国際データ転送の規制が、重要な一歩を踏み出しました。CD/ANPD決議第19号/2024号は、標準契約条項と技術的なセキュリティ対策に関する具体的な規則を定めました。「現在、企業は、データが転送先の国に関係なく保護されるように、一連のルールを利用できます」と、Battilana氏は強調しています。
バティラーナ氏によると、ANPDによる監督と制裁の適用は、特に、罰則の算定基準を定めたCD/ANPD決議第4号(2023年)以降、より頻繁かつ組織的に実施されるようになりました。「当局のより積極的な存在は、組織の成熟度と法律の有効性を高めている」と述べています。
CD/ANPD 告示第1号/2023の発表により、児童・生徒のデータ処理における法的根拠としての同意要件が、未成年者の最善の利益原則が尊重される限り、柔軟になりました。「この変更は保護を弱めるものではなく、同意が最適な手段ではない場合に、正当な代替手段を提供するものです」とバティラーナ氏は述べています。
技術分野において、ANPDは、人工知能に関する議論で重要な役割を果たし、発表を行っている。 サンドボックス 規制関連であり、そして、法律案第2,338号/2023号の議論に積極的に参加することにより、IAの国家統括責任者になるかもしれません。「AIとデータ保護の相互関係は避けられず、革新が安全とプライバシーと肩を並べて進むため、より注意を払う必要があります」とバティラーナは評価しています。
データ保護の進化に伴い、同国ではサイバーリスクへの認識と、被害軽減の重要な手段であるインシデント報告の重要性が高まっています。ANPD CD決議第1号2024号も、企業が当局およびデータ所有者に対して発生状況を報告するための明確なプロトコルを確立する上で役立ちました。
LGPDの未来を見ることは、人工知能の進歩、国際的なデータ保護基準の統合、サイバー脅威の巧妙化といったトレンドを追うことを意味する。これは、関係するすべての当事者によるアップデートとコミットメントを必要とする、絶えず変化する状況だ」とバティラーナは強調する。
