2024년 8월 14일, 브라질은 개인정보 보호법(LGPD) 제6주년을 기념합니다. 법률은 국가 내 프라이버시와 개인 데이터 보호의 진전을 이뤘습니다. 2018년 8월 14일 승인된 LGPD는 2020년 9월에 발효되었으며, 2021년 8월부터 제재가 적용됩니다.
LGPD는 개인의 이름, CPF, RG, 이메일 및 기타 데이터를 포함하여 개인 또는 법인을 식별하거나 식별 가능하게 하는 모든 정보를 개인 데이터로 정의합니다. LGPD의 주요 목적은 이러한 데이터가 안전하고 투명하게 사용되도록 보장하여 부적절한 사용을 방지하고 시민의 법적 보호와 안전을 확보하는 것입니다.
2021년 5월, LGPD 시행 2년 후, 대법원은 개인정보 보호를 기본권으로 인정하였다. 이 인정은 2022년 2월 연방법 개정안 제115/22를 통해 연방 헌법에 포함되었습니다. 1988년 연방 헌법에 따라 사생활, 프라이버시 및 통신 비밀에 대한 권리는 이미 법제화되었지만, 개인정보 보호는 최근에야 헌법에 포함되기 시작했습니다. 인터넷 기본법과 정보 공개법과 같은 법률은 LGPD 제정에 기여한 중요한 선구자들이었다.
법이 공포된 후, 기업들은 새로운 법률에 맞추기 위해 구체적인 관행을 채택하며 조정해야 했다. 이것은 개인정보 보호 정책 및 절차의 수립, 직원 교육, 정보 보안 기술의 구현을 포함했습니다. LGPD는 위반 시 벌금과 제재를 규정하고 있으며, 이는 이론적으로 기업들이 법을 준수하도록 장려했습니다.
그러나 LGPD는 아직 일부 지역에서는 완전히 준수되지 않고 있습니다. LGPD Brasil 포털이 실시한 조사에 따르면, 의무화에도 불구하고 국내 기업의 16%만이 법률을 준수하고 있습니다. 이것은 이미 법에 대한 어느 정도의 인식을 가지고 있지만 여전히 대도시에 집중되어 있으며, 이 지식을 다른 지역으로 확산시켜야 함을 보여줍니다.
FGV에서 디지털 법률 전문가이자 변호사인 루카스 말도나도 D. 라티니는 LGPD 적응의 가장 큰 어려움 중 하나가 법률에 대한 지식 부족과 그것이 기업의 운영에 어떤 영향을 미치는지에 있다고 지적합니다. 많은 조직들은 아직 법률이 자신의 업무 분야에 적용된다는 것을 모른다. 변호사는 법률이 금융, 교육, 소매업 등 다양한 분야의 기업들을 포괄한다고 지적합니다. 모든 사람은 적응해야 하거나 제재를 받을 수 있습니다.
그에게 데이터 보호에 관한 규정은 여러 법률에 흩어져 있어 이러한 권리의 해석과 적용을 어렵게 만들고 있었다. LGPD에 의해 통합된 법제는 브라질 규제 프레임워크에 명확성과 일관성을 가져왔습니다. 또한, 법률의 감독과 준수를 보장하기 위해 국가 데이터 보호 기관(ANPD)의 설립이 이루어졌다고 그는 말합니다. 오늘날, ANPD는 데이터 처리 담당자가 의무를 이해하고 준수하는 데 도움을 주는 결의안과 지침서를 발행하는 책임이 있습니다.
점점 더 기술적인 미래를 위해 무엇을 기대할 수 있을까요?
비록 규제 프레임워크가 시행 이후 상당히 진전되었지만, 적용이 계속해서 효과적이도록 보장하기 위해 국가 데이터 보호 기관(ANPD)이 해결해야 할 여러 문제들이 여전히 남아 있습니다.
중점 주제 중 하나는 국제 데이터 전송 규제입니다. 2022년에 ANPD는 개인정보를 브라질 외부로 보내는 방법에 대한 지침을 마련하기 위해 공개 상담을 시작했습니다. LGPD는 이러한 이전이 다른 국가에서 적절한 데이터 보호를 보장하는 방식으로 이루어지도록 요구합니다. 이를 위해 ANPD는 명확한 규칙을 수립해야 하며, 브라질 법률과 적합한 보호 수준을 갖춘 것으로 간주하는 국가에 관한 규정도 포함해야 합니다.
또 다른 점은 인공지능(AI)의 규제입니다. 현재까지 브라질 법률은 데이터 보호와 관련된 인공지능 사용에 대해 구체적으로 다루고 있지 않습니다. ANPD는 인공지능에 대한 법적 틀을 마련하기 위한 법안 제2.338/2023의 논의에 참여하고 있으며, 연방 상원에서 평가되고 있습니다.
변호사는 가장 중요한 점 중 하나가 기업이 개인정보 보호를 위해 필요한 보안, 기술 및 행정 조치를 마련하는 것임을 강조합니다. 이 지침에는 최소 보안 표준, 암호화 사용, 방화벽 및 접근 정책이 포함될 수 있습니다. 각각의 구현은 데이터 유출과 같은 보안 사고를 예방하고 정보가 무단 액세스로부터 보호되도록 하는 방법입니다.
