Brazilijoje Bendrasis asmens duomenų apsaugos įstatymas (LGPD) galioja septynerius metus – tuo metu, kai duomenų apsauga jau daro įtaką įvairiems ekonomikos sektoriams ir keičia asmens duomenų tvarkymo būdą. Tuo pačiu metu šis svarbus žingsnis žymi naują asmens informacijos tvarkymo valdymo, saugumo ir skaidrumo erą.
„LGPD yra ne tik reguliavimo priemonė, bet ir nustatė naują privatumo apsaugos lygį Brazilijoje, tiesiogiai paveikdamas įmonių strategijas ir visuomenės informuotumą apie asmens duomenų naudojimą“, – teigia Carla do Couto Hellu Battilana, „TozziniFreire Advogados“ kibernetinio saugumo ir duomenų privatumo praktikos partnerė.
Nuo LGPD paskelbimo Brazilijoje įvyko keletas duomenų apsaugos vertinimo pokyčių. Vienas iš svarbiausių pastarųjų septynerių metų etapų yra Konstitucijos pataisa Nr. 115/2022, kuria asmens duomenų apsauga pripažinta pagrindine teise, kartu su tokiomis garantijomis kaip saviraiškos laisvė ir žmogaus orumas. „Šis pripažinimas suteikė piliečiams ir įmonėms didesnį teisinį tikrumą, be to, apsaugojo teisės aktus nuo kliūčių“, – aiškina Battilana.
Dar vienas žingsnis į priekį – teisėto intereso, kaip duomenų tvarkymo teisinio pagrindo, taikymo brandinimas, kuris dabar apima papildomus paaiškinimus Nacionalinės duomenų apsaugos institucijos (ANPD) paskelbtame vadove. „Nustatydama aiškesnius parametrus, ANPD padėjo subalansuoti įmonių poreikius ir duomenų subjektų teisių apsaugą“, – teigė Battilana.
Dar vienas svarbus žingsnis buvo tarptautinių duomenų perdavimo reguliavimas. Rezoliucija CD/ANPD Nr. 19/2024 nustatė konkrečias standartinių sutarčių sąlygų ir techninių saugumo priemonių taisykles. „Šiandien įmonės vadovaujasi daugybe taisyklių, siekdamos užtikrinti duomenų apsaugą, nepriklausomai nuo paskirties šalies“, – pabrėžia Battilana.
Pasak Battilanos, ANPD vykdoma sankcijų priežiūra ir vykdymas tapo dažnesnis ir struktūriškesnis, ypač po rezoliucijos CD/ANPD Nr. 4/2023, kurioje buvo apibrėžti baudų skyrimo kriterijai. „Aktyvesnis šios institucijos dalyvavimas didina organizacijų brandą ir įstatymų veiksmingumą.“
Paskelbus CD/ANPD nutarimą Nr. 1/2023, sušvelnintas sutikimo reikalavimas kaip teisinis pagrindas tvarkyti vaikų ir paauglių duomenis, jei laikomasi vaiko interesų principo. „Šis pakeitimas nesumažina apsaugos, bet siūlo teisėtas alternatyvas tais atvejais, kai sutikimas nėra tinkamiausias būdas“, – teigia Battilana.
Technologijų srityje ANPD įgijo svarbos diskusijose apie dirbtinį intelektą, paleido bandomąją aplinką ir aktyviai dalyvavo debatuose dėl 2338/2023 įstatymo projekto, kuris galėtų paversti ją nacionaliniu dirbtinio intelekto valdymo koordinatoriumi. „Dirbtinio intelekto ir duomenų apsaugos sankirta yra neišvengiama ir reikalauja didesnio dėmesio, kad inovacijos būtų derinamos su saugumu ir privatumu“, – vertina Battilana.
Tobulėjant duomenų apsaugai, Brazilijoje auga informuotumas apie kibernetines rizikas ir incidentų pranešimo, kuris yra pagrindinė žalos mažinimo priemonė, svarba. Rezoliucija CD/ANPD Nr. 1/2024 taip pat padėjo nustatyti aiškius protokolus, kaip įmonės turėtų pranešti apie incidentus valdžios institucijoms ir duomenų subjektams.
„Žvelgiant į LGPD ateitį, reikia neatsilikti nuo tokių tendencijų kaip dirbtinio intelekto pažanga, tarptautinių duomenų apsaugos standartų integravimas ir kibernetinių grėsmių sudėtingumas. Tai nuolat besikeičiantis scenarijus, reikalaujantis visų suinteresuotųjų šalių atnaujinimų ir įsipareigojimo“, – pabrėžia Battilana.
