Op 14 augustus 2024 viert Brazilië de 6e verjaardag van de Algemene Verordening Gegevensbescherming (LGPD). De wetgeving markeerde de vooruitgang in de bescherming van privacy en persoonsgegevens in het land. Aprovada em 14 de agosto de 2018, a LGPD entrou em vigor em setembro de 2020, com sanções aplicáveis a partir de agosto de 2021.
De LGPD definieert persoonsgegevens als alle informatie die een natuurlijke of rechtspersoon kan identificeren of identificeerbaar maken, zoals naam, CPF, RG, e-mail en andere gegevens. Het belangrijkste doel van de LGPD is ervoor te zorgen dat deze gegevens op een veilige en transparante manier worden gebruikt, onjuist gebruik voorkomen en de bescherming en juridische veiligheid van de burgers waarborgen.
In mei 2021, twee jaar na de invoering van de LGPD, erkende de Braziliaanse Hoge Raad (STF) gegevensbescherming als een fundamenteel recht. Deze erkenning werd in februari 2022 opgenomen in de Grondwet, via de Grondwetswijziging nr. 115/22. Met de Grondwet van 1988 waren de rechten op privacy, vertrouwelijkheid en communicatiegeheim al vastgelegd, maar de bescherming van persoonsgegevens is pas recentelijk onderdeel geworden van de grondwet. Wetten zoals de Marco Civil da Internet en de Lei de Acesso à Informação waren belangrijke voorlopers die hebben bijgedragen aan de formulering van de LGPD.
Na nawerking van de wet moesten bedrijven zich aanpassen aan de nieuwe wetgeving door specifieke praktijken te implementeren. Dit omvatte het opstellen van privacybeleid en -procedures, het trainen van medewerkers en het implementeren van informatiebeveiligingstechnologieën. De LGPD stelt boetes en sancties vast voor niet-naleving, wat -theoretisch- bedrijven heeft aangemoedigd om zich aan de wet te conformeren.
Echter wordt de LGPD nog niet volledig nageleefd in sommige delen van het land. Een onderzoek uitgevoerd door het portal LGPD Brasil toonde aan dat, zelfs met de verplichting, slechts 16% van de bedrijven in het land voldoen aan de wet. Dit onthult dat, hoewel ze zich al bewust is van de wet, ze nog steeds vrij geconcentreerd is in grote stedelijke centra, en dat deze kennis naar andere regio's van het land moet worden gebracht.
De advocaat en specialist in digitaal recht aan de FGV, Lucas Maldonado D. Latini, wijst erop dat een van de grootste moeilijkheden bij het naleven van de LGPD ligt in het gebrek aan kennis over de wet en hoe deze de bedrijfsactiviteiten beïnvloedt. Veel organisaties weten nog niet dat de wetgeving van toepassing is op hun branche. De advocaat merkt op dat de wetgeving bedrijven uit verschillende sectoren omvat, zoals financiën, onderwijs, detailhandel, enzovoort. Iedereen moet zich aanpassen of anders riskeren sancties.
Voor hem waren de bepalingen over gegevensbescherming verspreid over verschillende wetten, wat de interpretatie en toepassing van deze rechten bemoeilijkte. De unificatie die door de LGPD is bevorderd, bracht duidelijkheid en samenhang in het Braziliaanse regelgevingskader. Daarnaast is de Nationale Autoriteit voor Gegevensbescherming (ANPD) opgericht om toezicht te houden en de naleving van de wet te waarborgen, aldus hij/zij. Vandaag is de ANPD verantwoordelijk voor het uitvaardigen van resoluties en richtlijnen die verwerkingsverantwoordelijken helpen de verplichtingen te begrijpen en na te komen.
Wat te verwachten voor een steeds meer technologisch toekomst?
Hoewel het regelgevend kader sinds de invoering aanzienlijk is verbeterd, zijn er nog verschillende kwesties die door de Nationale Autoriteit voor Gegevensbescherming (ANPD) moeten worden aangepakt om ervoor te zorgen dat de toepassing effectief blijft.
Een van de belangrijkste onderwerpen is de regelgeving voor internationale gegevensoverdrachten. In 2022 heeft de ANPD een openbare consultatie gelanceerd om richtlijnen te ontwikkelen over hoe persoonlijke gegevens naar het buitenland kunnen worden verzonden. De LGPD vereist dat deze overdrachten op een zodanige wijze worden gedaan dat de juiste bescherming van de gegevens in andere landen wordt gewaarborgd. Daarvoor moet de ANPD duidelijke regels vaststellen, onder meer over landen waarvan zij vindt dat ze beschermingsniveaus bieden die compatibel zijn met de Braziliaanse wetgeving.
Een ander punt is de regulering van Kunstmatige Intelligentie (KI). Tot nu toe behandelt de Braziliaanse wetgeving het gebruik van AI niet specifiek met betrekking tot gegevensbescherming. A ANPD neemt deel aan de discussies over het wetsvoorstel nr. 2.338/2023, dat een wettelijke kaders voor AI wil vaststellen en wordt beoordeeld door de Federale Senaat.
De advocaat benadrukt dat een van de belangrijkste punten is dat bedrijven beveiligingsmaatregelen, technische en administratieve, treffen die nodig zijn voor de bescherming van persoonsgegevens. Deze richtlijnen kunnen minimale veiligheidsnormen, gebruik van encryptie, firewalls en toegangsbeleid omvatten. De implementatie van elk van hen is een manier om beveiligingsincidenten te voorkomen, zoals datalekken, en ervoor te zorgen dat de informatie beschermd is tegen ongeautoriseerde toegang.
