Den 14. august 2024 feirer Brasil den 6. bursdagen for den generelle personvernloven (LGPD). Lovgivningen har markert fremskritt innen beskyttelse av personvern og personopplysninger i landet. Godkjent 14. august 2018, trådte LGPD i kraft i september 2020, med sanksjoner som trer i kraft fra august 2021.
LGPD definerer personopplysninger som enhver informasjon som kan identifisere eller gjøre en fysisk eller juridisk person identifiserbar, som navn, fødselsnummer, ID-kort, e-post og andre data. Hovedformålet med LGPD er å sikre at disse dataene brukes på en trygg og gjennomsiktig måte, forhindre misbruk og sikre beskyttelse og juridisk sikkerhet for innbyggerne.
I mai 2021, to år etter at LGPD ble vedtatt, anerkjente Den føderale høyesterett (STF) beskyttelse av personopplysninger som en grunnleggende rettighet. Denne anerkjennelsen ble inkludert i den føderale grunnloven i februar 2022, gjennom den konstitusjonelle endringen nr. 115/22. Med den føderale grunnloven av 1988 hadde rettighetene til privatliv, personvern og kommunikasjonssikkerhet allerede blitt kodifisert, men beskyttelse av personopplysninger ble først en del av grunnteksten mer nylig. Lover som Marco Civil da Internet og Lov om tilgang til informasjon var viktige forløpere som bidro til utformingen av LGPD.
Etter at loven ble vedtatt, måtte selskapene tilpasse seg den nye lovgivningen ved å innføre spesifikke praksiser. Dette involverte utarbeidelse av personvernpolicyer og prosedyrer, opplæring av ansatte og implementering av informasjonssikkerhetsteknologier. LGPD fastsetter bøter og sanksjoner for brudd, noe som teoretisk sett har oppmuntret selskaper til å overholde loven.
Imidlertid blir ikke LGPD fullt ut overholdt i noen deler av landet. En undersøkelse utført av portalen LGPD Brasil viste at, selv med obligatoriet, er bare 16 % av landets bedrifter i samsvar med loven. Dette avslører at, selv om det allerede er en viss bevissthet om loven, er den fortsatt ganske konsentrert i store byområder, og det er nødvendig å bringe denne kunnskapen til andre regioner i landet.
Advokaten og spesialisten innen digital rett ved FGV, Lucas Maldonado D. Latini, peker på at en av de største utfordringene for tilpasning til LGPD er mangel på kunnskap om loven og hvordan den påvirker virksomhetenes drift. Mange organisasjoner vet fortsatt ikke at lovgivningen gjelder for deres virksomhetsområde. Advokaten merker at lovgivningen dekker selskaper fra ulike sektorer, som finans, utdanning, detaljhandel osv. Alle må tilpasse seg eller risikerer sanksjoner.
For ham, bestemmelsene om databeskyttelse var spredt over flere lover, noe som gjorde det vanskelig å tolke og anvende disse rettighetene. "Den sammenslåingen som ble fremmet av LGPD, brakte klarhet og sammenheng til den brasilianske reguleringsrammen. I tillegg ble opprettelsen av Den nasjonale databeskyttelsesmyndigheten (ANPD) gjort for å sikre tilsyn og overholdelse av loven," kommenterer. I dag er ANPD ansvarlig for å utstede resolusjoner og veiledende retningslinjer som hjelper databehandlere med å forstå og overholde forpliktelsene.
Hva kan man forvente for en stadig mer teknologisk fremtid?
Selv om den regulerende rammen har utviklet seg betydelig siden implementeringen, er det flere spørsmål som fortsatt må tas opp av Den nasjonale databeskyttelsesmyndigheten (ANPD) for å sikre at anvendelsen forblir effektiv.
Et av fokusområdene er reguleringen av internasjonale dataoverføringer. I 2022, ANPD lanserte en offentlig høring for å lage retningslinjer for hvordan personopplysninger kan sendes ut av Brasil. LGPD krever at disse overføringene skal skje på en måte som sikrer tilstrekkelig beskyttelse av dataene i andre land. For dette må ANPD fastsette klare regler, også om land der de anser å ha beskyttelsesnivåer som er kompatible med brasiliansk lovgivning.
Et annet punkt er reguleringen av kunstig intelligens (KI). Inntil nå har den brasilianske lovgivningen ikke spesifikt tatt opp bruk av kunstig intelligens i forhold til databeskyttelse. ANPD deltar i diskusjonene om lovforslag nr. 2.338/2023, som har som mål å etablere en rettslig ramme for kunstig intelligens og som vurderes av den føderale senatet.
Advokaten fremhever at et av de viktigste punktene er at selskapene innfører nødvendige sikkerhets-, tekniske og administrative tiltak for å beskytte personopplysningene. Disse retningslinjene kan inkludere minimumsstandarder for sikkerhet, bruk av kryptering, brannmurer og tilgangspolicyer. Implementeringen av hver av dem er en måte å forhindre sikkerhetshendelser, som datalekkasjer, og sikre at informasjonen er beskyttet mot uautorisert tilgang.
