Den 14 augusti 2024 firar Brasil den 6:e årsdagen av den allmänna dataskyddslagen (LGPD). Lagstiftningen markerade framsteg i skyddet av integritet och personuppgifter i landet. Godkänd den 14 augusti 2018 trädde LGPD i kraft i september 2020, med sanktioner som gäller från augusti 2021.
LGPD definierar personuppgifter som all information som kan identifiera eller göra en person, fysisk eller juridisk, identifierbar, såsom namn, personnummer, ID-kort, e-post och andra uppgifter. Huvudsyftet med LGPD är att säkerställa att dessa data används på ett säkert och transparent sätt, förhindra missbruk och säkerställa skydd och rättslig säkerhet för medborgarna.
I maj 2021, två år efter införandet av LGPD, erkände den brasilianska högsta domstolen (STF) skyddet av personuppgifter som en grundläggande rättighet. Detta erkännande infördes i den federala konstitutionen i februari 2022 genom konstitutionsändring nr 115/22. Med den federala konstitutionen från 1988 hade rättigheterna till integritet, privatliv och sekretess i kommunikationen redan fastställts, men skyddet av personuppgifter blev först en del av konstitutionstexten mer nyligen. Lagar som den brasilianska internetlagen och lagen om tillgång till information var viktiga föregångare som bidrog till utformningen av LGPD.
Efter lagens ikraftträdande var företagen tvungna att anpassa sig till den nya lagstiftningen och anta specifika metoder. Det involverade att skapa policyer och rutiner för integritet, utbilda personalen och implementera informationssäkerhetsteknologier. LGPD fastställer böter och sanktioner för överträdelser, vilket -teoretiskt sett- har motiverat företagen att följa lagen.
Men dock följs inte fullt ut i vissa delar av landet. En undersökning utförd av portalen LGPD Brasil visade att även med obligatoriet är endast 16 % av företagen i landet i enlighet med lagen. Det visar att, även om det redan finns en viss medvetenhet om lagen, är den fortfarande ganska koncentrerad till stora urbana centra, och det är nödvändigt att sprida denna kunskap till andra delar av landet.
Advokaten och specialist i digital rätt vid FGV, Lucas Maldonado D. Latini, påpekar att en av de största svårigheterna med att anpassa sig till LGPD är bristen på kunskap om lagen och hur den påverkar företagens verksamhet. Många organisationer vet fortfarande inte att lagstiftningen gäller för deras verksamhetsområde. Advokaten noterar att lagstiftningen omfattar företag från olika sektorer, såsom finans, utbildning, detaljhandel etc. Alla måste anpassa sig eller riskerar sanktioner.
För honom var bestämmelserna om dataskydd spridda över olika lagar, vilket försvårade tolkningen och tillämpningen av dessa rättigheter. Den förening som främjades av LGPD har gett klarhet och sammanhållning till den brasilianska regleringsramen. Dessutom skapades den Nationella dataskyddsmyndigheten (ANPD) för att säkerställa tillsyn och efterlevnad av lagen, kommenterar han. Idag är ANPD ansvarig för att utfärda resolutioner och vägledande riktlinjer som hjälper databehandlingsaktörer att förstå och uppfylla sina skyldigheter.
Vad kan man förvänta sig av en allt mer teknologisk framtid?
Även om den reglerande ramen har gjort betydande framsteg sedan dess införande, finns det flera frågor som fortfarande måste tas upp av den Nationella Dataskyddsmyndigheten (ANPD) för att säkerställa att tillämpningen förblir effektiv.
Ett av fokusområdena är regleringen av internationella datatransfereringar. År 2022 lanserade ANPD en offentlig konsultation för att skapa riktlinjer om hur personuppgifter kan skickas utomlands. LGPD kräver att dessa överföringar görs på ett sätt som säkerställer tillräckligt skydd för uppgifterna i andra länder. För detta måste ANPD fastställa tydliga regler, inklusive om länder där de anser att skyddsnivåerna är kompatibla med brasiliansk lagstiftning.
En annan punkt är regleringen av artificiell intelligens (AI). Hittills behandlar den brasilianska lagstiftningen inte specifikt användningen av AI i förhållande till dataskydd. ANPD deltar i diskussionerna om lagförslaget nr 2.338/2023, som syftar till att fastställa en rättslig ram för AI och för närvarande utvärderas av den federala senaten.
Advokaten framhäver att en av de viktigaste punkterna är att företagen inför åtgärder för säkerhet, tekniska och administrativa, som är nödvändiga för att skydda personuppgifterna. Dessa riktlinjer kan inkludera minimala säkerhetsstandarder, användning av kryptering, brandväggar och åtkomstpolicyer. Implementeringen av var och en av dem är ett sätt att förebygga säkerhetsincidenter, som dataläckor, och säkerställa att informationen är skyddad mot obehörig åtkomst.
