ในวันที่ 14 สิงหาคม 2024, บราซิลเฉลิมฉลองครบรอบ 6 ปีของกฎหมายคุ้มครองข้อมูลส่วนบุคคล (LGPD). กฎหมายได้ทำให้เกิดความก้าวหน้าในการปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศ. อนุมัติเมื่อวันที่ 14 สิงหาคม 2561, LGPD มีผลบังคับใช้ตั้งแต่เดือนกันยายน 2020, กับการลงโทษที่มีผลตั้งแต่เดือนสิงหาคม 2021.
LGPD กำหนดข้อมูลส่วนบุคคลว่าเป็นข้อมูลใด ๆ ที่สามารถระบุหรือทำให้สามารถระบุบุคคลธรรมดาหรือบุคคลนิติบุคคลได้, ชื่อ, CPF, RG, อีเมลและข้อมูลอื่น ๆ. วัตถุประสงค์หลักของ LGPD คือการรับประกันว่าข้อมูลเหล่านี้จะถูกใช้ในลักษณะที่ปลอดภัยและโปร่งใส, หลีกเลี่ยงการใช้ที่ไม่เหมาะสมและรับประกันการปกป้องและความปลอดภัยทางกฎหมายของพลเมือง
ในเดือนพฤษภาคมปี 2021, สองปีหลังจากการบังคับใช้ของ LGPD, ศาลรัฐธรรมนูญสูงสุด (STF), ได้ยอมรับการปกป้องข้อมูลส่วนบุคคลว่าเป็นสิทธิพื้นฐาน. การรับรู้ดังกล่าวได้ถูกบรรจุในรัฐธรรมนูญแห่งสหพันธรัฐเมื่อเดือนกุมภาพันธ์ปี 2022, através da Emenda Constitucional Nº 115/22. ด้วยรัฐธรรมนูญแห่งสหพันธรัฐปี 1988, สิทธิในความเป็นส่วนตัว, ความเป็นส่วนตัวและความลับของการสื่อสารได้ถูกกำหนดไว้แล้ว, แต่การปกป้องข้อมูลส่วนบุคคลเพิ่งเริ่มเป็นส่วนหนึ่งของข้อความรัฐธรรมนูญเมื่อไม่นานมานี้. กฎหมายเช่น มาร์โก ซิวิล ดา อินเทอร์เน็ต และกฎหมายการเข้าถึงข้อมูล เป็นผู้บุกเบิกที่สำคัญซึ่งมีส่วนช่วยในการกำหนด LGPD
หลังจากการประกาศใช้กฎหมาย, บริษัทต่างๆ ต้องปรับตัวให้เข้ากับกฎหมายใหม่, การนำแนวปฏิบัติที่เฉพาะเจาะจงมาใช้. นี่เกี่ยวข้องกับการสร้างนโยบายและขั้นตอนด้านความเป็นส่วนตัว, การฝึกอบรมพนักงานและการนำเทคโนโลยีความปลอดภัยของข้อมูลมาใช้. LGPD กำหนดโทษและบทลงโทษสำหรับการไม่ปฏิบัติตาม, อะไร -ทางทฤษฎี- กระตุ้นให้บริษัทต่างๆ ปฏิบัติตามกฎหมาย
อย่างไรก็ตาม, LGPD ยังไม่ได้รับการปฏิบัติตามอย่างเต็มที่ในบางส่วนของประเทศ. การสำรวจที่จัดทำโดยพอร์ทัล LGPD Brasil แสดงให้เห็นว่า, แม้จะมีความจำเป็น, เพียง 16% ของบริษัทในประเทศปฏิบัติตามกฎหมาย. นี่เปิดเผยว่า, แม้ว่าจะมีความตระหนักเกี่ยวกับกฎหมายอยู่บ้าง, เธอยังมุ่งเน้นอยู่ที่ศูนย์กลางเมืองใหญ่เป็นอย่างมาก, และจำเป็นต้องนำความรู้นี้ไปยังภูมิภาคอื่น ๆ ของประเทศ
ทนายความและผู้เชี่ยวชาญด้านกฎหมายดิจิทัลจาก FGV, ลูคัส มัลโดนาโด ดี. ลาตินี, ชี้ให้เห็นว่าหนึ่งในความยากลำบากที่สุดในการปรับตัวให้เข้ากับ LGPD คือการขาดความรู้เกี่ยวกับกฎหมายและวิธีที่มันมีผลต่อการดำเนินงานของบริษัท. หลายองค์กรยังไม่ทราบว่ากฎหมายมีผลบังคับใช้กับสาขาที่ตนทำงานอยู่. ทนายความสังเกตว่ากฎหมายครอบคลุมบริษัทในหลายภาคส่วน, การเงิน, การศึกษา, ค้าปลีก เป็นต้น. ทุกคนต้องปรับตัวหรือจะต้องเผชิญกับการลงโทษ
สำหรับเขา, ข้อกำหนดเกี่ยวกับการปกป้องข้อมูลกระจายอยู่ในกฎหมายหลายฉบับ, ทำให้การตีความและการใช้สิทธิเหล่านี้เป็นเรื่องยาก. การรวมตัวที่ส่งเสริมโดย LGPD ได้นำความชัดเจนและความสอดคล้องมาสู่กรอบกฎระเบียบของบราซิล. นอกจากนี้, เราได้มีการจัดตั้งหน่วยงานแห่งชาติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (ANPD) เพื่อรับประกันการตรวจสอบและการปฏิบัติตามกฎหมาย, แสดงความคิดเห็น. วันนี้, ANPD เป็นหน่วยงานที่รับผิดชอบในการออกมติและแนวทางที่ช่วยให้ผู้จัดการข้อมูลเข้าใจและปฏิบัติตามข้อผูกพัน
สิ่งที่คาดหวังสำหรับอนาคตที่มีเทคโนโลยีมากขึ้นเรื่อยๆ
แม้ว่ากฎระเบียบจะก้าวหน้าอย่างมีนัยสำคัญตั้งแต่มีการนำไปใช้, มีหลายประเด็นที่ยังต้องได้รับการพิจารณาจากหน่วยงานคุ้มครองข้อมูลส่วนบุคคลแห่งชาติ (ANPD) เพื่อให้การใช้งานยังคงมีประสิทธิภาพ
หนึ่งในหัวข้อที่เน้นคือการควบคุมการโอนข้อมูลระหว่างประเทศ. ในปี 2022, ANPD ได้เปิดการประชาพิจารณ์เพื่อสร้างแนวทางเกี่ยวกับวิธีการที่ข้อมูลส่วนบุคคลสามารถถูกส่งออกนอกบราซิล. LGPD กำหนดให้การถ่ายโอนเหล่านี้ต้องดำเนินการเพื่อรับประกันการปกป้องข้อมูลอย่างเหมาะสมในประเทศอื่น. เพื่อสิ่งนี้, ANPD จำเป็นต้องกำหนดกฎที่ชัดเจน, รวมถึงประเทศที่ถือว่ามีระดับการคุ้มครองที่สอดคล้องกับกฎหมายของบราซิล
อีกจุดหนึ่ง, เป็นการกำกับดูแลปัญญาประดิษฐ์ (AI). จนถึงขณะนี้, กฎหมายบราซิลไม่ได้กล่าวถึงการใช้ปัญญาประดิษฐ์โดยเฉพาะในเรื่องการปกป้องข้อมูล. ANPD กำลังเข้าร่วมการอภิปรายเกี่ยวกับร่างกฎหมายหมายเลข 2.338/2023, ที่มีเป้าหมายเพื่อสร้างกรอบกฎหมายสำหรับปัญญาประดิษฐ์และกำลังอยู่ระหว่างการประเมินโดยวุฒิสภาแห่งชาติ
ทนายความเน้นย้ำว่าหนึ่งในจุดที่สำคัญที่สุดคือบริษัทต่างๆ ต้องกำหนดมาตรการด้านความปลอดภัย, เทคนิคและการบริหาร, จำเป็นสำหรับการปกป้องข้อมูลส่วนบุคคล. แนวทางเหล่านี้อาจรวมถึงมาตรฐานความปลอดภัยขั้นต่ำ, การใช้การเข้ารหัส, ไฟร์วอลล์และนโยบายการเข้าถึง,. การดำเนินการแต่ละอย่างเป็นวิธีการป้องกันเหตุการณ์ด้านความปลอดภัย, การรั่วไหลของข้อมูล, และรับประกันว่าข้อมูลจะได้รับการป้องกันไม่ให้เข้าถึงโดยไม่ได้รับอนุญาต
