Европейский GDPR (Общее положение о защите данных) привлек внимание общественности во всем мире к важности законодательства о конфиденциальности. Вызванная растущими опасениями в отношении конфиденциальности из-за того, что крупные технологии (Facebook, Google, Apple и т. д.) беззастенчиво посягают на конфиденциальность пользователей, разработка GDPR вскоре вдохновила другие страны принять свои собственные законы о защите данных. США пришли с CCPA, Австралия с поправкой о конфиденциальности, Япония с поправкой к Закону о защите личной информации, а также Таиланд, Южная Корея, Канада и другие.
Самым последним из таких законов, вдохновленных GDPR, является Общий закон о защите данных Бразилии, Lei Geral de Proteção de Dados Pessoais (LGPD). Ожидается, что в августе 2020 года LGPD упорядочит и унифицирует разрозненные законы о конфиденциальности в Бразилии, включив около 40 таких правовых актов, которые регулируют защиту данных в стране в отраслевом разрезе.
В этой статье кратко излагаются основные положения закона, его отличия от GDPR, а также вопросы, касающиеся обеспечения соблюдения и управления LGPD. Большая часть того, что следует ниже, было написано в соавторстве с г-ном Леандро Шахде, бразильским адвокатом Advogado Zona Norte, который непосредственно знаком с LGPD.
На кого распространяется LGPD?
Как и GDPR, LGPD применяется к любому лицу, находящемуся в Бразилии, независимо от национальности. Это означает, что любая компания или веб-сайт в мире, которые обрабатывают данные человека, проживающего в Бразилии, должны соответствовать LGPD. Экстерриториальный характер закона делает его столь же важным, как и GDPR, поскольку ко всем компаниям, национальным или многонациональным, большим или малым, применяются одни и те же стандарты и наказания. под ЛГПД.
Права потребителей в соответствии с LGPD
LGPD состоит из 10 глав и 65 статей. Эти статьи определяют права и положения, охватываемые LGPD. Хотя полная трактовка закона здесь невозможна, следующие основные права людей согласно LGPD:
Явное согласие: субъект данных должен быть четко проинформирован о причине сбора персональных данных и цели использования.
Исправление: владелец может запросить изменения своих данных (исправления, обновления и удаления).
Право на забвение: независимо от причины владелец может запросить удаление своих данных в определенной системе.
Переносимость: владелец должен иметь возможность экспортировать свои личные данные из одной системы в другую.
Право на объяснение: владелец может запросить информацию обо всех алгоритмах, которые взаимодействуют с его данными, чтобы понять, например, почему в банке было отказано в кредите.
Чем он отличается от GDPR?
GDPR и LGPD имеют много общего, но они также различаются по нескольким важным аспектам:
- Обработка конфиденциальных данных: Европейский закон запрещает обработку конфиденциальных данных, устанавливая некоторые исключения из запрета. Два из них не были включены в законодательство Бразилии: (i) данные, обнародованные владельцем; (ii) Данные, относящиеся к нынешним или бывшим членам фондов, ассоциаций или некоммерческих организаций, обработанные в законных целях и с соблюдением соответствующих мер безопасности.
- Прямой маркетинг: бразильское законодательство применяет общие правила согласия, прозрачности и права на возражение к владельцам персональных данных. Европейский, с другой стороны, представляет конкретные прогнозы. Субъект данных имеет право в любое время возразить против обработки его персональных данных, включая определение профилей в той мере, в какой это связано с прямым маркетингом.
- Взаимоотношения между контролером и оператором: хотя бразильское законодательство устанавливает, что оператор должен выполнять обработку данных в соответствии с инструкциями контролера, нет требования для оформления посредством контракта. В свою очередь, европейское законодательство предусматривает, что обработка данных, осуществляемая оператором, должна регулироваться договором или другим правовым актом, связывающим контролера с оператором.
- Отчет о воздействии: Законодательство Бразилии не разъясняет, в каких ситуациях контролер должен будет составлять отчет о воздействии на защиту персональных данных, делегируя последующее регулирование по этому вопросу. Европейское законодательство предусматривает, что контролер должен предоставить отчет о воздействии на защиту персональных данных, когда обработка приводит к высокому риску для прав и свобод людей. GDPR также содержит подробное описание того, что должно быть отражено в этом отчете.
- Международная передача данных: бразильское законодательство разрешает передачу персональных данных в страны или международные органы, которые обеспечивают надлежащую защиту персональных данных. Закон кратко описывает эту процедуру и элементы, которые следует считать адекватными. LGPD устанавливает только общие принципы, которые должны соблюдаться национальными властями. Европейские правила утверждают, что международная передача данных может осуществляться независимо от специального разрешения, если Европейская комиссия признает, что третья страна обеспечивает адекватный уровень защиты. В противном случае международный перевод подлежит адекватным гарантиям, которые должен гарантировать Агент. Все процедуры и элементы, которые принимаются во внимание Комиссией для авторизации передачи, описаны в GDPR.
- Надзор за правоохранительными органами: Законопроект, положивший начало LGPD, предусматривал создание Национального органа по защите данных, следуя той же линии, что и европейское регулирование. Однако на положения, предусматривающие его создание и обязанности, наложено вето, поскольку они влекут за собой неконституционность в законодательном процессе. Европейские правила предусматривают создание Европейского комитета по защите данных, ответственного за обеспечение последовательного применения GDPR.
Когда GDPR вступил в силу, провайдерам VPN пришлось пересмотреть свои политики конфиденциальности, чтобы они соответствовали положениям нового законодательства. Будет интересно посмотреть, будет ли LGPD относиться с таким же уважением к VPN-индустрии.
Насколько это будет эффективно?
Органом, ответственным за регулирование и обеспечение соблюдения LGPD, является Национальное управление по защите данных (ANPD). Однако ни один из членов органа еще не назначен. Кроме того, тот факт, что ANPD будет тесно связана с правительством, вызывает серьезные опасения по поводу справедливого исполнения закона.
В Бразилии основные регулирующие органы принадлежат государству. Следствием этого является политизация этих органов и, как следствие, коррупция. Поэтому фаворитизм по отношению к влиятельному бизнесу и несправедливое вмешательство правительства, продвигающее их политические интересы, не исключены.
Тот факт, что сам GDPR в значительной степени не смог привлечь компании к ответственности спустя два года после его принятия, очень обескураживает. Компания-производитель веб-браузера Brave подала жалобу в Европейскую комиссию, утверждая, что правительства европейских стран не предоставили органам по защите данных необходимые ресурсы для выполнения их обязанностей.
Таким образом, опасения, что LGPD постигнет та же участь, что и GDPR, вполне обоснованы. Но в то же время у нас есть положительные примеры государственных органов, которые работают в Бразилии безупречно, например, PROCON, который занимается защитой прав потребителей.
Бразилия — страна, известная своими законами, которые работают, а есть — нет. Судя по предыдущему опыту, вера в то, что закон частично выполнит свою роль, не так уж неправдоподобна. Правительство будет заинтересовано в получении средств за счет штрафов, которые будут применяться к компаниям, не соблюдающим параметры, установленные Законом об общей защите данных.
Наконец, безусловно, будет большое судебное разбирательство по этому вопросу со стороны компаний, которые считают себя несправедливыми из-за незаконных или неправомерных штрафов. Нам остается узнать, сможет ли бразильская судебная система технически разрешить такие конфликты.