🧠 Blogi on omistettu VPN: n ja turvallisuuden, internetin tietosuojan aiheelle. Puhumme ajankohtaisista trendeistä ja uutisista, jotka liittyvät suojeluun.

Meneekö Brasilian LGPD paremmin kuin GDPR? Ehkä ei

5

Eurooppalainen GDPR (General Data Protection Regulation) on tuonut yksityisyyslainsäädännön merkityksen yleiseen tietoisuuteen kaikkialla maailmassa. GDPR:n laatiminen inspiroi pian muita maita noudattamaan omia tietosuojalakejaan, koska Big Techin (Facebook, Google, Apple jne.) lisääntyvät tietosuojaongelmat, jotka häpeämättömästi loukkasivat käyttäjien yksityisyyttä. Yhdysvallat hyväksyi CCPA:n, Australia muutti tietosuojaa, Japani muutti henkilötietojen suojaa koskevaa lakia, samoin kuin Thaimaa, Etelä-Korea, Kanada ja muut.

Viimeisin tällaisista GDPR:n inspiroimista laeista on Brasilian yleinen tietosuojalaki Lei Geral de Proteção de Dados Pessoais (LGPD). LGPD:n odotetaan käyttöönotettavan elokuussa 2020, ja sen odotetaan virtaviivaistavan ja yhtenäistävän Brasilian yksityisyyslakien hajanaisuutta ja noin 40 tällaista lainsäädäntöä, jotka säätelevät tietosuojaa maassa toimialakohtaisesti.

Tässä artikkelissa hahmotellaan lyhyesti lain pääkohdat, sen erot GDPR:ään ja LGPD:n täytäntöönpanoon ja hallintoon liittyviä kysymyksiä. Suurin osa seuraavasta on kirjoittanut Leandro Chahde, brasilialainen Advogado Zona Norten asianajaja, joka tuntee suoraan LGPD:n.

Ketä LGPD koskee?

Kuten GDPR, LGPD koskee kaikkia Brasiliassa olevia henkilöitä kansallisuudesta riippumatta. Tämä tarkoittaa, että minkä tahansa yrityksen tai verkkosivuston maailmassa, joka käsittelee Brasiliassa asuvan henkilön tietoja, on noudatettava LGPD:tä. Lain ekstraterritoriaalisuus tekee siitä yhtä tärkeän kuin GDPR:n, koska kaikki yritykset, olivatpa ne kansallisia tai monikansallisia, suuria tai pieniä, joutuvat noudattamaan samoja standardeja ja rangaistuksia. LGPD:n alaisuudessa.

LGPD:n mukaiset kuluttajien oikeudet

LGPD koostuu 10 luvusta, joissa on yhteensä 65 artiklaa. Näissä artikloissa määritellään LGPD:n kattamat oikeudet ja määräykset. Vaikka lain täydellinen käsittely ei ole tässä mahdollista, seuraavat ovat LGPD:n alaisten ihmisten tärkeimmät oikeudet:

Nimenomainen suostumus: Rekisteröidylle on ilmoitettava selkeästi henkilötietojen keruun syy ja käyttötarkoitus.

Oikaisu: haltija voi pyytää muutoksia omiin tietoihinsa (korjauksia, päivityksiä ja poistoja).

Oikeus tulla unohdetuksi: haltija voi syystä riippumatta pyytää tietojensa poistamista tietyssä järjestelmässä.

Siirrettävyys: haltijan on voitava viedä henkilötietonsa järjestelmästä toiseen.

Oikeus selittämiseen:  haltija voi pyytää tietoa kaikista hänen tietoihinsa vaikuttavista algoritmeista ymmärtääkseen esimerkiksi miksi pankkilaina evättiin.

Miten se eroaa GDPR:stä?

GDPR:llä ja LGPD:llä on monia samankaltaisia ​​kohtia, mutta ne eroavat myös useilla tärkeillä tavoilla:

  • Arkaluonteisten tietojen käsittely: EU-laki kieltää arkaluonteisten tietojen käsittelyn ja asettaa kieltoon joitakin poikkeuksia. Kaksi niistä ei sisältynyt Brasilian lainsäädäntöön: (i) haltijan julkistamat tiedot; (ii) Säätiöiden, yhdistysten tai voittoa tavoittelemattomien järjestöjen nykyisiin tai entisiin jäseniin liittyvät tiedot, joita on käsitelty laillisissa tarkoituksissa ja asianmukaisin turvatoimin.
  • Suoramarkkinointi: Brasilian laki soveltaa yleisiä suostumuksen, avoimuuden ja vastustusoikeuden sääntöjä henkilötietojen haltijoihin. Eurooppalainen puolestaan ​​esittää erityisiä ennusteita. Rekisteröidyllä on oikeus milloin tahansa vastustaa henkilötietojensa käsittelyä, joka sisältää profiilien määrittelyn siltä osin kuin se liittyy suoramarkkinointiin.
  • Rekisterinpitäjän ja toiminnanharjoittajan välinen suhde: Vaikka Brasilian lain mukaan operaattorin on suoritettava tietojen käsittely rekisterinpitäjän ohjeiden mukaisesti, sopimuksella tapahtuvaa virallistamista ei vaadita. Eurooppalaissa puolestaan ​​säädetään, että toiminnanharjoittajan suorittamaa tietojenkäsittelyä on säänneltävä sopimuksella tai muulla säädöksellä, joka yhdistää rekisterinpitäjän toiminnanharjoittajaan.
  • Vaikutusraportti:  Brasilian lainsäädännössä ei ole tehty selväksi, missä tilanteissa rekisterinpitäjän on laadittava vaikutusraportti henkilötietojen suojasta, jolloin tämän asian käsittely on siirretty myöhempään sääntelyyn. Eurooppalaissa säädetään, että rekisterinpitäjän on toimitettava vaikutusraportti henkilötietojen suojasta, kun käsittely johtaa suureen riskiin yksilöiden oikeuksille ja vapauksille. GDPR tarjoaa myös yksityiskohtaisen kuvauksen siitä, mitä tässä raportissa tulisi käsitellä.
  • Kansainvälinen tiedonsiirto: Brasilian laki sallii henkilötietojen siirron maihin tai kansainvälisiin elimiin, jotka tarjoavat riittävän suojan henkilötiedoille. Laki on lyhyt tämän menettelyn ja asianmukaisten osien osalta. LGPD sisältää vain yleiset ohjeet, joita kansallisten viranomaisten on noudatettava. EU:n säädökset väittävät, että kansainvälinen tietojen siirto voidaan suorittaa erityisestä luvasta riippumatta, jos Euroopan komissio tunnustaa, että kolmas maa takaa riittävän suojan. Jos ei, kansainväliseen siirtoon sovelletaan riittävät takuut, jotka edustajan on taattava. Kaikki menettelyt ja elementit, jotka komissio ottaa huomioon siirron valtuutuksessa, on kuvattu GDPR:ssä.
  • Lainvalvonnan valvonta:  LGPD:n laatimassa lakiehdotuksessa määrättiin kansallisen tietosuojaviranomaisen perustamisesta, joka noudattaa samaa linjaa kuin eurooppalainen asetus. Sen perustamista ja vastuuta koskevia määräyksiä on kuitenkin estetty, koska ne ovat perustuslain vastaisia ​​lainsäädäntöprosessissa. Eurooppalaisilla asetuksilla perustetaan Euroopan tietosuojakomitea, jonka tehtävänä on varmistaa GDPR:n johdonmukainen soveltaminen.

Kun GDPR tuli voimaan, VPN-palveluntarjoajien oli uudistettava tietosuojakäytäntöjään uuden lainsäädännön mukaisiksi. On mielenkiintoista nähdä, kohteleeko VPN-teollisuus LGPD:tä samalla kunnioituksella.

Kuinka tehokas se tulee olemaan?

LGPD:n sääntelystä ja täytäntöönpanosta vastaava viranomainen on kansallinen tietosuojaviranomainen (ANPD). Toimikunnan jäseniä ei kuitenkaan ole vielä nimitetty. Lisäksi se, että ANPD tulee olemaan kiinteästi sidoksissa hallitukseen, herättää vakavaa huolta lain oikeudenmukaisesta täytäntöönpanosta.

Brasiliassa suurimmat sääntelyvirastot ovat valtion omistuksessa. Seurauksena on näiden elinten politisoituminen ja sen seurauksena korruptio. Voimakkaiden yritysten suosiminen ja hallituksen epäoikeudenmukainen puuttuminen heidän poliittisten etujensa edistämiseen ei siis ole poissa korteista.

Se, että GDPR ei itse ole suurelta osin onnistunut saamaan yrityksiä vastuuseen kahden vuoden kuluttua sen umpeutumisesta, on erittäin masentavaa. Verkkoselainyritys Brave valitti Euroopan komissiolle väittäen, että Euroopan hallitukset eivät ole antaneet tietosuojaviranomaisille tarvittavia resursseja tehtäviensä hoitamiseen.

Sellaisenaan pelot LGPD:n kohtalosta GDPR:n kanssa ovat täysin päteviä. Samalla meillä on kuitenkin myönteisiä esimerkkejä Brasiliassa hienosti toimivista valtion virastoista, kuten kuluttajan oikeuksia puolustava PROCON.

Brasilia on maa, joka tunnetaan toimivista laeista ja muista, jotka eivät toimi. Aiempien kokemusten perusteella usko, että laki tulee osittain täyttämään tehtävänsä, ei ole liian kaukaa haettu. Hallituksella on kiinnostusta saada varoja sakkojen kautta, joita sovelletaan yrityksiin, jotka eivät noudata yleisen tietosuojalain mukaisia ​​parametreja.

Lopuksi, laittomien tai väärinkäytösten vuoksi laittomien tai väärinkäytösten vuoksi epäoikeudenmukaisiksi katsovat yritykset tulevat varmasti laillistamaan asian. Meidän on tiedettävä, pystyykö Brasilian oikeuslaitos teknisesti ratkaisemaan tällaiset konfliktit.

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. HyväksyäLisätietoja