Den europeiska GDPR (General Data Protection Regulation) har fört in vikten av integritetslagstiftning till allmänhetens medvetande över hela världen. Föranledd av ökande integritetsproblem med Big Tech (Facebook, Google, Apple etc.) som skamlöst inkräktar på användarnas integritet, inspirerade utarbetandet av GDPR snart andra länder att följa med sina egna dataskyddslagar. USA kom med CCPA, Australien med Privacy Amendment, Japan med ändring av lagen om skydd av personlig information, samt Thailand, Sydkorea, Kanada och andra.
Den senaste av sådana GDPR-inspirerade lagar är den brasilianska allmänna dataskyddslagen, Lei Geral de Proteção de Dados Pessoais (LGPD). LGPD kommer att införas i augusti 2020 och förväntas effektivisera och förena den fragmenterade karaktären av integritetslagar i Brasilien, med ett 40-tal sådana lagar som styr dataskyddet i landet på ett branschmässigt sätt.
Den här artikeln beskriver kortfattat lagens huvudpunkter, dess skillnader mot GDPR och frågor som rör upprätthållandet och regeringen av LGPD. Mycket av det som följer var medförfattare av Mr. Leandro Chahde, en brasiliansk advokat vid Advogado Zona Norte som är direkt bekant med LGPD.
Vem gäller LGPD för?
Precis som GDPR gäller LGPD för alla individer i Brasilien oavsett nationalitet. Detta innebär att alla företag eller webbplatser i världen som behandlar uppgifter om en individ som bor i Brasilien måste följa LGPD. Lagens extraterritoriella karaktär gör den lika viktig som GDPR, eftersom alla företag, nationella eller multinationella, stora som små, hålls till samma standarder och påföljder. under LGPD.
Konsumenternas rättigheter enligt LGPD
LGPD består av 10 kapitel med totalt 65 artiklar. Dessa artiklar definierar de rättigheter och bestämmelser som omfattas av LGPD. Även om en fullständig behandling av lagen inte är möjlig här, är följande de viktigaste rättigheterna för personer under LGPD:
Uttryckligt samtycke: den registrerade måste tydligt informeras om orsaken till insamlingen av personuppgifter och syftet med användningen.
Rättelse: innehavaren kan begära ändringar av sina uppgifter (korrigeringar, uppdateringar och raderingar).
Rätt att bli glömd: oavsett orsak kan innehavaren begära radering av sina uppgifter inom ett visst system.
Portabilitet: det ska vara möjligt för innehavaren att kunna exportera sina personuppgifter från ett system till ett annat.
Rätt till förklaring: innehavaren kan begära information om alla algoritmer som interagerar med hans data för att till exempel förstå varför ett banklån nekades.
Hur skiljer det sig från GDPR?
GDPR och LGPD delar många likheter men de skiljer sig också åt på flera viktiga sätt:
- Behandling av känsliga uppgifter: Europeisk lag förbjuder behandling av känsliga uppgifter, vilket gör vissa undantag från förbudet. Två av dem ingick inte i brasiliansk lag: (i) Uppgifter som offentliggjordes av innehavaren; (ii) Data som rör nuvarande eller tidigare medlemmar i stiftelser, föreningar eller ideella organisationer, behandlade för legitima ändamål och med lämpliga säkerhetsåtgärder.
- Direktmarknadsföring: Brasiliansk lag tillämpar de allmänna reglerna om samtycke, transparens och rätt att invända för innehavare av personuppgifter. Europén, å andra sidan, presenterar specifika prognoser. Den registrerade har rätt att när som helst invända mot behandlingen av hans personuppgifter, vilket inkluderar definitionen av profiler i den mån det är relaterat till direktmarknadsföring.
- Förhållande mellan registeransvarig och operatör: Även om brasiliansk lag fastställer att operatören måste utföra databehandling i enlighet med anvisningar från den registeransvarige, finns det inget krav på formalisering genom ett kontrakt. I sin tur föreskrivs i europeisk lagstiftning att databehandling som utförs av en operatör måste regleras av ett avtal eller annan rättsakt som kopplar den registeransvarige till operatören.
- Konsekvensrapport: Brasiliansk lag har inte klargjort i vilka situationer den personuppgiftsansvarige kommer att vara skyldig att utföra en konsekvensrapport om skyddet av personuppgifter, och delegera behandlingen av denna fråga till efterföljande förordning. Europeisk lag föreskriver att den personuppgiftsansvarige ska lämna en konsekvensrapport om skyddet av personuppgifter, när behandlingen leder till en hög risk för individers rätt och frihet. GDPR ger också en detaljerad beskrivning av vad som bör tas upp i denna rapport.
- Internationell dataöverföring: Brasiliansk lag tillåter överföring av personuppgifter till länder eller internationella organ som tillhandahåller adekvat skydd för personuppgifter. Lagen är kortfattad när det gäller detta förfarande och delar som ska anses vara adekvata. LGPD fastställer endast allmänna riktlinjer som ska följas av nationella myndigheter. Europeiska bestämmelser hävdar att internationell överföring av uppgifter kan utföras oberoende av specifik auktorisation om Europeiska kommissionen erkänner att tredjelandet garanterar en adekvat skyddsnivå. Om inte, kommer den internationella överföringen att omfattas av adekvata garantier, som måste garanteras av Agenten. Alla förfaranden och element som beaktas av kommissionen för godkännande av överföringen beskrivs i GDPR.
- Övervakning av brottsbekämpning: Lagförslaget som gav upphov till LGPD föreskrev inrättandet av den nationella dataskyddsmyndigheten, enligt samma linje som den europeiska förordningen. De bestämmelser som föreskriver dess tillkomst och ansvar har dock lagts ned på veto, eftersom de ådrar sig grundlagsstridighet i lagstiftningsprocessen. Europeiska förordningar fastställer skapandet av den europeiska dataskyddskommittén, ansvarig för att säkerställa en konsekvent tillämpning av GDPR.
När GDPR trädde i kraft var VPN-leverantörer tvungna att förnya sin integritetspolicy för att tillgodose bestämmelserna i den nya lagstiftningen. Det ska bli intressant att se om LGPD kommer att behandlas med samma respekt av VPN-branschen.
Hur effektivt blir det?
Den myndighet som ansvarar för reglering och efterlevnad av LGPD är National Data Protection Authority (ANPD). Ännu har dock inga ledamöter i organet utsetts. Dessutom väcker det faktum att ANPD kommer att vara nära kopplat till regeringen allvarliga farhågor om rättvis tillämpning av lagen.
I Brasilien är de stora tillsynsmyndigheterna statligt ägda. Konsekvensen av detta är politiseringen av dessa organ och följaktligen korruption. Favoritism mot mäktiga företag och orättvis inblandning från regeringen som främjar deras politiska intressen är därför inte borta från korten.
Det faktum att GDPR själv till stor del har misslyckats med att hålla företag ansvariga, efter två år nu efter dess bortgång, är enormt nedslående. Webbläsarföretaget Brave lämnade in ett klagomål till EU-kommissionen och hävdade att europeiska regeringar inte har tillhandahållit de nödvändiga resurserna för dataskyddsmyndigheter att utföra sina uppgifter.
Som sådan är farhågorna att LGPD kommer att drabbas av samma öde som GDPR helt giltiga. Samtidigt har vi dock positiva exempel på statliga myndigheter som arbetar på ett utsökt sätt i Brasilien, såsom PROCON, som agerar för att försvara konsumenternas rättigheter.
Brasilien är ett land känt för att ha lagar som fungerar och andra som inte gör det. Baserat på tidigare erfarenheter är tron på att lagen delvis kommer att fylla sin roll inte alltför långsökt. Det kommer att finnas intresse från regeringen för att få medel genom böter som kommer att tillämpas på företag som inte följer de parametrar som fastställts av den allmänna dataskyddslagen.
Slutligen kommer det säkerligen att ske en stor judicialisering av frågan, av företag som känner sig orättvisa på grund av olagliga eller missbrukande böter. Det återstår för oss att veta om det brasilianska rättsväsendet kommer att tekniskt kunna lösa sådana konflikter.