Чи буде бразильський LGPD краще, ніж GDPR? Можливо, ні
Європейський GDPR (Загальний регламент захисту даних) привів до уваги громадськості у всьому світі про важливість законодавства про конфіденційність. Спонуканий зростаючими проблемами конфіденційності через те, що великі технології (Facebook, Google, Apple тощо) безсоромно порушують конфіденційність користувачів, розробка GDPR незабаром надихнула інші країни дотримуватись власних законів про захист даних. США прийшли з CCPA, Австралія з поправкою про конфіденційність, Японія з поправкою до Закону про захист особистої інформації, а також Таїланд, Південна Корея, Канада та інші.
Найновішим із таких законів, натхнених GDPR, є Загальний закон про захист даних Бразилії, Lei Geral de Proteção de Dados Pessoais (LGPD). Очікується, що LGPD буде запроваджено в серпні 2020 року, щоб упорядкувати та уніфікувати фрагментований характер законів про конфіденційність у Бразилії, з приблизно 40 такими законодавчими актами, які регулюють захист даних у країні галузевим способом.
У цій статті коротко викладаються основні положення закону, його відмінності від GDPR, а також питання, що стосуються застосування та управління LGPD. Більша частина того, що наведено далі, була співавтором пана Леандро Чахде, бразильського адвоката Advogado Zona Norte, який безпосередньо знайомий з LGPD.
На кого поширюється LGPD?
Як і GDPR, LGPD застосовується до будь-якої особи, яка перебуває в Бразилії, незалежно від національності. Це означає, що будь-яка компанія або веб-сайт у світі, які обробляють дані особи, яка проживає в Бразилії, повинні відповідати LGPD. Екстериторіальний характер закону робить його таким же важливим, як і GDPR, оскільки всі компанії, національні чи багатонаціональні, великі чи малі, підтримують однакові стандарти та покарання. під LGPD.
Права споживачів згідно LGPD
LGPD складається з 10 розділів із загалом 65 статей. Ці статті визначають права та положення, на які поширюється LGPD. Хоча повний розгляд закону тут неможливий, наступні ключові права людей відповідно до LGPD:
Явна згода: суб'єкт даних має бути чітко поінформований про причину збору персональних даних та мету використання.
Виправлення: власник може вимагати зміни своїх даних (виправлення, оновлення та видалення).
Право бути забутим: незалежно від причини, власник може вимагати видалення своїх даних у певній системі.
Переносність: власник повинен мати можливість експортувати свої персональні дані з однієї системи в іншу.
Право на пояснення: власник може запитати інформацію про всі алгоритми, які взаємодіють з його даними, щоб зрозуміти, наприклад, чому було відмовлено в банківському кредиті.
Чим він відрізняється від GDPR?
GDPR і LGPD мають багато подібності, але вони також відрізняються кількома важливими аспектами:
- Обробка конфіденційних даних: Європейське законодавство забороняє обробку конфіденційних даних, встановлюючи деякі винятки із заборони. Два з них не були включені до бразильського законодавства: (i) дані, оприлюднені власником; (ii) Дані, що стосуються нинішніх або колишніх членів фондів, асоціацій або неприбуткових організацій, оброблені в законних цілях і з відповідними заходами безпеки.
- Прямий маркетинг: бразильське законодавство застосовує загальні правила згоди, прозорості та права на заперечення до власників персональних даних. Європеєць, навпаки, дає конкретні прогнози. Суб’єкт даних має право в будь-який час заперечити проти обробки його персональних даних, що включає визначення профілів, якщо це пов’язано з прямим маркетингом.
- Взаємовідносини між контролером і оператором: хоча бразильське законодавство встановлює, що оператор повинен здійснювати обробку даних відповідно до вказівок контролера, немає вимог щодо оформлення через контракт. У свою чергу, європейське законодавство передбачає, що обробка даних, що здійснюється оператором, повинна регулюватися контрактом або іншим правовим актом, який пов’язує контролера з оператором.
- Звіт про вплив: у бразильському законодавстві не було чітко визначено, у яких ситуаціях контролер зобов’язаний складати звіт про вплив на захист персональних даних, делегуючи подальше регулювання вирішення цього питання. Європейське законодавство передбачає, що контролер повинен надати звіт про вплив на захист персональних даних, коли обробка призводить до високого ризику для прав і свобод осіб. GDPR також містить детальний опис того, що має бути висвітлено в цьому звіті.
- Міжнародна передача даних: законодавство Бразилії дозволяє передавати персональні дані країнам або міжнародним органам, які забезпечують належний захист персональних даних. Закон коротко про цю процедуру та елементи, які слід вважати адекватними. LGPD встановлює лише загальні рекомендації, яких повинні дотримуватися національні органи влади. Європейські правила стверджують, що міжнародна передача даних може здійснюватися незалежно від спеціального дозволу, якщо Європейська комісія визнає, що третя країна забезпечує достатній рівень захисту. Якщо ні, на міжнародну передачу будуть надаватися відповідні гарантії, які повинен гарантувати Агент. Усі процедури та елементи, які враховується Комісією для авторизації передачі, описані в GDPR.
- Нагляд за правоохоронними органами: Законопроект, який створив LGPD, передбачав створення Національного органу із захисту даних, дотримуючись того ж принципу, що й європейський регламент. Проте на положення, які передбачали його створення та відповідальність, було накладено вето, оскільки вони неконституційні в законодавчому процесі. Європейські правила встановлюють створення Європейського комітету із захисту даних, відповідального за забезпечення послідовного застосування GDPR.
Коли GDPR набув чинності, провайдерам VPN довелося оновити свою політику конфіденційності, щоб вона відповідала положенням нового законодавства. Буде цікаво подивитися, чи з такою ж повагою до LGPD ставитиметься індустрія VPN.
Наскільки це буде ефективно?
Органом, відповідальним за регулювання та виконання LGPD, є Національний орган із захисту даних (ANPD). Проте членів органу поки не призначено. Більше того, той факт, що ANPD буде тісно пов’язаний з урядом, викликає серйозні занепокоєння щодо справедливого виконання закону.
У Бразилії основні регулюючі установи належать державі. Наслідком цього є політизація цих органів і, як наслідок, корупція. Таким чином, фаворитизм щодо потужного бізнесу та несправедливе втручання влади, що сприяє їхнім політичним інтересам, не є поза межами карти.
Той факт, що сам GDPR не зміг притягнути компанії до відповідальності після двох років його прийняття, дуже обурює. Компанія веб-браузерів Brave подала скаргу до Європейської комісії, стверджуючи, що європейські уряди не надали необхідних ресурсів органам із захисту даних для виконання своїх обов’язків.
Таким чином, побоювання, що LGPD спіткає та ж доля, що й GDPR, цілком обґрунтовані. У той же час, однак, ми маємо позитивні приклади державних агенцій, які чудово працюють у Бразилії, як-от PROCON, яка діє на захист прав споживачів.
Бразилія — країна, відома тим, що закони діють, а інші — ні. Виходячи з попереднього досвіду, переконання, що закон частково виконає свою роль, не є надто надуманим. Держава буде зацікавлена в отриманні коштів за допомогою штрафів, які застосовуватимуться до компаній, які не відповідають параметрам, встановленим Загальним законом про захист даних.
Нарешті, безсумнівно, буде велика судова розгляд цього питання компаніями, які відчувають себе несправедливими через незаконні або неправомірні штрафи. Нам залишається знати, чи зможе бразильська судова влада технічно вирішити такі конфлікти.