LGPDブラジル– 2020年8月から、ブラジルでは、数百万人のブラジル人の個人データを収集、処理、保存、処理、マーケティングなどの業務を行う公的および私的組織の多くが変化します。

法律第13.709 / 18号（データ保護法– LGPD）が完全に施行され、個人データの保護とプライバシーに関するポリシーが規制され、インターネット市民フレームワーク[1]の一部の記事が変更され、他のルールに影響が与えられ、企業や公的機関がユーザーおよび顧客情報のプライバシーとセキュリティを扱う方法。

ヨーロッパでは、ブラジルの法律の発想であるGDPR（EU一般データ保護規則）[2]が2018年5月25日から施行されており、欧州連合の事業体や企業は施行前に適応しています。

しかし、リラックスすることはできます。変更の多くは、人とビジネスの両方にとってプラスになります。

この記事では、次のようないくつかの基本的な質問に答えます。どのように、なぜそしてどのような側面でそれがあなたの人生に影響を与えるか。どのような対策を講じるべきか。違反した場合に誰に訴えるか。他のトピックの中で。私たちと一緒に来る！

1. LGPDとGDPRとは何ですか？

どちらも、州の個人、企業、組織によって実行される、決定または決定可能な個人データの収集、保存、および処理に関する一連の法的規則です。

ブラジルのもの（LGPD）はまだ発効していません（すべての効果があり、08/15/20に発効する予定です）。しかし、MPDFTが合意したNetshoes社からの最近のデータ漏洩の例に続いて、インターネット市民フレームワーク、とりわけ消費者保護コード（CDC）に照らして、その法的側面のいくつかが議論され始めています。会社との行動調整協定（TAC）。

欧州法（GDPR）が施行され、欧州連合に所在する個人に関連する個人データの処理に関する規則が確立されています。欧州諸国と取引を行うブラジルの企業や州機関は、ペナルティ、顧客、ブランド価値、信頼性の喪失のリスクの下で、データ処理ポリシーがGDPRに準拠していることを確認する義務があることを覚えておく価値があります。国際市場。

2.一般データ保護法はあなたの生活にどのような影響を与えますか？

LGPDは、国内法がこれまでに制定した中で最も重要な影響を及ぼします。

何百万ものブラジル企業が、個人のクライアントデータを直接的または間接的に処理しています。数万のデータは、銀行、保険会社、eコマースなどのビジネス自体の機能に不可欠です。これらの企業が行うすべての取引には、消費者情報のセキュリティが不可欠であると言っても過言ではありません。

法律は分類されています。所有者が国の領土にある公的および私的な法人によって処理されるすべてのデータ。または彼らの収集は国で行われました。または、ブラジルで製品やサービスを提供することが目的であっても、準備する必要があります。

したがって、それはオプションではありませんが、個人データ保護のブラジルの規範を遵守する企業の義務です。

同様に、自然人の場合、そのプライバシーと自由は、例えばデータの漏洩や漏洩のリスクをもたらす可能性のあるセキュリティ違反から保護されます。または、他の可能性の中でも、特定のデータベースから自分のデータを削除する権利。

企業と顧客の行動は劇的に変化します。前者は、顧客とユーザーのプライバシーとセキュリティを保護することを約束したデータ保護ポリシーと計画を持っている必要があります。一方、人々は企業の行動をより観察し、機関がデータを提供できるセキュリティをより要求するようになります。

3.プライバシーを確​​保するために、政府、州の実体、および企業は何をすべきですか？

トラフィックの増加と攻撃やデータ漏洩のリスクは、国の実質的にすべての公的および私的イニシアチブに影響を与えるため、この質問は、今後数年間の法的、経済的、社会的議論のランキングを支配するでしょう。

何百万もの個人情報が毎日仮想ネットワーク上を循環しています。大規模なデータ公開はますます頻繁に行われており、運用のセキュリティを監視する必要がある人、つまり国家を含め、システムとプロトコルの弱点を示しています。

企業や機関は最終的な罰則から身を守る責任があり、これと同様に、適応しない人々に対する否定的な世論から身を守る責任があり、保証できないため市場に信頼性がないことを示し、ビジネスは深刻な影響を受けます。彼らのデータベースの保護。

4.なぜ個人データを保護するための法律が必要なのですか？

データを保護する権利は、1988年の連邦憲法[3]に一般的な根拠があります。最近、連邦上院は、マグナカルタの個々の保証のリストにデジタルメディアで利用可能になったデータの保護を含めるための憲法改正案（PEC No. 17/2019）を承認しました。インターネットのCivilLandmark [4]はこの権利を認めていますが、それでも漠然としています。その後、個人データの保護とプライバシーを規制して、それを行使できるようにするのはLGPDの責任でした。

すでに述べたように、何千ものブラジル企業が何百万ものユーザーやクライアントの個人データを収集、保存、処理しています。これらの企業がデータをどのように扱っているのか疑問に思ったことはありませんか？それらは安全な場所に保管されていますか？個人データのプライバシーはどのように保護されていますか？過度の露出、攻撃、またはセキュリティ違反が発生した場合の被害を最小限に抑えるための計画とプロトコルはありますか？

これらおよびその他の問題は、データ保護法の規制措置の範囲内です。それから、仮想世界であろうと、実際には大企業や中小企業であろうと、ブラジルでの個人データの処理に関連するすべての業務は、LGDPに適応する必要があります。

5.そして、データ違反とは何ですか？

サイバー攻撃にはいくつかの種類があり[5]、インターネットに接続されているデータベースにはある程度の脆弱性があります。情報過失の最も象徴的な事例の1つは、英国の政治マーケティング会社であるケンブリッジアナリティカへの数百万人のFacebookユーザーのデータ漏洩でした。

ブラジルでは、最近2つのケースが確認されています。Netshoes（上記参照）とBancoInterです。もう1つは調査中の、信用保護会社のボアビスタです。

ヨーロッパの法律によると、個人データの違反は次の特徴があります。

「送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反[6]」。

事件がサードパーティにデータの可視性をもたらしただけであったとしても、法律が言及しているセキュリティ違反はすでに発生しています。

したがって、企業や組織は、被害を最小限に抑え、ステークホルダーや社会の期待に十分応えられるようにする必要があります。

6.法律によって保護されているあなたの権利は何ですか？

LGPDは、お客様の自由、プライバシー、セキュリティ、明示的な同意、訂正のための情報へのアクセス、およびデータを削除したい場合の迅速なサービスなどを完全に保護します。

法律で保護されている個人情報は、決定または決定可能なものです。つまり、次のような、自然人の識別を可能にする、またはそれを可能にするデータ。

• 名前
• 苗字
• Eメール
• 文書とクレジットカードの番号付け
• 銀行の詳細
• 医療情報
• 位置
• IPアドレス
• そして、いわゆる「接続ステートメント」、よりよくCookieとして知られています

また、人種的または民族的出身、宗教的信念、政治的意見、組合員または宗教的、哲学的または政治的組織など、健康または性的、遺伝的または生物医学的生活。

あなたの権利は次のとおりです。すべての個人データへのアクセス、修正、更新、削除、ブロック、移植性（他の会社への個人情報の転送）の有効化、共有した公的および私的エンティティのリストとりわけ、データ。正義における損害賠償の最終的な補償を害することなく。

この法律は、デジタル個人データだけでなく、登録フォームやプロモーションクーポンなどの紙のコレクションに由来するデータも保護します。画像や音声を通じて収集されたデータも保護に含まれます。

7.法律への「同意」とはどういう意味ですか、それはあなたの権利と何の関係がありますか？

LGPDへの同意」は、個人のデータ処理操作の実行可能性の基本的な条件です。これは、「データ主体が特定の目的のために個人データを処理することに同意する、自由で情報に基づいた明確な声明」を表しています[7]。

したがって、ユーザーは、アクセス可能な言語を使用して、データの取り扱いに関するすべての情報を明示的かつ明確に自由に使用できるようにする必要があります。捕獲の手段; それらが保存される期間。それぞれの連絡先を持つコントローラーの識別。それらがサードパーティと共有されるかどうか。治療を行うエージェントの責任は何ですか。とりわけ。

データ所有者は、同意を撤回または取り消す権利を有します。また、最初に収集されたデータの目的に変更があった場合は、新しい同意を与える権利があります。

同様に、所有者は自分のデータを修正または変更する権利を有します。ユーザーまたは顧客が利用できるこのようなオプションは、促進され、無料で利用できるようにする必要があります。

有名な「ここをクリックして登録を完了する」そして「ここをクリックすることで利用規約とプライバシーポリシーに同意する」–はもう受け入れられません。ユーザーまたは顧客は、例えばダイアログボックスをオンにすることによって同意を与える必要があります。

8.個人データが安全かどうかを知る方法は？

個人データを保護するための安全なテクノロジーを提供し、匿名化プロセス[8]を元に戻さずに[9]、暗号化や仮名化[10]などの他の手法を使用することは、企業や組織の義務です。リークが発生した場合は、データ主体と連絡を取り、データ保護責任者を維持し、リスク計画を作成し、インシデントの影響を予測するなどの対策を講じてください。

漏洩や漏洩が発生した場合の最も迅速な対応の1つは、妥当な時間内に国家データ保護局（ANPD）に通知することです（当局自体が定義します）。

いくつかの企業はすでに法律に適応しています。例としては、ナビゲーションおよびマーケティングCookieの使用メッセージ、およびホームページのプライバシーポリシーに関する規定があり、収集された情報と処理される個人データの保護に透明性があることをユーザーとクライアントに警告します。

ウェブサイトがLGPDに準拠していることを証明することにより、ナビゲーション中の信頼性を向上させる方法として、企業および機関のウェブサイトのデジタル認証に取り組んでいる企業がすでに存在することに言及することが重要です。

9.不規則または違法な慣行を報告するにはどうすればよいですか？

個人データを保持する自然人は、データを管理する会社または政府機関に、データ保護規則の違反についてANPDに申し立てることができます。

データに関する情報やその他の措置を明示的に要求された場合は、最初に会社または組織に連絡することをお勧めします。そのような要請は、保有者にいかなる負担も負わないものとします。同様に、沈黙または不作為の場合には、消費者保護団体に請願することが可能です。

企業は、警告から年間収益の2％の単純な罰金まで、違反ごとに最大5,000万レアルの罰金を科せられる可能性があります。さらに、もちろん、メディアでのネガティブな露出には、不十分なデータ管理の公開の副作用があります。

最後に、不規則性、法的不適合、または違法行為の場合、被った重大または道徳的損害賠償の必要性がある場合、データの所有者は法廷で彼の権利を行使することもできます。

10. National Data Protection Authorityとは何ですか？それは何のため？

法律13.853 / 19は、個人データの保護とプライバシーに関する国家政策の一環として、暫定措置869/18で以前に設立された国家データ保護局（ANPD）を創設しました。

これは、特別な権限の下にある間接的な連邦行政機関であり、次の目的で共和国大統領にリンクされています。個人データの保護を監視する。行政処分の検査と適用。個人データの保護およびセキュリティ対策に関する公の規則および方針に関する情報の促進および開示。他国の個人データ保護当局との協力行動を促進する。他の能力の中で。

同じ規則により、行政、立法、司法の代表者とともに、個人データ保護とプライバシーのための全国評議会も設立されました。検察庁; 市民社会; 科学機関; とビジネス部門。

この評議会は、その能力の中に次のものがあります。戦略的ガイドラインの提案。国家データ保護政策の行動の実行を評価する年次報告書の作成。研究や討論の実施など[11]。

ANPDは、メンバーの選択、構造ガイドライン、規制、およびその運用に関する技術的詳細について、政治的適合の段階にあります。また、2020年8月に行われるLGPDの完全な実施を待っています。

11.個人データの処理を担当するエージェントは誰ですか？また、その役割と責任は何ですか？

ブラジルの法律には、いわゆる「治療薬」の主題、料金、および責任が記載されています。それは彼らです：

管理者–個人データの処理に関する決定に責任を負う、公法または私法の自然人または法人[12]。個人データのコレクションを保持する会社または州の機関は、管理者の例です。
オペレーター–公法または私法に準拠するかどうかにかかわらず、管理者に代わって個人データの処理を実行する自然人または法人[13]。オペレーターの例は、コントローラーのデータを処理するために契約されたコントローラーの下請け業者です。
このようなエージェントは、個人データの処理（コントローラー）および別のデータ（オペレーター）に代わって処理操作を実際に実行するための意思決定者です。

どちらの場合も、法律は次のような重要な料金を割り当てています。影響レポートの作成。リスクまたは損害を引き起こす可能性のあるセキュリティインシデントが発生した場合のANPDおよびデータ主体への通信。グッドプラクティスとガバナンスの実施。とりわけ。

責任については、補償を含む個人データ保護法に違反した場合に、物的損害、道徳的損害、個人的損害、または集団的損害を引き起こした場合、治療エージェントは共同で個別に責任を負います。また、サードパーティによるセキュリティ違反が発生した場合に、法律で定められたセキュリティ対策を講じなかった場合にも責任を負います。

エージェントは、割り当てられた処理を実行していないことを証明した場合にのみ責任を負いません。彼らは実行したが、法律違反はなかった。または、損害がデータ主体またはサードパーティの独占的な過失に起因すること[14]。

データ保護責任者[15]（GDPRのデータプライバシー責任者）の図もあります。これは、ユーザー（個人データの所有者）、企業、政府機関（管理者）、および国家データ保護局の間の通信チャネルとして機能する仲介者です。この立場は、会社が正しい意思決定を行い、優れた慣行と適切な組織のコンプライアンスを実施するための基本です。

非常に多くの義務に直面して[16]、企業や機関は、事件、不正行為、または不正行為の場合に組織を保護するためのメカニズムと技術的、情報的、および法的ツールを維持することが不可欠です。

12.専門家はLGPDコンプライアンスのために何を推奨しますか？

企業や州の組織がデータ保護法を遵守し、優れた長期にわたるガバナンスとプライバシー慣行、組織内外の通信プロトコル、その他の適応を実装するまでには、まだ数か月かかります。

専門家は、いくつかの点に重点を置いて、組織の管理を再設計することにより、不足している時間を利用することを推奨しています。完全なデータ監査の実施。データの時間的またはライフサイクルマップを編集する。セキュリティポリシーのレビュー。サプライヤーおよびパートナーとの契約のやり直し。プライバシー影響レポートを作成します。

良い部分は、このコンプライアンスを専門とする法律事務所があることです。専門家と契約する場合、法律で要求されるすべての側面で実施について交渉することができ、さらに一定期間監視するか、行為または段階で契約することができます。これは、現時点で十分な現金がない場合に実行可能なアイデアです。

13.データ保護法、Civil Internet Framework、および積極的な登録の間の関係。

LGPDは、表現の自由、オンラインプライバシーの保護、個人情報のセキュリティなどの権利と保証に関して、インターネットシビルランドマークの法的範囲を補完します。

クライアントと企業の関係にデータ保護法を適用すると、サービスが向上し、倫理的に持続可能になり、関係するすべてのサブジェクト間の通信チャネルが容易になります。

積極登録（法律第12,414 / 11号）については、補完法第12,414号により導入された変更後。166/2019は、LGPDとの互換性が必要です。これは、自然人および法人のデータベースへの相談の運用において、さまざまなソースから収集されたいくつかの個人情報（IRSの銀行およびクレジットデータ）が定期的に共有されるためです。 、コンセッショネアなどから）強制的に（すべての消費者は自動的に登録されます）、消費者が別段の表明をしない限り。

より安価でよりアクセスしやすいクレジットの利用可能性など、登録の肯定的な側面を想像したとしても、企業は、エクスポージャー、リーク、および潜在的な違法行為のリスクを伴う、市民の何百万もの個人データを持ちます。

除外の難しさ、あるいは不規則性やLGPD規則の違反のために、消費者防衛法に基づいて、ANPDおよび/または司法の前に個人または集団の要求の可能性を予見することはもっともらしいです。

結論

LGPDコンプライアンスと祖国規制への適応は、すべての中小企業と大企業にとって必要以上のものになるでしょう。ポジティブな飛躍は、データ操作のサイズを変更し、情報の持続可能性、倫理、透明性のビジネスとブランドの価値を高めることです。

ユーザーと顧客にとって、それは彼らの個人データがどのように扱われるかについての情報の自己決定の完全な行使を意味します。最後に、ブラジルは国際的な信頼を獲得し、他の国々に自国の個人データを真剣かつ敬意を持って扱っていることを示します。

そして、あなたはデータ保護法についてすべてを理解しましたか？あなたはそれについてどう思いますか？