6 ans de LGPD : que reste-t-il à faire ?

Le 14 août 2024, le Brésil célèbre le 6° anniversaire de la Loi Générale sur la Protection des Données Personnelles (LGPD).La législation a marqué l'avancée dans la protection de la vie privée et des données personnelles dans le pays Approuvé le 14 août 2018, la LGPD est entrée en vigueur en septembre 2020, avec des sanctions applicables à partir d'août 2021. 

La LGPD définit les données personnelles comme toute information pouvant identifier ou rendre identifiable une personne physique ou morale, telle que le nom, le CPF, le RG, le courrier électronique et d'autres données. L'objectif principal de la LGPD est de garantir que ces données sont utilisées de manière sûre et transparente, en évitant les abus et en garantissant la protection et la sécurité juridique des citoyens.

En mai 2021, deux ans après la sanction de la LGPD, le Tribunal fédéral (STF) a reconnu la protection des données personnelles comme un droit fondamental Cette reconnaissance a été inscrite dans la Constitution fédérale en février 2022, par le biais de l'amendement constitutionnel no 115/22. avec la Constitution fédérale de 1988, les droits à la vie privée et à la confidentialité des communications avaient déjà été positivisés, mais la protection des données personnelles n'est devenue partie intégrante du texte constitutionnel que plus récemment Des lois telles que le cadre civil pour l'Internet et la loi sur l'accès à l'information ont été d'importants précurseurs qui ont contribué à la formulation de la LGPD.

Après la promulgation de la loi, les entreprises ont dû s'adapter à la nouvelle législation, en adoptant des pratiques spécifiques Cela impliquait la création de politiques et de procédures de confidentialité, la formation des employés et la mise en œuvre des technologies de sécurité de l'information La LGPD établit des amendes et des sanctions en cas de non-conformité, ce qui - théoriquement - a encouragé les entreprises à se conformer à la loi.

Cependant, la LGPD n'est pas encore pleinement respectée dans certaines parties du pays Une enquête menée par le portail LGPD Brésil a montré que même avec l'exigence, seules 161TP3 T des entreprises du pays se conforment à la loi. Cela révèle que, même si elle a déjà une certaine connaissance de la loi, elle est encore assez concentrée dans les grands centres urbains, et il est nécessaire d'apporter ces connaissances dans d'autres régions du pays.

L'avocat et spécialiste du droit numérique par FGV, Lucas Maldonado D. Latini, fait remarquer que l'une des plus grandes difficultés pour l'adaptation à la LGPD est le manque de connaissances sur le droit et la façon dont il affecte les opérations des entreprises de nombreuses organisations ne savent toujours pas que la législation s'applique à leur domaine d'activité L'avocat fait remarquer que la législation couvre des entreprises de divers secteurs, tels que la finance, l'éducation, le commerce de détail etc.

Pour lui, les dispositions sur la protection des données ont été dispersées dans plusieurs lois, ce qui rend difficile l'interprétation et l'application de ces droits.“Une unification promue par la LGPD a apporté clarté et cohésion au cadre réglementaire brésilien.En outre, nous avons EU la création de l'Autorité nationale de protection des données (ANPD) pour assurer la supervision et le respect de la loi”, commente Aujourd'hui, l'ANPD est chargée de publier des résolutions et des lignes directrices qui aident les agents de traitement de données à comprendre et à respecter les obligations.

Que peut-on attendre d'un avenir de plus en plus technologique ?

Bien que le cadre réglementaire ait considérablement progressé depuis sa mise en œuvre, plusieurs problèmes doivent encore être résolus par l'Autorité nationale de protection des données (ANPD) pour garantir que l'application continue d'être efficace.

L'un des sujets d'intérêt est la réglementation des transferts internationaux de données En 2022, l'ANPD a lancé une consultation publique pour créer des lignes directrices sur la manière dont les données personnelles peuvent être envoyées en dehors du Brésil La LGPD exige que ces transferts soient effectués afin d'assurer une protection adéquate des données dans d'autres pays. Pour cela, l'ANPD doit établir des règles claires, y compris sur les pays où elle considère avoir des niveaux de protection compatibles avec la loi brésilienne.

Un autre point est la réglementation de l'Intelligence Artificielle (IA).A ce jour, la législation brésilienne ne traite pas spécifiquement de l'utilisation de l'IA en relation avec la protection des données L'ANPD participe aux discussions du projet de loi 2 338/2023, qui vise à établir un cadre juridique pour l'IA et est en cours d'évaluation par le Sénat fédéral.

L'avocat souligne que l'un des points les plus importants est que les entreprises établissent les mesures de sécurité, techniques et administratives, nécessaires à la protection des données personnelles Ces directives peuvent inclure des normes minimales de sécurité, l'utilisation du cryptage, des pare-feu et des politiques d'accès, la mise en œuvre de chacune d'elles est un moyen de prévenir les incidents de sécurité, tels que les fuites de données, et de garantir que les informations sont protégées contre tout accès non autorisé.