6 Năm LGPD: Còn cần làm gì?

Vào ngày 14 tháng 8 năm 2024, Brazil kỷ niệm 6° ngày kỷ niệm Luật chung về bảo vệ dữ liệu cá nhân (LGPD). Đạo luật này đánh dấu sự tiến bộ trong việc bảo vệ quyền riêng tư và dữ liệu cá nhân trong nước. Được phê duyệt vào ngày 14 tháng 8 năm 2018, LGPD có hiệu lực vào tháng 9 năm 2020, với các biện pháp trừng phạt áp dụng từ tháng 8 năm 2021. 

LGPD định nghĩa dữ liệu cá nhân là bất kỳ thông tin nào có thể xác định hoặc làm cho một thể nhân hoặc pháp nhân có thể nhận dạng được, chẳng hạn như tên, CPF, RG, email và các dữ liệu chính của LGPD là đảm bảo rằng dữ liệu này được sử dụng một cách an toàn và minh bạch, tránh sử dụng sai mục đích và đảm bảo sự bảo vệ và an ninh pháp lý của công dân.

Vào tháng 5 năm 2021, hai năm sau khi LGPD xử phạt, Tòa án Tối cao Liên bang (STF) đã công nhận việc bảo vệ dữ liệu cá nhân là một quyền cơ bản. Sự công nhận này đã được đưa vào Hiến pháp Liên bang vào tháng 2 năm 2022, thông qua Bản sửa đổi Hiến pháp số 115/22. Với Hiến pháp Liên bang năm 1988, quyền riêng tư và bảo mật thông tin liên lạc đã được thực chứng, nhưng việc bảo vệ dữ liệu cá nhân gần đây chỉ trở thành một phần của văn bản hiến pháp. Các luật như Khung Internet Dân sự và Luật Tiếp cận Thông tin là những tiền thân quan trọng góp phần hình thành LGPD.

Sau khi ban hành luật, các công ty phải điều chỉnh theo luật mới, áp dụng các thông lệ cụ thể. Điều này liên quan đến việc tạo ra các chính sách và thủ tục về quyền riêng tư, đào tạo nhân viên và triển khai các công nghệ bảo mật thông tin. LGPD thiết lập các khoản phạt và biện pháp trừng phạt đối với hành vi không tuân thủ, về mặt lý thuyết - khuyến khích các công ty tuân thủ luật pháp.

Tuy nhiên, LGPD vẫn chưa được tuân thủ đầy đủ ở một số vùng của đất nước.Một cuộc khảo sát được thực hiện bởi cổng thông tin LGPD Brazil cho thấy ngay cả với yêu cầu, chỉ có 16% của các công ty của đất nước tuân thủ luật pháp.Điều này tiết lộ rằng, mặc dù nó đã có một nhận thức nhất định về luật pháp, nó vẫn còn khá tập trung ở các trung tâm đô thị lớn, và cần phải mang kiến thức này đến các vùng khác của đất nước.

Luật sư và chuyên gia về luật kỹ thuật số của FGV, Lucas Maldonado D. Latini, chỉ ra rằng một trong những khó khăn lớn nhất đối với việc thích ứng với LGPD là thiếu kiến thức về luật và nó ảnh hưởng như thế nào đến hoạt động của các công ty. Nhiều tổ chức vẫn không biết rằng luật áp dụng cho lĩnh vực hoạt động của họ. Luật sư lưu ý rằng luật này bao gồm các công ty thuộc nhiều lĩnh vực khác nhau, chẳng hạn như tài chính, giáo dục, bán lẻ, v.v.

Đối với ông, các quy định về bảo vệ dữ liệu đã bị phân tán trong một số luật, gây khó khăn cho việc giải thích và áp dụng các quyền này.“Một sự thống nhất được thúc đẩy bởi LGPD đã mang lại sự rõ ràng và gắn kết cho khung pháp lý Brazil.Ngoài ra, chúng tôi đã thành lập Cơ quan bảo vệ dữ liệu quốc gia (ANPD) để đảm bảo việc giám sát và tuân thủ luật”, bình luận.Hôm nay, ANPD chịu trách nhiệm ban hành các nghị quyết và hướng dẫn giúp các đại lý xử lý dữ liệu hiểu và tuân thủ các nghĩa v.

Chúng ta có thể mong đợi điều gì cho một tương lai ngày càng công nghệ?

Mặc dù khung pháp lý đã tiến bộ đáng kể kể từ khi triển khai nhưng vẫn có một số vấn đề cần được Cơ quan bảo vệ dữ liệu quốc gia (ANPD) giải quyết để đảm bảo rằng ứng dụng tiếp tục có hiệu quả.

Một trong những chủ đề trọng tâm là quy định về truyền dữ liệu quốc tế. Vào năm 2022, ANPD đã triển khai một cuộc tham vấn cộng đồng để tạo ra các hướng dẫn về cách gửi dữ liệu cá nhân bên ngoài Brazil. LGPD yêu cầu các hoạt động chuyển giao này phải được thực hiện để đảm bảo bảo vệ đầy đủ dữ liệu ở các quốc gia khác. Để làm được điều này, ANPD cần thiết lập các quy tắc rõ ràng, bao gồm cả các quốc gia mà họ cho là có mức độ bảo vệ tương thích với luật pháp Brazil.

Một điểm nữa là quy định về Trí tuệ nhân tạo (AI).Cho đến nay, pháp luật Brazil không đề cập cụ thể đến việc sử dụng AI liên quan đến bảo vệ dữ liệu. ANPD đang tham gia vào các cuộc thảo luận của Dự luật 2.338/2023, nhằm thiết lập khung pháp lý cho AI và đang được Thượng viện Liên bang đánh giá.

Luật sư chỉ ra rằng một trong những điểm quan trọng nhất là các công ty thiết lập các biện pháp bảo mật, kỹ thuật và hành chính, cần thiết cho việc bảo vệ dữ liệu cá nhân.Những nguyên tắc này có thể bao gồm các tiêu chuẩn bảo mật tối thiểu, sử dụng mã hóa, tường lửa và chính sách truy cập, việc thực hiện từng trong số chúng là một cách để ngăn chặn các sự cố bảo mật, chẳng hạn như rò rỉ dữ liệu và đảm bảo rằng thông tin được bảo vệ khỏi sự truy cập trái phép.