Захист персональних даних у Бразилії: особливості сфери дії LGPD та нова штрафна практика
Бразильський Lei Geral de Proteção de Dados Pessoais (або LGPD) подібно до GDPR, CCPA та PIPEDA регулює захист персональних даних. Як приклад, LGPD також має екстериторіальну дію, тому може поширюватися на будь-яку компанію, незалежно від держави розташування. Тобто якщо Ваша компанія не обробляє персональні дані на території Бразилії, проте обробка даних здійснюється з метою пропозиції або постачання товарів чи послуг на територію Бразилії, LGPD поширює свою дію і на Вас.
Проте відмінності у регулюванні все ж є, оскільки LGPD не містить жодних положень щодо обробки даних з метою моніторингу поведінки осіб у Бразилії, на відміну від GDPR. Раніше ми вже детально розповідали про різницю між LGPD та іншими законами про захист персональних даних.
У цій статті розглянемо що нового у сфері захисту персональних даних в Бразилії та як це може вплинути на компанії, які підпадають під сферу дії LGPD.
Сфера дії та особливості LGPD
Поняття персональних даних відповідно до LGPD також є досить загальним і охоплює інформацію про ідентифіковану особу, або особу, яку можна ідентифікувати.
LGPD поширює свою дію на контролерів даних і обробників даних, які разом називаються агентами з обробки. Агентами з обробки можуть бути як державні органи, установи, так і компанії, які знаходяться у приватній власності.
У LGPD вказано, що обробник даних повинен проводити опрацювання відповідно до наданих контролером інструкцій, який відповідає за перевірку відповідності. Проте відповідно до LGPD немає обов’язку укладати договір щодо обробки, яку здійснює процесор.
LGPD прямо не передбачає, що акт буде застосовуватися незалежно від національності чи місця проживання особи. Однак, відповідно до Конституції Бразилії, захист поширюється на будь-яку особу, незалежно від громадянства чи місця проживання. Крім того, у статті 3 зазначено, що LGPD буде поширювати свою дію, навіть якщо персональні дані, що обробляються, належать особі, яка перебувала в Бразилії на момент їх збору.
LGPD застосовується до будь-якої обробки даних. На відміну від GDPR, тут немає деталізації щодо застосування автоматизованих чи не автоматизованих засобів. Крім цього, у LGPD вказано, що дані можуть вважатись персональними, якщо вони використовуються для формування поведінкових моделей (behavioural profiles) конкретної фізичної особи, якщо ця особа ідентифікована.
Нові кейси та штрафи
Telekall Infoservice
Наглядовим органом, який здійснює контроль за дотриманням LGPD є Autoridade Nacional de Proteção de Dados (ANPD). І ось вперше за три роки після набрання чинності LGPD, ANPD наклав штрафи за порушення статей 7 (permissible processing events) та 41 (DPO) LGPD, а також статті 5 ANPD Inspection Regulation. Загальна сума штрафів за порушення становила 14 400 бразильських реалів (приблизно 3 000 доларів США).
Перевірка компанії була почата після отримання скарги на те, що Telekall Infoservice пропонувала список контактів виборців у WhatsApp з метою розповсюдження агітаційних матеріалів. Це відбувалося у 2020 році під час місцевих виборів у муніципалітеті Убатуба.
Компанія Telekall Infoservice, зі свого боку, стверджувала, що вони фактично не продавали жодних послуг і тимчасово призупинили свої операції масового обміну повідомленнями.
Проте ANPD було встановлено, що обробка персональних даних виборців відбувалася без правової основи та підтверджено, що компанія не призначила спеціаліста із захисту даних (DPO).
Telekall Infoservice все ще може оскаржити рішення ANPD, тому варто продовжувати моніторинг щодо нових змін.
Meta Threads
Вже всі чули про новий додаток Threads, який було запущено 5 липня і вже за лічені дні додаток сягнув мільйонів користувачів. Threads – це платформа, яка дозволяє публікувати короткі дописи, проте цей додаток ще й пов’язується із обліковим записом Instagram. Така інтеграція між додатками, що належать Meta, є причиною виникнення додаткових питань щодо належного захисту персональних даних користувачів.
Чи всі користувачі усвідомлюють, які персональні дані збирають додатки та як вони можуть їх поширювати у зв’язку із інтеграціями? Очевидно, що ні. Але варто звернути на це додаткову увагу.
Такий стрімкий розвиток Threads викликав не лише захват в користувачів, а й питання в експертів із захисту персональних даних. До прикладу, Meta призупинила запуск Threads у Європейському Союзі, через проблеми із конфіденційністю додатку. Так, як вказано в політиці приватності, Meta може збирати великі обсяги інформації, включаючи чутливі персональні дані.
Попередньо, у нещодавньому рішенні Суду справедливості ЄС (справа C-252/21) на Meta вже було накладено вимогу опрацьовувати персональні дані для таргетингу реклами тільки за згодою суб’єкта даних (законний інтерес компанії за відсутності згоди суб’єкта не є достатньою правовою основою у цій ситуації).
Крім цього, причиною зупинки запуску також може бути Digital Markets Act (DMA, Закон про цифрові ринки), який встановлює нові обмеження для Big Tech компаній, так званих “гейткіперів”.
Питання відповідності нового додатку вимогам LGPD було поставлено й в Бразилії. У ANPD теж розпочали своє дослідження для аналізу як Meta обробляє персональні дані.
Як повідомлялося, у ANPD є занепокоєння, що платформа може обробляти персональні дані без певної мети (або ж не пропорційно до мети обробки), включаючи дані про здоров’я, банківські (платіжні) дані, історії веб перегляду та покупок. Аналіз наглядового органу буде включати оцінку наслідків збору та використання персональних даних, а також оцінку дотримання бразильського законодавства та прав суб’єктів даних у зв’язку із обробкою персональних даних.
Висновок
Незважаючи на те, що LGPD має певну схожість з GDPR Європейського Союзу, він має свої особливості та вимоги. Нові технології створюють нові виклики у сфері приватності, що вимагає пильності та адаптації методів захисту персональних даних для належного комплаєнсу. Накладення першого штрафу за порушення LGPD ще раз підкреслює важливість відповідального ставлення компаній до захисту персональних даних і комплаєнсу із застосовними актами.