雷纳托·阿方索·贡萨尔维斯*
在文章中 前因 我们对个人数据保护进行了历史回顾,最终发布了《通用数据保护条例》- 欧洲 RGPD 和《巴西通用数据保护法》- LGPD。
可以看出,欧洲 RGPD 法规 (EU) 2016/679 可能是目前最重要的数据保护法,因为它在庞大的数字市场发展与个人数据保护之间寻求必要的平衡,产生甚至那些与欧洲保持商业关系的国家也会做出反应。 该文凭是在立法、监管和法学领域处理问题的经验成熟过程的结果。[I]的 它承认物质在经济、社会和文化方面占据了巨大的比例。
RGPD 于 25 年 2018 月 173 日生效,由 99 条序言和 XNUMX 条条款组成,这不仅表明了文凭的篇幅之长,而且表明了欧洲立法者对其内容进行细化以促进其应用的关注,尽管预计成员国将在立法和监管方面开放,以改进其在各自领土上的应用。[II]
此次欧洲法规试图确立规则适用的物质和地域范围; 为处理不同类别的个人数据建立定义、原则和条件; 授予个人数据持有人的权利; 制定有关处理责任人及其分包商的规则; 制定个人数据国际传输规则; 建立公共和行政控制机制,并对违反其规定的行为进行制裁; 规范劳动关系范围内的数据保护。
在非常紧凑的总结中,我们将尝试指出新欧洲文凭的主要方面。
应该指出的是,RGPD 的目的是“促进建立自由、安全和正义的地区和经济联盟,促进经济和社会进步,巩固和融合经济水平内部市场和自然人的福祉”。[III] 因此,这并不是要禁止数字世界中的经济活动,相反,这是要确保这些活动是在尊重数据保护的基本权利的前提下进行的,因此,这也保证了公平经济主体之间的竞争。 正如 RGPD 的序言 7 所述,必须加强“自然人、经济运营商和公共当局的法律保障和实际保障”。
正在审查的文凭为“个人数据”建立了一个广泛的概念[IV], 被认为是与已识别或可识别自然人有关的任何信息(可以直接或间接识别的自然人,特别是通过参考标识符,例如姓名、身份证号码、位置数据、电子标识符或特定于该自然人的身体、生理、遗传、精神、经济、文化或社会身份的一项或多项要素)。
同样的广度被用于将数据处理概念化为通过自动或非自动方式对个人数据或个人数据集执行的操作或一组操作,例如收集、注册、组织、结构化、保存、改编或更改、检索、咨询、使用、通过传输、传播或任何其他形式的提供、比较或互连、限制、删除或销毁进行披露。[V] 由此可见,RGPD 明显扩大了其发生范围,影响了以某种形式的个人数据操纵为前提或发展工具的专业或商业活动。
应该指出的是,RGPD 建立了个人数据分类和不同的保护范围,这取决于主体隐私或亲密关系的表达。 这些就是该学说所说的敏感(亲密)或非敏感(隐私)个人数据。 出于这个原因,RGPD 第 9 条确立了一般规则,即“处理(敏感的)个人数据以揭示种族或民族血统、政治观点、宗教或哲学信仰或工会隶属关系,以及处理遗传信息数据、用于唯一识别一个人的生物识别数据、与健康有关的数据或与一个人的性生活或性取向有关的数据”。因此,对他们的违规行为负有更大的责任。
另一个相关方面涉及合法待遇[六] 个人数据,只有在相应持有人已就一个或多个特定目的(例如合同前阶段或合同执行)给予适当同意的情况下才会发生; 为履行控制者应承担的法律义务; 为维护数据主体或其他自然人的切身利益; 为行使公共利益职能或行使赋予控制者的公共权力; 为了控制者或第三方追求的合法利益,除非持有人的利益或基本权利和自由需要保护个人数据,特别是如果持有人是儿童[七],如果数据处理是由公共当局以电子方式履行其职责而进行的,则假设不适用。
因此,个人数据的处理只能以合法、忠诚和透明的方式进行,并针对特定、明确和合法的目的,并且不能以与这些目的不相符的方式进行后续处理。 数据必须充分、相关并仅限于处理它们的预期目的(数据最小化),并且必须保持准确、更新和保存,以便在目的所需的期间内识别其持有者处理它们的目的(保护限制),并且可以长期保存,前提是它们仅用于公共利益档案目的,或用于科学、历史或统计研究目的。
安全在 RGPD 中占据中心地位,旨在通过采取适当的技术或组织措施保护个人数据免遭未经授权或非法处理,以及意外丢失、破坏或损坏,这就是所有数据控制者都要承担责任的原因。 - 负责操纵,要求登记所有风险处理和管理活动,任命负责人并向主管当局通报任何违规行为。
为使其规则有效,RGPD 对其违规行为制定了强有力的制裁措施,允许成员国随时对此事进行监管,以扩大有效性范围。 这就是其第 58 条的规定,授予其成员国的每个主管部门通过警告、谴责、决定采用特定程序、撤销认证、处以巨额罚款等方式进行纠正的权力(第 83 条)[八]), 以及暂停向第三国或国际组织的接收者发送数据的决定。
最后,要注意地域性方面,旨在保护世界任何地方的欧洲居民的个人数据。 RGPD 第 3 条规定,文凭适用于处理欧洲居民的数据,无论处理发生在欧盟内部还是外部。
它还规定了当控制者或处理者未在欧盟成立、在欧盟提供商品或服务或打算控制数据主体的行为时的应用,前提是该行为发生在欧盟。 由于这些原因,所有与欧盟建立任何类型经济关系的人都必须遵守 RGPD。
由于这种情况,这同样适用于欧洲居民的数据传输。 这就是 RGPD 第 44 条规定的内容,它规定“任何在转移到第三国或国际组织后受到或将受到处理的个人数据的转移只有在不影响其他规定的情况下才能进行本条例以及本章规定的条件受到控制者和处理者的尊重,包括将个人数据从第三国或国际组织转移到另一个第三国或其他国际组织。 本章所有规定的适用方式应确保本条例所保障的自然人保护水平不受影响”。
在快速分析 GDPR 之后,让我们继续讨论新的巴西 LGPD。
如图所示,LGPD 将在 2018 年之前整合现有的立法框架以保护个人数据,从而加强巴西对个人隐私、亲密关系、荣誉、形象和尊严的保护。
巴西社会长期以来一直希望获得关于该主题的具体文凭,而欧洲 RGPD 的版本促成了它的批准,因为建立与欧洲类似的保护水平对我们的经济具有战略意义和至关重要的意义,从而有助于巴西公司的国际竞争力。
最初需要注意的是,LGPD 将于 2020 年 XNUMX 月生效,正是为了适应巴西社会和市场的新要求。
这是一项制定在该事项中应遵守的原则的法律,在第 6 条的示例清单中有所规定,并考虑了民法中概述和巩固的诚信形象。
因此,LGPD 表达的原则是: 目标 – 处理必须出于合法的、特定的目的进行,并且不可能进行与这些目的不相容的操纵; 充足 – 处理必须符合告知数据主体的目的; 需要 – 处理必须限于实现目的所需的最低限度; 免费进入 – 必须保证持有人可以轻松免费地咨询治疗的形式和持续时间,以及访问他们的所有数据; 数据质量 – 必须保证数据的准确性、清晰度、相关性和最新性; 透明度 – 必须保证持有人提供清晰且易于获取的信息; segurança – 必须采用能够保护数据免遭未经授权访问的技术和管理措施; 预防 – 必须采取措施防止因处理个人数据而造成损害; 不歧视 – 不可能出于歧视目的进行处理; 问责制和问责制 – 展示观察和证明遵守个人数据保护法规的有效措施。
这些原则指导所有处理个人数据的活动,并与以下义务相结合: 隐私设计 e 默认隐私。 隐私设计 或从概念上讲隐私,是一个与系统工程相关的概念,在整个构建和执行过程中都考虑到隐私(例如,采用假名化和加密),在整个过程中尊重人类价值。 默认情况下为隐私 或默认保护,意味着处理者必须确保个人数据得到最高的隐私保护(只有必要的数据必须在短期保留期内处理并且访问受限),以便默认情况下,数据个人数据不提供给不定数量的人。 RGPD 在其第 25 条中积极概述了这些概念,而 LGPD 则没有。 但是,结合 LGPD 第 6 条和第 46 条,我们可以推断这些原则/概念已被我们的法律采纳。
与 GDPR 一样,我们的法律规定了其材料和地域适用范围,为处理不同类别的个人数据制定了定义、原则和条件。 它还授予个人数据持有者权利,为负责处理的人及其分包商制定规则,并概述公共和行政控制机制以及对违反其规定的制裁。
与 RGPD 不同,我们的法律规定了信息自决的基本权利(第 2 条,II),我们认为这是一个积极的方面,因为它巩固了人类在面对国家法律文化中的新技术时的这一重要成就.
新的巴西个人数据保护法成为 一般法 在这个问题上,它向所有法律领域发出命令,必须根据该问题的宪法规定系统地应用和解释。 因此,LGPD 具有矩阵特征,将影响多个经济部门和国家活动。
这一次,作为一般规则,在国家领土内进行的任何个人数据处理、收集或加工,其持有人在巴西,均受巴西法律约束,无论处理这些数据的人身在何处或国籍如何。 不受其适用的是自然人为私人目的进行的操纵; 为新闻或艺术或学术目的而进行; 为公共安全、国防、国家安全或调查和打击刑事犯罪的目的而进行的,假设将受其自身规则的约束,遵守正当法律程序、保护和持有人权利的一般原则。
LGPD 考虑了对儿童和青少年个人数据的操纵,该法案在第 14 条中处理了该主题,请记住,在这些情况下,必须根据《儿童和青少年法规》-ECA 来适用和解释法律,并且民法典。 与 RGPD 不同,我们的法律没有规定数据主体自主促进同意的年龄限制,只是规定“处理儿童的个人数据必须在至少一位父母的明确和显着同意下进行或法定监护人”(第 1 条第 14 款)。 因此,我们理解艺术。 ECA 的第 2 条,将一个人视为未满 XNUMX 岁的儿童。
RPGG之后,巴西法律并没有回避面对数据匿名化的问题,即使用处理时可用的合理技术手段,使数据失去直接或间接关联的可能性, 对个人。 如前所述,此数据不被视为个人数据,除非匿名化过程可以逆转,使用完全自己的方式或通过合理的努力,考虑客观因素,如逆转匿名化过程的成本和时间(伪匿名化)。
另一个值得注意的方面是涉及对个人数据损害的民事责任,这一问题的处理方式与《消费者保护法》(CDC) 提供的处理方式非常相似。 顺便说一下,新文凭的文本强调消费者关系中个人数据的损害将与 CDC 一起调查(LGPD 第 45 条)。
因此,认识到加工代理人可能造成金钱、精神、个人或集体损失,LGPD 第 40 条规定了当控制者和经营者未能履行其义务时,控制者和经营者之间团结一致的一般规则。数据保护立法或当他没有遵守控制者的合法指示时。 当控制者直接参与对数据主体造成损害的处理时,他们也是团结一致的。
LGPD 第 43 条规定了此团结规则的例外情况。 这些是:当处理代理人(控制者或操作者)证明它没有处理分配给它的个人数据时; 当它证明,尽管它已经处理了分配给它的个人数据,但没有违反数据保护法; 或证明损害是由于数据主体或第三方的单独过错造成的。对于该系统,法律保留了退回诉讼的可能性,并适用 CDC 和《公共民事诉讼法》在法庭上进行集体保护。
与 CDC 推荐的措施类似的另一项措施是,当指控可信、证据不足或证据不足时,将举证责任倒置给数据主体数据主体出示证据会导致负担过重。
与规定 72 小时期限的 RGPD 不同,LGPD 仅规定控制者有责任在合理期限内就可能带来重大风险的安全事件的发生与国家主管部门和持有人进行沟通或损坏。 我们的法律在这一点上失败了,因为没有定义合理期限的要素,而合理期限可能由国家主管部门负责监管。 在这种情况下,国家主管部门可以采取类似于 记得 消费主义,例如在媒体上广泛传播这一事实(对管制员形象的一个非常尴尬的假设),以及它认为有必要扭转或减轻事件影响的其他措施。
至于个人数据的国际传输(第 33 条至第 36 条),巴西法律沿用了 RGPD 的路径,仅允许那些提供与 LGPD 规定的个人数据保护程度相符的国家或国际组织或者当控制者通过合同条款、公司标准、印章、证书和定期颁发的行为准则提供并证明合规性时,其内容由国家主管部门定义或验证。
个人数据国际传输的另一个不可或缺的要求是需要数据主体的特别同意,必须强调这一点并与其他目的区分开来。
最后,在行政处罚方面,LGPD在设置大额罚款方面做得很好。 因此,根据具体情况,国家主管部门在完成行政程序并保证充分防御后,可以确定警告; 对巴西的私营法人实体、集团或企业集团上一财政年度的账单进行高达 2% 的简单罚款,每次违规总计不超过 50.000.000,00 雷亚尔; 每日罚款; 公布违规行为并封锁违规行为涉及的个人数据,直至其正规化。
可以看出,数字世界已经达到了非同寻常的发展程度。 人类对技术日益增长的依赖只会增加破坏性技术可用的个人数据的数量和流量。 保护隐私、亲密关系、图像和个人数据是后现代世界实现必要平衡不可或缺的任务。
因此,以欧洲发生的事情为榜样,民间社会和巴西公司必须适应 LGPD,这是日益全球化的数字经济世界的迫切需要。
因此,公司应该建立或审查他们收集、操作、存储和处理个人数据的方式。 这种适应在各个方面都非常有价值,从巩固这些公司在消费者和客户面前的可靠性,到为国际竞争提供平等条件的可能性。 从这个意义上讲,数据保护和 符合 是 XNUMX 世纪商业活动的基本假设。
LGPD 在许多方面与欧洲 GDPR 很接近,因为它在某种程度上受到了欧洲 GDPR 的启发。 然而,尽管这是一个良好的开端,但我们认为新法律在许多方面仍有不足之处,没有规范或规范不足,例如:劳动关系中的个人数据; 在刑事调查和行政犯罪的范围内; 视频监控; 遗忘权; 生物技术; 剖析; 分包; 安全、行为和认证的技术方面; 合作与一致性; 言论和信息自由; 公共文件; 宗教实体等进行的治疗。
诚然,要靠学说和判例来克服这种情况造成的任何差距和矛盾。 与直接行政部门相关的国家数据保护局的创建,以及共和国总统职位,突显了未来将出现的困难之海。 必须建立一个具有更多制度、职能和财务独立性的特殊专制制度,以使我们的系统适应国际标准。
我们很可能会看到因适用 LGPD 而产生的经济利益冲突敲响了上级法院的大门,就像互联网民事商标以及围绕它的关系所发生的那样。 WhatsApp,其中讨论了国家干预密码学开发和使用的局限性。 积极注册法是与 LGPD 冲突的最明显和最明显的例子,特别是在个人数据持有人同意的主题方面。
诸如涉及活动的问题 剑桥分析公司 在过程中 Brexit 在美国大选中,巴西开始提出对扩散的指控 假新闻 在 2018 年总统选举中。美国根据财产权处理该主题的法律影响与欧洲将个人数据保护权纳入人权范围的概念形成鲜明对比。 精神分裂症住在国家的法律世界(民法 x common law) 将极大地影响 LGPD 的未来。
巴西正在经历我们历史上罕见的深刻的政治、经济、社会和体制危机。 公共机构的威权主义、对宪法秩序和人权的公然不尊重、仇恨和不宽容,日夜在街头涌现,尤其是在数字世界。
正是在这种情况下,LGPD 诞生了。 一个好的开始,这可能会更好。 未来将沿着曲折的路线建立,这将需要大量的工作和法律界的克服,以在巴西实施对个人数据的全面保护。
*雷纳托·阿方索·贡萨尔维斯,律师,是里斯本大学法学院历史法律科学博士候选人。
[I]的注意欧盟法院的典型判决:爱尔兰数字权利,2014 – 案例 C-293/12 和 C-594/12; 谷歌西班牙 SL 和谷歌公司,2014 年(案例 C-131/12); 和 Maximillian Schrems,自 2015 年起——案例 C-362/2014。 欧盟法院。 网址:https://curia.europa.eu/jcms/jcms/j_6/pt/。
[II]例如,葡萄牙于 58 年 2019 月 08 日颁布了第 2019/2016 号法律,确保在国家法律秩序中实施关于保护自然人的第 (EU) 679/XNUMX 号条例关于个人数据的处理和此类数据的自由流动。 网址:https://www.cnpd.pt/。
[III]GDPR 的序言 2。
[IV]GDPR 第 4 条第 1 款。
[V]GDPR 第 4 条。
[六]GDPR 第 6 条。
[七]GDPR 第 8 条要求父母或监护人同意处理 16 岁以下人士的个人数据。 另一方面,该条例允许成员国的法律降低这一期限,该期限不得少于 13 年。
[八]他们的收入从 10 万欧元或公司全球年营业额的 2% 到 20 万欧元或公司全球年销售额的 4% 不等。