Von Renato Afonso Gonçalves*
im Artikel vorausgegangen Wir zeichnen einen historischen Überblick über den Schutz personenbezogener Daten, der mit der Veröffentlichung der Datenschutz-Grundverordnung (EU-RGPD) und des brasilianischen Datenschutz-Grundgesetzes (LGPD) seinen Höhepunkt findet.
Wie man sieht, ist die europäische DSGVO, die Verordnung (EU) 2016/679, derzeit vielleicht das wichtigste Datenschutzgesetz, da sie das notwendige Gleichgewicht zwischen der Entwicklung eines riesigen digitalen Marktes und dem Schutz personenbezogener Daten anstrebt Selbst bei jenen Nationen, die Handelsbeziehungen mit Europa unterhalten, sind die Reflexe spürbar. Dieses Diplom ist das Ergebnis des Reifungsprozesses von Erfahrungen im Umgang mit der Materie in den Bereichen Gesetzgebung, Regulierung und Rechtsprechung.[I] Es ist die Erkenntnis, dass die Angelegenheit im Hinblick auf wirtschaftliche, soziale und kulturelle Aspekte enorme Ausmaße annimmt.
Die RGPD, die am 25. Mai 2018 in Kraft trat, besteht aus 173 Erwägungsgründen und 99 Artikeln, was nicht nur die große Länge des Diploms zeigt, sondern auch das Anliegen des europäischen Gesetzgebers, seinen Inhalt zu präzisieren, um seine Anwendung zu erleichtern. Es ist jedoch vorgesehen, dass die Mitgliedstaaten gesetzgeberische und regulatorische Möglichkeiten haben, um die Anwendung in ihrem jeweiligen Hoheitsgebiet zu verbessern.[Ii]
Diesmal versucht die europäische Verordnung, den materiellen und räumlichen Anwendungsbereich der Regeln festzulegen; Festlegung von Definitionen, Grundsätzen und Bedingungen für die Verarbeitung verschiedener Kategorien personenbezogener Daten; den Inhabern personenbezogener Daten Rechte verleihen; Festlegung von Regeln für die für die Abwicklung Verantwortlichen und deren Subunternehmer; Regeln für die internationale Übermittlung personenbezogener Daten festlegen; öffentliche und administrative Kontrollmechanismen und Sanktionen für Verstöße gegen seine Vorschriften einführen; und den Datenschutz im Rahmen der Arbeitsbeziehungen zu vereinheitlichen.
In einer sehr knappen Zusammenfassung werden wir versuchen, die Hauptaspekte des neuen europäischen Diploms aufzuzeigen.
Es sei darauf hingewiesen, dass der Zweck des RGPD darin besteht, „zur Schaffung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Konsolidierung und Konvergenz der Volkswirtschaften auf der Ebene der EU beizutragen.“ Binnenmarkt und das Wohlergehen des Einzelnen“.[Iii] Dabei geht es nicht darum, wirtschaftliche Aktivitäten in der digitalen Welt zu verbieten, sondern im Gegenteil darum, sicherzustellen, dass diese Aktivitäten unter der Voraussetzung der Achtung des Grundrechts auf Datenschutz durchgeführt werden, was somit auch eine faire Gewährleistung gewährleistet Wettbewerb zwischen Wirtschaftsakteuren. Wie es in Erwägungsgrund 7 der DSGVO heißt, müssen „die Rechtssicherheit und die praktische Sicherheit für natürliche Personen, Wirtschaftsteilnehmer und Behörden“ gestärkt werden.
Das zu prüfende Diplom legt ein umfassendes Konzept für „personenbezogene Daten“ fest.[IV]Dabei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, Identifikatoren auf elektronischem Wege identifiziert werden kann). oder auf ein oder mehrere Elemente, die Ausdruck der physischen, physiologischen, genetischen, geistigen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind).
Die gleiche Breite wurde für die Konzeptualisierung der Datenverarbeitung als einen Vorgang oder eine Reihe von Vorgängen verwendet, die mit personenbezogenen Daten oder Sätzen personenbezogener Daten durch automatisierte oder nicht automatisierte Mittel ausgeführt werden, wie z. B. das Erheben, Registrieren, Organisieren, Strukturieren, Bewahrung, Bearbeitung oder Veränderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, Vergleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.[V] Damit ist klar, dass die DSGVO ihr Anwendungsspektrum erheblich erweitert hat und sich auf berufliche oder kommerzielle Tätigkeiten auswirkt, die eine Form der Manipulation personenbezogener Daten als Voraussetzung oder Entwicklungsinstrument beinhalten.
Es ist zu beachten, dass das RGPD eine Kategorisierung personenbezogener Daten und unterschiedliche Schutzspektren je nach Ausdruck der Privatsphäre oder Intimität des Subjekts eingeführt hat. Dabei handelt es sich um das, was die Doktrin als sensible (Intimität) oder nicht sensible (Privatsphäre) personenbezogene Daten bezeichnet. Aus diesem Grund legt Artikel 9 der DSGVO als allgemeine Regel fest, dass „die Verarbeitung (sensibler) personenbezogener Daten, aus denen die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung genetischer Daten Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person“.
Ein weiterer relevanter Aspekt betrifft die rechtmäßige Behandlung[Vi] personenbezogener Daten, die nur dann erfolgen, wenn der jeweilige Inhaber seine Einwilligung für einen oder mehrere bestimmte Zwecke erteilt hat, beispielsweise für die vorvertragliche Phase oder die Durchführung eines Vertrags; zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt; zur Verteidigung lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person; zur Wahrnehmung von Aufgaben im öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde; zur Wahrung der berechtigten Interessen des Verantwortlichen oder Dritter, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Inhabers, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei dem Inhaber um ein Kind handelt[Vii], Hypothese nicht anwendbar, wenn die Datenverarbeitung durch Behörden im Rahmen der Wahrnehmung ihrer Aufgaben auf elektronischem Wege erfolgt.
Daher darf die Verarbeitung personenbezogener Daten nur auf rechtmäßige, loyale und transparente Weise und mit dem Ziel spezifischer, eindeutiger und rechtmäßiger Zwecke erfolgen und darf anschließend nicht in einer Weise verarbeitet werden, die mit diesen Zwecken unvereinbar ist. Die Daten müssen angemessen, relevant und auf die beabsichtigten Zwecke beschränkt sein (Datenminimierung), für die sie verarbeitet werden, und müssen genau, aktuell und so aufbewahrt werden, dass die Identifizierung ihrer Inhaber während des für die Zwecke erforderlichen Zeitraums möglich ist für den sie behandelt werden (Aufbewahrungsbegrenzung), und dürfen über einen längeren Zeitraum aufbewahrt werden, sofern sie ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche, historische oder statistische Forschungszwecke behandelt werden.
Die Sicherheit gewinnt in der DSGVO an Bedeutung und zielt darauf ab, personenbezogene Daten vor unbefugter oder rechtswidriger Behandlung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen, indem geeignete technische oder organisatorische Maßnahmen ergriffen werden, weshalb alle für die Datenverarbeitung Verantwortlichen zur Rechenschaft gezogen werden. co - Verantwortlich für die Manipulation, was die Registrierung aller Risikobehandlungs- und Managementaktivitäten mit der Ernennung einer verantwortlichen Person und die Meldung etwaiger Verstöße an die zuständigen Behörden erfordert.
Um seine Regeln wirksam zu machen, sieht das RGPD strenge Sanktionen für Verstöße vor, die es den Mitgliedstaaten ermöglichen, die Angelegenheit jederzeit zu regeln, um das Spektrum der Wirksamkeit zu erweitern. Dies ist in Artikel 58 festgelegt, der jeder Behörde ihrer Mitgliedstaaten die Befugnis einräumt, Korrekturen durch Verwarnungen, Verweise, die Entscheidung über die Einführung bestimmter Verfahren, den Entzug von Zertifizierungen und die Verhängung hoher Geldstrafen vorzunehmen (Artikel 83).[VIII]) und Feststellung der Aussetzung der Übermittlung von Daten an Empfänger in Drittländern oder an internationale Organisationen.
Abschließend wird auf den Aspekt der Territorialität hingewiesen, der darauf abzielt, die personenbezogenen Daten europäischer Einwohner überall auf der Welt zu schützen. Artikel 3 der DSGVO schreibt vor, dass das Diplom auf die Verarbeitung von Daten europäischer Einwohner anzuwenden ist, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt.
Sie sieht ihre Anwendung auch dann vor, wenn der Verantwortliche oder Auftragsverarbeiter, der nicht in der Union ansässig ist, Waren oder Dienstleistungen in der Union anbietet oder beabsichtigt, das Verhalten der betroffenen Person zu kontrollieren, sofern dieses Verhalten in der Europäischen Union stattfindet. Aus diesen Gründen müssen alle Personen, die irgendeine Art von Wirtschaftsbeziehung mit der Europäischen Union aufnehmen, unbedingt die DSGVO beachten.
Aufgrund dieses Szenarios gilt das Gleiche auch für die Übermittlung von Daten von Personen mit Wohnsitz in Europa. Dies legt Artikel 44 der DSGVO fest, indem er vorschreibt, dass „jede Übermittlung personenbezogener Daten, die nach der Übermittlung an ein Drittland oder eine internationale Organisation einer Behandlung unterliegen oder unterliegen werden, nur dann erfolgt, wenn, unbeschadet der übrigen Bestimmungen von Gemäß dieser Verordnung werden die in diesem Kapitel festgelegten Bedingungen vom Verantwortlichen und vom Auftragsverarbeiter eingehalten, auch im Hinblick auf die Weiterübermittlung personenbezogener Daten aus dem Drittland oder der internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels werden so angewendet, dass das durch diese Verordnung garantierte Schutzniveau natürlicher Personen nicht beeinträchtigt wird.“
Kommen wir nach einer kurzen Analyse der DSGVO zum neuen brasilianischen LGPD.
Wie man sieht, hat das LGPD den bis 2018 bestehenden Rechtsrahmen zum Schutz personenbezogener Daten integriert und damit den brasilianischen Schutz der Privatsphäre, der Intimität, der Ehre, des Bildes und der Würde des Menschen gestärkt.
Die brasilianische Gesellschaft wünscht sich seit langem ein spezifisches Diplom zu diesem Thema, und die Veröffentlichung des europäischen RGPD hat ihre Zustimmung beschleunigt, da es für unsere Wirtschaft von strategischer und lebenswichtiger Bedeutung ist, Schutzniveaus zu etablieren, die denen Europas ähneln, um so einen Beitrag dazu zu leisten die internationale Wettbewerbsfähigkeit brasilianischer Unternehmen.
Zunächst ist festzuhalten, dass die LGPD erst im Februar 2020 in Kraft treten wird, gerade damit sich die brasilianische Gesellschaft und der Markt auf die neuen Anforderungen einstellen können.
Es handelt sich um ein Gesetz, das die in der Angelegenheit zu beachtenden Grundsätze festlegt, die in der beispielhaften Liste von Artikel 6 festgelegt sind, und das den Grundsatz von Treu und Glauben berücksichtigt, der im Zivilrecht dargelegt und konsolidiert wird.
Die im LGPD zum Ausdruck gebrachten Grundsätze lauten daher: Tor – Die Verarbeitung muss für legitime, spezifische Zwecke erfolgen und darf nicht mit diesen Zwecken unvereinbar sein. Angemessenheit – die Behandlung muss mit den der betroffenen Person mitgeteilten Zwecken vereinbar sein; brauchen – Die Verarbeitung muss auf das für die Erfüllung der Zwecke erforderliche Minimum beschränkt sein. den freien Zugang – Den Inhabern muss eine einfache und kostenlose Beratung zu Form und Dauer der Behandlung sowie Zugang zu allen ihren Daten gewährleistet sein. Datenqualität – die Genauigkeit, Klarheit, Relevanz und Aktualität der Daten müssen gewährleistet sein; Transparenz – Die Bereitstellung klarer und leicht zugänglicher Informationen durch die Inhaber muss gewährleistet sein. Sicherheit – Es müssen technische und administrative Maßnahmen ergriffen werden, die zum Schutz der Daten vor unbefugtem Zugriff geeignet sind. Vorbeugung – Es müssen Maßnahmen getroffen werden, um das Entstehen von Schäden aufgrund der Verarbeitung personenbezogener Daten zu verhindern. Nichtdiskriminierung – Unmöglichkeit der Verarbeitung zu diskriminierenden Zwecken; Rechenschaftspflicht und Rechenschaftspflicht – Demonstration wirksamer Maßnahmen zur Einhaltung und zum Nachweis der Einhaltung der Vorschriften zum Schutz personenbezogener Daten.
Diese Grundsätze leiten alle Aktivitäten im Umgang mit personenbezogenen Daten und sind mit der Pflicht dazu verbunden Privatsphäre durch Design e Datenschutz standardmäßig. Privatsphäre durch Design oder Privatsphäre ab der Konzeption, ist ein Konzept im Zusammenhang mit der Systemtechnik, das die Privatsphäre während des gesamten Konstruktions- und Ausführungsprozesses berücksichtigt (z. B. durch Pseudonymisierung und Verschlüsselung) und dabei die menschlichen Werte während des gesamten Prozesses respektiert. Datenschutz standardmäßig oder Schutz durch Voreinstellungen bedeutet, dass die Verantwortlichen sicherstellen müssen, dass personenbezogene Daten mit dem höchsten Schutz der Privatsphäre behandelt werden (nur notwendige Daten dürfen für einen kurzen Aufbewahrungszeitraum und mit eingeschränkter Zugänglichkeit verarbeitet werden), so dass die Daten standardmäßig nicht personenbezogen sind einer unbestimmten Anzahl von Menschen zugänglich gemacht werden. Die RGPD hat diese Konzepte in Artikel 25 positiv dargelegt, was bei der LGPD nicht der Fall war. Die Verbindung der Artikel 6 und 46 des LGPD lässt jedoch den Schluss zu, dass diese Grundsätze/Konzepte in unser Recht übernommen wurden.
Wie die DSGVO legt unser Gesetz den Umfang seiner materiellen und territorialen Anwendung fest und legt Definitionen, Grundsätze und Bedingungen für die Behandlung verschiedener Kategorien personenbezogener Daten fest. Darüber hinaus gewährt es den Inhabern personenbezogener Daten Rechte, legt Regeln für die für die Verarbeitung Verantwortlichen und deren Unterauftragnehmer fest und legt öffentliche und administrative Kontrollmechanismen sowie Sanktionen bei Verstößen gegen seine Vorschriften fest.
Anders als das RGPD postuliert unser Gesetz das Grundrecht auf informative Selbstbestimmung (Artikel 2, II), was unserer Meinung nach positiv ist, da es diese wichtige Errungenschaft der Menschheit angesichts neuer Technologien in der nationalen Rechtskultur festigt .
Das neue brasilianische Gesetz zum Schutz personenbezogener Daten wird zum Grundgesetz in der Materie, die Befehle auf alle Rechtsgebiete ausstrahlt und aus den verfassungsrechtlichen Vorgaben der Materie heraus systematisch anzuwenden und auszulegen ist. Daher hat das LGPD einen Matrixcharakter, der sich auf mehrere Wirtschaftszweige und staatliche Aktivitäten auswirkt.
Diesmal gilt als allgemeine Regel, dass jede im Staatsgebiet vorgenommene Bearbeitung, Erhebung oder Verarbeitung personenbezogener Daten, deren Inhaber sich in Brasilien befinden, brasilianischem Recht unterliegt, unabhängig vom Standort oder der Nationalität der sie verarbeitenden Person. Ausgenommen hiervon sind Manipulationen durch eine natürliche Person zu privaten Zwecken; zu journalistischen oder künstlerischen oder wissenschaftlichen Zwecken durchgeführt werden; zu Zwecken der öffentlichen Sicherheit, der Landesverteidigung, der Staatssicherheit oder der Ermittlung und Bekämpfung von Straftaten durchgeführt werden, Hypothesen, die ihren eigenen Regeln unterliegen, unter Wahrung eines ordnungsgemäßen Rechtsverfahrens, der allgemeinen Schutzgrundsätze und der Rechte des Inhabers.
Die Manipulation personenbezogener Daten von Kindern und Jugendlichen wurde im LGPD in Betracht gezogen, das das Thema in Artikel 14 behandelt, wobei daran erinnert wird, dass in diesen Fällen das Gesetz im Einklang mit dem Kinder- und Jugendgesetz (ECA) angewendet und ausgelegt werden muss das Bürgerliche Gesetzbuch. Im Gegensatz zur DSGVO legt unser Gesetz keine Altersgrenze für die Einwilligung der betroffenen Person fest, sondern legt lediglich fest, dass „die Verarbeitung personenbezogener Daten von Kindern mit der ausdrücklichen und deutlichen Einwilligung des mindestens einen Elternteils erfolgen muss.“ oder Erziehungsberechtigter“ (§ 1 von Artikel 14). Daher verstehen wir, dass Art. 2 des ECA, wonach eine Person als Kind gilt, wenn sie bis zu zwölf Jahre alt ist.
Im Zuge des RGPG scheute das brasilianische Recht nicht davor zurück, sich mit der Frage der Anonymisierung von Daten zu befassen, d , an eine Einzelperson. Wie bereits erwähnt, gelten diese Daten nicht als personenbezogen, es sei denn, der Anonymisierungsprozess kann ausschließlich mit eigenen Mitteln oder durch angemessene Anstrengungen rückgängig gemacht werden, wobei objektive Faktoren wie Kosten und Zeit für die Umkehrung des Anonymisierungsprozesses (Pseudoanonymisierung) berücksichtigt werden.
Ein weiterer erwähnenswerter Aspekt betrifft die zivilrechtliche Haftung für Schäden an personenbezogenen Daten, eine Angelegenheit, die in sehr ähnlicher Weise wie im Verbraucherschutzgesetz (CDC) behandelt wird. Im Übrigen wurde im Text des neuen Diploms zu Recht betont, dass Verletzungen personenbezogener Daten in Verbraucherbeziehungen in Integration mit dem CDC (Artikel 45 des LGPD) untersucht werden.
Da Artikel 40 des LGPD die Möglichkeit des Eintritts finanzieller, moralischer, individueller oder kollektiver Schäden durch die Verarbeitungsbeauftragten anerkennt, legt er die allgemeine Regel der Solidarität zwischen dem für die Verarbeitung Verantwortlichen und dem Betreiber fest, wenn dieser seinen Pflichten nicht nachkommt gegen die Datenschutzgesetze verstößt oder die rechtmäßigen Weisungen des Verantwortlichen nicht befolgt hat. Die Verantwortlichen sind auch dann solidarisch, wenn sie direkt an der Behandlung beteiligt sind, die zu einem Schaden für die betroffene Person geführt hat.
Ausnahmen von dieser Solidaritätsregel sind in Artikel 43 des LGPD vorgesehen. Dies sind: wenn der Verarbeiter (Verantwortlicher oder Betreiber) nachweist, dass er die ihm zugewiesenen personenbezogenen Daten nicht verarbeitet hat; wenn er nachweist, dass trotz der Verarbeitung der ihm übertragenen personenbezogenen Daten kein Verstoß gegen das Datenschutzrecht vorliegt; oder der Nachweis, dass der Schaden auf das alleinige Verschulden der betroffenen Person oder Dritter zurückzuführen ist. Für dieses System behält sich das Gesetz die Möglichkeit einer Rückgabeklage und eines kollektiven Schutzes vor Gericht unter Anwendung des CDC und des Gesetzes über öffentliche Zivilklagen vor.
Eine weitere Maßnahme, die der im CDC empfohlenen ähnelt, sieht eine Umkehr der Beweislast zugunsten der betroffenen Person vor, wenn die Behauptung glaubwürdig ist, es an ausreichenden Beweismitteln mangelt oder wenn Die Vorlage von Beweismitteln durch die betroffene Person ist mit einer übermäßigen Belastung verbunden.
Im Gegensatz zum RGPD, das einen Zeitraum von 72 Stunden vorsieht, sieht das LGPD nur die Pflicht des Verantwortlichen vor, innerhalb einer angemessenen Frist der nationalen Behörde und der betroffenen Person das Auftreten eines Sicherheitsvorfalls mitzuteilen, der erhebliche Auswirkungen haben kann Gefahr oder Schaden. Unser Gesetz hat an dieser Stelle versagt, da es keine Elemente für die Festlegung einer angemessenen Frist gibt, die möglicherweise für die Regulierung durch die nationale Behörde zuständig sein wird. In diesem Fall kann die nationale Behörde ähnliche Maßnahmen ergreifen erinnern konsumorientiert, wie etwa die weite Verbreitung der Tatsache in den Medien (eine sehr peinliche Hypothese für das Image des Verantwortlichen), sowie andere Maßnahmen, die er für notwendig hält, um die Auswirkungen des Vorfalls umzukehren oder abzumildern.
Was die internationale Übermittlung personenbezogener Daten (Artikel 33 bis 36) anbelangt, folgte das brasilianische Recht dem Weg der DSGVO und erlaubte diese nur den Ländern oder internationalen Organisationen, die einen Schutz personenbezogener Daten bieten, der dem in der LGPD vorgesehenen angemessen ist oder wenn der Verantwortliche die Einhaltung durch regelmäßig ausgestellte Vertragsbestimmungen, Unternehmensstandards, Siegel, Zertifikate und Verhaltenskodizes mit von der nationalen Behörde definierten oder überprüften Inhalten anbietet und nachweist.
Eine weitere unabdingbare Voraussetzung für die internationale Übermittlung personenbezogener Daten ist die Notwendigkeit einer spezifischen Einwilligung der betroffenen Person, die hervorgehoben und von anderen Zwecken abgegrenzt werden muss.
Was schließlich die Verwaltungssanktionen anbelangt, hat die LGPD gute Arbeit geleistet und hohe Beträge festgesetzt. Somit kann die nationale Behörde je nach Einzelfall nach Abschluss des Verwaltungsverfahrens und Gewährleistung einer vollständigen Verteidigung die Verwarnung anordnen; einfache Geldstrafe von bis zu 2 % der Rechnungen der privaten juristischen Person, Gruppe oder des Konglomerats in Brasilien im letzten Geschäftsjahr, insgesamt begrenzt auf 50.000.000,00 R$ pro Verstoß; tägliche Geldstrafe; Veröffentlichung des Verstoßes und Sperrung der personenbezogenen Daten, auf die sich der Verstoß bezieht, bis zu seiner Behebung.
Wie man sieht, hat die digitale Welt einen außergewöhnlichen Entwicklungsstand erreicht. Die wachsende technologische Abhängigkeit der Menschheit erhöht nur die Menge und den Fluss personenbezogener Daten, die disruptiven Technologien zur Verfügung stehen. Der Schutz von Privatsphäre, Intimität, Bild und persönlichen Daten ist eine unverzichtbare Aufgabe für das notwendige Gleichgewicht in der postmodernen Welt.
Daher müssen sich die Zivilgesellschaft und brasilianische Unternehmen nach dem Vorbild der Ereignisse in Europa an das LGPD anpassen, da es in der wachsenden globalisierten Welt der digitalen Wirtschaft eine dringende Notwendigkeit darstellt.
Daher sollten Unternehmen die Art und Weise festlegen oder überprüfen, wie sie personenbezogene Daten sammeln, manipulieren, speichern und verarbeiten. Diese Anpassung ist in jeder Hinsicht sehr wertvoll, von der Festigung der Zuverlässigkeit dieser Unternehmen gegenüber Verbrauchern und Kunden bis hin zur Möglichkeit gleicher Bedingungen für den internationalen Wettbewerb. In diesem Sinne sind Datenschutz und Compliance sind Grundannahmen unternehmerischen Handelns im XNUMX. Jahrhundert.
Das LGPD steht in vielerlei Hinsicht der europäischen DSGVO nahe, weil es in gewisser Weise davon inspiriert wurde. Obwohl es einen guten Anfang darstellt, sind wir der Meinung, dass das neue Gesetz in vielerlei Hinsicht zu wünschen übrig lässt, da es Themen wie: personenbezogene Daten in Arbeitsbeziehungen nicht oder nur unzureichend regelt; im Spektrum strafrechtlicher Ermittlungen und Ordnungswidrigkeiten; Videoüberwachung; Recht auf Vergessenheit; Biotechnologie; Profilierung; Unterauftragsvergabe; technische Aspekte von Sicherheit, Verhalten und Zertifizierung; Zusammenarbeit und Kohärenz; Meinungs- und Informationsfreiheit; öffentliche Dokumente; Behandlung, die unter anderem von religiösen Einrichtungen durchgeführt wird.
Es ist wahr, dass es an der Lehre und der Rechtsprechung liegen wird, etwaige Lücken und Antinomien, die sich aus dieser Situation ergeben, zu überwinden. Allein die Schaffung der Nationalen Datenschutzbehörde, die mit der direkten Verwaltung zusammen mit der Präsidentschaft der Republik verbunden ist, verdeutlicht die Fülle an Schwierigkeiten, die vor uns liegen werden. Um unser System an internationale Standards anzupassen, war es zwingend erforderlich, eine besondere Autarkie mit mehr institutioneller, funktionaler und finanzieller Unabhängigkeit zu schaffen.
Wir werden sehr wahrscheinlich erleben, dass die Konflikte wirtschaftlicher Interessen, die sich aus der Anwendung des LGPD ergeben, an die Türen der Obergerichte klopfen, wie es beim bürgerlichen Wahrzeichen des Internets und den Beziehungen rund um das Internet der Fall war whatsapp, in dem die Grenzen staatlicher Eingriffe in die Entwicklung und Nutzung der Kryptographie erörtert werden. Das positive Registrierungsgesetz ist das deutlichste und eklatanteste Beispiel für einen Konflikt mit dem LGPD, insbesondere im Hinblick auf den Gegenstand der Einwilligung des Inhabers personenbezogener Daten.
Probleme wie solche im Zusammenhang mit der Aktivität von Cambridge Analytik im Verfahren Brexit und bei den US-Wahlen werden in Brasilien zunehmend Vorwürfe wegen der Verbreitung von erhoben gefälschte Nachrichten bei den Präsidentschaftswahlen 2018. Der amerikanische Rechtseinfluss, der sich mit dem Thema im Lichte des Eigentumsrechts auseinandersetzt, steht im Gegensatz zur europäischen Vorstellung, das Recht auf Schutz personenbezogener Daten im Rahmen der Menschenrechte zu verorten. Schizophrenie lebte in der Rechtswelt des Landes (Zivilrecht x Gewohnheitsrecht) wird die Zukunft des LGPD stark beeinflussen.
Brasilien durchlebt eine tiefgreifende politische, wirtschaftliche, soziale und institutionelle Krise, wie sie in unserer Geschichte selten vorkommt. Autoritarismus durch öffentliche Stellen, eklatante Missachtung der verfassungsmäßigen Ordnung und der Menschenrechte, Hass und Intoleranz tauchen Tag und Nacht auf den Straßen und insbesondere in der digitalen Welt auf.
In diesem Szenario entsteht die LGPD. Ein guter Anfang, der besser sein könnte. Eine Zukunft, die entlang verschlungener Linien aufgebaut werden muss und die viel Arbeit und Überwindung seitens der Rechtswelt erfordern wird, um den vollständigen Schutz personenbezogener Daten in Brasilien umzusetzen.
*Renato Afonso Goncalves, ein Rechtsanwalt, ist Doktorand der historischen Rechtswissenschaften an der juristischen Fakultät der Universität Lissabon.
[I]Beachten Sie die paradigmatischen Urteile des Gerichtshofs der Europäischen Union: Digital Rights Ireland, 2014 – Rechtssachen C-293/12 und C-594/12; Google Spain SL und Google Inc, 2014 (Rechtssache C-131/12); und Maximillian Schrems, aus dem Jahr 2015 – Prozess C-362/2014. GERICHTSHOF DER EUROPÄISCHEN UNION. Verfügbar unter: https://curia.europa.eu/jcms/jcms/j_6/pt/.
[Ii]Beispielsweise wurde in Portugal das Gesetz Nr. 58/2019 vom 08. August 2019 erlassen, das die Umsetzung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen in der nationalen Rechtsordnung gewährleistet im Hinblick auf die Verarbeitung personenbezogener Daten und den freien Datenverkehr. Verfügbar unter: https://www.cnpd.pt/.
[Iii]Erwägungsgrund 2 der DSGVO.
[IV]Artikel 4, 1, DSGVO.
[V]Artikel 4 der DSGVO.
[Vi]Artikel 6 der DSGVO.
[Vii]Artikel 8 DSGVO erfordert für den Umgang mit personenbezogenen Daten von Personen unter 16 Jahren die Einwilligung der Eltern oder Erziehungsberechtigten. Andererseits erlaubt die Verordnung den Gesetzen der Mitgliedstaaten, diese Grenze, die nicht weniger als 13 Jahre betragen darf, zu verkürzen.
[VIII]Sie können zwischen 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens und 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens liegen.