Die EU-Datenschutzgrundverordnung trat am 25. Mai 2018 in Kraft und zwingt Unternehmen, die in der Europäischen Union ansässig und tätig sind, die überarbeitete Verordnung über den Umgang mit Daten Dritter einzuhalten.
Ein ähnlicher Ansatz für den Datenschutz wurde von anderen Ländern übernommen. So hat Brasilien ein Gesetz erlassen, das regelt, wie Unternehmen Kundendaten erhalten, verwenden und austauschen.
Die LGPD, die im August 2020 in Kraft tritt, lässt den Unternehmen weniger als ein Jahr Zeit, um sicherzustellen, dass sie die strengen Kriterien für die Erhebung und Verwaltung personenbezogener Daten einhalten.
Rechtmäßigkeit der Verarbeitung
Artikel 7 LGPD über die Rechtmäßigkeit der Datenverarbeitung enthält zehn Rechtsgrundlagen für die Verarbeitung personenbezogener Daten durch Einrichtungen in Brasilien, von denen mindestens eine für jede Datenverarbeitungstätigkeit gelten sollte.
Die Rechtsgrundsätze lauten wie folgt:
Viele dieser Rechtsgrundlagen sind, wenn auch in leicht abgewandelter Form, identisch mit denen, die in Gesetzen wie der Datenschutz-Grundverordnung zu finden sind, und es wurden einige zusätzliche Anforderungen festgelegt.
Darüber hinaus sieht die LGPD strenge Anforderungen für den Umgang mit vertraulichen Daten vor, die besagen, dass solche Daten nicht verarbeitet werden dürfen, es sei denn, es gibt eine besondere rechtliche Rechtfertigung, einschließlich der Zustimmung der Person.
Die LGPD scheint etwas weniger streng zu sein als die DSGVO, wenn es um die Einwilligung „als Ausdruck des Willens der betroffenen Person“ geht.
Die Einwilligung kann jederzeit und ohne Kosten widerrufen werden. Häufig muss sich die Einwilligung auf „bestimmte Zwecke“ beziehen. Mit anderen Worten: Sie muss präzise sein.
Berechtigtes Interesse
In Artikel 10 des Statuts wird das berechtigte Interesse im Rahmen der LGPD weiter präzisiert. Wie wir aus der Europäischen Union wissen, kommt es einem berechtigten Interesse sehr nahe.
Dies bedeutet, dass die für die Datenverarbeitung Verantwortlichen angeben müssen, für welche Tätigkeiten die Daten gespeichert werden und wie die Rechte der betroffenen Person gewahrt werden.
Der für die Verarbeitung Verantwortliche muss auch dafür sorgen, dass die betroffene Person nicht durch die Tatsache schockiert wird, dass ihre Daten verarbeitet werden, d. h. dass die Datenverarbeitung vernünftig geplant ist.
Der für die Datenverarbeitung Verantwortliche muss ein gewisses Maß an Rechenschaftspflicht übernehmen. Wenn sich ein für die Verarbeitung Verantwortlicher auf berechtigte Interessen berufen will, kann die Aufsichtsbehörde verlangen, dass eine Datenschutz-Folgenabschätzung (PIA) durchgeführt wird.
Anforderungen an die Transparenz
Eine weitere Datenschutzverordnung, die auf dem Konzept der Transparenz beruht, ist die LGPD, die sicherstellt, dass Unternehmen Maßnahmen ergreifen, die zur Einhaltung der Vorschriften beitragen.
Die Anforderung, ein Register der Verarbeitungstätigkeiten zu führen, ist einer dieser Schritte, wie er auch in der Datenschutz-Grundverordnung gefordert wird.
In der LGPD ist jedoch nicht festgelegt, welche Elemente im Rahmen des Registers erfasst werden müssen. Das Gleiche gilt für die Pflicht zur Durchführung von Analysen der Auswirkungen auf die Privatsphäre.
Die Rolle ist Teil der Vorschrift, aber die Aufsichtsbehörde muss noch mehr entscheiden, einschließlich der Frage, unter welchen Umständen PIAs obligatorisch sind und wie sie ausgefüllt werden müssen.
Auf der Grundlage der Gesetzgebung könnten Unternehmen des privaten Sektors dazu neigen, Folgenabschätzungen nur dann durchführen zu müssen, wenn sie personenbezogene Daten auf der Grundlage eines berechtigten Interesses verarbeiten, während für den öffentlichen Sektor in Brasilien eine umfassendere Anforderung gelten wird.
Rechte der betroffenen Person
Die Rechte der Betroffenen werden in Kapitel Ill LGPD erwähnt. Brasilien würde eine Reihe von Rechten des Einzelnen ausweiten, darunter das Recht, die Verarbeitung der Daten einer Person zu bestätigen, sowie die eher konventionellen Rechte auf Auskunft, Berichtigung, Sperrung und Löschung.
Nach der LGPD kann eine Person auch zulassen, dass ihre Daten anonymisiert werden. Anträge können jederzeit gestellt werden, und von den Organisationen wird erwartet, dass sie innerhalb von 15 Tagen antworten (zumindest für das Recht auf Auskunft). Die Rechte der betroffenen Person können ohne Kosten für sie ausgeübt werden.
Die LGPD garantiert den Inhabern personenbezogener Daten eine Reihe von Rechten und Garantien, die vom Inhaber oder seinem gesetzlichen Vertreter auf Antrag ausgeübt werden können:
Einhaltung
LGPD-Verträge können mit einer Geldbuße von bis zu 2 Prozent des Jahresumsatzes einer Organisation und einem Höchstbetrag von 50 Millionen Real (12,85 Millionen US-Dollar) geahndet werden. Es ist auch möglich, eine Warnung auszusprechen.
Die Aufforderung zur Einhaltung der Vorschriften kann auch eine Anordnung zur Sperrung oder Löschung der Daten enthalten, auf die sich der Verstoß bezieht. Der brasilianische Präsident Temer legte sein Veto gegen andere Sanktionen ein, die Teil des Gesetzentwurfs waren, einschließlich der möglichen Aussetzung der Produktion, als ihm die LGPD zur Unterzeichnung vorgelegt wurde.
Auch gegen die Klauseln zur Einrichtung einer autonomen Aufsichtsbehörde wurde ein Veto eingelegt. Es ist daher nicht klar, wie die LGPO umgesetzt werden wird.
Die brasilianische Regierung hatte zuvor erklärt, dass die Aufsichtsbehörde durch ein anderes Gesetz geschaffen werden soll, aber ein Gesetzentwurf wurde aus diesem Grund noch nicht geschrieben.