Schutz und Verarbeitung personenbezogener Daten in Lateinamerika am Beispiel von Brasilien und Argentinien

Unter dem Einfluss der Veränderungen in der Welt, des Vordringens digitaler Technologien in die Länder der lateinamerikanischen Region und der Empfehlungen internationaler Organisationen zu ihrer Anwendung haben die Regierungen der meisten lateinamerikanischen Länder nationale digitale Strategien entwickelt und verabschiedet. Diese Dokumente spiegeln die Absichten der Staaten wider, die Möglichkeiten der Digitalisierung zu nutzen, Bestimmungen zur Regulierung digitaler und elektronischer Kommunikation, Netz- und Informationssicherheit, Breitbandzugang zum Internet usw.

In den letzten zehn Jahren entwickelte sich die digitale Wirtschaft in einer Reihe lateinamerikanischer Länder allmählich unter dem Einfluss von Empfehlungen, Darlehen und Unterstützung internationaler Finanz- und Wirtschaftsorganisationen, die die Verbreitung digitaler Technologien aus dem Ausland fördern. E-Commerce, Internet-Banking, E-Payments und Regierungsdienste sind in vielen LA-Ländern inzwischen weit verbreitet.

Beispielsweise ist die digitale Wirtschaft in Mexiko am weitesten in den Bereichen Gesundheitswesen, Konsumgüter, Finanzdienstleistungen, Handel und Fertigung entwickelt. In Argentinien ist der Einsatz digitaler Technologien in den Bereichen Gesundheitswesen, Telekommunikation, Konsumgüter, Finanzdienstleistungen, Fertigung, Energie und Rohstoffindustrie am weitesten entwickelt. In Brasilien ist der Digitalisierungsgrad in den Bereichen Telekommunikation, Gesundheitswesen, Finanzdienstleistungen, Handel, Energie, Bergbau und verarbeitende Industrie am höchsten.

Trotz gewisser Erfolge in den Entwicklungsländern LatAms kommt die digitale Transformation der Wirtschaft spät und hält nicht mit neuen Technologien wie künstlicher Intelligenz, Blockchain, Datenanalyse, Cloud Computing Schritt.

Aber heute werden wir unser Material darauf beschränken, wie die Dinge in dieser Region mit sind Verarbeitung und Schutz personenbezogener Daten. Und wir werden dies am Beispiel der ewigen Nachbarn tun – Konkurrenten um die Führung in diesem Gebiet – Brasilien und Argentinien.

Das Allgemeine Datenschutzgesetz oder Lei Geral de Proteção de Dados (LGPD) in Brasilien, das vor einem Jahr (am 1. August 2021) in Kraft trat, vereinheitlichte etwa 40 verschiedene nationale Gesetze, die die Verarbeitung personenbezogener Daten regeln. Das LGPD enthält Bestimmungen und Anforderungen in Bezug auf die Verarbeitung personenbezogener Daten von Einzelpersonen, wenn sich die Daten auf in Brasilien ansässige Personen beziehen oder in Brasilien gesammelt oder verarbeitet oder verwendet werden, um Waren oder Dienstleistungen in diesem größten Land der Region anzubieten.

Das LGPD umfasst personenbezogene Daten, d. h. alle Informationen, die sich auf eine Person beziehen, die identifiziert werden kann oder identifiziert werden kann.

Das brasilianische Recht gilt auch für sensible personenbezogene Daten, die definiert sind als personenbezogene Daten in Bezug auf Rasse oder ethnische Zugehörigkeit, religiöse und politische Überzeugungen, Mitgliedschaft in Gewerkschaften, religiösen, philosophischen oder politischen Organisationen, Daten in Bezug auf Gesundheit oder Sexualleben, genetische oder biometrische Daten, wenn sie sich auf eine bestimmte Person beziehen.

Anonyme oder pseudonyme Daten gelten grundsätzlich nicht als personenbezogene Daten. Wenn solche Informationen jedoch verwendet werden, um Verhaltensprofile identifizierter Personen zu erstellen, können sie als personenbezogene Daten betrachtet werden.

Das LGPD gilt für alle Einheiten (persönlich/korporativ, öffentlich/privat, klein/groß, brasilianisch/extraterritorial), die personenbezogene Daten in Brasilien zu Marketingzwecken erheben oder verarbeiten, unabhängig vom Standort. Eine solche Einheit wird rechtlich als Verantwortlicher oder Auftragsverarbeiter definiert und behandelt. Wenn Ihr Unternehmen personenbezogene Daten von Personen erhebt und verarbeitet, die sich in Brasilien, aber in Moskau befinden, müssen Sie dennoch die LGPD einhalten.

Das LGPD gilt nicht für Daten, die von Einzelpersonen für persönliche Zwecke erhoben werden; zu wissenschaftlichen oder journalistischen Zwecken erhobene Daten; Daten, die zu Zwecken der nationalen Sicherheit erhoben werden.

Das Gesetz betrachtet als Datenverarbeitung absolut jeden Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Sammeln, Verteilen, Speichern, Empfangen, Ändern, Extrahieren, Reproduzieren, Zugreifen usw.

Das LGPD verpflichtet Datenverantwortliche und -verarbeiter, die Sicherheit von Daten zu gewährleisten und sie vor unbefugtem Zugriff oder rechtswidriger Verarbeitung zu schützen. Wie Sie sehen können, unterscheiden sich die Normen in Brasilien in diesem Sinne nicht von den paneuropäischen Regeln, die durch die DSGVO festgelegt wurden. Und das ist nicht verwunderlich, denn gerade die EU-Verordnung diente den brasilianischen Behörden als Rahmenrichtlinie beim Erlass eigener ordnungspolitischer Rechtsakte.

Der Schlüsselbegriff des Gesetzes ist natürlich der Gegenstand personenbezogener Daten, worunter „die natürliche Person, der die personenbezogenen Daten gehören, die Gegenstand der Verarbeitung sind“, verstanden wird.

Alle betroffenen Personen in Brasilien können kostenlos die folgenden Rechte in Bezug auf ihre personenbezogenen Daten ausüben:

  • Kenntnis der Datenverarbeitung und deren Einwilligung;

  • Zugriff auf Ihre personenbezogenen Daten;

  • Berichtigung unrichtiger Daten;

  • Anonymisierung/Pseudonymisierung/Löschung von Daten, die ohne Einhaltung des LGPD erhoben oder verarbeitet wurden;

  • die Fähigkeit, Daten zu verschieben;

  • Löschung Ihrer personenbezogenen Daten;

  • Offenlegung von Dritten, an die personenbezogene Daten weitergegeben werden;

  • Zugang zu Informationen über die Kundenrichtlinie und die Bedingungen für den Widerruf der Einwilligung oder direkt den Widerruf der Einwilligung selbst.

Die internationale (grenzüberschreitende) Übermittlung personenbezogener Daten an Länder oder internationale Organisationen, die ein angemessenes Schutzniveau für personenbezogene Daten bieten, oder wenn der Verantwortliche die Einhaltung der LGPD-Vorschriften gewährleistet, ist zulässig.

Bei Verstößen gegen die LGPD beträgt die Höchststrafe 2 % des brasilianischen Umsatzes des Unternehmens für das vorangegangene Geschäftsjahr, ohne Steuern. Die Geldbuße kann bis zu 50 Millionen brasilianische Reais erreichen (etwa 525 Millionen Rubel zum aktuellen Wechselkurs der Zentralbank der Russischen Föderation).

In Übereinstimmung mit der argentinischen Verfassung wurde das Gesetz zum Schutz personenbezogener Daten Nr. 25.326 (PDPA) (Ley de Protección de los Datos Personales) im Jahr 2000 erlassen, um die Privatsphäre personenbezogener Daten zu schützen und Einzelpersonen Zugang zu allen Informationen zu gewähren, die in öffentlichen und privaten Datenbanken gespeichert sind und Register.

Beachten Sie, dass die PDPA, wie die LGPD in Brasilien, auch vollständig mit dem europäischen Datenschutzmodell konform ist. Außerdem war Argentinien im Prinzip das erste Land Lateinamerikas erhalten Konformitätsbescheinigung für die Datenübertragung aus der EU.

Im Jahr 2016 erließ die Strafverfolgungsbehörde AAIP (argentinische Behörde für den Zugang zu öffentlichen Informationen – Agencia de Acceso a la Información Pública) die sogenannte Verordnung 60-E/2016, die die grenzüberschreitende Übermittlung personenbezogener Daten regelt. Demnach wurden Modelle (teilweise basierend auf dem EU-Datenübermittlungsmodell) für solche Übermittlungen an Datenverantwortliche und Datenverarbeiter genehmigt.

Das argentinische Gesetz über personenbezogene Daten definiert diese als Informationen jeglicher Art, die mit einer bestimmten natürlichen oder juristischen Person verbunden sind und anhand derer diese Personen identifiziert werden können. Zusätzlich zu personenbezogenen Daten definiert dieses Gesetz den Begriff „private Daten“ – personenbezogene Daten, die die rassische und ethnische Herkunft offenbaren; Politische Sichten; religiöse, philosophische, moralische Überzeugungen oder Gewerkschaftszugehörigkeit sowie Informationen über die Gesundheit oder das Sexualleben der Person.

Der Benutzer dieses argentinischen Gesetzes über personenbezogene Daten ist jede öffentliche oder private Person, die Zugang zu personenbezogenen Daten hat, die in Dateien, Aufzeichnungen oder Datenbanken des Eigentümers dieser Daten gespeichert sind.

Es sei darauf hingewiesen, dass das argentinische Gesetz über personenbezogene Daten im Gegensatz zur Russischen Föderation und Brasilien personenbezogene Daten, auch mit juristischen Personen, direkt verknüpft.

Die Anforderung, eine juristische Adresse oder lokale Niederlassungen, einschließlich Zweigniederlassungen, in Argentinien zu haben, gilt jedoch nur für juristische Personen, die als betroffene Personen betrachtet werden.

Das Gesetz definiert die Anforderung, eine Datenbank zu registrieren, und die Verantwortung von Personen, die sich nicht im Datenbankregister registrieren, einschließlich der Anforderung an die Aufsichtsbehörde, die Kontrolle über die Verarbeitung personenbezogener Daten auszuüben, Sanktionen, Regeln und Verfahren in Bezug auf den Rechtsschutz anzuwenden und den Schutz der Daten des Beklagten.

Im Gegensatz zur russischen Gesetzgebung sieht das argentinische Gesetz über personenbezogene Daten die Verpflichtung zur Registrierung von Datenbanken (DB) vor, die personenbezogene Daten verarbeiten, sowie die Verpflichtung zur Einrichtung eines Registers zur Registrierung von DB-Daten. Um eine Datenbank bei der Nationalen Kommission zum Schutz personenbezogener Daten zu registrieren, müssen sie die folgenden Informationen enthalten:

  • Name und Anschrift des Inhabers oder Verwalters der Datenbank;

  • Eigenschaften und Zweck der Datenbank; die Art der personenbezogenen Daten in jeder Datenbank;

  • Verfahren zum Sammeln und Aktualisieren von Daten;

  • den Zweck der Daten und die Liste der Personen, an die diese Daten übermittelt werden können;

  • die Struktur der Beziehung der aufgezeichneten Informationen; Informationen zur Informationssicherheit, einschließlich der Mittel zur Gewährleistung der Datensicherheit;

  • Dauer der Datenspeicherung;

  • das Verfahren und die Bedingungen, unter denen eine Person auf Daten zugreifen kann;

  • Verfahren zur Berichtigung oder Aktualisierung dieser Daten.

Die Erhebung und Verarbeitung personenbezogener Daten in Argentinien ist rechtswidrig, es sei denn, die betroffene Person hat ihre Zustimmung schriftlich oder gegebenenfalls anderweitig erteilt. Die betroffene Person muss vorab über die Notwendigkeit der Einholung einer Einwilligung informiert werden.

Eine Einwilligung ist nicht erforderlich, wenn die Daten:

  • geschützt vor unbeschränktem öffentlichem Zugriff;

  • zur Erfüllung der Aufgaben staatlicher Stellen erhoben;

  • aus Listen bestehen, die nicht den Namen, die Personalausweisnummer, die Steuer- oder Sozialversicherungsnummer, den Beruf, das Geburtsdatum, den Wohnort und die Telefonnummer enthalten;

  • sich aus einem vertraglichen wissenschaftlichen oder beruflichen Verhältnis mit der betroffenen Person ergeben, für solche Zwecke erforderlich sind und verwendet werden oder sich aus Transaktionen von Finanzinstituten oder aus Informationen ergeben, die von Kunden erhalten werden.

Wenn personenbezogene Daten angefordert werden, muss der Dateneigentümer die betroffene Person unverzüglich und eindeutig informieren:

  • zu welchem ​​Zweck diese Daten erhoben und verarbeitet werden und an wen diese Daten übermittelt werden bzw. welche Personen sie erhalten können;

  • das Bestehen einer geeigneten Datenbank in elektronischer oder anderer Form und die Daten der für die Führung der Datenbank verantwortlichen Person;

  • über die Verpflichtung, auf die angeforderten Informationen zu antworten;

  • über die Folgen der Bereitstellung von Daten oder der Verweigerung der Bereitstellung von Daten oder der Bereitstellung unrichtiger Daten;

  • über das Recht auf Zugang, Berichtigung und Einschränkung von Rechten.

Die zu erhebenden und zu verarbeitenden personenbezogenen Daten müssen im Verhältnis zum Umfang und Zweck, für den sie erhoben werden, genau und relevant sein und dürfen nicht darüber hinausgehen. Gemäß dem Datenschutzgesetz in Argentinien dürfen Daten nicht in böser Absicht oder in betrügerischer Absicht erhoben werden. Die Daten können jedoch berichtigt werden, wenn bekannt wird, dass die Daten ganz oder teilweise unrichtig oder unvollständig sind. In diesem Fall muss die für die Pflege der Datenbank verantwortliche Person diese Daten ersetzen.

Schließlich müssen die Daten so gespeichert werden, dass der Eigentümer (Subjekt) der Daten sein Recht auf Zugang und Vernichtung der Daten ausüben kann, sobald sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich oder relevant sind.

Um das argentinische Gesetz zum Schutz personenbezogener Daten anzuwenden, unterzeichnete der Direktor der argentinischen Datenschutzbehörde am 25. Juni 2003 das Dekret N 1/2003, das verschiedene Arten von Verstößen und Bußgeldern gemäß Art. 31 des Gesetzes zum Schutz personenbezogener Daten in Argentinien. Es definiert verschiedene Arten von Verstößen und die Haftung dafür, darunter:

  • Bereitstellung des Zugangs zu personenbezogenen Daten für eine unbegrenzte Anzahl von Personen;

  • unbefugter Zugriff Dritter auf personenbezogene Daten;

  • Versäumnis, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.

Die Verordnung Nr. 1/2003 sieht vor, dass Geldbußen zwischen eintausend Pesos und einhunderttausend Pesos verhängt werden, je nach Schwere und Schwere jedes Verstoßes.

Diese Veröffentlichung wurde mit Unterstützung von erstellt Rechtsanwälte Demokratische Republik Kongo.

Similar Posts

Leave a Reply

Your email address will not be published.