Decizia 179/26-ian-2026 în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind nivelul... - Decizia 179/26-ian-2026

1.INTRODUCERE

(1)Regulamentul (UE) 2016/679 stabileşte normele pentru transferurile de date cu caracter personal de la operatori sau persoane împuternicite de operatori din Uniune către ţări terţe şi organizaţii internaţionale, în măsura în care astfel de transferuri intră în domeniul său de aplicare. Normele privind transferurile internaţionale de date sunt prevăzute în capitolul V (articolele 44-50) din regulamentul respectiv. Deşi fluxul de date cu caracter personal către şi dinspre ţări situate în afara Uniunii Europene este esenţial pentru dezvoltarea comerţului transfrontalier şi a cooperării internaţionale, nivelul de protecţie conferit datelor cu caracter personal în Uniune nu trebuie să fie diminuat de transferurile către ţări terţe (²).

(2)În temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, Comisia poate decide, printr-un act de punere în aplicare, că o ţară terţă, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ţară terţă sau o organizaţie internaţională asigură un nivel de protecţie adecvat. În astfel de condiţii, transferurile de date cu caracter personal către o ţară terţă pot avea loc fără a fi necesar să se obţină autorizări suplimentare, astfel cum se prevede la articolul 45 alineatul (1) şi în considerentul 103 din Regulamentul (UE) 2016/679.

(3)În conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2016/679, adoptarea unei decizii privind caracterul adecvat al nivelului de protecţie trebuie să se bazeze pe o analiză cuprinzătoare a ordinii juridice a ţării terţe, în ceea ce priveşte atât normele aplicabile importatorilor de date, cât şi limitările şi garanţiile referitoare la accesul autorităţilor publice la datele cu caracter personal. În evaluarea sa, Comisia trebuie să stabilească dacă ţara terţă în cauză garantează un nivel de protecţie "echivalent în esenţă" cu cel asigurat în cadrul Uniunii Europene (³). Standardul în raport cu care este evaluată "echivalenţa în esenţă" este cel stabilit de legislaţia Uniunii Europene, în special de Regulamentul (UE) 2016/679, precum şi de jurisprudenţa Curţii de Justiţie a Uniunii Europene (⁴). Criteriile de referinţă privind caracterul adecvat al nivelului de protecţie ale Comitetului european pentru protecţia datelor (CEPD) sunt, de asemenea, importante în acest sens pentru a oferi clarificări suplimentare cu privire la standardul respectiv, precum şi orientări (⁵).

(4)Astfel cum a precizat Curtea de Justiţie a Uniunii Europene, nu se poate impune ca o ţară terţă să asigure un nivel de protecţie identic cu cel garantat în ordinea juridică a UE (⁶). În special, mijloacele la care ţara terţă în cauză recurge pentru protecţia datelor cu caracter personal pot fi diferite de cele puse în aplicare în Uniune, cu condiţia ca acestea să se dovedească în practică eficace în scopul de a asigura un nivel de protecţie adecvat (⁷). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai curând, testul constă în a se stabili dacă, prin fondul drepturilor la viaţă privată şi al garanţiilor în materie de protecţie a datelor (inclusiv în ceea ce priveşte punerea lor efectivă în aplicare, supravegherea şi asigurarea respectării acestora), precum şi prin circumstanţele referitoare la un transfer de date cu caracter personal, sistemul străin în cauză, în ansamblul său, oferă nivelul de protecţie necesar (⁸).

(6)Prezenta decizie are drept efect posibilitatea ca transferurile de la operatori şi persoane împuternicite de operatori din Uniune către operatori şi persoane împuternicite de operatori din Brazilia să aibă loc fără a fi necesară obţinerea unei autorizări suplimentare. Aceasta nu aduce atingere aplicării directe a Regulamentului (UE) 2016/679 pentru astfel de entităţi în cazul în care sunt îndeplinite condiţiile privind domeniul de aplicare teritorial al regulamentului respectiv, astfel cum se prevede la articolul 3.

2.NORMELE APLICABILE PRELUCRĂRII DATELOR CU CARACTER PERSONAL

2.1.Cadrul constituţional al Braziliei

(7)Brazilia este o republică federativă formată din uniunea celor 26 de state şi a Districtului Federal, conform prevederilor Constituţiei sale federale (denumită în continuare "Constituţia") (⁹). Statele braziliene au, de asemenea, constituţii proprii, care nu trebuie să contravină Constituţiei federale (¹⁰). Brazilia are un sistem prezidenţial în cadrul căruia preşedintele şi membrii camerelor legislative (Camera Deputaţilor şi Senatul Federal) sunt aleşi în mod direct.

(8)Viaţa privată şi protecţia datelor sunt protejate în Constituţie ca drepturi fundamentale. Mai precis, articolul 5 punctul (X) din Constituţie protejează intimitatea şi viaţa privată a persoanelor, articolul 5 punctul (XII) garantează secretul corespondenţei, inclusiv al datelor, iar articolul 5 punctul (LXXIX) stabileşte dreptul la protecţia datelor cu caracter personal online şi offline (¹¹).

(9)Toate drepturile prevăzute de Constituţie se aplică cetăţenilor brazilieni şi străinilor care îşi au reşedinţa în Brazilia, în temeiul articolului 5 din aceasta. Legile federale au clarificat faptul că orice persoană de pe teritoriul Braziliei, care îşi are reşedinţa sau nu pe teritoriul Braziliei, are dreptul la protecţia drepturilor fundamentale (¹²). Domeniul de aplicare al protecţiei acestor drepturi a fost extins prin jurisprudenţa constituţională pentru a include şi străinii care locuiesc în alte ţări, astfel cum se subliniază şi în doctrina juridică relevantă (¹³). Prin urmare, orice străin, fie că este rezident în Brazilia sau nu, poate invoca aceste protecţii constituţionale (¹⁴).

(10)Brazilia a ratificat, în 1992, Convenţia americană privind drepturile omului, cunoscută sub denumirea de "Pactul de la San José" (¹⁵) (denumită în continuare "convenţia"). Printre altele, articolul 11 din convenţie garantează dreptul la viaţă privată, iar articolul 8 protejează dreptul la un proces echitabil. În 1998, Brazilia a recunoscut autoritatea obligatorie a Curţii Interamericane a Drepturilor Omului pentru interpretarea şi aplicarea convenţiei (¹⁶). Curtea poate pronunţa hotărâri privind aplicarea drepturilor în contextul activităţilor desfăşurate de autorităţile publice din Brazilia, inclusiv de autorităţile care îndeplinesc sarcini în scopuri de siguranţă publică şi apărare (¹⁷).

2.2.Cadrul privind protecţia datelor din Brazilia

(11)Brazilia a adoptat în 2018 un act legislativ general în domeniul protecţiei datelor, care oferă garanţii pentru toate persoanele, indiferent de cetăţenia acestora. Legea generală privind protecţia datelor sau "Lei Geral de Proteçăo de Dados" (denumită în continuare "LGPD") (¹⁸).

(12)De la adoptarea sa, LGPD a fost consolidată şi clarificată prin acte legislative suplimentare. În special, Legea nr. 13.853 din 2019 a creat Autoritatea pentru Protecţia Datelor din Brazilia (¹⁹) (Agęncia Nacional de Proteçăo de Dados, denumită în continuare ANPD), care a devenit o autoritate independentă printr-o lege adoptată în 2022 (²⁰). Ulterior, aceste acte legislative au fost completate prin decrete obligatorii, printre altele, pentru a actualiza statutul ANPD (²¹), pentru a defini mai clar componenţa ANPD şi procedura de numire a directorilor acesteia (²²).

(²²)Decretul nr. 10.474 din 26 august 2020 de instituire a ANPD şi de stabilire a componenţei acesteia. Document disponibil la adresa: https://www.in.gov.br/en/web/dou/-/decreto-n-10.474-de-26-de-agosto-de-2020-274389226. Decretul nr. 11.758 din 30 octombrie 2023 de modificare a componenţei ANPD. Document disponibil la adresa: http://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/decreto/d11758.htm. Decretul din 5 noiembrie 2020 privind numirea directorilor ANPD. Document disponibil la adresa: https://www.in.gov.br/en/web/dou/-/decretos-de-5-de-novembro-de-2020-286734594.

(13)Astfel cum se descrie mai detaliat în considerentele 125-141 din prezenta decizie, ANPD este autoritatea responsabilă cu interpretarea şi asigurarea respectării LGPD. În acest context, ea emite în mod regulat reglementări obligatorii pentru interpretarea şi aplicarea legii. De exemplu, a adoptat mai multe regulamente pentru a dezvolta în continuare regimul de sancţiuni şi pentru a specifica normele privind notificarea încălcării securităţii datelor (²³). ANPD furnizează orientări suplimentare privind aplicarea şi interpretarea LGPD prin documente şi ghiduri, cum sunt cele adoptate cu privire la interpretarea temeiului juridic (de exemplu, interesul legitim) şi a conceptelor-cheie din cadrul LGPD (de exemplu, sancţiuni, responsabil cu protecţia datelor).

(²³)A se vedea lista regulamentelor ANPD. Document disponibil la adresa: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes, în special Regulamentul nr. 4 din 24 februarie 2024 privind aplicarea de sancţiuni administrative. Document disponibil la adresa: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077, şi Regulamentul nr. 15 din 24 aprilie 2024 privind notificarea încălcării securităţii datelor. Document disponibil la adresa: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024.

(14)Ca parte a angajamentului său internaţional pentru promovarea şi protejarea protecţiei datelor, ANPD din Brazilia a devenit în 2023 membră a Adunării mondiale pentru protecţia vieţii private, alături de toate autorităţile pentru protecţia datelor din Uniunea Europeană (²⁴). Brazilia s-a alăturat, de asemenea, în calitate de observator, Comitetului Consiliului Europei pentru Convenţia 108 privind protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal (²⁵). În plus, Brazilia a avut un rol de lider în ceea ce priveşte mai multe progrese realizate la nivelul Organizaţiei Naţiunilor Unite (ONU) în domeniul dreptului la viaţă privată. Alături de Germania, Brazilia a introdus rezoluţiile Organizaţiei Naţiunilor Unite privind dreptul la viaţă privată în era digitală, adoptate de Adunarea Generală a ONU în 2013 şi 2014 (²⁶). Printre alte dispoziţii, această rezoluţie menţionează că "supravegherea şi/sau interceptarea ilegală sau arbitrară a comunicaţiilor, precum şi colectarea ilegală sau arbitrară a datelor cu caracter personal, fiind acte extrem de intruzive, încalcă dreptul la viaţă privată şi dreptul la libertatea de exprimare şi pot contraveni principiilor unei societăţi democratice". Rezoluţia invită statele să revizuiască normele privind colectarea de date pentru a le alinia la dreptul internaţional al drepturilor omului şi "să instituie sau să menţină mecanisme interne independente şi eficiente de supraveghere, capabile să asigure transparenţa, după caz, şi responsabilitatea statului în ceea ce priveşte supravegherea comunicaţiilor, interceptarea acestora şi colectarea datelor cu caracter personal" (²⁷).

(15)În structura şi componentele sale principale, cadrul juridic al Braziliei care se aplică datelor cu caracter personal transferate în temeiul prezentei decizii este similar celui aplicabil în Uniunea Europeană. Aceasta include faptul că acest cadru nu se bazează numai pe obligaţiile prevăzute în dreptul intern şi pe drepturile garantate de Constituţie, ci şi pe obligaţiile consacrate în dreptul internaţional, în special prin aderarea Braziliei la Convenţia americană privind drepturile omului şi prin recunoaşterea de către aceasta a competenţei Curţii Interamericane a Drepturilor Omului (²⁸).

2.3.1.Domeniul de aplicare teritorial

(17)Articolul 3 din LGPD precizează domeniul de aplicare teritorial al legii, indicând că aceasta se aplică: (1) activităţilor de prelucrare desfăşurate pe teritoriul naţional al Braziliei (care cuprinde uniunea, statele, Districtul Federal şi municipalităţile); (2) activităţilor de prelucrare care au scopul de a oferi sau de a furniza bunuri sau servicii sau prelucrării datelor persoanelor fizice care se află pe teritoriul naţional al Braziliei; precum şi (3) atunci când datele cu caracter personal prelucrate au fost colectate pe teritoriul naţional al Braziliei. Această abordare este similară celei adoptate la articolul 3 din Regulamentul (UE) 2016/679.

(19)În cele din urmă, conform jurisprudenţei Curţii Supreme Federale (Supremo Tribunal Federal, denumit în continuare "STF"), rezultă că protecţia drepturilor fundamentale prevăzută de Constituţie, cum ar fi dreptul la protecţia datelor, se aplică oricărei persoane, indiferent de cetăţenia sau de reşedinţa persoanei vizate (³⁰).

2.3.2.Definiţia datelor cu caracter personal

(21)În plus, informaţiile pseudonimizate - adică informaţiile care nu mai pot conduce, în mod direct sau indirect, la identificarea unei anumite persoane sau nu mai pot fi asociate cu o anumită persoană fără a fi utilizate/combinate cu informaţii suplimentare pentru a fi readuse la starea iniţială - sunt considerate date cu caracter personal în temeiul LGPD (³²).

(22)În schimb, informaţiile complet "anonimizate" sunt excluse din domeniul de aplicare al LGPD (³³). Conform articolului 5 din LGPD, datele anonimizate sunt definite ca fiind date care, prin utilizarea unor mijloace tehnice rezonabile şi disponibile la momentul prelucrării, nu pot fi asociate direct sau indirect cu o persoană. Articolul 12 din LGPD precizează, în plus, că datele anonimizate nu sunt considerate date cu caracter personal decât atunci când procesul de anonimizare la care au fost supuse datele a fost inversat sau poate fi inversat prin "eforturi rezonabile". Articolul 12 din LGPD subliniază, de asemenea, că stabilirea a ceea ce este considerat "rezonabil" trebuie să ţină seama de factori obiectivi, cum ar fi: (1) costul şi timpul necesar pentru inversare; (2) tehnologia disponibilă şi (3) utilizarea exclusivă a mijloacelor proprii ale operatorului. Abordarea privind anonimizarea şi garanţiile introduse în LGPD pentru a aborda posibilitatea de reidentificare este similară celei aplicate în UE.

2.3.3.Definiţia prelucrării

(24)Atât definiţia "prelucrării" din sistemul Uniunii Europene, cât şi cea din sistemul brazilian fac referire la "orice operaţiune" efectuată cu date cu caracter personal (³⁴). Articolul 5 punctul (X) din LGPD prevede următoarea listă neexhaustivă de activităţi care constituie prelucrare: "colectarea, producerea, primirea, clasificarea, utilizarea, accesarea, reproducerea, transmiterea, distribuirea, prelucrarea, arhivarea, stocarea, ştergerea, evaluarea sau controlul informaţiilor, modificarea, comunicarea, transferul, difuzarea sau extragerea."

2.3.4.Operatorul şi persoana împuternicită de operator

(26)Conceptul de persoană împuternicită de operator este definit în LGPD ca fiind persoana fizică sau juridică, publică sau privată, care efectuează prelucrarea datelor cu caracter personal în numele operatorului (³⁶). Persoana împuternicită de operator trebuie să efectueze prelucrarea în conformitate cu instrucţiunile furnizate de operator, care este responsabil de verificarea conformităţii (³⁷).

(28)Conform LGPD, doi sau mai mulţi operatori care sunt direct implicaţi în prelucrarea în urma căreia persoana vizată a suferit prejudicii sunt răspunzători în solidar (³⁹). Persoana împuternicită de operator răspunde în solidar pentru prejudiciul cauzat de prelucrare dacă nu respectă obligaţiile definite la articolul 44 din LGPD, sau dacă nu a urmat instrucţiunile legale ale operatorului (⁴⁰).

2.3.5.Exceptarea de la anumite dispoziţii ale LGPD

(30)La fel ca în sistemul Uniunii, LGPD nu se aplică datelor anonimizate (⁴¹), prelucrării de date cu caracter personal în scopuri pur casnice (⁴²) sau atunci când prelucrarea este efectuată exclusiv în scopuri de siguranţă publică, apărare naţională, securitate a statului sau pentru investigarea şi urmărirea penală a infracţiunilor (⁴³).

(31)Cu toate acestea, exceptarea în domeniul siguranţei publice, al apărării naţionale, al securităţii statului şi al investigării şi urmăririi penale a infracţiunilor este parţială. Curtea Supremă Federală a interpretat aplicabilitatea LGPD în lumina protecţiei constituţionale a datelor cu caracter personal şi a stabilit că principiile, drepturile şi obiectivele principale ale LGPD se aplică tuturor prelucrărilor de date cu caracter personal efectuate de autorităţile publice, inclusiv atunci când sunt efectuate în scopul activităţilor de informaţii (intelligence) (⁴⁴). În plus, condiţiile de prelucrare a datelor cu caracter personal pentru siguranţa publică, apărarea naţională, securitatea statului sau investigarea şi urmărirea penală a infracţiunilor sunt stabilite la articolul 4 alineatele (2)-(4) din LGPD, în special pentru a împiedica entităţile private să prelucreze date în aceste scopuri, pentru a instrui ANPD să emită avize tehnice şi recomandări în această privinţă şi pentru a împuternici ANPD să solicite evaluarea impactului asupra protecţiei datelor în legătură cu aceste activităţi (⁴⁵). De exemplu, pe această bază, ANPD a efectuat investigaţii şi a emis orientări, cum ar fi o notă tehnică adresată Ministerului Justiţiei şi Securităţii Publice cu privire la utilizarea tehnologiilor, inclusiv a recunoaşterii faciale, în spaţiile publice (⁴⁶). În această notă, ANPD a reamintit că prelucrarea în aceste scopuri trebuie să respecte principiile generale şi drepturile prevăzute de LGPD (⁴⁷).

(33)În ceea ce priveşte cercetarea academică, exceptarea este limitată de mai multe elemente. În primul rând, potrivit articolului 4 punctul II din LGPD, prelucrarea trebuie efectuată "exclusiv" în scopuri de cercetare academică. În al doilea rând, articolul 4 punctul II litera (b) din LGPD prevede că articolul 7 (cerinţa temeiului juridic) şi articolul 11 (norme privind prelucrarea datelor sensibile) se aplică acestor tipuri de prelucrare (⁴⁸). În al treilea rând, ANPD a elaborat un ghid de orientare pentru a detalia normele aplicabile prelucrării de date în scopuri academice şi de cercetare, inclusiv prin definirea strictă a entităţilor care pot fi considerate "organisme de cercetare" conform definiţiei de la articolul 5 punctul XVII din LGPD (⁴⁹). În ghidul respectiv, ANPD confirmă că prelucrarea de date în scopuri de cercetare academică este exceptată doar parţial de la LGPD şi că se vor aplica principiile generale ale legii (⁵⁰).

(34)În ceea ce priveşte datele utilizate în mod specific pentru cercetarea în domeniul sănătăţii, LGPD conţine limitări suplimentare. Pe de o parte, articolul 13 din LGPD stabileşte obligaţii de securitate pentru bazele de date utilizate şi încurajează utilizarea tehnicilor de anonimizare şi pseudonimizare. Acesta prevede, de asemenea, ca entităţile de cercetare să fie trase la răspundere pentru nepunerea în aplicare a măsurii de securitate pentru protecţia datelor cu caracter personal (⁵¹). Pe de altă parte, transferul de date utilizate pentru cercetarea în domeniul sănătăţii către o terţă parte "este interzis, în orice circumstanţe" (⁵²).

(35)În ceea ce priveşte prelucrarea datelor cu caracter personal în scopuri jurnalistice şi artistice, exceptarea din LGPD este similară cu cea prevăzută la articolul 85 alineatul (2) din Regulamentul (UE) 2016/679. Exceptarea prevăzută de LGPD se referă la situaţia în care prelucrarea ar fi efectuată "exclusiv" în aceste scopuri (⁵³). Aceasta înseamnă că, în cazul în care presa, mass-media şi organismele artistice prelucrează date cu caracter personal în alte scopuri, cum ar fi gestionarea resurselor umane sau administrarea internă, LGPD se aplică integral.

(36)Expresia artistică şi libertatea mass-mediei fac parte, ambele, din libertatea de exprimare prevăzută la articolul 5 punctul IX din Constituţie, care garantează libertatea de exprimare pentru discursul "intelectual, artistic, ştiinţific şi de comunicare". În ceea ce priveşte exerciţiul de echilibrare între libertatea de exprimare şi alte drepturi (inclusiv dreptul la viaţă privată şi la protecţia datelor), acesta este guvernat de criteriile prevăzute în Constituţie, astfel cum au fost interpretate de Curtea Supremă Federală. În special, exercitarea dreptului la libertatea de exprimare nu necesită nicio autorizare prealabilă, dar rămâne supusă limitelor impuse pentru protejarea altor drepturi fundamentale. Mai precis, o persoană poate solicita despăgubiri în caz de prejudiciere sau de încălcare a dreptului la viaţă privată, în conformitate cu articolul 5 punctul X din Constituţie. În plus, aceste garanţii au fost integrate în Cadrul civil pentru internet, o lege adoptată în 2014 pentru a proteja drepturile fundamentale în mediul online (⁵⁴). În special, articolul 7 punctul I din Cadrul civil pentru internet garantează "inviolabilitatea vieţii private" şi stabileşte dreptul la despăgubiri pentru orice prejudicii materiale sau morale care rezultă dintr-o încălcare. În plus, STF face referire, în jurisprudenţa sa, la necesitatea de "a stabili un echilibru între drepturi, conciliind dreptul la libertatea de exprimare cu inviolabilitatea vieţii private", subliniind importanţa dreptului la reparaţii şi a accesului la căi de atac în cazul încălcării vieţii private (⁵⁵). Într-un alt caz, STF a reamintit că "libertatea presei şi libertatea comunicării sociale trebuie exercitate în armonie cu alte principii constituţionale", cum ar fi inviolabilitatea vieţii private şi dreptul la protecţia datelor (⁵⁶).

(37)În cele din urmă, LGPD exclude din domeniul de aplicare al legii prelucrarea datelor care îşi au originea în afara Braziliei şi care fie (1) nu sunt partajate sau comunicate agenţilor de prelucrare din Brazilia, fie (2) provin dintr-o ţară care a fost considerată adecvată în temeiul LGPD, cu condiţia ca ele să nu fie transferate într-o altă ţară (⁵⁷). ANPD a oferit o interpretare obligatorie pentru a clarifica în mod strict cele două scenarii în Regulamentul său privind transferurile de date (⁵⁸).

(38)În primul scenariu, simplul tranzit al datelor cu caracter personal prin Brazilia, fără nicio prelucrare suplimentară în această ţară, ar fi exclus din domeniul de aplicare al legii (⁵⁹). Totuşi, de îndată ce datele ar fi accesate, utilizate sau prelucrate în alt mod în Brazilia, s-ar aplica LGPD. Normele interne existente privind securitatea cibernetică şi accesul autorităţilor publice la date s-ar aplica în continuare şi acestui scenariu limitat, indiferent dacă datele sunt prelucrate sau rămân doar în tranzit.

(39)În al doilea scenariu, ANPD a precizat că numai transferarea înapoi a datelor care au fost transferate iniţial dintr-o ţară care beneficiază de o decizie privind caracterul adecvat al nivelului de protecţie în temeiul LGPD este exclusă din domeniul de aplicare al legii, atât timp cât legislaţia naţională a acestei ţări adecvate s-ar aplica prelucrării respective. Şi în acest caz, normele privind securitatea cibernetică şi accesul autorităţilor publice la date ar continua să se aplice. În contextul transferului de date cu caracter personal între UE şi Brazilia, în cazul în care UE ar beneficia de o decizie privind caracterul adecvat al nivelului de protecţie din partea Braziliei, transferul de date din Brazilia înapoi în UE nu ar intra întotdeauna sub incidenţa articolului 3 din Regulamentul (UE) 2016/679. Prin urmare, în cazurile în care prelucrarea în cauză nu ar intra sub incidenţa Regulamentului (UE) 2016/679, din articolul 8 punctul II litera (b) din Regulamentul privind transferurile de date rezultă că LGPD s-ar aplica transferului de date din Brazilia înapoi în UE.

2.4.1.Legalitatea şi echitatea prelucrării

(42)În temeiul articolelor 6 şi 7 din LGPD, operatorii şi persoanele împuternicite de operatori trebuie să prelucreze informaţiile cu caracter personal în mod legal şi cu bună-credinţă, în măsura minimă necesară pentru scopul prevăzut, acoperind date care să fie relevante, proporţionale şi neexcesive în raport cu scopul (⁶⁰).

(44)În temeiul articolului 7 din LGPD, un operator şi o persoană împuternicită de operator pot prelucra date cu caracter personal numai pe baza unui număr limitat de temeiuri juridice. Aceste temeiuri juridice prevăzute de LGPD sunt: (1) consimţământul persoanei vizate (punctul I); (2) necesitatea de a executa un contract sau proceduri preliminare legate de un contract la care persoana vizată este parte, la cererea persoanei vizate (punctul V); (3) respectarea unei obligaţii legale sau de reglementare de către operator (⁶¹) (punctul II); (4) protejarea vieţii sau a siguranţei fizice a persoanei vizate sau a unei părţi terţe (punctul VII); (5) prelucrarea datelor de către o administraţie publică, atunci când este necesară pentru punerea în aplicare a politicilor publice prevăzute în legi şi regulamente sau pe baza unor contracte, acorduri sau instrumente similare (⁶²) (punctul III), şi (6) atunci când este necesar pentru îndeplinirea intereselor legitime ale operatorului sau ale unei terţe părţi, cu excepţia cazului în care prevalează drepturile şi libertăţile fundamentale ale persoanei vizate care impun protecţia datelor cu caracter personal (punctul IX).

(45)Articolul 7 din LGPD prevede patru temeiuri juridice specifice suplimentare pentru prelucrarea datelor, şi anume: (1) efectuarea de studii de către entităţi de cercetare, asigurând, ori de câte ori este posibil, anonimizarea datelor cu caracter personal (punctul IV); (2) exercitarea regulată a drepturilor în cadrul procedurilor judiciare, administrative sau de arbitraj (⁶³) (punctul VI); (3) protejarea sănătăţii, exclusiv în cadrul unei proceduri efectuate de profesionişti din domeniul sănătăţii, servicii de sănătate sau autorităţi sanitare/de sănătate (punctul VIII) şi (4) protecţia creditului (punctul X) (⁶⁴).

(⁶⁴)În ceea ce priveşte protecţia creditului, adăugarea acestor temeiuri juridice în LGPD a sporit nivelul de protecţie a persoanelor vizate, de exemplu prin asigurarea faptului că entităţile de credit ar prelucra numai datele cu caracter personal necesare pentru analiza şi recuperarea creditelor care sunt necesare. De la adoptarea LGPD, instanţele din Brazilia au pronunţat mai multe hotărâri prin care, de exemplu, au restricţionat prelucrarea datelor în scopuri de protecţie a creditului, excluzând informaţii precum "numărul de înregistrare al alegătorului, numele mamei, stilul de viaţă, clasa socială, nivelul de educaţie, înclinaţia marginală spre consum şi georeferenţierea", care nu au fost considerate necesare. De asemenea, instanţele au clarificat faptul că accesul suplimentar la datele cu caracter personal ar necesita consimţământul persoanei vizate, limitând astfel domeniul de aplicare al prelucrării datelor care poate avea loc pentru protecţia creditului. A se vedea Opice Blum Advogados, Jurimetrics Report, 2022. Document disponibil la adresa: https://opiceblum.com.br/wp-content/uploads/2019/07/09-relatorio-jurimetria-2022.pdf.

2.4.2.Criterii privind consimţământul

(46)Cerinţele formale pentru obţinerea consimţământului valabil pentru prelucrarea datelor cu caracter personal în temeiul LGPD sunt prevăzute la articolul 8, urmând o abordare similară celei prevăzute la articolul 4 alineatul (11) şi la articolul 7 din Regulamentul (UE) 2016/679. În primul rând, consimţământul trebuie dat fie în scris, fie prin alte mijloace capabile să demonstreze "manifestarea voinţei" persoanei vizate (⁶⁵). În orientările sale, ANPD a precizat că "consimţământul trebuie să fie neechivoc, ceea ce necesită obţinerea unei exprimări clare şi pozitive a voinţei persoanei vizate", ceea ce înseamnă că nu este permisă obţinerea consimţământului "în mod tacit sau printr-o omisiune din partea persoanei vizate" (⁶⁶). În al doilea rând, consimţământul trebuie să se refere la "scopuri speciale", iar "autorizaţiile generice de prelucrare" a datelor cu caracter personal sunt considerate nule (⁶⁷). În al treilea rând, consimţământul trebuie să fie exprimat în cunoştinţă de cauză pe baza unor informaţii furnizate într-un mod "transparent, clar şi lipsit de ambiguitate" (⁶⁸). Atunci când este inclus într-un contract mai amplu, consimţământul trebuie să figureze într-o clauză distinctă şi specifică ce se diferenţiază în mod clar de celelalte dispoziţii contractuale (⁶⁹). În plus, consimţământul este considerat nul dacă informaţiile furnizate persoanei vizate cuprind "conţinut înşelător sau abuziv" (⁷⁰). De asemenea, operatorul trebuie să informeze persoana vizată cu privire la orice modificare referitoare la: (1) scopul specific al prelucrării; (2) tipul sau durata prelucrării; (3) identitatea operatorului sau (4) orice informaţii privind prelucrarea şi posibila partajare a datelor (⁷¹). În al patrulea rând, consimţământul poate fi "revocat în orice moment" de către persoana vizată printr-o "procedură gratuită" (⁷²).

(⁶⁷)- Articolul 8 alineatul (4) din Legea nr. 13.709 din 14 august 2018, Lei Geral de Proteçăo de Dados Pessoais (LGPD) - Legea generală privind protecţia datelor. În plus, în cazul în care datele cu caracter personal urmează să fie partajate între operatori, este necesar un consimţământ separat, specific pentru partajarea respectivă, cu excepţia cazului în care datele au fost făcute publice în mod vădit, astfel cum se prevede la articolul 7 alineatul (5) din Legea nr. 13.709 din 14 august 2018, Lei Geral de Proteçăo de Dados Pessoais (LGPD) - Legea generală privind protecţia datelor.

(47)LGPD stabileşte o interdicţie strictă privind prelucrarea datelor cu caracter personal în cazul în care consimţământul este viciat sau nevalid (⁷³). În plus, LGPD precizează că operatorului îi revine sarcina probei pentru a demonstra că consimţământul a fost obţinut în mod legal, în conformitate cu LGPD (⁷⁴).

(48)În cele din urmă, LGPD stabileşte că, în situaţia în care consimţământul ar constitui temeiul juridic adecvat pentru prelucrare, dacă datele cu caracter personal au fost făcute "publice în mod vădit de către persoana vizată", se consideră că se renunţă la cerinţa consimţământului (⁷⁵). Conceptul de "date publice în mod vădit" se regăseşte şi la articolul 9 din Regulamentul (UE) 2016/679. Cu toate acestea, chiar şi atunci când se consideră că se renunţă la cerinţa consimţământului, operatorii şi persoanele împuternicite de operatori nu beneficiază de o exceptare de la respectarea tuturor celorlalte drepturi şi obligaţii prevăzute în LGPD (⁷⁶). În special, datele care au fost făcute publice în mod vădit de către persoana vizată pot fi prelucrate ulterior, cu condiţia ca scopul prelucrării să fie "legitim şi specific", iar drepturile persoanelor vizate şi principiile stabilite în LGPD să fie respectate (⁷⁷).

2.4.3.Criterii privind interesul legitim

(49)Articolul 7 punctul IX din LGPD prevede că prelucrarea datelor cu caracter personal nu poate fi efectuată niciodată din motive de interes legitim în cazul în care prelucrarea respectivă ar intra în conflict cu drepturile şi libertăţile fundamentale ale persoanelor vizate, subliniind că protecţia datelor cu caracter personal trebuie să prevaleze. Această abordare este similară celei aplicate în UE şi prevăzută la articolul 6 alineatul (1) litera (f) din Regulamentul (UE) 2016/679.

(50)Articolul 10 din LGPD stabileşte condiţiile suplimentare pentru ca operatorii să invoce "interesul legitim" ca temei juridic pentru prelucrarea datelor cu caracter personal. În primul rând, atunci când prelucrarea datelor cu caracter personal se bazează pe interesul legitim, operatorul trebuie să prelucreze numai date cu caracter personal care sunt "strict necesare" pentru scopul prevăzut (⁷⁸). În al doilea rând, operatorii trebuie, de asemenea, să pună în aplicare măsuri prin care să asigure transparenţa activităţilor lor de prelucrare (⁷⁹). În al treilea rând, interesul legitim nu poate fi invocat decât în "situaţii speciale" (⁸⁰).

(⁸⁰)- Articolul 10 din LGPD oferă câteva exemple de situaţii speciale în care poate fi invocat interesul legitim: (1) sprijinirea şi promovarea activităţilor operatorului (punctul I); (2) protejarea exercitării drepturilor persoanei vizate sau facilitarea furnizării de servicii în beneficiul persoanei vizate, cu condiţia ca o astfel de prelucrare să respecte aşteptările legitime, drepturile fundamentale şi libertăţile persoanei vizate (punctul II). Legea nr. 13.709 din 14 august 2018, Lei Geral de Proteçăo de Dados Pessoais (LGPD) - Legea generală privind protecţia datelor.

(51)În plus, ANPD a publicat "Ghidul privind interesul legitim", care detaliază condiţiile de utilizare a interesului legitim (⁸¹). Acest ghid a precizat, de exemplu, că interesul legitim nu poate fi utilizat ca temei juridic pentru prelucrarea datelor sensibile (⁸²) şi, de asemenea, furnizează în anexă un model pentru testul comparativ pentru protecţia drepturilor şi a libertăţilor fundamentale pe care îl pot utiliza toţi operatorii care doresc să se invoce interesul legitim (⁸³). În plus, ANPD poate solicita operatorului să efectueze o evaluare a impactului asupra protecţiei datelor (⁸⁴).

(52)În ghid, ANPD a precizat că, pentru ca un interes să fie considerat "legitim", trebuie îndeplinite trei condiţii: (1) compatibilitatea cu sistemul juridic brazilian; (2) referirea la o situaţie specială şi (3) prelucrarea să fie legată de scopuri legitime, speciale şi explicite (⁸⁵). Prima condiţie, "compatibilitatea cu sistemul juridic", presupune ca interesul legitim invocat de operator să fie compatibil cu principiile, standardele juridice şi drepturile fundamentale garantate în Brazilia. Aceasta înseamnă, de exemplu, că prelucrarea prevăzută a datelor cu caracter personal nu ar trebui să fie interzisă de un act legislativ din Brazilia şi nu poate, în mod direct sau indirect, să contravină dispoziţiilor legale sau principiilor din dreptul brazilian. În al doilea rând, interesul legitim invocat trebuie să se bazeze pe situaţii "concrete, clare şi precise", care vizează interese specifice şi bine definite. Interesul legitim invocat nu se poate întemeia pe "situaţii abstracte sau pur speculative" (⁸⁶). În plus, ANPD precizează că interesele care nu sunt asociate cu "activităţile curente ale operatorului nu sunt considerate legitime" (⁸⁷). Cea de a treia condiţie se referă la necesitatea de a demonstra un scop specific pentru prelucrare. ANPD constată că interesul legitim al operatorului (care justifică prelucrarea) nu trebuie confundat cu scopul prelucrării (care constituie scopul specific care urmează să fie atins prin efectuarea prelucrării). Existenţa unui interes legitim nu elimină obligaţia operatorului de a respecta principiul limitării scopului şi toate obligaţiile care decurg din LGPD. Scopul trebuie descris în mod clar şi precis, furnizând informaţiile necesare pentru a delimita domeniul de aplicare al prelucrării şi pentru a permite ponderarea intereselor operatorului sau ale terţilor cu drepturile şi aşteptările legitime ale persoanelor vizate (⁸⁸). Aceasta înseamnă că, atunci când se bazează pe interesul legitim pentru sprijinirea sau promovarea activităţii sale, operatorul trebuie, printre altele, să definească în mod clar activitatea pe care intenţionează să o promoveze/sprijine şi legătura cu prelucrarea avută în vedere.

2.4.4.Prelucrarea unor categorii speciale de date

(54)Articolul 5 punctul II din LGPD defineşte datele sensibile cu caracter personal ca fiind "date cu caracter personal privind originea rasială sau etnică, convingerile religioase, opiniile politice, afilierea sindicală sau organizaţia religioasă, filozofică sau politică, date privind sănătatea sau viaţa sexuală, date genetice sau biometrice, atunci când sunt legate de o persoană fizică". Astfel cum reiese din jurisprudenţa naţională, viaţa sexuală ar trebui interpretată ca incluzând şi orientarea sau preferinţele sexuale ale unei persoane. În special, în jurisprudenţa sa privind căsătoria între persoane de acelaşi sex, STF a statuat că discriminarea pe criterii de "sex" include şi "preferinţa sexuală" (⁸⁹) şi că libertatea de exercitare a "orientării sexuale" este o "premisă pentru dezvoltarea personalităţii", care este protejată constituţional (⁹⁰). Prin urmare, categoriile de date considerate date sensibile conform legislaţiei braziliene sunt aceleaşi cu cele prevăzute la articolul 9 alineatul (1) din Regulamentul (UE) 2016/679.

(⁹⁰)A se vedea Hotărârea Curţii Supreme Federale a Braziliei de autorizare a căsătoriei între persoane de acelaşi sex, p. 14: "Fiind o condiţie indispensabilă pentru dezvoltarea personalităţii umane - cea mai mare valoare protejată de Constituţia federală - este esenţial să se înlăture orice obstacol juridic care reprezintă o limitare - chiar şi potenţială - a exercitării depline a libertăţii pe care orice fiinţă umană o are în manifestarea deplină a orientării sale sexuale " (sublinierea noastră).

(55)Instanţele din Brazilia au extins şi mai mult definiţia datelor sensibile cu caracter personal în cadrul LGPD pentru a include şi alte tipuri de informaţii care ar putea fi utilizate pentru a discrimina persoanele fizice (⁹¹). Această interpretare rezultă din dreptul de a fi protejat împotriva discriminării, prevăzut în dreptul brazilian, reflectat şi la articolul 6 punctul IX din LGPD. În special, jurisprudenţa braziliană a clarificat faptul că informaţiile privind cazierele judiciare sunt considerate date sensibile (⁹²).

(56)Prelucrarea datelor sensibile conform LGPD este autorizată numai în cazul în care persoana vizată sau reprezentantul său legal şi-a dat consimţământul "specific şi distinct" pentru scopuri specifice (⁹³). Se aplică condiţiile privind valabilitatea consimţământului descrise în considerentele 46-48 din prezenta decizie.

(57)Conform articolului 11 punctul II din LGPD, fără consimţământul explicit al persoanei vizate, prelucrarea datelor sensibile poate fi efectuată: (1) atunci când prelucrarea este necesară pentru respectarea unei obligaţii legale sau de reglementare a operatorului [litera (a)]; (2) atunci când este necesar pentru prelucrarea de către administraţia publică în vederea punerii în aplicare a politicilor publice prevăzute în legi şi regulamente [litera (b)]; (3) pentru protejarea vieţii sau a siguranţei fizice a persoanei vizate sau a unei părţi terţe [litera (e)]; (4) pentru exercitarea drepturilor, inclusiv în cadrul contractelor sau al procedurilor judiciare, administrative şi arbitrale, în conformitate cu dreptul brazilian [litera (d)]; (5) pentru a proteja sănătatea persoanelor vizate, exclusiv în cadrul procedurilor desfăşurate de profesionişti din domeniul sănătăţii, servicii de sănătate sau autorităţi sanitare [litera (f)]; (6) de către entităţi de cercetare pentru a efectua studii, asigurându-se că datele sunt anonimizate, ori de câte ori este posibil [litera (c)] şi (7) pentru a asigura prevenirea fraudei şi siguranţa persoanelor vizate, în procesele de identificare şi autentificare prin înregistrarea în sistemele electronice. Prin urmare, motivele pentru prelucrarea datelor sensibile prevăzute în LGPD şi în Regulamentul (UE) 2016/679 sunt similare.

2.4.5.Limitarea scopului

(59)Articolul 6 punctul I din LGPD prevede că datele cu caracter personal ar trebui să fie prelucrate pentru un "scop legitim, specific şi explicit care este adus la cunoştinţa persoanei vizate", fără nicio posibilitate de prelucrare ulterioară "incompatibilă" cu scopul iniţial. Acest principiu şi formularea sa sunt aproape identice cu cele corespunzătoare de la articolul 5 alineatul (1) litera (c) din Regulamentul (UE) 2016/679. Articolul 6 punctul II din LGPD stabileşte, în plus, că orice activitate de prelucrare trebuie să fie compatibilă cu scopurile comunicate persoanei vizate.

(60)Din orientările emise de ANPD reiese că, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele au fost colectate iniţial, operatorul trebuie să demonstreze o legătură între cele două scopuri ale prelucrării şi să ţină seama de "aşteptările legitime" ale persoanelor vizate (⁹⁴). În cazul prelucrării pentru alte scopuri compatibile, se aplică principiile şi obligaţiile prevăzute în LGPD, şi anume asigurarea caracterului specific al noului scop şi garantarea protecţiei drepturilor persoanelor vizate. Acest lucru este valabil şi pentru prelucrarea ulterioară a datelor care au fost făcute "publice în mod vădit" de către persoana vizată sau care sunt disponibile public (⁹⁵).

(⁹⁵)- Articolul 7 alineatul (7) din Legea nr. 13.709 din 14 august 2018, Lei Geral de Proteçăo de Dados Pessoais (LGPD) - Legea generală privind protecţia datelor. A se vedea, de asemenea, considerentul 48 din prezenta decizie. Conceptul de date făcute "publice în mod vădit" se regăseşte şi în Regulamentul (UE) 2016/679, în timp ce datele "disponibile public" se referă la informaţiile disponibile în registrele sau bazele de date publice conform dreptului brazilian în temeiul Legii nr. 12.527 din 18 noiembrie 2011, Legea privind accesul la informaţii. Document disponibil la adresa: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm.

2.4.6.Exactitatea şi reducerea la minimum a datelor

(62)Aceste principii sunt garantate de principiul "calităţii datelor" şi al "necesităţii", prevăzute la articolul 6 punctul III şi, respectiv, V din LGPD. Conform articolului 6 punctul V din LGPD, operatorul şi persoanele împuternicite de operator trebuie să se asigure că datele cu caracter personal sunt exacte, clare, relevante şi actualizate, având în vedere scopurile în care sunt prelucrate datele respective. Articolul 6 punctul III din LGPD stabileşte "limitarea prelucrării la minimul necesar" pentru a atinge unul sau mai multe scopuri specifice, "cuprinzând date relevante, proporţionale şi neexcesive" în raport cu scopul (scopurile) respectiv(e). Aceste principii sunt similare cu cele prevăzute la articolul 5 alineatul (1) literele (c) şi (d) din Regulamentul (UE) 2016/679.

2.4.7.Limitarea stocării

(66)În temeiul excepţiilor stricte prevăzute la articolul 16 din LGPD, datele pot fi păstrate şi stocate în continuare: (1) pentru respectarea obligaţiilor legale sau de reglementare; (2) în scopuri de cercetare, asigurând, ori de câte ori este posibil, anonimizarea datelor; (3) atunci când sunt transferate unor terţi în conformitate cu cerinţele LGPD sau (4) atunci când sunt utilizate exclusiv de operator, atât timp cât datele sunt anonimizate, iar accesul terţilor la datele respective este interzis.

2.4.8.Securitatea datelor

(68)Datele cu caracter personal ar trebui să fie prelucrate într-un mod care să le asigure securitatea, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale. În acest scop, operatorii ar trebui să ia măsurile tehnice sau organizatorice adecvate pentru a proteja datele cu caracter personal împotriva eventualelor ameninţări. Aceste măsuri ar trebui să fie evaluate luându-se în considerare cunoştinţele actuale şi costurile aferente.

(69)Acest principiu este garantat de articolul 6 punctul VII din LGPD, care prevede utilizarea unor "măsuri tehnice şi administrative" pentru a proteja datele cu caracter personal împotriva "accesărilor neautorizate şi a prelucrării accidentale sau ilegale", inclusiv împotriva "distrugerii, pierderii, modificării, comunicării sau difuzării" datelor. Pentru a reduce aceste riscuri de securitate, articolul 6 punctul VIII din LGPD prevede adoptarea de măsuri pentru "a preveni producerea de daune/prejudicii cauzate de prelucrarea datelor cu caracter personal".

(70)Articolul 44 din LGPD prevede că prelucrarea datelor cu caracter personal este ilegală atunci când nu respectă standardele de securitate la care persoana vizată este îndreptăţită să se aştepte. Trebuie stabilit nivelul adecvat de securitate, printre altele: (1) având în vedere circumstanţele specifice ale prelucrării efectuate; (2) nivelul rezonabil de risc preconizat şi (3) tehnicile de prelucrare disponibile în momentul în care a fost efectuată (⁹⁶).

(71)Pentru a pune în aplicare principiul securităţii datelor, LGPD a stabilit o serie de cerinţe în cadrul capitolului VII secţiunea I privind "Securitatea şi confidenţialitatea datelor". În cadrul acestei secţiuni, articolul 46 din LGPD impune operatorilor de date şi persoanelor împuternicite de operatori să adopte "măsuri de securitate, tehnice şi administrative capabile să protejeze datele cu caracter personal împotriva accesărilor neautorizate şi a prelucrării accidentale sau ilegale", cum ar fi "distrugerea, pierderea, modificarea, comunicarea sau orice tip de prelucrare necorespunzătoare sau ilegală". Aceste măsuri trebuie să fie respectate "din faza de concepere a produsului sau a serviciului până la executarea acestuia" (⁹⁷). Articolul 47 din LGPD impune tuturor părţilor implicate în orice etapă a prelucrării o obligaţie generală de a respecta cerinţele de securitate. Aceste obligaţii sunt similare celor stabilite la articolul 32 din Regulamentul (UE) 2016/679.

(72)În plus, articolul 44 din LGPD stabileşte că operatorul sau persoana împuternicită de operator care neglijează să adopte măsuri de securitate trebuie să fie considerat(ă) răspunzător (răspunzătoare) pentru prejudiciile cauzate în caz de încălcare a securităţii (⁹⁸). ANPD poate stabili, de asemenea, standarde tehnice minime de securitate pentru a asigura respectarea obligaţiilor în materie de securitate a datelor (⁹⁹).

(73)Conform articolului 48 din LGPD, în cazul unui incident de securitate care poate prezenta un risc sau poate cauza prejudicii semnificative persoanelor vizate, operatorul este obligat să notifice atât ANPD, cât şi persoanele vizate. Această notificare trebuie să aibă loc într-un interval de timp rezonabil, stabilit de ANPD, şi trebuie să includă cel puţin: (1) o descriere a naturii datelor cu caracter personal afectate; (2) informaţii de identificare a persoanelor vizate implicate; (3) indicarea măsurilor tehnice şi de securitate utilizate pentru protecţia datelor, sub rezerva păstrării confidenţialităţii comerciale şi industriale; (4) o evaluare a riscurilor asociate incidentului; (5) explicarea oricărei întârzieri în comunicare şi (6) o descriere a măsurilor luate sau care urmează să fie luate pentru a atenua sau a remedia prejudiciile cauzate. Abordarea aplicată în LGPD este în mare măsură similară celei stabilite la articolele 33 şi 34 din Regulamentul (UE) 2016/679.

(75)Articolul 3 punctul XII din Regulamentul privind notificarea incidentelor de securitate defineşte incidentul de securitate ca fiind "orice eveniment advers confirmat legat de încălcarea confidenţialităţii, integrităţii, disponibilităţii şi autenticităţii securităţii datelor cu caracter personal". Conform articolului 48 din LGPD, o încălcare a securităţii datelor şi un incident de securitate care pot crea riscuri pentru persoanele vizate trebuie să fie întotdeauna comunicate autorităţii pentru protecţia datelor (ANPD) şi persoanelor vizate. Articolul 5 din Regulamentul privind notificarea incidentelor de securitate precizează că un incident de securitate poate implica un risc pentru persoanele vizate atunci când acesta le poate afecta interesele şi drepturile fundamentale şi dacă implică cel puţin unul dintre următoarele tipuri de date: (1) date sensibile cu caracter personal; (2) date referitoare la copii, adolescenţi sau vârstnici; (3) date financiare; (4) date de autentificare în sisteme; (5) date protejate de secretul juridic, judiciar sau profesional sau (6) baze de date la scară largă. În plus, se va considera că un incident de securitate afectează în mod semnificativ interesele şi drepturile fundamentale ale persoanelor vizate atunci când acesta: (1) poate împiedica exercitarea drepturilor sau utilizarea unui serviciu sau (2) poate cauza prejudicii materiale sau morale persoanelor vizate, cum ar fi discriminarea, încălcarea integrităţii fizice, dreptul la imagine şi reputaţie, frauda financiară sau furtul de identitate (¹⁰¹).

(76)Notificarea unui incident de securitate către ANPD şi persoanele vizate trebuie să aibă loc în termen de trei zile lucrătoare de la data la care operatorul a luat cunoştinţă de acesta (¹⁰²). Regulamentul obligatoriu privind notificarea incidentelor de securitate precizează pentru operatori informaţiile care trebuie furnizate ANPD şi persoanelor vizate. Notificarea persoanelor vizate trebuie să includă în special: (1) o descriere a naturii şi a categoriei de date cu caracter personal afectate; (2) măsurile tehnice şi de securitate utilizate pentru protecţia datelor; (3) riscurile legate de incident, identificând posibilele efecte asupra persoanelor vizate; (4) motivele întârzierii, în cazul în care comunicarea nu a fost efectuată în termen de 72 de ore; (5) măsurile care au fost sau vor fi adoptate pentru a inversa sau a atenua efectele incidentului, după caz; (6) data la care a fost descoperit incidentul de securitate şi (7) datele de contact pentru obţinerea de informaţii şi, după caz, datele de contact ale persoanei responsabile (¹⁰³). Atunci când comunică incidentul persoanelor vizate, operatorii trebuie să utilizeze un "limbaj simplu şi uşor de înţeles" (¹⁰⁴). Notificarea se efectuează în mod direct şi individual, dacă este posibilă identificarea persoanelor vizate afectate (¹⁰⁵).

(77)În plus, ANPD poate, dacă este necesar pentru a proteja drepturile persoanelor vizate, să evalueze gravitatea incidentului şi să solicite operatorului să adopte măsuri specifice (¹⁰⁶). Acestea pot include divulgarea publică a incidentului prin canale mass-media adecvate, precum şi punerea în aplicare a unor măsuri de remediere sau de atenuare. Operatorul de date trebuie să menţină un registru al incidentelor legate de securitatea datelor (¹⁰⁷).

(78)În cele din urmă, LGPD asociază standardele sale "de bune practici şi de guvernanţă (a datelor)" cu cerinţele privind securitatea datelor, printre altele pentru a atenua riscurile de prelucrare a datelor (¹⁰⁸). Aceasta include promovarea adoptării unor programe interne de guvernanţă a vieţii private pentru a evalua şi a atenua riscurile (¹⁰⁹).

2.4.9.Transparenţa

(81)Articolul 9 din LGPD stabileşte o listă de informaţii care trebuie furnizate persoanelor vizate cu privire la prelucrarea datelor, care include: (1) scopul specific al prelucrării; (2) tipul şi durata prelucrării; (3) identificarea operatorului; (4) datele de contact ale operatorului; (5) informaţii privind prelucrarea datelor de către operator şi scopul; (6) responsabilităţile entităţilor care efectuează prelucrarea şi (7) drepturile persoanelor vizate, inclusiv informaţii privind exercitarea drepturilor respective.

(82)Limitarea legată de "secretul comercial şi industrial" menţionată la articolul 6 punctul VI şi alte dispoziţii ale LGPD ar trebui interpretate prin prisma Legii privind accesul la informaţii (LAI) a Braziliei (¹¹⁰). LAI prevede, ca regulă generală, divulgarea informaţiilor cuprinse în registrele sau documentele deţinute de organismele publice (¹¹¹). Orice excepţie - adică impunerea unor restricţii privind accesul la documente şi informaţii - trebuie să fie justificată şi prevăzută de lege (¹¹²). Secretul comercial şi industrial este una dintre aceste excepţii, fiind prevăzut într-o dispoziţie legală specifică menită să asigure protecţia "informaţiilor referitoare la activităţile comerciale ale persoanelor fizice sau juridice de drept privat, obţinute de alte organisme sau entităţi în exercitarea activităţii de control, de reglementare şi de supraveghere a activităţii economice, a căror divulgare ar putea reprezenta un avantaj concurenţial pentru alţi agenţi economici" (¹¹³). Prin urmare, dispoziţiile LGPD care se referă la "secretul comercial şi industrial" trebuie interpretate în sensul că prelucrarea şi divulgarea în alt mod a informaţiilor nu trebuie să dezvăluie secretul comercial sau să creeze un avantaj concurenţial pentru alţi actori, îndeplinind totodată obiectivele de protecţie a datelor cu caracter personal. Aceasta înseamnă că, în ceea ce priveşte principiul transparenţei şi în întregul text al LGPD, limitarea pe motivul "secretului comercial şi industrial" nu trebuie înţeleasă ca un motiv general de refuz al respectării legii, ci în sensul că trebuie instituite garanţii specifice pentru a se asigura divulgarea informaţiilor într-un mod care să protejeze interesele respective.

(83)Persoanele vizate ar trebui să aibă anumite drepturi care pot fi impuse operatorului, în special dreptul de acces la date, dreptul la rectificare, dreptul la ştergerea datelor, dreptul de a se opune prelucrării, dreptul la portabilitatea datelor şi drepturi în contextul prelucrării automate a datelor. Aceste drepturi pot face obiectul unor restricţii, în măsura în care aceste restricţii sunt necesare şi proporţionale pentru a proteja obiectivele specifice de interes public general.

(84)Capitolul III din LGPD stabileşte drepturile persoanelor vizate într-un mod similar cu cel prevăzut la articolele 15-22 din Regulamentul (UE) 2016/679. Exercitarea tuturor drepturilor este gratuită, iar persoanele vizate trebuie să fie informate cu privire la drepturile lor (¹¹⁴). În temeiul articolului 21 din LGPD, datele privind exercitarea drepturilor de către o persoană vizată nu pot fi utilizate în detrimentul acesteia. Persoanele vizate pot introduce o cale de atac în instanţă, în mod individual sau colectiv, în legătură cu interesele şi drepturile lor (¹¹⁵).

(85)Operatorii de date trebuie să informeze "imediat" persoanele împuternicite de operatori, cu care este posibil ca datele să fi fost partajate, cu privire la cererile persoanelor vizate referitoare la rectificarea, ştergerea, anonimizarea, restricţionarea şi opoziţia, pentru a se asigura că aceste cereri pot fi respectate de toate părţile implicate (¹¹⁶).

(86)În temeiul articolului 9 şi articolului 18 punctul (II) din LGPD, persoanele vizate au dreptul la informaţii şi la acces pentru a obţine "în orice moment" informaţii privind prelucrarea datelor lor (¹¹⁷). Acestea includ: (1) identitatea operatorului (punctul III); (2) datele de contact ale operatorului (punctul IV); (3) informaţii privind scopul specific al prelucrării (punctul I); (4) informaţii privind posibila partajare a datelor (punctul V); (5) tipul şi durata prelucrării (punctul II); (6) existenţa drepturilor persoanelor vizate, inclusiv a dreptului de a depune o plângere la autoritatea pentru protecţia datelor şi (7) responsabilităţile persoanelor împuternicite de operator. În plus, articolul 10 alineatul (2) din LGPD impune operatorului să dea dovadă de transparenţă în ceea ce priveşte prelucrarea pe baza interesului legitim. În mod similar, articolul 9 din Regulamentul privind transferurile de date precizează că persoanele vizate trebuie să fie informate în cazul transferurilor de date cu caracter personal.

(87)Articolul 19 din LGPD detaliază modalitatea de a oferi persoanelor vizate acces la informaţiile lor cu caracter personal. La cererea unei persoane vizate, accesul la datele cu caracter personal se acordă: imediat, "într-un format simplificat", sau în termen de 15 zile, printr-o declaraţie clară şi completă (¹¹⁸). În plus, articolul 19 alineatul (1) din LGPD stabileşte că operatorii trebuie să stocheze datele cu caracter personal într-un format care să faciliteze exercitarea dreptului de acces. Persoana vizată poate decide să îşi primească informaţiile în format electronic sau pe suport de hârtie (¹¹⁹).

(89)Articolul 18 punctele (IV) şi (VI) din LGPD conferă persoanelor fizice dreptul de a solicita ştergerea datelor lor în următoarele situaţii: (1) atunci când datele sunt inutile sau excesive; (2) pentru orice date prelucrate cu consimţământul persoanei vizate sau (3) atunci când datele sunt prelucrate în mod ilegal. În plus, secţiunea IV din capitolul II din LGPD privind "Încetarea prelucrării datelor" precizează că prelucrarea datelor trebuie să înceteze atunci când o persoană vizată fie se opune prelucrării, fie îşi retrage consimţământul pentru prelucrare (¹²⁰). Ulterior, datele se şterg după încheierea prelucrării (¹²¹). Prin urmare, aceste dispoziţii coroborate extind în mod indirect domeniul de aplicare al dreptului la ştergerea datelor prevăzut în LGPD.

(90)Persoanele fizice au dreptul de a se opune prelucrării datelor pe baza unui alt temei juridic decât consimţământul, în cazul nerespectării LGPD (dreptul la opoziţie) (¹²²). În plus, conform articolului 15 şi articolului 18 alineatul IV din LGPD, persoanele vizate au dreptul de a restricţiona prelucrarea datelor (denumită în continuare "blocare"). Acest drept poate fi invocat, în special, atunci când datele prelucrate sunt inutile sau excesive sau atunci când datele sunt prelucrate într-un mod care nu este conform cu LGPD (¹²³). Articolul 15 punctul II din LGPD prevede că datele nu mai trebuie să fie prelucrate pe baza unei "comunicări" din partea persoanei vizate către operator. Deşi face obiectul "interesului public", interpretat în sens larg, această dispoziţie prevede un domeniu de aplicare vast pentru un drept indirect de a se opune într-un mod echivalent cu dreptul la opoziţie prevăzut de Regulamentul (UE) 2016/679.

(91)Persoanele fizice au dreptul de a solicita "o copie electronică completă" a datelor lor pentru a permite utilizarea acestora de către alte entităţi (dreptul la portabilitate) (¹²⁴). În mod similar, ca şi în UE, persoanele vizate pot solicita această copie numai atunci când datele au fost prelucrate pe baza consimţământului sau a unui contract.

(92)Deşi orice decizie bazată pe prelucrarea automată de date colectate în UE va fi luată, de regulă, de un operator [care are o relaţie directă cu persoana vizată în cauză şi, prin urmare, intră în mod direct în domeniul de aplicare al Regulamentului (UE) 2016/679], trebuie menţionat că LGPD reglementează acest tip de prelucrare într-un mod similar cu articolul 22 din Regulamentul (UE) 2016/679. În primul rând, articolul 6 punctul IX din LGPD recunoaşte principiul nediscriminării ca fiind un principiu de protecţie a datelor potrivit căruia este interzisă prelucrarea de date în scopuri discriminatorii ilegale sau abuzive. Acest principiu este aplicabil tuturor prelucrărilor şi este deosebit de relevant în contextul prelucrării automate. Apoi, conform articolului 20 din LGPD, persoana vizată are dreptul de a solicita "revizuirea deciziilor luate exclusiv pe baza unei prelucrări automate de date care îi afectează interesele, inclusiv a deciziilor prin care se urmăreşte definirea profilului său personal, profesional, de consum şi de credit sau a unor aspecte ale personalităţii sale". Atunci când răspunde unei cereri a persoanei vizate, operatorul trebuie să furnizeze informaţii clare cu privire la "criteriile şi procedura utilizate pentru decizia automatizată" (¹²⁵). În cazul în care aceste informaţii nu pot fi furnizate persoanei vizate din motive de "secret comercial şi industrial", ANPD are competenţa de a efectua un audit pentru a verifica aspectele discriminatorii din prelucrarea automată a datelor cu caracter personal (¹²⁶). Prin urmare, "secretul comercial şi industrial" nu poate fi folosit ca motiv pentru a refuza să răspundă cererii persoanei vizate.

(93)- Articolul 23 din LGPD prevede că pentru procedura şi termenul de exercitare a drepturilor persoanelor vizate se aplică acte legislative specifice atunci când prelucrarea este efectuată de autorităţile publice (¹²⁷). De exemplu, Legea Habeas Data a Braziliei reglementează dreptul de acces la informaţii al persoanelor fizice cu privire la datele deţinute în registrele sau bazele de date ale guvernului sau ale unei entităţi publice (¹²⁸). Legea Habeas Data a Braziliei stabileşte dispoziţii specifice privind dreptul de acces, care se acordă în termen de 10 zile de la cererea unei persoane, şi dreptul la rectificare, care se acordă în termen de 15 zile de la cerere (¹²⁹). În mod similar, Legea federală privind procedura administrativă din Brazilia instituie un drept la informaţii şi la acces pentru persoane în contextul procedurilor administrative (¹³⁰). Legea privind accesul la informaţii a Braziliei prevede, de asemenea, obligaţii de informare şi transparenţă pentru autorităţile publice, societăţile publice şi cele trei ramuri ale guvernului (legislativă, executivă şi judecătorească) din Brazilia (¹³¹). Dispoziţiile acestor legi consolidează dreptul de acces şi la informaţii instituit în temeiul LGPD pentru prelucrarea datelor de către autorităţile publice. În cazul în care aceste acte legislative nu prevăd drepturi specifice instituite în temeiul LGPD (de exemplu, drepturi legate de procesul decizional automatizat), persoanele vizate îşi pot exercita aceste drepturi prin intermediul LGPD.

(94)O încălcare a drepturilor persoanelor vizate va fi tratată de ANPD ca o încălcare "medie" sau "gravă" a legii, în funcţie de factorul relevant, prin urmare poate fi supusă celui mai ridicat nivel de sancţiuni şi amenzi. Este important de remarcat faptul că, pe baza Regulamentului ANPD privind sancţiunile, simplul fapt că un drept al unei persoane vizate a fost afectat printr-o încălcare înseamnă că o astfel de încălcare nu poate fi considerată "uşoară" (¹³²).

(95)De la intrarea în vigoare a LGPD, ANPD a primit un număr constant de plângeri şi solicitări de la cetăţeni cu privire la drepturile lor în materie de protecţie a datelor (¹³³). Aceste cifre au crescut semnificativ din iulie 2024, odată cu introducerea de către ANPD a unei platforme modernizate şi uşor de utilizat pentru depunerea cererilor şi a plângerilor (¹³⁴). De atunci, ANPD primeşte lunar aproximativ 400 de plângeri şi 100 de cereri de la cetăţeni (¹³⁵).

(98)Capitolul V din LGPD stabileşte un cadru pentru transferurile internaţionale de date cu caracter personal. Dispoziţiile acestui capitol sunt completate de un regulament obligatoriu privind transferurile internaţionale de date (Regulamentul privind transferurile de date), care a fost adoptat de ANPD în august 2024 (¹³⁶).

(99)Regulamentul privind transferurile de date defineşte "transferul" ca fiind "operaţiunea de prelucrare prin care un agent de prelucrare transmite, partajează sau oferă acces la date cu caracter personal unui alt agent de prelucrare", iar "transferul internaţional de date" ca fiind "transferul de date cu caracter personal către o ţară străină sau către o organizaţie internaţională din care face parte ţara respectivă" (¹³⁷).

(100)Normele privind transferurile internaţionale stabilite în temeiul LGPD şi al Regulamentului privind transferurile de date se aplică tuturor prelucrărilor care intră în domeniul de aplicare al LGPD. Articolul 7 din Regulamentul privind transferurile de date precizează în mod expres că aplicabilitatea LGPD în cazul unui transfer internaţional de date nu depinde de mijloacele tehnice utilizate pentru prelucrare, de localizarea geografică a datelor sau de prezenţa fizică a operatorului sau a persoanei împuternicite de operator (¹³⁸). Ceea ce determină însă aplicabilitatea este existenţa unei legături materiale între activitatea de prelucrare a datelor şi Brazilia.

(102)Un transfer internaţional de date poate avea loc dacă sunt îndeplinite următoarele trei circumstanţe cumulative: în primul rând, un transfer internaţional de date poate "fi efectuat numai în scopuri legitime, specifice şi explicite, aduse la cunoştinţa persoanei vizate, fără nicio posibilitate de prelucrare ulterioară incompatibilă cu aceste scopuri" (¹³⁹). În al doilea rând, transferul internaţional de date trebuie să se bazeze pe un temei juridic valabil prevăzut la articolul 7 din LGPD (sau la articolul 11 în cazul datelor sensibile) (¹⁴⁰). În al treilea rând, trebuie utilizat un mecanism "valabil" de transfer de date (¹⁴¹).

(104)În primul rând, se poate adopta o decizie privind caracterul adecvat al nivelului de protecţie referitoare la o ţară terţă sau la o organizaţie internaţională (articolul 33 punctul I). Pentru a stabili dacă o ţară terţă sau o organizaţie internaţională garantează un nivel adecvat de protecţie a datelor cu caracter personal, ANPD trebuie să ia în considerare mai multe criterii prevăzute în LGPD şi în Regulamentul privind transferurile de date (¹⁴²) care sunt similare cu cele corespunzătoare din dreptul UE. Printre acestea se numără: (1) legislaţia generală şi sectorială în vigoare în ţara de destinaţie sau aplicabilă organizaţiei internaţionale, care are un impact direct asupra protecţiei datelor cu caracter personal (¹⁴³); (2) natura datelor (¹⁴⁴); (3) asigurarea faptului că ţara terţă sau organizaţia internaţională respectivă asigură un nivel de protecţie a datelor cu caracter personal şi de garantare a drepturilor persoanelor vizate care este în concordanţă cu LGPD (¹⁴⁵); (4) adoptarea unor măsuri tehnice şi organizatorice adecvate pentru a asigura securitatea datelor şi pentru a atenua riscurile de efecte negative asupra vieţii private şi a altor drepturi fundamentale (¹⁴⁶); (5) existenţa unor mecanisme judiciare şi instituţionale de garantare a drepturilor în materie de protecţie a datelor, în special prin existenţa unei autorităţi de supraveghere independente, cu competenţe şi resurse adecvate pentru a monitoriza şi a asigura respectarea dispoziţiilor privind protecţia datelor (¹⁴⁷) şi (6) orice alte circumstanţe specifice relevante pentru contextul transferului internaţional de date (¹⁴⁸).

(105)Pentru evaluarea nivelului de protecţie a datelor cu caracter personal în contextul unei decizii privind caracterul adecvat al nivelului de protecţie, ANPD va evalua, de asemenea: (1) riscurile şi beneficiile oferite de o anumită decizie privind caracterul adecvat al nivelului de protecţie, luând în considerare, printre alte aspecte, garantarea principiilor, a drepturilor persoanei vizate şi a regimului de protecţie a datelor prevăzut de LGPD, precum şi (2) impactul deciziei asupra fluxului internaţional de date, a relaţiilor diplomatice, a comerţului internaţional şi a cooperării internaţionale a Braziliei cu alte ţări şi organizaţii internaţionale (¹⁴⁹). Evaluarea şi emiterea unei decizii privind caracterul adecvat al nivelului de protecţie intră în responsabilitatea ANPD (¹⁵⁰). În prezent, ANPD lucrează doar la o decizie privind caracterul adecvat al nivelului de protecţie împreună cu Uniunea Europeană.

(106)În al doilea rând, articolul 33 punctul II prevede că transferurile de date pot avea loc atunci când operatorii asigură "garanţii de conformitate cu principiile şi drepturile persoanelor vizate şi cu regimul de protecţie a datelor" prevăzut de LGPD. Acest lucru poate fi garantat prin (1) clauze contractuale specifice [punctul II litera (a)]; (2) clauze contractuale standard [punctul II litera (b)]; (3) reguli corporatiste obligatorii [punctul II litera (c)] sau (4) sigilii, certificări şi coduri de conduită aprobate [punctul II litera (d)].

(107)Operatorii se pot baza pe dispoziţii contractuale specifice pentru transferul internaţional, precum şi pe clauze contractuale standard aprobate de ANPD (¹⁵¹). Conform Regulamentului privind transferurile de date, ANPD a adoptat un set de clauze contractuale tip care acoperă toate cerinţele relevante în materie de protecţie a datelor (şi anume drepturile persoanelor vizate, supravegherea şi controlul independent, măsurile privind securitatea datelor, garanţiile privind transferurile ulterioare etc.) (¹⁵²). Aceste clauze cuprind dispoziţii care nu pot fi modificate de părţile contractante (¹⁵³). Clauzele sunt modulare pentru a fi adaptate la diferite scenarii de transfer de date (de exemplu, de la un operator către o persoană împuternicită de operator, de la o persoană împuternicită de operator către o altă persoană împuternicită de operator) (¹⁵⁴).

(108)În ceea ce priveşte regulile corporatiste obligatorii (BCR), ANPD clarifică în capitolul VI din Regulamentul privind transferurile de date modul în care poate fi utilizat acest mecanism, precum şi cerinţele privind valabilitatea regulilor respective. ANPD reaminteşte, în special, "caracterul obligatoriu" al instrumentului pentru toţi "membrii grupului sau ai conglomeratului" care se bazează pe acesta, cerinţele privind drepturile persoanelor vizate şi exercitarea lor, normele aplicabile privind responsabilitatea (¹⁵⁵), precum şi toate informaţiile obligatorii pe care trebuie să le includă BCR (¹⁵⁶). BCR sunt supuse aprobării prealabile a ANPD conform unui proces definit în capitolul VIII din Regulamentul privind transferurile de date, care impune societăţilor să depună documentaţia completă la ANPD şi implică un proces de revizuire din partea ANPD (¹⁵⁷). Societăţile au, de asemenea, obligaţia de a comunica cu ANPD orice aspecte care ar putea afecta respectarea LGPD, inclusiv atunci când membrii grupului sunt supuşi unor obligaţii străine (¹⁵⁸). Toate BCR aprobate vor fi publicate pe pagina web a ANPD, iar societăţile au obligaţia de a informa în mod transparent cu privire la transferul internaţional efectuat (¹⁵⁹).

(¹⁵⁵)- Articolul 3 punctul (VIII) din Regulamentul ANPD privind transferurile internaţionale de date, august 2024. Definiţia "entităţii responsabile" stabileşte că o "societate comercială cu sediul în Brazilia este răspunzătoare pentru orice încălcare a unei reguli corporatiste obligatorii, chiar dacă rezultă dintr-un act al unui membru al grupului economic cu sediul în altă ţară", urmând astfel o abordare similară celei prevăzute la articolul 47 alineatul (1) litera (f) din Regulamentul (UE) 2016/679.

(109)De asemenea, ANPD poate desemna entităţi de certificare care să elaboreze sigilii, certificări sau coduri de conduită pentru transferurile de date (¹⁶⁰). Deciziile şi activităţile efectuate de aceste entităţi de certificare pot fi revizuite de ANPD, care poate revizui şi revoca deciziile, în cazul nerespectării LGPD (¹⁶¹).

(110)În sfârşit, LGPD prevede o listă de "situaţii specifice" în care un transfer internaţional poate fi efectuat atunci când: (1) este necesar pentru cooperarea judiciară internaţională între agenţiile publice, în conformitate cu dreptul internaţional; (2) este necesar pentru a proteja viaţa sau siguranţa fizică a persoanei vizate sau a unei părţi terţe; (3) este autorizat de ANPD; (4) este legat de un angajament în cadrul cooperării internaţionale; (5) este necesar pentru punerea în aplicare a unei politici publice sau a unei obligaţii legale a unei autorităţi publice; (6) persoanele vizate şi-au dat consimţământul pentru respectivul transfer de date, pe baza unor informaţii prealabile cu privire la natura prelucrării sau (7) atunci când este necesar pentru respectarea unei obligaţii legale sau de reglementare în legătură cu executarea unui contract sau pentru exercitarea drepturilor în cadrul procedurilor judiciare, administrative sau de arbitraj (¹⁶²). Astfel cum se indică în Regulamentul privind transferurile de date, transferurile internaţionale pot fi efectuate în cadrul acestor scenarii doar dacă "sunt respectate particularităţile cazului respectiv şi cerinţele legale aplicabile" (¹⁶³).

(111)În ceea ce priveşte situaţia specifică în care transferul de date poate fi efectuat pe baza consimţământului persoanelor vizate, aceasta impune (1) ca criteriile formale pentru obţinerea unui consimţământ valabil (şi anume, ca acesta să fie specific, acordat în mod liber, explicit, în cunoştinţă de cauză) să fie îndeplinite; (2) ca persoanele vizate să fie informate cu privire la natura transferului înainte ca acesta să fie efectuat (de exemplu, informaţii cu privire la jurisdicţia transferului avut în vedere şi la nivelul de protecţie pe care îl garantează; informaţii cu privire la absenţa unei decizii privind caracterul adecvat al nivelului de protecţie sau a altor mecanisme de transfer de date; informaţii privind durata transferurilor); şi (3) ca pentru fiecare transfer să se obţină consimţământul în mod specific şi separat de orice altă prelucrare. Astfel cum se indică în considerentul 46, acordul tacit nu poate fi considerat consimţământ valabil, iar persoanele vizate au dreptul de a-şi retrage consimţământul în orice moment.

(112)Regulamentul privind transferurile de date încadrează strict utilizările tuturor acestor mecanisme pe baza mai multor condiţii. Aceasta include, în special, furnizarea de "informaţii clare, precise şi uşor accesibile cu privire la transfer" persoanei vizate, precum şi garantarea şi capacitatea de a demonstra faptul că transferurile internaţionale sunt efectuate într-un mod care asigură respectarea principiilor şi a drepturilor persoanei vizate şi nu modifică nivelul de protecţie prevăzut în LGPD, indiferent de ţara în care se află datele cu caracter personal care fac obiectul transferului, chiar şi după încheierea prelucrării şi în cazul transferurilor ulterioare (¹⁶⁴). Aceste cerinţe se aplică, de asemenea, atunci când se efectuează transferuri pe baza unor "situaţii specifice", pentru a asigura continuitatea protecţiei, indiferent de instrumentul utilizat pentru efectuarea unui transfer internaţional.

(¹⁶⁴)- Articolul 2 punctele (I) şi (IV) şi articolul 4 din Regulamentul ANPD privind transferurile internaţionale de date, august 2024. La fel ca toate transferurile internaţionale, orice transfer efectuat în cadrul acestor scenarii trebuie să fie "în scopuri legitime, specifice şi explicite, aduse la cunoştinţa persoanei vizate, fără nicio posibilitate de prelucrare ulterioară incompatibilă cu astfel de scopuri", astfel cum se prevede la articolul 9 alineatul principal din Regulamentul ANPD privind transferurile internaţionale de date, din august 2024.

(116)Ca mijloc de asigurare a responsabilităţii, articolul 50 din LGPD prevede că operatorii şi persoanele împuternicite de operatori pot adopta norme interne şi modele de guvernanţă, în special pentru a asigura bune practici în ceea ce priveşte tratarea plângerilor şi a petiţiilor din partea persoanelor vizate, respectarea obligaţiilor în materie de securitate şi a tuturor celorlalte obligaţii prevăzute în LGPD (denumite în continuare "bune practici şi guvernanţă"). Aceste programe ar trebui să includă şi planuri de activităţi educaţionale, mecanisme de supraveghere internă şi reducerea riscurilor.

(118)LGPD a împuternicit ANPD să introducă o exceptare de la obligaţia operatorilor şi a persoanelor împuternicite de operatori de a numi un RPD (¹⁶⁵). În Regulamentul său privind aplicarea LGPD în cazul întreprinderilor mici şi mijlocii (IMM-uri), ANPD a stabilit că anumite întreprinderi mici, IMM-uri, start-upuri şi organizaţii nonprofit pot intra sub incidenţa acestei exceptări (¹⁶⁶). Mai precis, domeniul de aplicare al exceptării cuprinde următoarele entităţi: "microîntreprinderile, întreprinderile mici, start-upurile, entităţile juridice de drept privat, inclusiv organizaţiile nonprofit, în conformitate cu legislaţia în vigoare, precum şi persoanele fizice şi entităţile private fără personalitate juridică ce prelucrează date cu caracter personal" (¹⁶⁷). Conform dreptului brazilian, microîntreprinderile (¹⁶⁸), întreprinderile mici (¹⁶⁹) sau start-upurile (¹⁷⁰) sunt societăţi care au un singur angajat sau un număr mic de angajaţi (¹⁷¹) şi care se încadrează scad sub un anumit venit brut anual (¹⁷²).

(119)Exceptarea de la desemnarea unui RPD nu s-ar aplica niciuneia dintre aceste societăţi şi entităţi, indiferent de dimensiunea sau veniturile sale, care efectuează o prelucrare "cu risc ridicat" a datelor cu caracter personal (¹⁷³). O prelucrare va fi considerată ca prezentând un grad ridicat de risc dacă se încadrează, cumulativ, în cel puţin una dintre următoarele caracteristici generale: (1) prelucrare de date cu caracter personal la scară largă şi (2) prelucrare de date care pot avea un impact semnificativ asupra drepturilor fundamentale şi intereselor persoanelor vizate şi în cel puţin una dintre următoarele caracteristici specifice: (1) utilizarea tehnologiilor emergente sau inovatoare; (2) supravegherea sau controlul zonelor accesibile publicului; (3) exclusiv procese decizionale automatizate şi (4) prelucrare de date sensibile sau de date care aparţin copiilor sau vârstnicilor (¹⁷⁴). O prelucrare "la scară largă" a datelor cu caracter personal este definită ca o prelucrare care "implică un număr semnificativ de persoane vizate, ţinând seama şi de volumul de date implicate, precum şi de durata, frecvenţa şi întinderea geografică a prelucrării efectuate" (¹⁷⁵). O "prelucrare de date care poate avea un impact semnificativ asupra drepturilor fundamentale şi intereselor persoanelor vizate" este definită ca reprezentând, "printre alte situaţii, cele în care activitatea de prelucrare poate împiedica exercitarea drepturilor sau utilizarea unui serviciu şi poate cauza prejudicii materiale sau morale persoanelor vizate, cum ar fi discriminarea, încălcarea integrităţii fizice, dreptul la imagine şi reputaţie, frauda financiară sau furtul de identitate" (¹⁷⁶).

(120)ANPD a adoptat un regulament obligatoriu privind rolul RPD, care clarifică şi mai mult atribuţiile acestuia (¹⁷⁷). În acest regulament, ANPD reaminteşte obligaţiile entităţilor private şi ale autorităţilor publice de a publica informaţii privind identitatea RPD (¹⁷⁸). Articolul 10 din Regulamentul privind RPD reaminteşte obligaţia operatorilor şi a persoanelor împuternicite de operatori de a se asigura, printre altele, că RPD îşi poate îndeplini sarcinile în mod independent, "fără interferenţe nejustificate, în special în ceea ce priveşte furnizarea de orientări cu privire la practicile care trebuie să fie adoptate în legătură cu protecţia datelor cu caracter personal" şi că RPD are acces direct la cel mai înalt nivel de conducere şi la toţi angajaţii implicaţi în decizii strategice pentru prelucrarea de date în cadrul unei entităţi. În mod similar, RPD trebuie să îşi îndeplinească atribuţiile şi sarcinile cu "etică, integritate şi independenţă tehnică, evitând situaţiile care pot constitui un conflict de interese" (¹⁷⁹).

(121)Rolul RPD a constituit o prioritate a măsurilor de asigurare a respectării legislaţiei întreprinse de ANPD. De exemplu, prima sancţiune aplicată vreodată de ANPD a vizat o societate care a fost amendată şi a primit un avertisment specific pentru că nu a reuşit să demonstreze că a numit un RPD (¹⁸⁰). Entitatea a hotărât să numească un RPD în cursul procedurii administrative pentru a se conforma ordinului ANPD. De atunci, ANPD a continuat să aplice sancţiuni entităţilor publice şi private în legătură cu dispoziţiile privind RPD instituite în temeiul LGPD (¹⁸¹).

(122)Evaluarea impactului asupra protecţiei datelor (EIPD) reprezintă un alt instrument important de asigurare a responsabilităţii. EIPD permite evaluarea şi determinarea impactului unei prelucrări. Conform articolului 38 din LGPD, ANPD poate solicita unui operator sau unei persoane împuternicite de operator să realizeze o EIPD (¹⁸²), care trebuie să includă o descriere a tipului de prelucrare a datelor cu caracter personal, precum şi măsuri, garanţii şi mecanisme de atenuare a riscurilor. În plus, secţiunea II din LGPD stabileşte dispoziţii privind responsabilitatea care împuternicesc ANPD să solicite publicarea EIPD sau să recomande adoptarea de "bune practici" pentru protecţia datelor cu caracter personal de către autorităţile publice (¹⁸³).

2.5.1.Supravegherea independentă

(126)ANPD a fost creată prin articolul 55-A din LGPD şi a devenit un organism independent mai întâi printr-un decret provizoriu şi apoi printr-o lege în 2022 (¹⁸⁴). Adoptarea legii care transformă natura ANPD a inclus şi modificări ale LGPD, pentru a revoca dispoziţiile care subordonau funcţionarea şi operaţiunile financiare ale ANPD unor autorizaţii care ar fi trebuit să fie acordate de executiv conform Legii bugetului a Braziliei (¹⁸⁵). Dispoziţia modificată din LGPD recunoaşte ANPD drept o "autoritate specială, cu autonomie tehnică şi decizională, cu active proprii şi cu sediul în Districtul Federal" (¹⁸⁶).

(¹⁸⁴)- Articolul 55-A din Legea nr. 13.709 din 14 august 2018, Lei Geral de Proteçăo de Dados Pessoais (LGPD), cu formularea sa iniţială, a fost modificat prin Legea nr. 14.460 din 25 octombrie 2022, care a transformat ANPD într-o autoritate cu statut special. În ceea ce priveşte independenţa, a se vedea Măsura provizorie nr. 1.124 din 13 iunie 2022, care transformă ANPD într-o autoritate cu statut special, document disponibil la adresa: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2022/Mpv/mpv1124.htm, şi Legea nr. 14.460 din 25 octombrie 2022, Legea de transformare a ANPD într-o autoritate cu statut special, document disponibil la adresa: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2022/Lei/L14460.htm. Posibilitatea ca guvernul să modifice statutul ANPD pentru a-i spori independenţa a fost detaliată la articolul 55-A alineatul (1) (în prezent revocat) din Legea nr. 13.709 din 14 august 2018, Lei Geral de Proteçăo de Dados Pessoais (LGPD) - Legea generală privind protecţia datelor.

(127)În calitate de "autoritate cu caracter special", ANPD are autonomia de a-şi îndeplini pe deplin funcţiile juridice şi competenţele stabilite în temeiul LGPD, inclusiv gestionarea administrativă a agenţiei (¹⁸⁷). Aceasta include şi autonomia de a-şi gestiona cheltuielile şi angajările (¹⁸⁸). ANPD a fost creată iniţial ca "autoritate" înainte de a deveni "agenţie" în septembrie 2025, aliniindu-şi denumirea la alte 11 entităţi de reglementare care se bucură de acest grad ridicat de independenţă în Brazilia (de exemplu, Agenţia Naţională pentru Energie Electrică, Agenţia Naţională pentru Telecomunicaţii etc.) (¹⁸⁹).

(128)Resursele ANPD provin în mare parte din bugetul general al statului federal brazilian. În plus, bugetul ANPD poate include donaţii, subvenţii sau alte credite, astfel cum se prevede la articolul 55-L din LGPD. De la crearea sa în 2021, ANPD a crescut exponenţial. Rapoartele anuale ale ANPD indică faptul că autoritatea avea 141 de angajaţi/funcţionari publici la sfârşitul anului 2023, după doar patru ani de existenţă (¹⁹⁰). Bugetul anual al ANPD pentru 2025 este de 18 milioane R$ (¹⁹¹). În septembrie 2025, în Brazilia a fost anunţată crearea unei noi cariere în domeniul "protecţiei datelor", cu 200 de posturi, ca parte a unui proces de creştere a forţei de muncă a ANPD în anii următori (¹⁹²).

(129)ANPD este compusă dintr-un Consiliu de administraţie (care este cel mai înalt organ de conducere), un Consiliu naţional pentru protecţia datelor cu caracter personal şi a vieţii private (care are competenţe consultative) şi mai multe birouri şi unităţi administrative (¹⁹³). Această structură este stabilită la articolul 55-C din LGPD şi detaliată în două decrete adoptate în 2020 şi, respectiv, în 2023 (¹⁹⁴).

(130)Consiliul de administraţie este format din cinci administratori, printre care şi preşedintele Autorităţii. Fiecare membru al Consiliului de administraţie al ANPD este numit pentru un mandat de cinci ani de către Preşedintele Braziliei, după aprobarea Senatului Federal (¹⁹⁵).

(¹⁹⁵)- Articolul 55-D alineatele (1) şi (3) din Legea nr. 13.709 din 14 august 2018, Lei Geral de Proteçăo de Dados Pessoais (LGPD) - Legea generală privind protecţia datelor şi articolul 12 din Decretul nr. 1.317 din 17 septembrie 2025 de modificare a LGPD pentru a transforma Agęncia Nacional de Proteçăo de Dados. Document disponibil la adresa: https://www.in.gov.br/en/web/dou/-/medida-provisoria-n-1.317-de-17-de-setembro-de-2025-656784314. Articolul 12 din acest decret prelungeşte durata mandatului directorilor ANPD de la patru la cinci ani pentru a se alinia cu toate celelalte agenţii de reglementare independente existente în Brazilia. Toţi directorii ANPD care au fost numiţi înainte de adoptarea acestui decret vor încheia un mandat de patru ani, astfel cum era prevăzut iniţial de lege la momentul numirii lor.

(131)Administratorii trebuie să fie brazilieni şi să aibă un nivel înalt de studii relevant pentru acest post (¹⁹⁶). Pentru asigurarea independenţei acestora, toţi administratorii trebuie să se abţină, printre altele, de la orice activitate comercială cu scop lucrativ, de la activităţi politice şi de la deţinerea unor funcţii de conducere sau de consilier în cadrul unor societăţi (¹⁹⁷). În plus, legea braziliană care reglementează exercitarea funcţiilor de conducere în cadrul administraţiei publice federale stabileşte că persoanelor care deţin funcţii echivalente cu cele ale administratorilor ANPD li se interzice, printre alte restricţii, să desfăşoare activităţi incompatibile cu atribuţiile lor (¹⁹⁸). Aceasta include activarea în calitate de consultanţi sau intermediari de interese private (chiar şi în mod informal) sau furnizarea de servicii unor entităţi care fac obiectul supravegherii sau reglementării ANPD, chiar şi ocazional. În plus, la finalul mandatului lor în cadrul ANPD şi timp de şase luni după aceea, administratorilor li se interzice să exercite anumite funcţii care pot crea un risc de conflict de interese (¹⁹⁹).

(132)Administratorii pot fi revocaţi numai în circumstanţe specifice definite la articolul 55-E din LGPD, şi anume "în caz de demisie, condamnare judiciară definitivă şi fără drept de apel sau sancţiune de concediere ca urmare a unei proceduri administrative disciplinare". Legea federală privind funcţia publică stabileşte că o astfel de sancţiune trebuie să fie justificată şi poate fi propusă numai în cazul unor infracţiuni specifice demonstrate (şi anume abateri grave, corupţie, utilizarea ilegală a fondurilor publice) (²⁰⁰). Aceste norme şi proceduri oferă administratorilor ANPD protecţie instituţională în exercitarea funcţiilor lor. Până în prezent, niciun administrator al ANPD nu a fost revocat şi nu a făcut obiectul unor proceduri disciplinare. Consiliul de administraţie al ANPD era instituit şi a rămas neschimbat în cursul schimbării administraţiei din Brazilia, care a avut loc în 2023.

(133)Sarcinile şi competenţele ANPD sunt detaliate la articolul 55-J din LGPD. În special, acestea includ, printre altele, elaborarea de politici şi orientări privind protecţia datelor, promovarea adoptării de standarde care să faciliteze controlul persoanelor vizate asupra datelor lor cu caracter personal, investigarea încălcărilor drepturilor individuale, tratarea plângerilor, asigurarea respectării LGPD şi aplicarea de sancţiuni, asigurarea educaţiei şi promovării în domeniul protecţiei datelor, precum şi schimbul şi cooperarea cu autorităţile de protecţie a datelor din ţări terţe (²⁰¹).

(134)ANPD are un organ consultativ format din Consiliul naţional pentru protecţia datelor cu caracter personal şi a vieţii private, instituit prin articolul 58-A din LGPD. Acest organism este alcătuit din reprezentanţi ai executivului, ai legislativului şi ai sistemului judiciar, precum şi din reprezentanţi ai societăţii civile, ai sindicatelor şi ai mediului de afaceri (²⁰²). Acesta are un rol pur consultativ, care constă în elaborarea de studii sau rapoarte anuale privind protecţia datelor, organizarea de dezbateri publice şi audieri privind protecţia datelor cu caracter personal şi a vieţii private, propunerea de recomandări fără caracter obligatoriu adresate ANPD şi diseminarea de cunoştinţe privind protecţia datelor cu caracter personal şi a vieţii private (²⁰³). Cooperarea dintre ANPD şi Consiliul Naţional se axează pe promovarea protecţiei datelor şi a vieţii private în Brazilia. Consiliul Naţional nu are competenţe în ceea ce priveşte monitorizarea şi punerea în aplicare a LGPD, întrucât numai ANPD are autoritatea de a supraveghea punerea în aplicare a legii şi de a asigura respectarea acesteia, de exemplu, prin emiterea de reglementări, efectuarea de investigaţii şi aplicarea de sancţiuni. În calitate de autoritate independentă, ANPD nu are obligaţia de a da curs eventualelor sugestii formulate de Consiliul Naţional prin intermediul rapoartelor sau recomandărilor sale cu caracter neobligatoriu.

2.5.2.Asigurarea respectării normelor, inclusiv sancţiunile

(136)În ceea ce priveşte competenţele de investigare, dacă se suspectează sau a fost raportată o încălcare a LGPD sau dacă acest lucru este necesar pentru protejarea drepturilor persoanelor vizate care au fost/este probabil să fie încălcate, ANPD poate efectua în orice moment audituri şi inspecţii la faţa locului la operatori din sectorul public şi din cel privat şi poate solicita orice informaţii necesare (²⁰⁴). În special, Regulamentul obligatoriu privind competenţele de sancţionare ale ANPD stabileşte că operatorii şi persoanele împuternicite de operatori trebuie să permită ANPD "accesul la birouri/clădiri, echipamente, aplicaţii, instalaţii, sisteme, instrumente şi resurse tehnologice, documente, date şi informaţii tehnice, operaţionale şi de altă natură relevante pentru evaluarea activităţilor de prelucrare a datelor cu caracter personal, aflate în posesia acestora sau în posesia unor terţi" (²⁰⁵).

(137)În cadrul competenţelor sale corective, ANPD poate aplica avertismente, amenzi sau alte sancţiuni, de exemplu ordine de încetare temporară a unei prelucrări de date sau de ştergere a unor date cu caracter personal (²⁰⁶). Aceste sancţiuni pot fi impuse entităţilor publice sau private, cu excepţia amenzilor şi a amenzilor zilnice, care nu pot fi impuse entităţilor publice (²⁰⁷). Pentru a determina o entitate să se conformeze legii, se pot aplica mai multe sancţiuni cumulative. Prin intermediul unui avertisment, ANPD ar acorda unui operator o anumită perioadă în vederea adoptării de măsuri corective pentru a asigura conformitatea prelucrării cu LGPD (²⁰⁸). Neadoptarea unor astfel de măsuri ar duce la aplicarea unor sancţiuni suplimentare. De exemplu, ANPD a emis mai multe avertismente către Ministerul Sănătăţii pentru că nu a furnizat o evaluare a impactului asupra protecţiei datelor şi nu a notificat o încălcare a securităţii datelor, printre altele (²⁰⁹). ANPD poate impune mai multe sancţiuni coroborate pentru a proteja drepturile persoanelor vizate sau pentru a asigura respectarea LGPD. De exemplu, ANPD poate aplica o amendă administrativă pentru o încălcare a LGPD, împreună cu un ordin de ştergere a datelor legate de această încălcare (²¹⁰). De asemenea, ANPD poate decide, în cazul sancţiunilor nemonetare, să aplice "amenzi zilnice""atunci când acest lucru este necesar pentru a asigura respectarea (LGPD) într-un anumit termen" (²¹¹). Amenda zilnică se aplică cumulativ, ţinând seama de intervalul de timp dintre momentul aplicării amenzii şi cel al îndeplinirii obligaţiei, şi poate ajunge până la 50 de milioane R$ (²¹²).

(138)Conform articolului 52 punctul II din LGPD, ANPD poate aplica amenzi administrative, pe lângă amenzile zilnice, de până la 2 % din veniturile unei entităţi din Brazilia, putând ajunge până la o sumă maximă de 50 de milioane R$ (²¹³). Amenzile pot fi cumulate în cazul unor încălcări multiple. ANPD a aplicat primele amenzi monetare la câteva luni de la adoptarea Regulamentului său privind sancţiunile, împotriva unei societăţi de telecomunicaţii care nu a identificat temeiul juridic al unei prelucrări şi nu a numit un responsabil cu protecţia datelor. Societatea respectivă a primit un avertisment şi două amenzi în valoare totală de 14 400 R$ (²¹⁴). În Regulamentul obligatoriu privind sancţiunile, ANPD a clasificat sancţiunile în trei niveluri de gravitate: uşoare, medii şi grave (²¹⁵), în funcţie de un factor stabilit, cum ar fi tipul şi volumul datelor prelucrate, tipul de prelucrare sau impactul asupra drepturilor persoanelor vizate. De exemplu, încălcările în ceea ce priveşte prelucrarea datelor sensibile cu caracter personal fac obiectul celui mai ridicat nivel de sancţiuni pe care îl poate aplica ANPD (²¹⁶).

(139)Regulamentul privind sancţiunile prevede o metodologie pentru calcularea amenzilor, inclusiv pentru a lua în considerare factorii agravanţi şi/sau atenuanţi (²¹⁷). De exemplu, o amendă poate fi majorată cu 10 % în cazul unor încălcări specifice repetate sau chiar cu 90 % pentru fiecare măsură corectivă care nu a fost respectată până la termenul stabilit (²¹⁸). În mod similar, o amendă poate fi redusă cu 50 % dacă încălcarea este remediată imediat după iniţierea procedurii administrative de către ANPD (²¹⁹).

(140)Prin urmare, sistemul brazilian combină diverse tipuri de sancţiuni, de la măsuri corective până la amenzi administrative. Imediat după intrarea în vigoare a competenţelor sale de sancţionare, ANPD a început să facă uz de acestea (²²⁰). Până în prezent, au fost emise sancţiuni şi recomandări atât împotriva autorităţilor publice, inclusiv în domeniul securităţii, cât şi împotriva operatorilor privaţi (²²¹). Sancţiunile aplicate de ANPD până în prezent vizează o gamă largă de aspecte, inclusiv lipsa numirii unui RPD, incidente de securitate, inclusiv încălcări ale securităţii datelor, sau lipsa cooperării cu ANPD. Pe lângă aplicarea de amenzi monetare, ANPD a fost deosebit de activă în utilizarea întregii game de competenţe corective de care dispune pentru a emite, de exemplu, ordine către operatori de a efectua o EIPD sau de a înceta prelucrarea datelor cu caracter personal. De exemplu, în iulie 2024, ANPD a emis un ordin adresat unei mari platforme de comunicare socială de a suspenda prelucrarea datelor cu caracter personal pentru antrenarea sistemelor de inteligenţă artificială (IA) generativă în toate produsele sale (²²²). Împreună cu această măsură preventivă, menită să protejeze drepturile fundamentale ale persoanelor vizate, ANPD a aplicat o amendă zilnică în valoare de 50 000 R$ până când prelucrarea a fost efectuată în conformitate cu LGPD (²²³). În cele din urmă, ANPD a anunţat deschiderea de investigaţii împotriva mai multor mari platforme tehnologice multinaţionale, a unor societăţi care gestionează platforme de comunicare socială şi a unei bănci, continuând în acelaşi timp şi investigaţiile împotriva entităţilor din sectorul public (²²⁴). În puţinii săi ani de existenţă, ANPD a demonstrat o activitate solidă de aplicare a legii, utilizând întreaga gamă a competenţelor sale de aplicare a legii.

(141)În cele din urmă, sancţiunile administrative instituite în temeiul LGPD nu înlocuiesc aplicarea altor sancţiuni administrative sau de altă natură civile şi penale, inclusiv a celor prevăzute în Codul privind protecţia consumatorilor (²²⁵) şi în Cadrul civil pentru internet (²²⁶) ale Braziliei. În special, Codul privind protecţia consumatorilor al Braziliei impune societăţilor să furnizeze consumatorilor informaţii cu privire la afacerile şi activităţile lor (²²⁷). De asemenea, articolul 56 din Codul privind protecţia consumatorilor enumeră sancţiunile cu care riscă să se confrunte societăţile în caz de neconformitate, care variază de la amenzi la interdicţia de a vinde sau de a fabrica un produs sau la obligaţia de a suspenda un serviciu. În plus, articolele 61-74 din Codul privind protecţia consumatorilor enumeră infracţiunile pentru care societăţile pot fi sancţionate cu închisoare de la şase luni la doi ani, inclusiv în cazuri de afirmaţii false sau înşelătoare în legătură cu un serviciu sau de promovare a unui serviciu care poate cauza prejudicii consumatorului. De exemplu, în 2014, Departamentul pentru apărarea şi protecţia consumatorilor din Brazilia a amendat o societate de telecomunicaţii cu 3,5 milioane R$ pentru încălcarea Codului privind protecţia consumatorilor şi a Cadrului civil pentru internet în legătură cu utilizarea urmăririi pentru publicitatea comportamentală online şi vânzarea de date de navigare (²²⁸).

2.5.3.Reparaţii

(145)Într-o primă etapă, persoanele care consideră că le-au fost încălcate drepturile sau interesele în materie de protecţie a datelor sau care vor să îşi exercite drepturile în materie de protecţia datelor pot apela la operatorul relevant. Conform articolului 9 din LGPD, operatorul trebuie să furnizeze, printre altele, datele de contact necesare pentru a permite depunerea cererilor şi a "memoriilor" persoanelor vizate (²²⁹).

(147)În primul rând, orice persoană care consideră că drepturile sau interesele sale în materie de protecţie a datelor au fost încălcate de operator sau de persoana împuternicită de operator poate depune o plângere sau poate raporta încălcarea respectivă la ANPD (²³⁰). ANPD are pe site-ul său o pagină dedicată pentru a permite persoanelor vizate să depună o plângere în cazul încălcării LGPD sau o petiţie în cazul unor probleme legate de o cerere adresată unui operator cu privire la drepturile lor în materie de protecţie a datelor (²³¹). Astfel cum se explică în considerentul 138 din prezenta decizie, ca răspuns la o plângere, ANPD poate impune o sancţiune prevăzută la articolul 52 din LGPD. Regulamentul privind competenţele de sancţionare ale ANPD a stabilit procedura administrativă pentru procedurile sale, inclusiv termenele, procedurile care guvernează dreptul de a fi audiat şi publicarea deciziei (²³²).

(148)Deciziile ANPD pot fi contestate de persoanele vizate prin depunerea unei contestaţii la Consiliul de administraţie al ANPD în termen de 10 zile de la primirea deciziilor (²³³). Ca parte a dreptului lor la o cale de atac eficientă, persoanele fizice pot, de asemenea, să conteste deciziile Consiliului în instanţă, precum şi să introducă orice cale de atac împotriva ANPD pentru nerespectarea obligaţiilor care îi revin în temeiul LGPD (inclusiv refuzul de a trata o plângere sau respingerea pe fond a unei plângeri) (²³⁴).

(150)În al treilea rând, în ceea ce priveşte prejudiciile, articolul 42 din LGPD stabileşte obligaţia operatorului sau a persoanei împuternicite de operator de a repara "prejudiciile materiale sau morale, individuale sau colective aduse altor persoane" care rezultă din prelucrarea datelor cu caracter personal. Persoanele vizate pot introduce o acţiune în justiţie, în mod individual sau colectiv, pentru a solicita reparaţii şi despăgubiri pentru aceste prejudicii (²³⁶). LGPD stabileşte că un judecător are puterea discreţionară de a "inversa sarcina probei în favoarea persoanei vizate", în special în cazurile în care "prezentarea probelor de către persoana vizată ar fi excesiv de împovărătoare" (²³⁷).

(152)În al cincilea rând, Curtea Supremă Federală a Braziliei a recunoscut că persoanele fizice au dreptul de a solicita o ordonanţă preşedinţială pentru încălcarea drepturilor lor prevăzute de Constituţie, inclusiv dreptul la protecţia datelor cu caracter personal (²³⁹). În acest context, o instanţă poate, de exemplu, să oblige operatorii să suspende sau să înceteze orice activitate ilegală. În plus, drepturile în materie de protecţie a datelor, inclusiv drepturile protejate de LGPD, pot fi puse în aplicare prin acţiuni civile. Articolul 22 din LGPD permite în mod explicit ca apărarea drepturilor persoanelor vizate să fie exercitată în instanţă şi, mai general, ca persoanele fizice să poată introduce în instanţă o acţiune privind protecţia datelor, în mod individual sau colectiv.

(²³⁹)În 2020, Curtea Supremă Federală a Braziliei a pronunţat o hotărâre prin care a stopat un ordin prezidenţial executiv care ar fi obligat societăţile de telecomunicaţii să partajeze datele privind abonaţii cu agenţia de recensământ, recunoscând pentru prima dată protecţia datelor ca drept fundamental, ceea ce a deschis calea pentru includerea acestui drept în Constituţia Braziliei. A se vedea Hotărârea privind ADI 6387 a Curţii Supreme Federale din 7 mai 2020. Document disponibil la adresa: https://www.stf.jus.br/arquivo/cms/noticianoticiastf/anexo/adi6387mc.pdf.

3.ACCESAREA ŞI UTILIZAREA DE CĂTRE AUTORITĂŢILE PUBLICE DIN BRAZILIA A DATELOR CU CARACTER PERSONAL TRANSFERATE DIN UNIUNEA EUROPEANĂ

(154)Comisia a evaluat, de asemenea, limitările şi garanţiile, inclusiv mecanismele de supraveghere şi mecanismele individuale de obţinere de reparaţii prevăzute în dreptul brazilian cu privire la colectarea şi utilizarea ulterioară, din motive de interes public, de către autorităţile publice din Brazilia a datelor cu caracter personal transferate operatorilor şi persoanelor împuternicite de operatori din Brazilia, în special în scopul asigurării respectării dreptului penal şi în scopuri legate de securitatea naţională (denumit în continuare "accesul autorităţilor").

(157)În al doilea rând, pentru a îndeplini cerinţa proporţionalităţii potrivit căreia derogările de la protecţia datelor cu caracter personal şi restrângerile acesteia trebuie să fie efectuate în limitele strictului necesar într-o societate democratică pentru a îndeplini obiective specifice de interes general echivalente cu cele recunoscute de Uniune, legislaţia ţării terţe în cauză care permite o ingerinţă trebuie să prevadă norme clare şi precise care să reglementeze conţinutul şi aplicarea măsurilor respective şi să impună o serie de cerinţe minime, astfel încât persoanele ale căror date au fost transferate să dispună de garanţii suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz (²⁴¹). Legislaţia trebuie în special să indice în ce împrejurări şi în ce condiţii poate fi luată o măsură care prevede prelucrarea unor asemenea date (²⁴²), precum şi să supună îndeplinirea acestor cerinţe unei supravegheri independente (²⁴³).

(158)În al treilea rând, legislaţia respectivă şi cerinţele sale trebuie să fie obligatorii din punct de vedere juridic în temeiul dreptului intern. Acest lucru se referă în primul rând la autorităţile din ţara terţă în cauză, dar aceste cerinţe legale trebuie să fie, de asemenea, opozabile autorităţilor respective în faţa instanţelor judecătoreşti (²⁴⁴). În special, persoanele vizate trebuie să dispună de posibilitatea de a exercita căi legale în faţa unei instanţe judecătoreşti independente şi imparţiale pentru a avea acces la date cu caracter personal care le privesc sau pentru a obţine rectificarea sau ştergerea unor astfel de date (²⁴⁵).

(²⁴⁵)Hotărârea Schrems I, punctul 95 şi hotărârea Schrems II, punctul 194. În acest sens, CJUE a subliniat în special faptul că respectarea articolului 47 din Carta drepturilor fundamentale, care garantează dreptul la o cale de atac efectivă în faţa unei instanţe judecătoreşti independente şi imparţiale, "participă de asemenea la nivelul de protecţie impus în cadrul Uniunii şi [...] trebuie să fie constatată de Comisie înainte ca aceasta să adopte o decizie privind caracterul adecvat al nivelului de protecţie în temeiul articolului 45 alineatul (1) din Regulamentul (UE) 2016/679" (Hotărârea Schrems II, punctul 186).

3.1.Cadrul juridic general

(160)În primul rând, accesul autorităţilor publice braziliene la datele cu caracter personal este guvernat de principiul general al legalităţii - din care derivă principiul caracterului rezonabil, al necesităţii şi al proporţionalităţii - consacrat în Constituţia Braziliei (²⁴⁶). În special, conform articolului 5 din Constituţie, drepturile şi libertăţile fundamentale (inclusiv dreptul la viaţă privată şi la protecţia datelor) pot fi restricţionate numai prin lege şi atunci când acest lucru este necesar din imperative de securitate naţională, siguranţă publică sau alte scopuri specifice de interes public prevăzute de lege. Astfel de restricţii trebuie să fie rezonabile şi proporţionale (²⁴⁷). În special, evaluarea scopului de interes public este esenţială pentru aprecierea proporţionalităţii ingerinţei, în lumina principiului legalităţii. În plus, articolul 5 punctul LIV din Constituţie stabileşte că "nimeni nu poate fi privat de libertate sau de bunurile sale fără respectarea garanţiilor procedurale".

(²⁴⁷)Brazilia se află sub jurisdicţia Curţii Interamericane a Drepturilor Omului, care, printre altele, a recunoscut principiul proporţionalităţii ca fiind "esenţial într-o societate democratică" şi a stabilit că limitările drepturilor fundamentale pot avea loc numai dacă urmăresc atingerea unui obiectiv public imperativ. A se vedea, de exemplu, MENDES, Gilmar Ferreira. Fundamental rights and judicial control (Drepturile fundamentale şi controlul judiciar). Săo Paulo: Saraiva, 2012, p. 78.

(161)În al doilea rând, ordinea juridică braziliană garantează Habeas Data drept cale de atac constituţională menită să protejeze dreptul de acces, rectificare şi ştergere a datelor cu caracter personal deţinute de autorităţile publice sau incluse în seturile de date sau registrele publice (²⁴⁸). Aceasta serveşte drept garanţie împotriva utilizării abuzive sau a încălcării vieţii private în legătură cu prelucrarea datelor de către entităţile publice. Orice persoană poate introduce o plângere sau o cerere pe baza Habeas Data, indiferent de cetăţenia sa (²⁴⁹).

(162)În al treilea rând, principiile generale şi drepturile menţionate în considerentele 155-158 sunt reflectate şi în legile specifice care reglementează competenţele autorităţilor de aplicare a legii şi ale autorităţilor din domeniul securităţii naţionale. De exemplu, Cadrul civil pentru internet prevede măsuri care necesită un ordin judiciar prealabil pentru accesul la date şi limitarea accesului la datele din mediul online (²⁵⁰). În mod similar, Legea privind interceptarea telefonică stabileşte măsuri şi garanţii specifice pentru prelucrarea datelor de telecomunicaţii (²⁵¹). În domeniul securităţii naţionale, Legea de instituire a sistemului brazilian de informaţii prevede măsuri pentru accesul legal la date în scopuri de securitate naţională (²⁵²).

(163)În al patrulea rând, prelucrarea datelor cu caracter personal de către autorităţile publice, inclusiv în scopul aplicării legii şi al securităţii naţionale, face obiectul cerinţelor privind protecţia datelor prevăzute de LGPD. Astfel cum se arată în considerentul 31 din prezenta decizie, exceptarea privind aplicarea LGPD în domeniul siguranţei publice, al apărării naţionale, al securităţii statului şi al investigării şi urmăririi penale a infracţiunilor prevăzută în LGPD este parţială. Curtea Supremă Federală a interpretat aplicabilitatea LGPD în lumina protecţiei constituţionale a datelor cu caracter personal şi a stabilit că principiile, drepturile şi obiectivele principale ale LGPD se aplică tuturor prelucrărilor de date cu caracter personal efectuate de autorităţile publice, inclusiv atunci când sunt efectuate în scopul asigurării respectării dreptului penal sau în scopuri de securitate naţională (²⁵³). Pe această bază, de exemplu, ANPD a efectuat investigaţii şi a emis orientări, precum o notă tehnică adresată autorităţilor publice pentru activităţi legate de siguranţa publică, în care a reamintit că prelucrarea în aceste scopuri de interes public trebuie să respecte principiile generale şi drepturile prevăzute de LGPD (²⁵⁴).

(164)În cele din urmă, persoanele fizice îşi pot invoca drepturile şi libertăţile constituţionale în faţa Curţii Supreme Federale în cazul în care consideră că acestea au fost încălcate de autorităţile publice în exercitarea competenţelor lor. Persoanele fizice pot, de asemenea, să solicite reparaţii, în legătură cu drepturile lor în materie de protecţie a datelor, în faţa organismelor independente de supraveghere (de exemplu, ANPD) şi a instanţelor, astfel cum se detaliază în considerentele 143-153 din prezenta decizie.

3.2.Accesarea şi utilizarea datelor de către autorităţile publice braziliene în scopul aplicării dreptului penal

3.2.1.Temei juridic, limitare şi garanţii

(166)Ca regulă generală, accesul autorităţilor publice la datele cu caracter personal în scopul aplicării dreptului penal are loc pe baza unui ordin judiciar prealabil emis de o autoritate judiciară competentă (²⁵⁵). Ca excepţie de la această regulă, este posibil ca, în cazurile prevăzute în mod expres de lege, organele de poliţie şi de urmărire penală să aibă acces la datele persoanelor supuse investigaţiilor care sunt incluse într-un registru public, şi anume la datele referitoare la calificarea, afilierea şi adresa personală (²⁵⁶). Lista exhaustivă a registrelor accesibile, prevăzută de lege, acoperă informaţiile cetăţenilor brazilieni sau ale persoanelor fizice care îşi au reşedinţa în Brazilia şi nu ar acoperi accesul la datele transferate din UE, neintrând astfel în domeniul de aplicare al prezentei decizii (²⁵⁷). Accesul la aceste registre este reglementat de principiul constituţional al legalităţii - din care derivă principiile caracterului rezonabil, necesităţii şi proporţionalităţii - şi poate face obiectul unui control jurisdicţional ex post, astfel cum se explică în considerentele 159-161.

(²⁵⁷)Registrele accesibile acoperă: registrele privind ocuparea forţei de muncă, registrele electorale, registrele telefonice, registrele financiare, registrele furnizorilor de internet, registrele cărţilor de credit. Informaţiile din aceste registre includ informaţii cu privire la persoanele care se abonează la aceste servicii sau care utilizează aceste servicii publice. Articolele 15 şi 16 din Legea nr. 12.850 din 2 august 2013, Legea privind organizaţiile criminale şi investigaţiile penale. Document disponibil la adresa: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12850.htm.

(168)Conform articolului 3-B din Codul penal, judecătorul "însărcinat cu controlul legalităţii investigaţiei penale şi cu apărarea drepturilor individuale" poate emite un ordin judiciar pentru a autoriza: (1) interceptarea telefonică a comunicaţiilor efectuate prin sisteme informatice şi sisteme conectate sau prin alte forme de comunicare; (2) eliminarea confidenţialităţii fiscale, bancare, a datelor şi a convorbirilor telefonice; (3) percheziţia şi punerea sub sechestru la domiciliu şi (4) accesul la informaţii secrete şi (5) "alte măsuri pentru obţinerea de probe care restrâng drepturile fundamentale ale persoanei care face obiectul investigaţiei" (²⁵⁸).

3.2.1.1.Interceptarea comunicaţiilor

(170)Autorităţile publice pot accesa aceste date numai în cazuri excepţionale în scopul investigaţiilor penale sau al urmăririi penale. Interceptarea comunicaţiilor trebuie să fie întotdeauna o măsură subsidiară şi excepţională, care este permisă numai atunci când nu există alte mijloace de soluţionare a unui anumit caz, astfel cum a stabilit Curtea Supremă Federală (²⁶⁰). Modalităţile de interceptare a comunicaţiilor online şi telefonice sunt reglementate de Legea privind interceptarea telefonică (²⁶¹).

(171)Articolul 2 din Legea privind interceptarea telefonică a stabilit condiţii stricte care permit accesul la comunicaţii. Orice interceptare a comunicaţiilor necesită o autorizaţie judiciară prealabilă. Trebuie prezentată o cerere valabilă de interceptare unui judecător de către autorităţile publice autorizate, care pot fi (1) autoritatea poliţienească relevantă, în contextul unei investigaţii penale sau (2) reprezentantul Parchetului, în contextul unei investigaţii penale şi al urmăririi penale (²⁶²). Interceptarea comunicaţiilor telefonice nu trebuie să fie autorizată în niciuna dintre următoarele circumstanţe, reflectând cerinţele privind necesitatea şi proporţionalitatea: (1) dacă nu există dovezi rezonabile privind calitatea de autor sau participarea la o infracţiune; (2) dacă dovezile pot fi furnizate prin alte mijloace disponibile; (3) dacă fapta investigată constituie o infracţiune pasibilă de o pedeapsă privativă de libertate (²⁶³).

(172)În plus, Legea privind interceptarea telefonică prevede că cererea de interceptare trebuie să explice necesitatea măsurii (²⁶⁴). Autorizaţia judiciară prealabilă trebuie să fie motivată şi să ia în considerare proporţionalitatea mijloacelor utilizate pentru efectuarea interceptării (²⁶⁵). Judecătorul poate autoriza accesul la conţinutul comunicaţiilor pentru maximum 15 zile. Această perioadă poate fi prelungită printr-o nouă hotărâre judecătorească după ce caracterul indispensabil al măsurii este dovedit (²⁶⁶). Orice interceptare a comunicaţiilor, inclusiv monitorizarea ambientală, efectuată fără o autorizaţie judiciară sau în scopuri neautorizate de lege constituie o infracţiune care se pedepseşte cu până la patru ani de închisoare (²⁶⁷).

(173)Ca regulă generală, datele accesate şi colectate în scopuri infracţionale potrivit Legii privind interceptarea telefonică vor fi păstrate pe durata prelucrării şi apoi şterse după ce nu mai sunt necesare pentru proceduri judiciare, în conformitate cu orientările obligatorii ale sistemului judiciar (²⁶⁸). În plus, articolul 9 din Legea privind interceptarea telefonică stabileşte că, atunci când conţinutul colectat nu are legătură cu chestiunea investigată în cazul respectiv, datele vor fi declarate "inutilizabile" (²⁶⁹).

(174)În ceea ce priveşte metadatele privind telecomunicaţiile, articolul 17 din Legea privind organizaţiile criminale şi investigaţiile penale impune companiilor de telefonie să păstreze timp de cinci ani informaţiile privind contul de utilizator al persoanelor fizice care îşi au reşedinţa în Brazilia şi registrele cu apelurile telefonice (exclusiv numerele de telefon) (²⁷⁰). Accesul la acest registru administrat de ANATEL (agenţia de reglementare a telecomunicaţiilor din Brazilia) este limitat la anumite entităţi publice şi necesită o autorizaţie judiciară, astfel cum se descrie mai sus.

(175)În ceea ce priveşte informaţiile disponibile online, articolul 7 din Cadrul civil pentru internet garantează, de asemenea, "inviolabilitatea şi confidenţialitatea fluxului de comunicaţii pe internet", cu excepţia cazului în care există o hotărâre judecătorească, în conformitate cu legea şi "inviolabilitatea şi confidenţialitatea comunicaţiilor private stocate, cu excepţia cazului în care există o hotărâre judecătorească" (²⁷¹).

(176)Conform articolului 10 din Cadrul civil pentru internet, accesul la conţinutul comunicaţiilor online şi la datele de conectare (inclusiv la metadate) poate avea loc numai printr-un ordin judiciar prealabil. Conform articolului 22 din Cadrul civil pentru internet, cererea de emitere a unui ordin judiciar trebuie să includă: [punctul (i)] dovada întemeiată a săvârşirii infracţiunii; [punctul (ii)] justificarea motivată a utilităţii înregistrărilor solicitate pentru investigaţie sau al administrării de probe şi [punctul (iii)] stabilirea perioadei la care se referă înregistrările. În plus, articolul 13 impune furnizorilor de servicii de internet sau de aplicaţii să păstreze jurnalele de conectare timp de un an "într-un mediu controlat şi securizat" (²⁷²). Nu există o obligaţie similară de păstrare a datelor în ceea ce priveşte conţinutul comunicaţiilor online. Accesul la înregistrările păstrate ale jurnalelor de conectare poate fi acordat unei autorităţi competente numai pe baza unei autorizaţii judiciare, în condiţiile descrise în prezentul considerent (²⁷³).

(177)Articolul 11 din Cadrul civil pentru internet reaminteşte că orice operaţiune care implică colectarea, stocarea, păstrarea sau orice altă prelucrare a jurnalelor de conectare, a datelor cu caracter personal sau a comunicaţiilor de către furnizorii de conexiuni şi de aplicaţii de internet din Brazilia trebuie să respecte "legislaţia braziliană şi dreptul la viaţă privată, la protecţia datelor cu caracter personal şi la confidenţialitatea comunicaţiilor şi a înregistrărilor private". Din garanţiile reflectate în considerentele 175-177 rezultă că, în general, colectarea şi păstrarea în masă a datelor privind comunicaţiile prin internet nu sunt autorizate în Brazilia.

3.2.1.2.Eliminarea protecţiei confidenţialităţii fiscale, bancare, a datelor şi a comunicaţiilor

(178)În Brazilia există o protecţie constituţională pentru confidenţialitatea corespondenţei comunicaţiilor electronice (inclusiv a datelor) şi a comunicaţiilor telefonice (²⁷⁴). LGPD oferă o protecţia suplimentară pentru utilizarea datelor şi a informaţiilor de comunicare (²⁷⁵), în timp ce Legea privind confidenţialitatea instituţiilor financiare protejează confidenţialitatea informaţiilor fiscale şi bancare (²⁷⁶).

(179)Autorităţile publice pot accesa aceste informaţii numai în cazuri excepţionale, în scopul investigaţiilor penale sau al urmăririi penale. Interceptarea comunicaţiilor trebuie să fie întotdeauna o măsură subsidiară şi excepţională, care este permisă numai atunci când nu există alte mijloace de soluţionare a unui anumit caz, astfel cum a stabilit Curtea Supremă Federală (²⁷⁷).

(181)În ceea ce priveşte datele fiscale şi bancare, articolul 1 din Legea privind confidenţialitatea instituţiilor financiare stabileşte condiţiile pentru eliminarea obligaţiilor generale de garantare a confidenţialităţii acestor informaţii. În primul rând, confidenţialitatea poate fi eliminată numai printr-o autorizaţie judiciară (²⁷⁸). În al doilea rând, măsurile pot fi autorizate numai pentru investigaţii penale sau pentru urmărirea penală a unor infracţiuni identificate: (1) terorism; (2) trafic ilicit de stupefiante sau de droguri similare; (3) contrabandă sau trafic de arme, muniţii sau materiale destinate producerii acestora; (4) şantaj prin răpire; (5) infracţiuni împotriva sistemului financiar naţional; (6) infracţiuni împotriva administraţiei publice; (7) infracţiuni împotriva sistemului fiscal şi a securităţii sociale; (8) spălare de bani sau disimulare de bunuri şi (9) asociere cu o organizaţie criminală (²⁷⁹). În plus, articolul 10 din lege prevede că protejarea confidenţialităţii datelor fiscale şi bancare nu poate fi eliminată în niciun alt scop, iar nerespectarea acestei limitări constituie o infracţiune pasibilă de o pedeapsă cu închisoarea de până la patru ani (²⁸⁰).

3.2.1.3.Percheziţiile şi punerile sub sechestru

(182)Ca regulă generală, Constituţia federală prevede că percheziţiile şi punerile sub sechestru pot avea loc numai în circumstanţe excepţionale definite strict sau astfel cum sunt prevăzute de lege şi pe baza unui ordin judiciar emis de o autoritate judiciară competentă şi cu respectarea garanţiilor procedurale (²⁸¹). Percheziţiile şi punerile sub sechestru trebuie să respecte principiul legalităţii şi să fie efectuate în măsura în care este necesar.

(183)În următoarele circumstanţe excepţionale, percheziţiile şi punerile sub sechestru pot avea loc fără un ordin judiciar: (1) în caz de flagrante delicto (adică dacă se comite o infracţiune în prezenţa autorităţilor de aplicare a legii); (2) în caz de dezastru natural (pentru a salva vieţi sau bunuri) sau (3) pentru a oferi asistenţă unei persoane care nu îşi poate da consimţământul şi care necesită ajutor (²⁸²). Jurisprudenţa Curţii Supreme Federale a Braziliei a precizat că autorităţile de aplicare a legii nu pot invoca "sesizări anonime" sau "comportamente suspecte" ca motiv pentru a efectua percheziţii sau puneri sub sechestru fără mandat, deoarece acest lucru nu respectă cerinţa de legalitate şi nu oferă autorităţilor o justificare valabilă pentru a încălca inviolabilitatea domiciliului (²⁸³).

(184)În ceea ce priveşte garanţiile procedurale, în conformitate cu principiile constituţionale ale Braziliei, nu poate avea loc o percheziţie a unui dispozitiv electronic fără să existe o suspiciune rezonabilă că în dispozitivul respectiv este stocată o infracţiune şi, ca regulă generală, fără un ordin judiciar (²⁸⁴). În plus, o persoană nu poate fi obligată să predea date dacă respectiva predare i-ar putea încălca drepturile constituţionale, de exemplu dreptul de a nu se autoincrimina (²⁸⁵). Atunci când transmite instanţei o cerere de emitere a unui ordin de percheziţie, autoritatea de aplicare a dreptului penal trebuie să precizeze faptele şi probele relevante care susţin necesitatea de a accesa sistemul informatic şi datele, utilizând credenţiale de acces obţinute în mod legal (²⁸⁶). În cazul în care instanţa emite ordinul de percheziţie, autorităţile vor utiliza credenţialele de acces pentru a accesa sistemul informatic şi datele din acesta, în conformitate cu termenele şi condiţiile specificate în ordin. După încheierea percheziţiei sau a accesului, autorităţile competente trebuie să transmită instanţei un raport care să descrie rezultatele percheziţiei sau ale accesului şi să furnizeze o listă cu datele sau informaţiile obţinute.

3.2.1.4.Accesul la informaţii confidenţiale

(185)Articolul 4 din Legea privind accesul la informaţii (denumită în continuare "LAI") defineşte "informaţiile confidenţiale" ca fiind informaţiile care "fac temporar obiectul unor restricţii privind accesul public ca urmare a caracterului lor esenţial pentru securitatea societăţii şi a statului" (²⁸⁷). Datele cu caracter personal pot face parte din domeniul de aplicare al informaţiilor confidenţiale, astfel cum este definit în teza anterioară.

(186)Articolul 6 din LAI impune entităţilor publice să protejeze informaţiile confidenţiale şi să restricţioneze accesul la acestea. În ceea ce priveşte accesul la comunicaţii, date, informaţii bancare şi fiscale, accesul la informaţii confidenţiale pentru investigaţii şi urmăriri penale poate avea loc numai pe baza unei autorizaţii judiciare, în cazuri excepţionale, şi este permis numai atunci când nu există alte mijloace de soluţionare a unui anumit caz, conform celor stabilite de Curtea Supremă Federală şi de lege (²⁸⁸).

3.2.1.5.Alte măsuri pentru obţinerea de probe care restrâng drepturile fundamentale ale persoanei care face obiectul investigaţiei

3.2.2.Utilizarea ulterioară a informaţiilor

(189)În ceea ce priveşte utilizarea ulterioară a datelor cu caracter personal într-un alt scop de către o autoritate publică, articolul 9 din Legea privind interceptarea telefonică prevede că, atunci când conţinutul colectat nu are legătură cu chestiunea investigată în cadrul unei anumite investigaţii, datele vor fi declarate "inutilizabile". Articolul 13 din Cadrul civil pentru internet limitează, de asemenea, păstrarea datelor de conectare în registru la maximum un an. Articolul 10 din Legea privind confidenţialitatea instituţiilor financiare limitează, de asemenea, scopurile pentru care poate fi eliminată confidenţialitatea datelor fiscale şi bancare (²⁸⁹). În practică, aceste măsuri limitează posibilitatea unei utilizări ulterioare a informaţiilor.

(190)În plus, şi mai important, Curtea Supremă Federală a statuat că LGPD se aplică schimbului de date cu caracter personal între organismele publice, inclusiv atunci când acestea sunt partajate între autorităţile de aplicare a legii şi serviciile de informaţii (²⁹⁰). În special, Curtea a reamintit că "schimbul de date cu caracter personal între organismele şi entităţile administraţiei publice presupune: (1) definirea unui scop legitim, specific şi explicit pentru prelucrarea datelor; (2) compatibilitatea prelucrării cu scopurile comunicate; (3) limitarea partajării la minimul necesar pentru îndeplinirea scopului comunicat, precum şi respectarea deplină a cerinţelor, a garanţiilor şi a procedurilor prevăzute în LGPD, în măsura în care acest lucru este compatibil cu sectorul public". Curtea a adăugat că "prelucrarea datelor cu caracter personal efectuată de organisme publice cu încălcarea parametrilor juridici şi constituţionali va atrage răspunderea civilă a statului pentru prejudiciile suferite de persoane", în conformitate cu articolul 42 din LGPD.

(191)În ceea ce priveşte schimbul de date cu caracter personal între autorităţile de aplicare a dreptului penal din Brazilia şi autorităţi similare din ţări terţe, aceste activităţi sunt reglementate de instrumente de drept internaţional, în conformitate cu LGPD. În acest sens, articolul 33 alineatul III din LGPD prevede că transferurile internaţionale de date pot avea loc atunci când "sunt necesare pentru cooperarea judiciară internaţională între organismele publice de informaţii, de investigare şi de urmărire penală, în conformitate cu instrumentele juridice internaţionale". În Brazilia, Ministerul Justiţiei şi Securităţii Publice are rol de autoritate centrală pentru cooperarea judiciară internaţională în materie penală. Ministerul este responsabil de primirea, analizarea, transmiterea şi monitorizarea punerii în aplicare a cererilor de cooperare internaţională cu autorităţile străine, în conformitate cu normele aplicabile ale dreptului internaţional şi ale LGPD. Prelucrarea datelor cu caracter personal necesare pentru cooperarea judiciară internaţională este supusă principiilor următoare: limitarea scopului [articolul 6 punctul (I) din LGPD], legalitatea şi echitatea prelucrării (articolele 6 şi 7 din LGPD), reducerea la minimum a datelor şi exactitatea datelor [articolul 6 punctele (III) şi (V) din LGPD], transparenţa [articolul 6 punctul (VI) din LGPD], securitatea datelor [articolul 6 punctul (VII) din LGPD] şi limitarea stocării [articolul 6 punctele (I), (III), (IV) şi articolul 16 din LGPD]. Posibila divulgare a datelor cu caracter personal către părţi terţe (inclusiv ţări terţe) poate avea loc numai în conformitate cu aceste principii, după evaluarea conformităţii cu principiile constituţionale ale necesităţii şi proporţionalităţii şi după asigurarea continuităţii protecţiei şi a respectării drepturilor persoanelor vizate (articolul 2 din Regulamentul privind transferurile de date).

(192)Prin urmare, competenţele autorităţilor de aplicare a dreptului penal din Brazilia de a colecta şi accesa date sunt limitate de norme clare şi precise prevăzute de lege şi fac obiectul unui set de garanţii. Aceste garanţii includ, în special, supravegherea garantată a punerii în aplicare a măsurilor, inclusiv prin autorizaţia judiciară prealabilă şi prin garanţii care limitează durata accesului şi păstrarea informaţiilor în conformitate cu principiul necesităţii şi al proporţionalităţii.

3.2.3.Supravegherea

(194)În primul rând, astfel cum a confirmat Curtea Supremă Federală, ANPD este împuternicită să supravegheze prelucrarea datelor cu caracter personal efectuată de autorităţile de aplicare a dreptului penal conform anumitor cerinţe prevăzute în LGPD (²⁹¹). În acest context, ANPD poate exercita competenţele de investigare şi corective de care dispune în temeiul LGPD. De exemplu, ANPD a investigat activităţile Poliţiei Federale, ale Ministerului Justiţiei şi Securităţii Publice şi ale altor organisme publice care desfăşoară activităţi federale, de stat sau de securitate locală sau care au responsabilităţi în materie de asigurare a respectării legii (²⁹²). Investigaţiile pot fi efectuate de către ANPD din proprie iniţiativă sau în urma unor cereri şi plângeri, care pot fi depuse, de exemplu, de persoane fizice, de organizaţii ale societăţii civile şi de autorităţi publice. De exemplu, ANPD a efectuat mai multe investigaţii privind utilizarea camerelor video în urma unor solicitări venite din partea societăţii civile (²⁹³).

(195)În al doilea rând, activităţile autorităţilor de aplicare a dreptului penal sunt supravegheate de sistemul judiciar. Instanţele au competenţa de a autoriza colectarea datelor cu caracter personal şi accesul la acestea, în circumstanţele menţionate mai sus în considerentele 165-187. În plus, instanţele au competenţa de a impune sancţiuni civile şi penale în caz de abuz sau de nerespectare a legislaţiei în vigoare, printre aceste sancţiuni numărându-se măsurile privative de libertate sau ordinele de încetare a anumitor activităţi.

(196)În al treilea rând, Parchetul, o instituţie independentă şi permanentă în Brazilia, responsabilă cu apărarea ordinii juridice şi a sistemului democratic, are competenţa de a exercita un control extern asupra activităţilor poliţieneşti (²⁹⁴). Astfel cum se prevede în Rezoluţia privind Parchetul, controlul extern al activităţilor poliţieneşti are ca scop menţinerea "regularităţii şi a adecvării procedurilor utilizate în desfăşurarea activităţilor poliţieneşti", în special în ceea ce priveşte "respectarea drepturilor fundamentale garantate de Constituţia şi legile federale" (²⁹⁵). În această calitate, Parchetul poate, printre altele, să efectueze vizite la faţa locului, programate sau în orice moment, să examineze investigaţiile, să supravegheze confiscarea bunurilor şi să monitorizeze respectarea mandatelor (²⁹⁶). Orice încălcare a legii se raportează instanţei. Ca parte a rolurilor sale, Parchetul a fost implicat în investigarea şi urmărirea penală a cazurilor de violenţă poliţienească, abuz de putere şi încălcări ale drepturilor omului. În plus, Parchetul are un rol în supravegherea protecţiei datelor prin iniţierea sau participarea la acţiuni în justiţie pe baza protecţiei constituţionale şi prin promovarea drepturilor în materie de protecţie a datelor alături de ANPD. De exemplu, Parchetul şi-a prezentat în faţa Curţii Supreme Federale argumentul care a sprijinit decizia istorică de recunoaştere a protecţiei datelor ca drept fundamental în Brazilia (²⁹⁷). Un registru al acţiunilor Parchetului cu privire la LGPD este, de asemenea, disponibil pe pagina sa web (²⁹⁸).

3.2.4.Reparaţii

(198)În primul rând, persoanele fizice pot solicita reparaţii în instanţă, inclusiv pentru prejudicii. Constituţia federală şi Codul de procedură civilă oferă temeiurile juridice pentru solicitarea de despăgubiri pentru prejudicii morale sau materiale cauzate de autoritatea publică ce a colectat sau a utilizat în mod ilegal date în scopuri infracţionale (²⁹⁹). În special, Constituţia menţionează în mod expres că dreptul la viaţă privată implică un "drept la despăgubire" pentru prejudiciile materiale sau morale care rezultă din încălcarea acestuia (³⁰⁰). Hotărârile instanţelor pot fi atacate la Curtea Supremă Federală şi, ulterior, la Curtea Interamericană a Drepturilor Omului. În 2009, Brazilia a fost obligată de Curtea Interamericană a Drepturilor Omului să despăgubească lucrătorii din cooperativele agricole ca urmare a unor operaţiuni necorespunzătoare de interceptare telefonică desfăşurate în statul Parana în 1999 cu încălcarea Legii privind interceptarea telefonică şi a Convenţiei americane a drepturilor omului (³⁰¹).

(199)În al doilea rând, persoanele fizice, indiferent de cetăţenia lor, se pot prevala de protecţia instituită prin conceptul de Habeas Data pentru a obţine în continuare accesul la datele lor deţinute de autorităţile publice şi pentru a le rectifica (³⁰²). Pe această bază, persoanele fizice pot, de asemenea, să introducă acţiuni în instanţă, inclusiv o "acţiune directă de neconstituţionalitate" (Açăo Direta de Inconstitucionalidade - "ADI") la Curtea Supremă Federală. Hotărârea de referinţă din 2020 a STF, care pregăteşte terenul pentru recunoaşterea de către Brazilia a protecţiei datelor ca drept fundamental, a fost iniţiată de ADI introduse pe baza principiului Habeas Data (³⁰³). Parchetul a fost, de asemenea, implicat în acest caz, sprijinind poziţia persoanelor fizice şi a societăţii civile care au introdus acţiunea. Cauza respectivă a contestat un ordin executiv care viza schimbul de date cu caracter personal a peste 200 de milioane de abonaţi ai serviciilor de telecomunicaţii cu Institutul de Geografie şi Statistică din Brazilia în timpul pandemiei de COVID-19 (³⁰⁴). STF a constatat că ordinul executiv încalcă drepturile fundamentale la viaţă privată şi la confidenţialitatea comunicaţiilor protejate de Constituţie (³⁰⁵). Ordinul executiv a fost suspendat, iar STF a statuat că protecţia datelor ar trebui să fie considerată şi protejată ca un drept fundamental, în mod similar cu dreptul la viaţă privată (³⁰⁶). La momentul adoptării hotărârii, LGPD nu era încă în vigoare. Prin urmare, completul de judecată a recurs la dreptul comparat, în special la jurisprudenţa Curţii Constituţionale Federale din Germania şi la articolul 8 din Carta drepturilor fundamentale a Uniunii Europene, pentru a-şi susţine interpretarea privind neconstituţionalitatea ordinului executiv respectiv, precum şi pentru a fundamenta o interpretare a drepturilor fundamentale la demnitate şi viaţă privată garantate în Constituţie şi recunoaşterea Habeas Data ca instrument de protejare a dreptului la autodeterminare informaţională (³⁰⁷).

(³⁰⁷)A se vedea Curtea Supremă Federală, Hotărârea privind ADI 6.387, mai 2020, p. 4 şi Asociaţia Internaţională a Barourilor, The impact of Covid-19 for data protection in Brazil: the perspective of Brazil’s supreme court (Impactul pandemiei de COVID-19 asupra protecţiei datelor în Brazilia: perspectiva Curţii Supreme a Braziliei). Document disponibil la adresa: https://www.ibanet.org/article/82b25a81-7422-4f07-aaa8-9c2db19e22af#:~:text=On%206%20and%207%20May%202020%2C%20the,as%20an%20independent%20fundamental%20right%20in%20Brazil.&text=The%20processing%20of%20data%20is%20allowed%20only,legal%20principles%2C%20such%20as%20transparency%20and%20security.

(200)În al treilea rând, persoanele fizice pot solicita reparaţii pe lângă ANPD pentru încălcări ale LGPD în temeiul articolului 55-J punctul (V) şi în condiţiile detaliate în considerentele 146 şi 149 din prezenta decizie. Persoanele fizice îşi pot exercita, de asemenea, drepturile în materie de protecţie a datelor stabilite în temeiul LGPD faţă de autorităţile publice (³⁰⁸).

3.3.Accesarea şi utilizarea datelor de către autorităţile publice din Brazilia în scopuri legate de securitatea naţională

(202)Legislaţia Braziliei conţine o serie de limitări şi garanţii în ceea ce priveşte accesul la datele cu caracter personal şi utilizarea acestora în scopuri legate de securitatea naţională şi prevede mecanisme de supraveghere şi de obţinere de reparaţii care sunt în concordanţă cu cerinţele menţionate în considerentele (156)-(158) din prezenta decizie. Condiţiile în care pot fi accesate datele şi garanţiile aplicabile utilizării acestor competenţe sunt evaluate în detaliu în secţiunile următoare.

3.3.1.Temeiuri juridice, limitări şi garanţii

(203)În Brazilia, datele cu caracter personal pot fi accesate în scopuri legate de securitatea naţională ca parte a activităţilor de informaţii în temeiul Legii de instituire a sistemului brazilian de informaţii (SISBIN) (³⁰⁹). Articolul 1 din această lege prevede, ca regulă generală, că sistemul brazilian de informaţii "trebuie să respecte şi să păstreze drepturile şi garanţiile individuale şi alte dispoziţii ale Constituţiei federale, ale tratatelor, convenţiilor, acordurilor şi angajamentelor internaţionale la care Republica Federativă a Braziliei este parte sau semnatară" (³¹⁰). Aceasta include şi garantarea principiului necesităţii şi al proporţionalităţii, precum şi a dreptului la protecţia datelor (³¹¹). Activităţile pe care trebuie să le desfăşoare sistemul brazilian de informaţii sunt descrise mai detaliat în decretele obligatorii (³¹²).

(³¹²)Decretul nr. 8.793/2016 din 29 iunie 2016 privind politica naţională de informaţii, document disponibil la adresa: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8793.htm, şi Decretul nr. 4.376/2002 din 13 septembrie 2002 privind organizarea şi funcţionarea sistemului brazilian de informaţii. Document disponibil la adresa: https://www.gov.br/mj/pt-br/acesso-a-informacao/atuacao-internacional/legislacao-traduzida/decreto-no-4-376-de-13-de-setembro-de-2002-seopi_eng_rev-d.pdf.

(204)Conform articolului 4 din Legea de instituire a sistemului brazilian de informaţii, entităţile care fac parte din SISBIN pot obţine şi analiza anumite date în scopuri legate de securitatea naţională ("Segurança Pública"). Conceptul de securitate naţională este reglementat de o lege din 2021 care a modificat Codul penal (³¹³) şi care a revocat Legea Braziliei privind securitatea naţională (³¹⁴). Legea din 2021 prevedea o listă exhaustivă a "infracţiunilor" împotriva securităţii naţionale care defineşte această noţiune. Infracţiunile respective sunt: (1) infracţiuni împotriva "suveranităţii naţionale" (care includ actele de război, invadarea ţării, tentativa de a prelua o parte din teritoriul naţional pentru a forma o altă ţară, divulgarea de informaţii clasificate unor guverne străine sau organizaţii criminale străine care ar putea pune în pericol ordinea constituţională a suveranităţii naţionale, precum şi facilitarea sau falsificarea accesului persoanelor neautorizate la sistemele de informaţii) (³¹⁵); (2) infracţiuni împotriva "instituţiilor democratice" (care includ tentativa violentă de a înlătura statul de drept prin împiedicarea exercitării sau limitarea puterilor constituţionale şi lovitura de stat) (³¹⁶); (3) infracţiuni împotriva "funcţionării instituţiilor democratice în timpul procesului electoral" (care acoperă întreruperea procesului electoral şi limitarea sau împiedicarea prin violenţă a capacităţii persoanelor de a-şi exercita drepturile politice) (³¹⁷); şi (4) infracţiuni împotriva funcţionării serviciilor esenţiale (care includ sabotarea mijloacelor de comunicaţii publice sau a instalaţiilor de apărare, cu scopul de a înlătura statul de drept) (³¹⁸). Articolul 359-T din lege precizează că exercitarea libertăţii de exprimare, a drepturilor şi puterilor constituţionale, desfăşurarea activităţii jurnalistice, inclusiv "prin marşuri, reuniuni, greve, adunări sau orice altă formă de demonstraţie politică în scopuri sociale" nu pot fi considerate infracţiuni (³¹⁹). Politica naţională de informaţii a Braziliei (PIN) a stabilit o serie de obiective-cheie pentru serviciile de informaţii pe care autorităţile trebuie să le ia în considerare, cum ar fi prevenirea "sabotajului" sau a "spionajului" (³²⁰). Ca "document de orientare la nivel înalt", această politică nu extinde însă lista infracţiunilor legate de conceptul de securitate naţională şi nici nu modifică definiţia acestuia (³²¹).

(205)Datele care pot fi accesate şi analizate pentru a preveni infracţiunile împotriva securităţii naţionale enumerate mai sus se referă la informaţiile la care autorităţile publice care fac parte din SISBIN au acces în contextul operaţiunilor lor şi în conformitate cu condiţiile descrise în considerentele 165-187 din prezenta decizie (şi anume pe baza unei autorizaţii judiciare emise pentru un scop clar definit). Datele partajate cu SISBIN sunt prelucrate prin intermediul unui sistem electronic criptat securizat cu jurnale de acces pentru a asigura trasabilitatea şi posibilitatea auditării informaţiilor (³²²). Astfel cum a clarificat Curtea Supremă Federală, schimbul de date cu SISBIN este supus principiilor LGPD, inclusiv principiului limitării scopului [articolul 6 punctul (I) din LGPD], al reducerii la minimum a datelor şi al exactităţii datelor [articolul 6 punctele (III) şi (V) din LGPD], al transparenţei [articolul 6 punctul (VI) din LGPD], al securităţii datelor [articolul 6 punctul (VII) din LGPD] şi al limitării stocării [articolul 6 punctele (I), (III), (IV) şi articolul 16 din LGPD] (³²³).

(206)Articolul 2 din Legea de instituire a sistemului brazilian de informaţii precizează că din acest sistem fac parte numai autorităţi publice. SISBIN este alcătuit din Agenţia Braziliană de Informaţii (ABIN) şi din reprezentanţi ai centrelor, ai ministerelor, ai secretariatelor şi ai agenţiilor administraţiei publice federale din domeniul informaţiilor. Lista autorităţilor care sunt membre ale SISBIN este prevăzută într-un decret privind organizarea şi funcţionarea sistemului (³²⁴).

(³²⁴)- Articolul 7 din Decretul nr. 11.693 din 6 septembrie 2023 privind organizarea şi funcţionarea SISBIN. Document disponibil la adresa: https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/decreto/d11693.htm. Printre exemplele de autorităţi membre ale SISBIN se numără: Centrul de Informaţii din cadrul Ministerului Apărării, Direcţia de Informaţii pentru Penitenciare din cadrul Secretariatului Naţional al Ministerului Justiţiei şi Securităţii Publice, Secretariatul General pentru Relaţii Externe al Ministerului Afacerilor Externe şi Direcţia de Informaţii din cadrul Poliţiei Federale.

(207)ABIN este organismul central al sistemului de informaţii şi este responsabil cu planificarea, executarea, coordonarea, supravegherea şi monitorizarea activităţilor de informaţii. Aceste activităţi trebuie să se desfăşoare prin mijloace şi tehnici confidenţiale, bazate pe informaţii. Pentru a-şi îndeplini sarcinile, ABIN primeşte informaţii şi date specifice de la diferitele autorităţi publice care fac parte din SISBIN în legătură cu securitatea naţională. Autorităţile care fac parte din SISBIN sunt obligate să furnizeze aceste informaţii (³²⁵), deoarece legea nu autorizează ABIN să colecteze informaţii pe cont propriu. Legalitatea obligaţiei de partajare de date a membrilor SISBIN a fost contestată în faţa Curţii Supreme Federale (³²⁶). În hotărârea sa din 2021, STF a precizat că datele pe care autorităţile publice le partajează cu ABIN trebuie să respecte scopurile stricte de interes public (de exemplu, apărarea instituţiilor publice şi interesul naţional) şi a reamintit că scopul specific şi legitim al fiecărei activităţi de partajare de date este definit printr-o procedură oficială supusă unei autorizaţii judiciare şi reglementată prin aceasta (³²⁷). Aceste limitări se aplică şi oricărui schimb ulterior de date între autorităţile publice (³²⁸).

(208)În cele din urmă, prelucrarea de date efectuată prin intermediul SISBIN trebuie să protejeze informaţiile împotriva accesului unor persoane sau organisme neautorizate. Articolul 5 din Decretul privind funcţionarea SISBIN prevede în mod explicit că coordonarea şi schimbul de date între autorităţile membre ale sistemului trebuie să respecte "legislaţia privind secretul profesional şi securitatea, protecţia datelor cu caracter personal şi securitatea informaţiilor şi a cunoştinţelor", care include LGPD ca principală legislaţie pentru protecţia datelor cu caracter personal din Brazilia (³²⁹). În plus, articolul 6 din decret precizează că schimbul de informaţii între autorităţile din SISBIN trebuie să respecte "principiul securităţii juridice, al necesităţii, al interesului public" şi să aibă un scop legitim (³³⁰). De asemenea, SISBIN recunoaşte importanţa respectării LGPD în materialele sale publice şi în procedurile sale interne (³³¹).

(³³¹)A se vedea, de exemplu, broşura SISBIN, p. 9: "Unul dintre obiectivele acestei repoziţionări este creşterea nivelului de trasabilitate şi transparenţă al proceselor interne ale SISBIN prin adoptarea de instrumente şi platforme digitale special concepute în acest scop. Aceste instrumente trebuie să fie aliniate la cadrul juridic instituit prin Legea privind accesul la informaţii şi prin Legea generală privind protecţia datelor (LGPD), ambele adoptate în 2012". Document disponibil la adresa: https://www.gov.br/abin/pt-br/institucional/sisbin/cart_ingles.pdf.

(209)Prin urmare, competenţele autorităţilor care prelucrează date în scopuri legate de securitatea naţională în Brazilia sunt limitate de norme clare şi precise prevăzute de lege şi fac obiectul unui set de garanţii. Aceste garanţii includ, în special, supravegherea garantată a executării măsurilor respective, inclusiv prin autorizaţia judiciară prealabilă, precum şi garanţii care limitează accesul la informaţii în conformitate cu principiul necesităţii şi al proporţionalităţii.

3.3.2.Utilizarea ulterioară a informaţiilor

(210)Prelucrarea datelor cu caracter personal colectate de autorităţile braziliene în scopuri de securitate naţională este supusă principiilor următoare: limitarea scopului [articolul 6 punctul (I) din LGPD], legalitatea şi echitatea prelucrării (articolele 6 şi 7 din LGPD), reducerea la minimum a datelor şi exactitatea datelor [articolul 6 punctele (III) şi (V) din LGPD], transparenţa [articolul 6 punctul (VI) din LGPD], securitatea datelor [articolul 6 punctul (VII) din LGPD] şi limitarea stocării [articolul 6 punctele (I), (III), (IV) şi articolul 16 din LGPD].

3.3.3.Supravegherea

(212)Activităţile autorităţilor naţionale braziliene din domeniul securităţii sunt supravegheate de diferite organisme. Decretul privind Strategia naţională în materie de informaţii a Braziliei subliniază importanţa existenţei mai multor niveluri de mecanisme de supraveghere pentru protejarea "statului de drept democratic" (³³²). Curtea Supremă Federală a reamintit importanţa acestei supravegheri într-o cauză referitoare la prelucrarea datelor în cadrul SISBIN, afirmând că "eficacitatea activităţilor de informaţii este adesea legată de caracterul secret al procesului şi al informaţiilor colectate. În statul de drept democratic, această funcţie este supusă controlului extern exercitate de putere legislativă şi de cea judecătorească, pentru a evalua dacă secretul impus este adecvat scopurilor publice stricte cărora li se adresează" (³³³).

(213)În primul rând, există un control din partea executivului, care se asigură că obiectivele care trebuie atinse de sistemul de informaţii, precum şi politicile care urmează să fie puse în aplicare şi planurile formulate răspund în mod adecvat cerinţelor societăţii. Executivul are, de asemenea, responsabilitatea de a se asigura că cheltuielile serviciilor de informaţii sunt efectuate în mod raţional şi exclusiv pentru acţiuni legitime, necesare şi utile pentru stat. În contextul brazilian, acest control este exercitat de Camera pentru relaţii externe şi apărare naţională a Consiliului Guvernului, care este responsabilă de supravegherea punerii în aplicare a Poliţiei Naţionale de Informaţii, şi de Biroul de securitate instituţională, care este responsabil de coordonarea activităţii serviciilor federale de informaţii (³³⁴).

(214)În al doilea rând, legislativul exercită un control în ceea ce priveşte activităţile de informaţii. Scopul acestui control este de a verifica atât legitimitatea, cât şi eficacitatea activităţii de informaţii. Liderii partidelor majoritare şi minoritare din Camera Deputaţilor şi din Senatul Federal, precum şi preşedinţii comisiilor pentru relaţii externe şi apărare naţională ale Camerei Deputaţilor şi Senatului Federal fac parte din organismul de supraveghere externă a activităţilor de informaţii denumit Comisia mixtă pentru controlul activităţilor de informaţii ("Comissăo mista de Controle da Atividade de Inteligęncia - CCAI") (³³⁵). Controlul legislativului asupra activităţilor de informaţii a fost stabilit în 1999 prin Legea de instituire a sistemului brazilian de informaţii, iar rolul şi competenţele de supraveghere ale CCAI au fost consolidate semnificativ în 2013 odată cu adoptarea unei rezoluţii obligatorii a Congresului (³³⁶). Această rezoluţie a abordat deficienţele identificate anterior în ceea ce priveşte continuarea instituţionalizării CCAI, dotând-o cu o structură permanentă şi un secretariat permanent, aducând claritate în ceea ce priveşte competenţele şi sporind transparenţa activităţilor sale. Rolul, activităţile şi competenţele CCAI sunt detaliate în prezenta rezoluţie şi în lege. CCAI monitorizează şi controlează activităţile de informaţii desfăşurate de organismele administraţiei publice federale, în special de organismele care fac parte din SISBIN, pentru a se asigura că activităţile se desfăşoară în conformitate cu Constituţia şi pentru a proteja drepturile şi garanţiile persoanelor, ale societăţii şi ale statului (³³⁷). CCAI poate efectua o examinare post hoc, dar şi audituri şi controale ale operaţiunilor în curs (³³⁸). Membrii CCAI deţin cel mai înalt nivel de autorizare pentru accesul la documente. CCAI întocmeşte rapoarte anuale privind activităţile sale, fără a include informaţii care ar putea periclita securitatea naţională (³³⁹). Astfel cum se detaliază în considerentul 222 din prezenta decizie, CCAI poate, de asemenea, să primească şi să investigheze plângeri din partea cetăţenilor.

(215)În al treilea rând, ANPD supraveghează conformitate autorităţilor naţionale din domeniul securităţii în ceea ce priveşte prelucrarea datelor cu caracter personal, în parametrii definiţi de LGPD. LGPD se aplică parţial prelucrării datelor cu caracter personal efectuate în scopuri legate de siguranţa publică, de apărarea naţională, de securitatea statului sau de activităţi de investigare şi urmărire penală a infracţiunilor (³⁴⁰). În acest context, ANPD poate exercita competenţele de investigare şi corective de care dispune în temeiul LGPD. ANPD poate, de exemplu, să efectueze audituri în orice moment la toate autorităţile publice, inclusiv la serviciul de informaţii (³⁴¹).

3.3.4.Reparaţii

(219)În primul rând, persoanele fizice au un drept "absolut" de a introduce o acţiune în justiţie în ceea ce priveşte protecţia drepturilor lor. Conform normelor generale stabilite în Codul de procedură civilă, pentru a introduce o acţiune în instanţă, o persoană nu trebuie să demonstreze un prejudiciu (adică nu este necesar să demonstreze că ar fi fost supusă supravegherii sau că datele sale au fost prelucrate în scopuri legate de securitatea naţională). Persoana respectivă îşi poate exercita drepturile în temeiul Habeas Data în legătură cu datele prelucrate de autorităţile din domeniul informaţiilor (³⁴²).

(220)Atunci când solicită reparaţii în instanţă, persoanele fizice pot solicita despăgubiri. La fel ca în cazul prelucrării în scopul aplicării dreptului penal, Constituţia federală şi Codul de procedură civilă oferă temeiurile juridice pentru solicitarea de despăgubiri pentru prejudiciile morale sau materiale cauzate de autoritatea publică ce a colectat sau a utilizat în mod ilegal date, inclusiv prin acţiuni colective (³⁴³).

(221)În al doilea rând, Curtea Supremă Federală a confirmat aplicarea parţială a LGPD în scopuri legate de securitatea naţională şi, prin extensie, competenţele ANPD de a soluţiona plângeri referitoare la prelucrarea datelor cu caracter personal de către autorităţile publice în scopuri legate de securitatea naţională (³⁴⁴). În aceeaşi hotărâre, Curtea a arătat că "prelucrarea datelor cu caracter personal efectuată de organisme publice cu încălcarea parametrilor juridici şi constituţionali va impune răspunderea civilă a statului pentru prejudiciile suferite de cetăţeni", în conformitate cu articolul 42 din LGPD (³⁴⁵).

(222)În al treilea rând, CCAI poate primi şi investiga plângeri depuse de orice cetăţean, partid politic sau asociaţie cu privire la încălcări ale drepturilor fundamentale şi ale garanţiilor comise de organisme şi entităţi publice care desfăşoară activităţi de informaţii şi contrainformaţii (³⁴⁶). Pe această bază, CCAI poate efectua controale sau investigaţii. Prin urmare, CCAI oferă o cale de atac administrativă suplimentară în cazul încălcării drepturilor legate de prelucrarea datelor în scopuri legate de securitatea naţională. Plângerile primite de CCAI pot fi transmise apoi instanţelor.

4.CONCLUZIE

(225)În plus, Comisia consideră că, în ansamblu, mecanismele de supraveghere şi căile de atac prevăzute în legislaţia braziliană permit detectarea şi abordarea în practică a eventualelor încălcări ale normelor privind protecţia datelor de către operatorii şi persoanele împuternicite de operatori din Brazilia şi pun la dispoziţia persoanelor vizate căile de atac juridice necesare pentru a obţine accesul la datele lor cu caracter personal şi, în cele din urmă, rectificarea sau ştergerea datelor respective.

(226)În fine, pe baza informaţiilor disponibile privind ordinea juridică braziliană, Comisia consideră că orice ingerinţă în interesul public, în special în scopuri de aplicare a dreptului penal şi legate de securitatea naţională, din partea autorităţilor publice braziliene în drepturile fundamentale ale persoanelor ale căror date cu caracter personal sunt transferate din Uniunea Europeană către Brazilia se va limita la ceea ce este strict necesar pentru atingerea obiectivului legitim în cauză şi că există o protecţie juridică eficientă împotriva unei astfel de ingerinţe.

5.EFECTUL PREZENTEI DECIZII ŞI ACŢIUNILE AUTORITĂŢILOR PENTRU PROTECŢIA DATELOR

(229)În consecinţă, o decizie a Comisiei privind caracterul adecvat al nivelului de protecţie, adoptată în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, este obligatorie pentru toate organele statelor membre cărora li se adresează, inclusiv pentru autorităţile de supraveghere independente ale acestora. În special, transferurile de la un operator sau de la o persoană împuternicită de operator din Uniune către operatori sau persoane împuternicite de operatori din Brazilia pot avea loc fără a fi necesară obţinerea unei autorizări suplimentare.

(230)Ar trebui reamintit faptul că, potrivit articolului 58 alineatul (5) din Regulamentul (UE) 2016/679 şi astfel cum a explicat Curtea de Justiţie în Hotărârea Schrems I, în cazul în care o autoritate naţională pentru protecţia datelor pune sub semnul întrebării, inclusiv în urma primirii unei plângeri, compatibilitatea unei decizii a Comisiei privind caracterul adecvat al nivelului de protecţie cu drepturile fundamentale ale unei persoane la viaţă privată şi la protecţia datelor, legislaţia naţională trebuie să prevadă o cale de atac legală pentru a invoca motivele respective în faţa unei instanţe naţionale, care poate fi obligată să efectueze o trimitere preliminară către Curtea de Justiţie (³⁴⁷).

(³⁴⁷)Hotărârea Schrems I, punctul 65: "În această privinţă, revine legiuitorului naţional sarcina de a prevedea căi de atac care să permită autorităţii naţionale de supraveghere în cauză să invoce motivele pe care le consideră întemeiate în faţa instanţelor naţionale, astfel încât acestea din urmă să efectueze, dacă împărtăşesc îndoielile acestei autorităţi în ceea ce priveşte validitatea deciziei Comisiei, o trimitere preliminară în vederea examinării validităţii acestei decizii."

6.MONITORIZAREA, SUSPENDAREA, ABROGAREA SAU MODIFICAREA PREZENTEI DECIZII

(231)Potrivit jurisprudenţei Curţii de Justiţie (³⁴⁸) şi astfel cum se prevede la articolul 45 alineatul (4) din Regulamentul (UE) 2016/679, Comisia ar trebui să monitorizeze continuu evoluţiile relevante din ţara terţă după adoptarea unei decizii privind caracterul adecvat al nivelului de protecţie, pentru a evalua dacă ţara terţă respectivă continuă să asigure un nivel de protecţie echivalent în esenţă. O astfel de verificare se impune, în orice caz, atunci când Comisia primeşte orice informaţie care dă naştere unor îndoieli justificate în această privinţă.

(232)Prin urmare, Comisia ar trebui să monitorizeze în permanenţă situaţia din Brazilia în ceea ce priveşte cadrul juridic şi practica propriu-zisă de prelucrare a datelor cu caracter personal, evaluate în prezenta decizie. În acest sens, ar trebui să se acorde o atenţie deosebită aplicării în practică a cerinţelor privind evaluarea impactului referitoare la protecţia datelor; a cerinţelor de transparenţă şi a posibilei limitări a acestora în ceea ce priveşte drepturile la informare şi la acces; a normelor privind notificarea încălcărilor securităţii datelor; a regimului de sancţiuni, precum şi respectării limitărilor şi a garanţiilor în ceea ce priveşte accesul administraţiei publice, luând în considerare orice evoluţii relevante în această privinţă.

(234)În plus, pentru a permite Comisiei să îşi exercite în mod eficient funcţia de monitorizare, statele membre ar trebui să informeze Comisia cu privire la orice acţiune relevantă întreprinsă de autorităţile naţionale de protecţie a datelor, în special în ceea ce priveşte solicitările sau plângerile formulate de persoane vizate din UE cu privire la transferul de date cu caracter personal din Uniunea Europeană către operatori de date şi persoane împuternicite de operatori din Brazilia. De asemenea, Comisia ar trebui să fie informată cu privire la orice indiciu potrivit căruia acţiunile autorităţilor publice braziliene responsabile cu prevenirea, investigarea, detectarea sau urmărirea penală a infracţiunilor sau cu securitatea naţională, inclusiv acţiunile oricărui organism de supraveghere, nu asigură nivelul de protecţie necesar.

(235)Conform articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 (³⁴⁹) şi având în vedere faptul că nivelul de protecţie asigurat de ordinea juridică braziliană poate suferi modificări, Comisia, în urma adoptării prezentei decizii, ar trebui să verifice periodic dacă constatările referitoare la caracterul adecvat al nivelului de protecţie asigurat de Brazilia sunt în continuare justificate în fapt şi în drept.

(236)În acest scop, prezenta decizie ar trebui să facă obiectul unei prime revizuiri în termen de patru ani de la intrarea sa în vigoare. Ulterior, ar trebui să aibă loc revizuiri periodice cel puţin o dată la patru ani (³⁵⁰). Revizuirile ar trebui să acopere toate aspectele legate de funcţionarea prezentei decizii, inclusiv cooperarea ANPD cu autorităţile UE pentru protecţia datelor în ceea ce priveşte plângerile persoanelor fizice. Acestea ar trebui să acopere, de asemenea, eficacitatea supravegherii şi a asigurării respectării legislaţiei în domeniul aplicării dreptului penal şi al securităţii naţionale.

(237)Pentru a efectua această revizuire, Comisia ar trebui să se reunească cu ANPD, însoţită, dacă este cazul, de alte autorităţi braziliene responsabile cu accesul administraţiei publice la date, inclusiv organismele de supraveghere competente. Participarea la această reuniune ar trebui să fie deschisă reprezentanţilor membrilor Comitetului european pentru protecţia datelor. În cadrul revizuirii, Comisia ar trebui să solicite ANPD să furnizeze informaţii cuprinzătoare cu privire la toate aspectele relevante pentru constatarea referitoare la caracterul adecvat, inclusiv cu privire la limitările şi garanţiile referitoare la accesul administraţiei publice la date. Comisia ar trebui, de asemenea, să solicite explicaţii atât cu privire la orice informaţie primită care este relevantă pentru prezenta decizie, inclusiv cu privire la rapoartele publice întocmite de autorităţile braziliene sau de alte părţi interesate din Brazilia, de Comitetul european pentru protecţia datelor, de diferite autorităţi pentru protecţia datelor, de grupuri ale societăţii civile, cât şi cu privire la informaţiile transmise de mass-media sau de orice altă sursă de informaţii disponibilă.

(242)De asemenea, Comisia ar trebui să aibă în vedere iniţierea procedurii care conduce la modificarea, suspendarea sau abrogarea prezentei decizii dacă, în contextul revizuirii sau într-un alt context, autorităţile braziliene competente nu furnizează informaţiile sau clarificările necesare pentru evaluarea nivelului de protecţie acordat datelor cu caracter personal transferate din Uniunea Europeană către Brazilia sau în ceea ce priveşte respectarea prezentei decizii. În acest sens, Comisia ar trebui să ia în considerare măsura în care informaţiile relevante pot fi obţinute din alte surse.

7.CONSIDERAŢII FINALE

Nou Decizia 179/26-ian-2026 în temeiul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind nivelul adecvat de protecţie a datelor cu caracter personal asigurat de Brazilia

Jurnalul Oficial seria L