Под влиянием происходящих в мире перемен, проникновения в страны латиноамериканского региона цифровых технологий и рекомендаций международных организаций по их применению, правительства большинства стран Латинской Америки разработали и утвердили национальные цифровые стратегии. В этих документах отражаются намерения государств использовать возможности, предоставляемые цифровизацией, положения о регулировании цифровых и электронных коммуникаций, сетевой и информационной безопасности, широкополосного доступа к сети «Интернет» и т.д.

В предшествующее десятилетие в ряде латиноамериканских стран цифровая экономика развивалась постепенно под влиянием рекомендаций, кредитов и помощи международных финансово-экономических организаций, способствующих проникновению цифровых технологий из-за рубежа. Электронная коммерция, интернет-банкинг, электронные платежи и государственные услуги стали общедоступны во многих странах ЛА. 

Так, например, цифровая экономика получила наиболее широкое развитие в сфере здравоохранения, потребительских товаров, финансовых услуг, торговле и обрабатывающей промышленности Мексики. В Аргентине наиболее развито использование цифровых технологий в здравоохранении, телекоммуникациях, потребительских товарах, финансовых услугах, обрабатывающей промышленности, энергетике и добывающей промышленности. В Бразилии уровень цифровизации наиболее высок в телекоммуникационной сфере, здравоохранении, финансовых услугах, торговле, энергетике, добывающей и обрабатывающей промышленности.

Несмотря на определенные успехи в развивающихся странах ЛатАм, цифровая трансформация экономики происходит с опозданием, не поспевая осваивать новые технологии, такие как искусственный интеллект, блокчейн, анализ данных, облачные вычисления.

Но сегодняшний наш материал мы сузим до того, как в этом регионе обстоят дела с обработкой и защитой персональных данных. И сделаем мы это на примере вечных соседей-конкурентов за лидерство на этой территории — Бразилии и Аргентины.

Общий закон "О защите данных", или Lei Geral de Proteção de Dados (LGPD) в Бразилии, который начал действовать год назад (с 1 августа 20211 года) унифицировал около 40 различных национальных законов, регулирующих обработку персональных данных. LGPD содержит положения и требования, связанные с обработкой персональных данных физических лиц, если данные относятся к физическим лицам, находящимся в Бразилии, либо собираются или обрабатываются в Бразилии, или используются для предложения товаров или услуг в этой крупнейшей стране региона.

LGPD распространяется на персональные данные, которые определяются как любая информация, относящаяся к физическому лицу, которое идентифицировано или может быть идентифицировано. 

Бразильский закон также распространяется на конфиденциальные личные данные, которые определяются как личные данные, касающиеся расовой или этнической принадлежности, религиозных и политических убеждений, участия в профсоюзах, религиозных, философских или политических организациях, данных, касающихся здоровья или половой жизни, генетических или биометрических данных, когда они относятся к конкретной личности.

Анонимные либо псевдонимные данные, как правило, не рассматриваются как личные данные. Но когда такая информация используется для построения поведенческих профилей идентифицированных лиц, она может рассматриваться как личные данные.

LGPD касается любой организации (личной/корпоративной, государственной/частной, малой/крупной, бразильской/экстерриториальной), которая собирает или обрабатывает персональные данные в Бразилии для маркетинговых целей, независимо от ее местоположения. Такая организация определяется и рассматривается в законе как контроллер или процессор. Если ваша компания собирает и обрабатывает персональные данные людей, находящихся в Бразилии, но при этом находится в Москве, вам все равно необходимо соблюдать LGPD.

LGPD не распространяется на данные, собранные физическими лицами для личных целей; данные, собранные для академических или журналистских целей; данные, собранные в целях национальной безопасности.

Закон считает обработкой данных абсолютно любую операцию, касающуюся персональных данных, например сбор, распространение, хранение, получение, изменение, извлечение, воспроизведение, доступ и т.д. 

LGPD обязывает контроллеров и процессоров данных обеспечивать безопасность данных и защищать их от несанкционированного доступа или незаконной обработки. Как видим, нормы в Бразилии в этом смысле ничем не отличаются от общеевропейских правил, установленных GDPR. И это неудивительно, ведь именно Регламент ЕС послужил бразильским властям в качестве рамочного ориентира при принятии собственного регулирующего НПА.

Ключевое понятие закона — это, безусловно, субъект личных данных, под которым понимается “физическое лицо, к которому относятся персональные данные, являющиеся объектом обработки”.

Все субъекты данных в Бразилии могут бесплатно реализовывать следующие права в отношении своих персональных данных:

• осведомленность об обработке данных и ее одобрение;

• доступ к своим персональным данным;

• исправление неточных данных;

• анонимизация/псевдонимизация/удаление фрагментов данных, которые были собраны или обработаны без соблюдения LGPD;

• возможность перемещать данные;

• удаление своих персональных данных;

• раскрытие любых третьих лиц, которым передаются личные данные;

• доступ к информации о клиентской политике и условиям отзыва согласия, либо же непосредственно сам отзыв согласия.

Международная (трансграничная) передача персональных данных разрешается странам или международным организациям, которые обеспечивают должный уровень защиты персональных данных, или в случае, если контроллер обеспечивает соблюдение норм LGPD.

За нарушение LGPD максимальный штраф составит 2% от доходов компании в Бразилии за предыдущий финансовый год, без учета налогов. Штраф может достигать 50 млн бразильских реалов (около 525 млн рублей по текущему курсу ЦБ РФ).

Соответствующий Конституции Аргентины закон о защите персональных данных № 25 326 (PDPA) (Ley de Protección de los Datos Personales) был принят в 2000 г. для защиты конфиденциальности персональных данных и предоставления отдельным лицам доступа к любой информации, хранящейся в общедоступных и закрытых базах данных и реестрах. 

Отметим, что PDPA, как и LGPD в Бразилии, также полностью соответствует европейской модели законодательства по защите конфиденциальности данных. Более того, Аргентина в принципе была первой страной Латинской Америки, получившей квалификацию соответствия для передачи данных от ЕС.

В 2016 г. отвечающее за соблюдение закона AAIP (аргентинское агентство по доступу к общедоступным сведениям — Agencia de Acceso a la Información Pública) издало так называемое Положение 60-E/2016, управляющее трансграничной передачей персональных данных. Согласно ему были утверждены модели (частично основанные на модели передачи данных в ЕС) для такой передачи контроллерам данных и обработчикам данных.

Закон о персональных данных Аргентины определяет их как информацию любого рода, связанную с определенным физическим или юридическим лицом, по которой данных лиц можно определить. Кроме персональных данных в этом Законе определено понятие "приватные данные" — персональные данные, раскрывающие расовое и этническое происхождение; политические взгляды; религиозные, философские, нравственные убеждения или членство в профсоюзе, а также информация, относящаяся к здоровью или половой жизни лица.

Под пользователем данный Закон о персональных данных Аргентины понимает любое лицо, государственное или частное, получившее доступ к персональным данным, которые сохраняются в файлах, записях или базах данных собственника этих данных. 

Можно отметить, что Закон о персональных данных Аргентины, в отличие от РФ и Бразилии, напрямую связывает персональные данные в том числе и с юридическими лицами. 

При этом требование наличия юридического адреса или местных офисов, в том числе филиалов в Аргентине, применяется только для юридических лиц, которые будут рассматриваться в качестве субъектов данных.

Закон определяет требование о регистрации БД и ответственность лиц за отсутствие регистрации в реестре БД, в том числе определяет требование к надзорному органу об осуществлении контроля за обработкой персональных данных, применении санкций, правил и процедур, касающихся судебной защиты и защиты данных подсудимого.

В отличие от российского законодательства, Закон о персональных данных Аргентины предусматривает обязательство зарегистрировать базы данных (БД), обрабатывающие персональные данные, а также обязанность создания реестра для регистрации данных БД. Для регистрации БД в Национальной комиссии по защите персональных данных они должны содержать следующую информацию:

• наименование и адрес владельца или контролера базы данных;

• характеристики и назначение базы данных; характер личных данных в каждой базе данных; 

• метод сбора и обновления данных; 

• назначение данных и перечень лиц, которым такие данные могут быть переданы; 

• структуру взаимосвязи записанной информации; сведения об информационной безопасности, в том числе о средствах, используемых для обеспечения безопасности данных; 

• срок хранения данных; 

• порядок и условия, при которых человек может иметь доступ к данным; 

• процедуру для внесения исправления или обновления этих данных.

Сбор и обработка персональных данных в Аргентине являются незаконными, если субъект данных не дал своего согласия или не выразил согласие в письменной форме или иным способом, в зависимости от обстоятельств. Субъект данных должен быть проинформирован заранее о необходимости получения согласия.

Согласие при этом не требуется, если данные: 

• защищены от неограниченного общественного доступа; 

• собраны для исполнения обязанностей государственных органов;

• состоят из списков, не включающих имя, номер национального удостоверения личности, номер налогообложения или идентификации социального обеспечения, род занятий, дату рождения, место жительства и номер телефона; 

• возникают из договорных научных или профессиональных отношений с субъектом данных, необходимы и используются в данных целях или возникают при совершении сделок финансовыми организациями или из информации, полученной от клиентов.

Когда персональные данные запрашиваются, владелец данных должен быстро и четко проинформировать субъекта данных: 

• о цели, для которой эти данные должны быть собраны и обработаны, и кому эти данные будут переданы или какие лица могут их получить; 

• о существовании соответствующей базы данных в электронной или иной форме и данных лица, ответственного за ведение базы данных; 

• об обязательности ответов на запрашиваемую информацию; 

• о последствиях предоставления данных либо отказа в предоставлении данных или предоставлении неточных данных; 

• о праве на доступ, исправлении и ограничении прав.

Персональные данные для сбора и обработки должны быть точными, уместными и не чрезмерными по отношению к объему и цели, для которой они собираются. Существует требование Закона о защите персональных данных в Аргентине о том, что данные не должны собираться недобросовестно или обманным путем. При этом данные могут корректироваться в случае, если стало известно, что данные являются полностью или частично неточными или неполными. В этом случае лицо, ответственное за ведение базы данных, должно заменить такие данные.

Наконец, данные должны храниться таким образом, чтобы владелец (субъект) данных мог осуществлять свое право на доступ и уничтожение данных, как только они перестанут быть необходимыми или актуальными в целях, для которых они были собраны.

В целях применения Закона о защите персональных данных Аргентины директором Агентства по защите данных Аргентины 25 июня 2003 г. подписано распоряжение N 1/2003, определяющее различные типы нарушений и штрафов, установленных ст. 31 Закона о защите персональных данных в Аргентине. В нем определены различные типы нарушений и ответственность за них, в том числе:

• обеспечение доступа к персональным данным неограниченного круга лиц;

• несанкционированный доступ третьих лиц к персональным данным;

• непринятие мер по защите персональных данных.

В распоряжении N 1/2003 определено, что штрафы в размере от одной тысячи песо до ста тысяч песо будут назначаться в зависимости от серьезности и степени тяжести каждого нарушения.

Публикация подготовлена при поддержке юристов DRC.