Селио Викас, пенсиониран държавен служител от Сао Пауло, си спомня особено мъчителен инцидент през януари, когато измамник, представящ се за банков служител по телефона, почти измами го от неговата парола. Викас изтича от дома си, за да промени идентификационните си данни в банкомата, както беше указано, но обаждането беше прекъснато, преди той да разкрие новия си ПИН на измамника.
Докато Vikas имаше късмет, поредица от изтичания на лична информация разтърси Бразилия през последните години, правейки защитата на данните все по-сложна грижа за гражданите.
„Знам, че престъпниците разполагат с личните ми данни и това ме кара да се чувствам много уязвим – почти все едно са ми отнели самоличността“, каза Викас, който, страхувайки се от по-нататъшно излагане, избягва изцяло онлайн транзакциите.
Той не е сам: проучване, публикувано през 2022 г. от Регионалния център за изследване на развитието на информационното общество, установи, че 42 процента от бразилците са „много загрижени“ за своите данни, когато пазаруват онлайн.
Докато Бразилия навърши петата годишнина от своите разпоредби за защита на личните данни, органът, натоварен с прилагането на правилата, поиска допълнителни ресурси и повече сътрудничество за справяне с нарастващите предизвикателства, свързани с данните, пред които са изправени както физически лица, така и фирми, включително разработване на култура за поверителност на данните в Бразилия и справяне със заплахите за поверителността, породени от рискове за киберсигурността и изкуствения интелект.
Стартирал през 2020 г. две години след влизането в сила на Общия закон за защита на данните (LGPD), бразилският Национален орган за защита на данните (ANPD) до момента е действал в 29 официални процеса на надзор, за да гарантира спазването на законите, и наскоро издаде първата му санкция: глоба от 14 400 реала (2 870 долара) и предупреждение срещу Telekall Infoservice за предлагане на списък с контакти в WhatsApp за предизборни кампании за разпространение на материали за кандидати.
От началото на дейността си органът е получил повече от 630 доклада за инциденти със сигурността, включително пробиви на данни и течове за анализ, и над 2300 искания от лица, подаващи сигнали за нередности, и петиции.
„Тези числа са значителни, като се има предвид, че имаме толкова малък екип“, каза Валдемар Гонсалвеш, директор-президент на ANPD, по време на встъпителната си реч на събитие за отбелязване на петата годишнина от закона.
С ограничени ресурси – бюджетът на органа е 36 милиона реала (7,4 милиона долара) за 2023 г. и трябва да намалее с 36 процента през следващата година – ANPD се фокусира върху области като създаване на образователни материали за повишаване на осведомеността относно защитата на данните, насърчаване на приемане на стандарти за услуги и продукти за подобряване на контрола на лицата върху техните лични данни и ангажиране с други органи от обществения сектор.
Според Gonçalves, справянето с въпросите, свързани със защитата на данните за население от повече от 200 милиона души с текущия брой служители на ANPD от 150 служители, е трудна задача.
„Обединеното кралство има население от 70 милиона и неговият орган за защита на данните има [1044] служители“, посочи той за сравнение.
Въпреки този недостатък, следващият ред за бразилския орган за защита на данните е обществена консултация относно международните стандарти за трансфер на данни, които имат за цел да осигурят трансгранична защита на данните, улеснявайки глобалния бизнес, като същевременно защитават поверителността.
Изтичане на данни и санкции
Разпоредбите за защита на данните в Бразилия съществуват от пет години, но влязоха в сила едва преди по-малко от три години. Все пак има забележителна промяна в начина, по който обществото и бизнесът възприемат тези правила, каза Найран Фариас Рабело, директор в ANPD, в интервю за Al Jazeera. „Хората стават все по-наясно с правата си, докато компаниите и публичните организации постепенно инвестират повече в неприкосновеността на личния живот, повлияни от конкуренцията, репутацията или ужасните последици от пренебрегването им“, каза тя.
Най-голямото изтичане на информация в историята на страната досега стана публично достояние през 2020 г. и включва разкриването на лични данни на 243 милиона бразилци, включително пълни имена, адреси и телефонни номера, поради слабо кодирани идентификационни данни, съхранявани в изходния код на Министерството на Уебсайт на Health.
ANPD трябва да има първоначално заключение тази година от разследванията по случая с повече подробности за инцидента и въздействието на изтичането, каза Рабело.
Киберсигурността и поверителността на данните са двете страни на една и съща монета, каза Рабело. „Огромните бази данни, често споделяни с различни предприятия, се нуждаят от адекватна защита. Неуспехът да се гарантира това води директно до компрометирана сигурност и нарушаване на правата на хората. По същество данните не могат да бъдат наистина защитени без прилагане на информационна сигурност”, посочи тя.
Като се има предвид, че данните на безброй бразилци вече са изтекли, въпросът е дали ANPD просто преследва сенки.
Многобройните нарушения на данните не отменят значението на продължаващите усилия за защита, каза Ренато Опице Блум, адвокат, фокусиран върху защитата на данните и цифровото право. „Ситуацията [с киберсигурността в Бразилия] далеч не е идеална, но нещата щяха да са по-лоши, ако нямахме въведени разпоредби за защита на данните“, каза той.
Като цяло комбинация от правни, технологични, културни и икономически фактори води до промяна в пресечната точка между киберсигурността и защитата на данните в Бразилия, каза Маркос Оливейра, управител за Бразилия във фирмата за киберсигурност Palo Alto Networks.
„Стриктното прилагане на строги закони за защита на данните като LGPD, със значителни санкции за нарушения, кара компаниите да инвестират повече в киберсигурността, за да избегнат глоби и репутационни щети“, добави той.
Прогнозираните инвестиции на Бразилия в киберсигурността са определени на 8,3 милиарда реала (1,7 милиарда долара) за 2023 г. и може да достигнат 10,8 милиарда реала (2,2 милиарда долара) до 2026 г., според консултантската фирма PwC. Прогнозите илюстрират уместността на спазването, тъй като санкциите за нарушаване на LGPD могат да достигнат до два процента от приходите на компанията с таван от 50 милиона реала ($10 милиона).
Възможността да се санкционират компании, които не спазват изискванията, ще бъде от решаващо значение за преместване на иглата в бразилското пространство за защита на данните, каза адвокат Опице Блум. „Тъй като ANPD започне да санкционира повече, ще има повече защита за хората и повече съответствие от страна на бизнеса“, прогнозира той.
Това е по-лесно да се каже, отколкото да се направи, тъй като има „предизвикателства при идентифицирането на източника“ на изтичане на данни, особено в частни компании, каза Рабело. Недостигът на персонал в ANPD не помогна.
„Продадох данните си“
Други предизвикателства за ANPD включват индустрията за продажба на данни, където лица, работещи в рамките на бразилски бизнес, печелят от споделяне на лична информация без съгласието на лица.
Някои бразилци са разработили свои собствени методи, за да се предпазят от тази широко разпространена практика.
„Не мога да кажа [кои фирми] са продали данните ми, но съм сигурен, че това се случва, защото съм предоставил фалшиво име и конкретен имейл адрес на определени уебсайтове. След това започнах да получавам подходи от фирми, за които никога не бях чувал да използват фалшивото име“, каза Бруно Магри, системен анализатор.
Справянето с незаконните пазари на данни изисква да се гарантира, че споделянето на данни се извършва само когато е правно обосновано, каза Рабело от ANPD. Въпросът ще бъде решен по-ефективно, когато защитата на данните се разглежда като част от национална стратегия: „Сътрудничеството между различни държавни органи, както федерални, така и щатски, е от съществено значение“, каза тя.
Едно от основните постижения на Бразилия в областта на защитата на данните беше признаването на защитата на данните като основно право, като по този начин я превърна в конституционна гаранция. В допълнение, трансформирането на ANPD в специална автаркия – което означава, че органът има своя собствена техническа, административна и финансова автономия за вземане на решения – беше друга ключова стъпка.
Въпреки това, все още са необходими допълнителни разработки, като например президентски указ, за да може органът да реализира пълния си потенциал, включително промяна на възприятието, че ANPD е донякъде отделена от обикновения гражданин.
„Имам по-високо ниво на осведоменост [за цифровите права] поради професията си“, каза Магри, системният анализатор. „Все пак не бих знаел точно какво да правя, в случай че поверителността на данните ми е била компрометирана, да не говорим за хора, които са уязвими и имат ограничени познания за тези неща.“
Източник: Ал Джазира
