(1)

Με τον κανονισμό (ΕΕ) 2016/679 θεσπίζονται οι κανόνες που διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην Ένωση προς τρίτες χώρες και διεθνείς οργανισμούς, στον βαθμό που η εν λόγω διαβίβαση εμπίπτει στο πεδίο εφαρμογής του. Οι κανόνες για τις διεθνείς διαβιβάσεις δεδομένων καθορίζονται στο κεφάλαιο V (άρθρα 44 έως 50) του εν λόγω κανονισμού. Μολονότι η ροή δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός της Ευρωπαϊκής Ένωσης είναι απαραίτητη για την επέκταση του διασυνοριακού εμπορίου και της διεθνούς συνεργασίας, το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που παρέχεται στην Ένωση δεν πρέπει να υπονομεύεται από διαβιβάσεις προς τρίτες χώρες (2).

(2)

Σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Υπό την προϋπόθεση αυτή, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια, όπως προβλέπεται στο άρθρο 45 παράγραφος 1 και στην αιτιολογική σκέψη 103 του κανονισμού (ΕΕ) 2016/679.

(3)

Όπως ορίζεται στο άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, η έκδοση απόφασης επάρκειας πρέπει να βασίζεται σε ολοκληρωμένη ανάλυση της έννομης τάξης της τρίτης χώρας, η οποία καλύπτει τόσο τους κανόνες στους οποίους υπάγονται οι εισαγωγείς δεδομένων όσο και τους περιορισμούς και τις εγγυήσεις σχετικά με την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα. Στην εκτίμησή της, η Επιτροπή πρέπει να προσδιορίζει αν η εν λόγω τρίτη χώρα εγγυάται επίπεδο προστασίας «ουσιωδώς ισοδύναμο» με αυτό που διασφαλίζεται εντός της Ευρωπαϊκής Ένωσης (3). Το πρότυπο με βάση το οποίο αξιολογείται η «ουσιώδης ισοδυναμία» είναι εκείνο που καθορίζεται από τη νομοθεσία της Ευρωπαϊκής Ένωσης, ιδίως από τον κανονισμό (ΕΕ) 2016/679, καθώς και από τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (4). Στο πλαίσιο αυτό, τα σημεία αναφοράς για την επάρκεια του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (στο εξής: ΕΣΠΔ) είναι επίσης σημαντικά για την περαιτέρω αποσαφήνιση του εν λόγω προτύπου και την παροχή καθοδήγησης (5).

(4)

Όπως έχει διευκρινίσει το Δικαστήριο της Ευρωπαϊκής Ένωσης, δεν μπορεί να απαιτηθεί η τρίτη χώρα να εξασφαλίζει το ίδιο ακριβώς επίπεδο προστασίας με αυτό που παρέχει η έννομη τάξη της Ένωσης (6). Ειδικότερα, τα μέσα που χρησιμοποιεί η τρίτη χώρα για την προστασία των δεδομένων προσωπικού χαρακτήρα μπορούν να διαφέρουν από αυτά που εφαρμόζονται εντός της Ένωσης, εφόσον αποδεικνύονται στην πράξη αποτελεσματικά ώστε να διασφαλίζουν επαρκές επίπεδο προστασίας (7). Συνεπώς, το κριτήριο της επάρκειας δεν επιβάλλει πιστή αντιγραφή των κανόνων της Ένωσης. Το καθοριστικό στοιχείο είναι κυρίως αν, μέσω της ουσίας των δικαιωμάτων περί προστασίας της ιδιωτικής ζωής και των εγγυήσεων για την προστασία των δεδομένων (η οποία περιλαμβάνει την αποτελεσματική εφαρμογή, εποπτεία και επιβολή τους), καθώς και μέσω των περιστάσεων που σχετίζονται με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα, το σύστημα της τρίτης χώρας συνολικά προσφέρει το απαιτούμενο επίπεδο προστασίας (8).

(5)

Η Επιτροπή ανέλυσε τη νομοθεσία και την πρακτική της Ομοσπονδιακής Δημοκρατίας της Βραζιλίας (στο εξής: Βραζιλία). Με βάση τα πορίσματα που παρατίθενται στις αιτιολογικές σκέψεις 7 έως 223, η Επιτροπή καταλήγει στο συμπέρασμα ότι η Βραζιλία διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται εντός του πεδίου εφαρμογής του κανονισμού (ΕΕ) 2016/679 από την Ευρωπαϊκή Ένωση στη Βραζιλία.

(6)

Η παρούσα απόφαση έχει ως αποτέλεσμα οι διαβιβάσεις από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στην Ένωση προς υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στη Βραζιλία να μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια. Η παρούσα απόφαση δεν θίγει την άμεση εφαρμογή του κανονισμού (ΕΕ) 2016/679 στις εν λόγω οντότητες όταν πληρούνται οι προϋποθέσεις σχετικά με το εδαφικό πεδίο εφαρμογής του εν λόγω κανονισμού που τάσσονται στο άρθρο 3 αυτού.

(7)

Η Βραζιλία είναι Ομοσπονδιακή Δημοκρατία που αποτελείται από την ένωση των 26 πολιτειών και της Ομοσπονδιακής Περιφέρειας, όπως ορίζεται στο Ομοσπονδιακό της Σύνταγμα (στο εξής: Σύνταγμα) (9). Οι πολιτείες της Βραζιλίας έχουν επίσης τα δικά τους συντάγματα, τα οποία δεν πρέπει να αντιβαίνουν στο Ομοσπονδιακό Σύνταγμα (10). Η Βραζιλία διαθέτει προεδρικό σύστημα στο πλαίσιο του οποίου ο πρόεδρος και τα μέλη των νομοθετικών σωμάτων (δηλαδή της Βουλής των Αντιπροσώπων και της Ομοσπονδιακής Γερουσίας) εκλέγονται άμεσα.

(8)

Η προστασία της ιδιωτικής ζωής και των δεδομένων κατοχυρώνονται στο Σύνταγμα ως θεμελιώδη δικαιώματα. Ειδικότερα, το άρθρο 5 σημείο X του Συντάγματος προστατεύει την ιδιωτικότητα και την ιδιωτική ζωή των φυσικών προσώπων, το άρθρο 5 σημείο XII εγγυάται το απόρρητο της αλληλογραφίας και των επικοινωνιών, συμπεριλαμβανομένων των δεδομένων, και το άρθρο 5 σημείο LXXIX θεσπίζει το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα εντός και εκτός διαδικτύου (11).

(9)

Όλα τα δικαιώματα που απορρέουν από το Σύνταγμα ισχύουν για τους Βραζιλιάνους και τους αλλοδαπούς που διαμένουν στη Βραζιλία σύμφωνα με το άρθρο 5 του Συντάγματος. Οι ομοσπονδιακοί νόμοι έχουν διευκρινίσει ότι κάθε πρόσωπο στην επικράτεια της Βραζιλίας, είτε διαμένει σε αυτήν είτε όχι, απολαύει της προστασίας των θεμελιωδών δικαιωμάτων του (12). Το πεδίο της προστασίας των εν λόγω δικαιωμάτων διευρύνθηκε περαιτέρω με τη συνταγματική νομολογία ώστε να συμπεριλάβει τους αλλοδαπούς που ζουν στο εξωτερικό, όπως επισημαίνεται επίσης στη σχετική νομική θεωρία (13). Ως εκ τούτου, κάθε αλλοδαπός, είτε διαμένει στη Βραζιλία είτε όχι, μπορεί να επικαλεστεί αυτή τη συνταγματική προστασία (14).

(10)

Η Βραζιλία επικύρωσε την Αμερικανική Σύμβαση των Δικαιωμάτων του Ανθρώπου, γνωστή ως «Σύμφωνο του Σαν Χοσέ» το 1992 (15) (στο εξής: Σύμβαση). Μεταξύ άλλων, το άρθρο 11 της Σύμβασης εγγυάται το δικαίωμα στην ιδιωτική ζωή και το άρθρο 8 προστατεύει το δικαίωμα σε δίκαιη δίκη. Το 1998 η Βραζιλία αναγνώρισε τη δεσμευτική αρμοδιότητα του Διαμερικανικού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων για την ερμηνεία και την εφαρμογή της Σύμβασης (16). Το Δικαστήριο μπορεί να εκδίδει αποφάσεις σχετικά με την εφαρμογή δικαιωμάτων στο πλαίσιο δραστηριοτήτων που ασκούνται από δημόσιες αρχές στη Βραζιλία, συμπεριλαμβανομένων των αρχών που εκτελούν καθήκοντα για σκοπούς δημόσιας ασφάλειας και άμυνας (17).

(11)

Το 2018 η Βραζιλία θέσπισε γενική νομοθεσία στον τομέα της προστασίας των δεδομένων, η οποία παρέχει εγγυήσεις για όλα τα φυσικά πρόσωπα, ανεξάρτητα από την ιθαγένειά τους: τον γενικό νόμο για την προστασία των δεδομένων ή «Lei Geral de Proteção de Dados» (στο εξής: LGPD) (18).

(12)

Μετά τη θέσπισή του, ο LGPD ενισχύθηκε και αποσαφηνίστηκε μέσω περαιτέρω νομοθεσίας. Ειδικότερα, με τον νόμο αριθ. 13.853 του 2019 συστάθηκε η Αρχή Προστασίας Δεδομένων της Βραζιλίας (19), η αποκαλούμενη Agência Nacional de Proteção de Dados (στο εξής: ANPD), η οποία κατέστη ανεξάρτητη αρχή μέσω νομοθεσίας που θεσπίστηκε το 2022 (20). Περαιτέρω δεσμευτικά διατάγματα συμπλήρωσαν τις εν λόγω νομοθεσίες, μεταξύ άλλων, για την αναβάθμιση του καθεστώτος της ANPD (21) και τον περαιτέρω καθορισμό της σύνθεσής της και της διαδικασίας διορισμού των διαχειριστών της (22).

(13)

Όπως περιγράφεται αναλυτικότερα στις αιτιολογικές σκέψεις 125 έως 141 της παρούσας απόφασης, η ANPD είναι η αρμόδια αρχή για την ερμηνεία και την επιβολή του LGPD. Στο πλαίσιο αυτό, εκδίδει τακτικά δεσμευτικούς κανονισμούς για την ερμηνεία και την εφαρμογή του νόμου. Για παράδειγμα, έχει εκδώσει διάφορους κανονισμούς για την περαιτέρω ανάπτυξη του καθεστώτος κυρώσεων και τον καθορισμό των κανόνων σχετικά με την κοινοποίηση παραβιάσεων δεδομένων (23). Περαιτέρω καθοδήγηση σχετικά με την εφαρμογή και την ερμηνεία του LGPD παρέχεται από την ANPD μέσω εγγράφων και οδηγών, όπως εκείνοι που εγκρίθηκαν σχετικά με την ερμηνεία της νομικής βάσης (π.χ. έννομο συμφέρον) και βασικών εννοιών στο πλαίσιο του LGPD (π.χ. κυρώσεις, υπεύθυνος προστασίας δεδομένων).

(14)

Στο πλαίσιο της διεθνούς δέσμευσής της για την προώθηση και την προάσπιση της προστασίας των δεδομένων, το 2023 η ANPD της Βραζιλίας έγινε μέλος της Παγκόσμιας Συνέλευσης για την Προστασία της Ιδιωτικής Ζωής, μαζί με όλες τις αρχές προστασίας δεδομένων από την Ευρωπαϊκή Ένωση (24). Η Βραζιλία προσχώρησε επίσης, ως παρατηρητής, στην Επιτροπή του Συμβουλίου της Ευρώπης για τη Σύμβαση 108περί προστασίας των φυσικών προσώπων από την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα (25). Η Βραζιλία έχει επίσης πρωτοστατήσει σε διάφορες θετικές εξελίξεις που έχουν σημειωθεί στον Οργανισμό Ηνωμένων Εθνών (στο εξής: ΟΗΕ) όσον αφορά το δικαίωμα στην ιδιωτική ζωή. Η Βραζιλία, μαζί με τη Γερμανία, υπέβαλε τα ψηφίσματα των Ηνωμένων Εθνών σχετικά με το δικαίωμα στην ιδιωτική ζωή στην ψηφιακή εποχή, τα οποία εγκρίθηκαν από τη Γενική Συνέλευση των Ηνωμένων Εθνών το 2013 και το 2014 (26). Μεταξύ άλλων διατάξεων, στο εν λόγω ψήφισμα επισημαίνεται ότι «η παράνομη ή αυθαίρετη παρακολούθηση και/ή υποκλοπή επικοινωνιών, καθώς και η παράνομη ή αυθαίρετη συλλογή δεδομένων προσωπικού χαρακτήρα, ως εξαιρετικά παρεμβατικές πράξεις, παραβιάζουν το δικαίωμα στην ιδιωτική ζωή και την ελευθερία της έκφρασης, και ενδέχεται να αντιβαίνουν στις αρχές μιας δημοκρατικής κοινωνίας». Οι πολιτείες καλούνται να επανεξετάσουν τους κανόνες για τη συλλογή δεδομένων ώστε να ευθυγραμμιστούν με το διεθνές δίκαιο για τα ανθρώπινα δικαιώματα και να «θεσπίσουν ή να διατηρήσουν υφιστάμενους ανεξάρτητους, αποτελεσματικούς εγχώριους μηχανισμούς εποπτείας, ικανούς να διασφαλίζουν τη διαφάνεια, κατά περίπτωση, και τη λογοδοσία για την κρατική παρακολούθηση των επικοινωνιών, την υποκλοπή τους και τη συλλογή δεδομένων προσωπικού χαρακτήρα» (27).

(15)

Όσον αφορά τη δομή και τις κύριες συνιστώσες του, το νομικό πλαίσιο της Βραζιλίας που εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα τα οποία διαβιβάζονται βάσει της παρούσας απόφασης είναι παρόμοιο με εκείνο που ισχύει στην Ευρωπαϊκή Ένωση. Οι ομοιότητες αυτές περιλαμβάνουν το γεγονός ότι το εν λόγω πλαίσιο δεν βασίζεται μόνο σε υποχρεώσεις που προβλέπονται στο εθνικό δίκαιο και σε δικαιώματα που κατοχυρώνονται στο Σύνταγμα της χώρας, αλλά και σε υποχρεώσεις που κατοχυρώνονται στο διεθνές δίκαιο, ειδικότερα μέσω της προσχώρησης της Βραζιλίας στην Αμερικανική Σύμβαση των Δικαιωμάτων του Ανθρώπου, καθώς και μέσω της αναγνώρισης της δικαιοδοσίας του Διαμερικανικού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων (28).

(16)

Ο LGPD εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στη Βραζιλία ανεξάρτητα από τα μέσα που χρησιμοποιούνται για την εκτέλεση της εν λόγω δραστηριότητας (29).

(17)

Το άρθρο 3 του LGPD διευκρινίζει το εδαφικό πεδίο εφαρμογής του νόμου, αναφέροντας ότι εφαρμόζεται: 1) σε δραστηριότητες επεξεργασίας που διεξάγονται στην εθνική επικράτεια της Βραζιλίας (η οποία καλύπτει την Ένωση, τις πολιτείες, την Ομοσπονδιακή Περιφέρεια και τους δήμους)· 2) σε δραστηριότητες επεξεργασίας με σκοπό την προσφορά ή την παροχή αγαθών ή υπηρεσιών ή την επεξεργασία δεδομένων φυσικών προσώπων που βρίσκονται στην εθνική επικράτεια της Βραζιλίας· καθώς και 3) όταν τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία έχουν συλλεχθεί στην εθνική επικράτεια της Βραζιλίας. Η προσέγγιση αυτή είναι παρόμοια με την προσέγγιση του άρθρου 3 του κανονισμού (ΕΕ) 2016/679.

(18)

Επιπλέον, σύμφωνα με το άρθρο 3 σημείο II του LGPD, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα φυσικών προσώπων που βρίσκονται στην εθνική επικράτεια διέπεται από τον νόμο. Στο πλαίσιο αυτό περιλαμβάνεται η επεξεργασία που διενεργείται για την παρακολούθηση της συμπεριφοράς φυσικών προσώπων στην επικράτεια ανεξάρτητα από τον τόπο επεξεργασίας των δεδομένων.

(19)

Τέλος, από τη νομολογία του Ανώτατου Ομοσπονδιακού Δικαστηρίου (Supremo Tribunal Federal, στο εξής: STF) συνάγεται ότι η προστασία των θεμελιωδών δικαιωμάτων που παρέχεται από το Σύνταγμα, όπως του δικαιώματος στην προστασία των δεδομένων, ισχύει για κάθε πρόσωπο, ανεξάρτητα από την ιθαγένεια ή την κατοικία του υποκειμένου των δεδομένων (30).

(20)

Το άρθρο 5 σημείο I του LGPD ορίζει τα δεδομένα προσωπικού χαρακτήρα ως πληροφορίες που σχετίζονται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Ο νόμος ορίζει ότι «υποκείμενο των δεδομένων» είναι το «φυσικό πρόσωπο το οποίο αφορούν τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία» (31).

(21)

Επιπλέον, οι ψευδώνυμες πληροφορίες —δηλαδή πληροφορίες που δεν μπορούν πλέον να ταυτοποιήσουν άμεσα ή έμμεσα συγκεκριμένο φυσικό πρόσωπο ή να συνδεθούν άμεσα ή έμμεσα με συγκεκριμένο φυσικό πρόσωπο χωρίς να χρησιμοποιηθούν πρόσθετες πληροφορίες ή να συνδυαστούν με πρόσθετες πληροφορίες για την επαναφορά τους στην αρχική τους κατάσταση— θεωρούνται δεδομένα προσωπικού χαρακτήρα βάσει του LGPD (32).

(22)

Αντίθετα, οι πληροφορίες που είναι πλήρως «ανωνυμοποιημένες» εξαιρούνται από το πεδίο εφαρμογής του LGPD (33). Σύμφωνα με το άρθρο 5 του LGPD, ως ανωνυμοποιημένα δεδομένα ορίζονται τα δεδομένα τα οποία, με τη χρήση εύλογων και τεχνικών μέσων διαθέσιμων κατά τον χρόνο της επεξεργασίας, δεν μπορούν να συνδεθούν άμεσα ή έμμεσα με ορισμένο φυσικό πρόσωπο. Το άρθρο 12 του LGPD διευκρινίζει περαιτέρω ότι τα ανωνυμοποιημένα δεδομένα δεν θεωρούνται δεδομένα προσωπικού χαρακτήρα, εκτός εάν η διαδικασία ανωνυμοποίησης στην οποία υποβλήθηκαν τα δεδομένα έχει αντιστραφεί ή εάν μπορεί να αντιστραφεί μέσω «εύλογων προσπαθειών». Το άρθρο 12 του LGPD υπογραμμίζει επίσης ότι για τον καθορισμό του τι θεωρείται «εύλογο» λαμβάνονται υπόψη αντικειμενικοί παράγοντες, όπως: 1) το κόστος και ο χρόνος που απαιτούνται για την αντιστροφή· 2) η διαθέσιμη τεχνολογία· και 3) η αποκλειστική χρήση των μέσων του υπευθύνου επεξεργασίας. Η προσέγγιση της ανωνυμοποίησης και οι διασφαλίσεις που θεσπίστηκαν στον LGPD για την αντιμετώπιση της δυνατότητας επαναταυτοποίησης είναι παρόμοιες με εκείνες που ακολουθούνται στην ΕΕ.

(23)

Αυτό αντιστοιχεί στο καθ’ ύλην πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679 και στις έννοιες «δεδομένα προσωπικού χαρακτήρα», «ψευδωνυμοποίηση» και «ανωνυμοποιημένες πληροφορίες».

(24)

Οι ορισμοί της «επεξεργασίας» στα συστήματα της Ευρωπαϊκής Ένωσης και της Βραζιλίας αναφέρονται αμφότεροι σε «κάθε πράξη» που πραγματοποιείται με δεδομένα προσωπικού χαρακτήρα (34). Το άρθρο 5 σημείο X του LGPD προβλέπει τον ακόλουθο μη εξαντλητικό κατάλογο δραστηριοτήτων που συνιστούν επεξεργασία: «συλλογή, παραγωγή, λήψη, ταξινόμηση, χρήση, πρόσβαση, αναπαραγωγή, μετάδοση, διανομή, επεξεργασία, αρχειοθέτηση, αποθήκευση, διαγραφή, αξιολόγηση ή έλεγχος πληροφοριών, τροποποίηση, κοινολόγηση, διαβίβαση, διάδοση ή εξαγωγή».

(25)

Η έννοια του υπευθύνου επεξεργασίας δεδομένων ορίζεται στον LGPD ως το φυσικό ή νομικό πρόσωπο, δημόσιο ή ιδιωτικό, το οποίο είναι υπεύθυνο για τη λήψη αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα (35).

(26)

Η έννοια του εκτελούντος την επεξεργασία δεδομένων ορίζεται στον LGPD ως το φυσικό ή νομικό πρόσωπο, δημόσιο ή ιδιωτικό, το οποίο εκτελεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας (36). Ο εκτελών την επεξεργασία πρέπει να διενεργεί την επεξεργασία σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας, ο οποίος είναι υπεύθυνος για την επαλήθευση της συμμόρφωσης (37).

(27)

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει να τηρούν αρχείο των πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα που εκτελούν, ιδίως όταν βασίζονται σε έννομο συμφέρον (38).

(28)

Σύμφωνα με τον LGPD, δύο ή περισσότεροι υπεύθυνοι επεξεργασίας που συμμετέχουν άμεσα στην επεξεργασία από την οποία υπέστη ζημία το υποκείμενο των δεδομένων ευθύνονται αλληλεγγύως και εις ολόκληρον (39). Ο εκτελών την επεξεργασία ευθύνεται αλληλεγγύως και εις ολόκληρον για τη ζημία που προκλήθηκε από την επεξεργασία όταν δεν συμμορφώνεται με τις υποχρεώσεις του LGPD, όπως προβλέπονται στο άρθρο 44 του LGPD, ή όταν δεν έχει ακολουθήσει τις νομικές οδηγίες του υπευθύνου επεξεργασίας (40).

(29)

Ως εκ τούτου, οι κανόνες που ρυθμίζουν τη σχέση μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία στο πλαίσιο του LGPD είναι παρόμοιοι με εκείνους του κεφαλαίου IV του κανονισμού (ΕΕ) 2016/679.

(30)

Όπως και στο σύστημα της Ευρωπαϊκής Ένωσης, ο LGPD δεν εφαρμόζεται σε ανωνυμοποιημένα δεδομένα (41), στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για αμιγώς οικιακούς σκοπούς (42) ή όταν η επεξεργασία διενεργείται αποκλειστικά για σκοπούς δημόσιας ασφάλειας, εθνικής άμυνας, κρατικής ασφάλειας ή διερεύνησης και δίωξης ποινικών αδικημάτων (43).

(31)

Ωστόσο, η εξαίρεση στον τομέα της δημόσιας ασφάλειας, της εθνικής άμυνας, της κρατικής ασφάλειας και της διερεύνησης και δίωξης ποινικών αδικημάτων είναι μερική. Το Ανώτατο Ομοσπονδιακό Δικαστήριο έχει ερμηνεύσει τη δυνατότητα εφαρμογής του LGPD υπό το πρίσμα της συνταγματικής προστασίας των δεδομένων προσωπικού χαρακτήρα και έχει αποφανθεί ότι οι βασικές αρχές, τα δικαιώματα και οι στόχοι του LGPD ισχύουν για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές, μεταξύ άλλων όταν η εν λόγω επεξεργασία διενεργείται για σκοπούς «συλλογής πληροφοριών» (44). Επιπλέον, οι προϋποθέσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς δημόσιας ασφάλειας, εθνικής άμυνας, κρατικής ασφάλειας ή διερεύνησης και δίωξης ποινικών αδικημάτων καθορίζονται στο άρθρο 4 παράγραφοι 2 έως 4 του LGPD, συγκεκριμένα, για να αποτραπεί η επεξεργασία δεδομένων από ιδιωτικούς φορείς για τους σκοπούς αυτούς, να δοθεί στην ANPD εντολή να εκδώσει τεχνικές γνωμοδοτήσεις και συστάσεις επί του θέματος και να εξουσιοδοτηθεί η ANPD να ζητεί εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων σε σχέση με τις εν λόγω δραστηριότητες (45). Σε αυτή τη βάση, η ANPD διενήργησε, για παράδειγμα, έρευνες και εξέδωσε κατευθυντήριες γραμμές, όπως τεχνικό σημείωμα που απευθύνεται στο Υπουργείο Δικαιοσύνης και Δημόσιας Ασφάλειας σχετικά με τη χρήση τεχνολογιών, συμπεριλαμβανομένης της αναγνώρισης προσώπου, σε δημόσιους χώρους (46). Στο εν λόγω σημείωμα, η ANPD υπενθύμισε ότι η επεξεργασία για τους σκοπούς αυτούς πρέπει να συνάδει με τις γενικές αρχές και τα δικαιώματα που προβλέπει ο LGPD (47).

(32)

Το άρθρο 4 σημείο II του LGPD εισάγει περαιτέρω μερική εξαίρεση του νόμου για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς ακαδημαϊκής έρευνας και για δημοσιογραφικούς και καλλιτεχνικούς σκοπούς.

(33)

Όσον αφορά την ακαδημαϊκή έρευνα, η εξαίρεση περιορίζεται από διάφορα στοιχεία. Πρώτον, σύμφωνα με το άρθρο 4 σημείο II του LGPD, η επεξεργασία πρέπει να πραγματοποιείται «αποκλειστικά» για σκοπούς ακαδημαϊκής έρευνας. Δεύτερον, το άρθρο 4 σημείο II στοιχείο b) του LGPD ορίζει ότι σε αυτά τα είδη επεξεργασίας εφαρμόζονται τα άρθρα 7 (απαίτηση νομικής βάσης) και 11 (κανόνες για την επεξεργασία ευαίσθητων δεδομένων) (48). Τρίτον, η ANPD έχει καταρτίσει οδηγό προσανατολισμού για τον περαιτέρω προσδιορισμό των κανόνων που εφαρμόζονται στην επεξεργασία δεδομένων για ακαδημαϊκούς και ερευνητικούς σκοπούς, μεταξύ άλλων καθορίζοντας αυστηρά ποιες οντότητες μπορούν να θεωρηθούν «ερευνητικός φορέας» όπως ορίζεται στο άρθρο 5 σημείο XVII του LGPD (49). Στις εν λόγω κατευθυντήριες γραμμές, η ANPD επιβεβαιώνει ότι η επεξεργασία δεδομένων για σκοπούς ακαδημαϊκής έρευνας εξαιρείται μόνον εν μέρει από τον LGPD και ότι θα εφαρμόζονται οι γενικές αρχές του δικαίου (50).

(34)

Όσον αφορά ειδικά τα δεδομένα που χρησιμοποιούνται για σκοπούς έρευνας στον τομέα της υγείας, ο LGPD περιέχει πρόσθετους περιορισμούς. Αφενός, το άρθρο 13 του LGPD θεσπίζει υποχρεώσεις ασφάλειας για τις χρησιμοποιούμενες βάσεις δεδομένων και ενθαρρύνει τη χρήση τεχνικών ανωνυμοποίησης και ψευδωνυμοποίησης. Προβλέπει επίσης ότι οι ερευνητικοί φορείς θα θεωρούνται υπεύθυνοι για τη μη εφαρμογή μέτρων ασφάλειας για την προστασία των δεδομένων προσωπικού χαρακτήρα (51). Αφετέρου, η διαβίβαση σε τρίτους δεδομένων που χρησιμοποιούνται για σκοπούς έρευνας στον τομέα της υγείας «απαγορεύεται, σε κάθε περίπτωση» (52).

(35)

Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για δημοσιογραφικούς και καλλιτεχνικούς σκοπούς, η εξαίρεση του LGPD είναι παρόμοια με εκείνη που προβλέπεται στο άρθρο 85 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679. Η εξαίρεση βάσει του LGPD καλύπτει την περίπτωση κατά την οποία η επεξεργασία πραγματοποιείται «αποκλειστικά» για τους σκοπούς αυτούς (53). Αυτό σημαίνει ότι όταν φορείς του Τύπου, των μέσων ενημέρωσης και καλλιτεχνικοί φορείς επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς, όπως για σκοπούς διαχείρισης ανθρώπινων πόρων ή εσωτερικής διοίκησης, ο LGPD εφαρμόζεται πλήρως.

(36)

Η καλλιτεχνική έκφραση και η ελευθερία των μέσων ενημέρωσης αποτελούν αμφότερες μέρος της ελευθερίας της έκφρασης σύμφωνα με το άρθρο 5 σημείο IX του Συντάγματος, το οποίο εγγυάται την ελευθερία της έκφρασης για τον «πνευματικό, καλλιτεχνικό, επιστημονικό και επικοινωνιακό λόγο». Όσον αφορά τη στάθμιση μεταξύ της ελευθερίας της έκφρασης και άλλων δικαιωμάτων (συμπεριλαμβανομένων των δικαιωμάτων στην ιδιωτική ζωή και την προστασία των δεδομένων), αυτή διέπεται από κριτήρια που προβλέπονται στο Σύνταγμα, όπως ερμηνεύονται από το Ανώτατο Ομοσπονδιακό Δικαστήριο. Ειδικότερα, η άσκηση του δικαιώματος στην ελευθερία της έκφρασης δεν απαιτεί προηγούμενη έγκριση, αλλά υπόκειται στα όρια που επιβάλλονται για την προστασία άλλων θεμελιωδών δικαιωμάτων. Συγκεκριμένα, ένα φυσικό πρόσωπο μπορεί να ζητήσει αποζημίωση σε περίπτωση βλάβης ή παραβίασης του δικαιώματος στην ιδιωτική ζωή, σύμφωνα με το άρθρο 5 σημείο X του Συντάγματος. Επιπλέον, οι διασφαλίσεις αυτές ενσωματώθηκαν στο αστικό πλαίσιο για το διαδίκτυο, έναν νόμο που θεσπίστηκε το 2014 για την προστασία των θεμελιωδών δικαιωμάτων στο διαδίκτυο (54). Ειδικότερα, το άρθρο 7 σημείο I του αστικού πλαισίου για το διαδίκτυο εγγυάται το «απαραβίαστο της ιδιωτικής ζωής» και θεσπίζει δικαίωμα αποζημίωσης για κάθε υλική ή ηθική βλάβη που προκύπτει από παραβίαση. Επιπλέον, το STF αναφέρεται στη νομολογία του στην ανάγκη να «επιτευχθεί στάθμιση μεταξύ των δικαιωμάτων, μέσω συμβιβασμού του δικαιώματος στην ελευθερία της έκφρασης με το απαραβίαστο της ιδιωτικής ζωής», τονίζοντας τη σημασία του δικαιώματος επανόρθωσης και πρόσβασης σε μέσα παροχής έννομης προστασίας σε περίπτωση παραβίασης της ιδιωτικής ζωής (55). Σε άλλη υπόθεση, το STF υπενθύμισε ότι «οι ελευθερίες του Τύπου και της κοινωνικής επικοινωνίας πρέπει να ασκούνται σε αρμονία με άλλες συνταγματικές αρχές», όπως το απαραβίαστο της ιδιωτικής ζωής και το δικαίωμα στην προστασία των δεδομένων (56).

(37)

Τέλος, ο LGPD εξαιρεί από το πεδίο εφαρμογής του νόμου την επεξεργασία δεδομένων που προέρχονται από χώρες εκτός Βραζιλίας και είτε 1) δεν ανταλλάσσονται ούτε κοινοποιούνται σε φορείς επεξεργασίας στη Βραζιλία είτε 2) προέρχονται από χώρα που έχει κριθεί κατάλληλη βάσει του LGPD, εφόσον δεν διαβιβάζονται σε άλλη χώρα (57). Η ANPD έχει παράσχει δεσμευτική ερμηνεία για την αποσαφήνιση των δύο σεναρίων με αυστηρό τρόπο στον κανονισμό της για τη διαβίβαση δεδομένων (58).

(38)

Σύμφωνα με το πρώτο σενάριο, η απλή διαβίβαση δεδομένων προσωπικού χαρακτήρα μέσω της Βραζιλίας, χωρίς πρόσθετη επεξεργασία στη χώρα, θα εξαιρείται από τον νόμο (59). Ωστόσο, αμέσως μετά την πρόσβαση στα δεδομένα, τη χρήση τους ή την κατ’ άλλο τρόπο επεξεργασία τους στη Βραζιλία, θα εφαρμόζεται ο LGPD. Οι υφιστάμενοι εθνικοί κανόνες για την κυβερνοασφάλεια και την πρόσβαση σε δεδομένα από τις δημόσιες αρχές θα εξακολουθήσουν επίσης να εφαρμόζονται σε αυτό το περιορισμένο σενάριο, ανεξάρτητα από το αν τα δεδομένα υποβάλλονται σε επεξεργασία ή παραμένουν απλώς υπό διαμετακόμιση.

(39)

Στο δεύτερο σενάριο, η ANPD διευκρίνισε ότι μόνο η επιστροφή δεδομένων που έχουν αρχικά διαβιβαστεί από χώρα που επωφελείται από απόφαση επάρκειας βάσει του LGPD εξαιρείται από τον νόμο, εφόσον στην εν λόγω επεξεργασία εφαρμόζεται το εθνικό δίκαιο της εν λόγω κατάλληλης χώρας. Και στην περίπτωση αυτή, θα εξακολουθήσουν να ισχύουν οι κανόνες για την κυβερνοασφάλεια και για την πρόσβαση των δημόσιων αρχών σε δεδομένα. Στο πλαίσιο της διαβίβασης δεδομένων προσωπικού χαρακτήρα μεταξύ της ΕΕ και της Βραζιλίας, σε περίπτωση που η ΕΕ επωφεληθεί από απόφαση επάρκειας από τη Βραζιλία, η επιστροφή δεδομένων από τη Βραζιλία στην ΕΕ δεν εμπίπτει πάντα στο πεδίο εφαρμογής του άρθρου 3 του κανονισμού (ΕΕ) 2016/679. Ως εκ τούτου, σε περιπτώσεις στις οποίες η υπό εξέταση επεξεργασία δεν εμπίπτει στο πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679, από το άρθρο 8 σημείο II στοιχείο b) του κανονισμού για τη διαβίβαση δεδομένων προκύπτει ότι ο LGPD θα εφαρμόζεται στην επιστροφή δεδομένων από τη Βραζιλία στην ΕΕ.

(40)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και θεμιτή.

(41)

Οι αρχές της νομιμότητας, της καλής πίστης και της διαφάνειας, καθώς και οι λόγοι της σύννομης επεξεργασίας, κατοχυρώνονται βάσει των άρθρων 6 και 7 του LGPD μέσω όρων παρόμοιων με τα άρθρα 5 και 6 του κανονισμού (ΕΕ) 2016/679.

(42)

Σύμφωνα με τα άρθρα 6 και 7 του LGPD, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία επεξεργάζονται πληροφορίες προσωπικού χαρακτήρα νόμιμα και καλόπιστα στον ελάχιστο αναγκαίο βαθμό για τον συγκεκριμένο σκοπό, καλύπτοντας δεδομένα που είναι συναφή, αναλογικά και μη υπερβολικά σε σχέση με τον σκοπό (60).

(43)

Οι εν λόγω γενικές αρχές της νόμιμης επεξεργασίας εξειδικεύονται περαιτέρω στο άρθρο 7 του LGPD, το οποίο καθορίζει τις διαφορετικές νομικές βάσεις για την επεξεργασία, συμπεριλαμβανομένων των περιστάσεων υπό τις οποίες αυτό μπορεί να συνεπάγεται αλλαγή του σκοπού.

(44)

Σύμφωνα με το άρθρο 7 του LGPD, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία μπορούν να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα μόνο για περιορισμένο αριθμό νομικών λόγων. Αυτοί οι νομικοί λόγοι που προβλέπονται στο πλαίσιο του LGPD είναι οι εξής: 1) η συγκατάθεση του υποκειμένου των δεδομένων (σημείο I)· 2) η ανάγκη εκτέλεσης σύμβασης ή προκαταρκτικών διαδικασιών που σχετίζονται με σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος, κατόπιν αιτήματος του υποκειμένου των δεδομένων (σημείο V)· 3) η συμμόρφωση του υπευθύνου επεξεργασίας με νομική ή κανονιστική υποχρέωση (61) (σημείο II)· 4) η προστασία της ζωής ή της σωματικής ακεραιότητας του υποκειμένου των δεδομένων ή τρίτου (σημείο VII)· 5) η επεξεργασία δεδομένων από δημόσια διοίκηση, η οποία είναι απαραίτητη για την εκτέλεση δημόσιων πολιτικών που προβλέπονται σε νομοθετικές και κανονιστικές διατάξεις, ή βάσει συμβάσεων, συμφωνιών ή παρόμοιων πράξεων (62) (σημείο III) και 6) όταν είναι αναγκαίο για την εκπλήρωση των έννομων συμφερόντων του υπευθύνου επεξεργασίας ή τρίτου, εκτός από την περίπτωση που υπερισχύουν τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που απαιτούν την προστασία των δεδομένων προσωπικού χαρακτήρα (σημείο IX).

(45)

Το άρθρο 7 του LGPD προβλέπει τέσσερις πρόσθετες ειδικές νομικές βάσεις για την επεξεργασία δεδομένων, οι οποίες είναι οι εξής: 1) η διεξαγωγή μελετών από ερευνητικούς φορείς, στο πλαίσιο των οποίων διασφαλίζεται, όποτε είναι δυνατόν, η ανωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα (σημείο IV)· 2) η τακτική άσκηση των δικαιωμάτων σε δικαστικές, διοικητικές ή διαιτητικές διαδικασίες (63) (σημείο VI)· 3) η προστασία της υγείας, αποκλειστικά στο πλαίσιο διαδικασίας που εκτελείται από επαγγελματίες του τομέα της υγείας, υγειονομικές υπηρεσίες ή υγειονομικές αρχές (σημείο VIII)· και 4) η πιστωτική προστασία (σημείο X) (64).

(46)

Οι τυπικές προϋποθέσεις για την εξασφάλιση έγκυρης συγκατάθεσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του LGPD καθορίζονται στο άρθρο 8, βάσει παρόμοιας προσέγγισης με το άρθρο 4 παράγραφος 11 και το άρθρο 7 του κανονισμού (ΕΕ) 2016/679. Πρώτον, η συγκατάθεση πρέπει να παρέχεται είτε γραπτώς είτε με άλλα μέσα ικανά να αποδείξουν την «εκδήλωση της βούλησης» του υποκειμένου των δεδομένων (65). Στις κατευθυντήριες γραμμές της, η ANPD διευκρίνισε ότι «η συγκατάθεση πρέπει να είναι αδιαμφισβήτητη, πράγμα που απαιτεί σαφή και θετική έκφραση βούλησης από το υποκείμενο των δεδομένων», κάτι που σημαίνει ότι δεν επιτρέπεται η λήψη συγκατάθεσης «σιωπηρά ή από παράλειψη του υποκειμένου των δεδομένων» (66). Δεύτερον, η συγκατάθεση αφορά «συγκεκριμένους σκοπούς» και οι «γενικές άδειες επεξεργασίας» δεδομένων προσωπικού χαρακτήρα θεωρούνται άκυρες (67). Τρίτον, η συγκατάθεση παρέχεται κατόπιν ενημέρωσης που πραγματοποιείται με «διαφανή, σαφή και αδιαμφισβήτητο» τρόπο (68). Όταν περιλαμβάνεται σε μια ευρύτερη σύμβαση, η συγκατάθεση πρέπει να παρουσιάζεται σε χωριστή και ειδική ρήτρα που ξεχωρίζει σαφώς από τις άλλες συμβατικές διατάξεις (69). Επιπλέον, η συγκατάθεση θεωρείται άκυρη εάν οι πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων περιέχουν «παραπλανητικό ή καταχρηστικό περιεχόμενο» (70). Ο υπεύθυνος επεξεργασίας πρέπει επίσης να ενημερώνει το υποκείμενο των δεδομένων για τυχόν αλλαγές όσον αφορά: 1) τον ειδικό σκοπό της επεξεργασίας· 2) το είδος ή τη διάρκεια της επεξεργασίας· 3) την ταυτότητα του υπευθύνου της επεξεργασίας· ή 4) οποιαδήποτε πληροφορία σχετικά με την επεξεργασία και την πιθανή ανταλλαγή δεδομένων (71). Τέταρτον, η συγκατάθεση μπορεί να «ανακληθεί ανά πάσα στιγμή» από το υποκείμενο των δεδομένων μέσω «δωρεάν διαδικασίας» (72).

(47)

Ο LGPD θεσπίζει αυστηρή απαγόρευση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν η συγκατάθεση είναι ελαττωματική ή άκυρη (73). Ο LGPD διευκρινίζει περαιτέρω ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος να αποδείξει ότι η συγκατάθεση εξασφαλίστηκε νομίμως σύμφωνα με τον LGPD (74).

(48)

Τέλος, ο LGPD ορίζει ότι, σε περίπτωση που η συγκατάθεση θα αποτελούσε την κατάλληλη νομική βάση για την επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα έχουν «προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων», η απαίτηση συγκατάθεσης θεωρείται ότι έχει αρθεί (75). Η έννοια των «προδήλως δημόσιων δεδομένων» περιλαμβάνεται επίσης στο άρθρο 9 του κανονισμού (ΕΕ) 2016/679. Ωστόσο, ακόμη και όταν θεωρείται ότι έχει αρθεί η απαίτηση συγκατάθεσης, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία δεν απαλλάσσονται από την υποχρέωση συμμόρφωσης με όλα τα άλλα δικαιώματα και υποχρεώσεις που προβλέπονται στο πλαίσιο του LGPD (76). Ειδικότερα, τα δεδομένα που έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων μπορούν να υποβληθούν σε περαιτέρω επεξεργασία, υπό την προϋπόθεση ότι προορίζονται για «θεμιτό και συγκεκριμένο» σκοπό και ότι η επεξεργασία αυτή δεν προσκρούει στα δικαιώματα των υποκειμένων των δεδομένων και στις αρχές που θεσπίζονται στο πλαίσιο του LGPD (77).

(49)

Το άρθρο 7 σημείο IX του LGPD ορίζει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν μπορεί ποτέ να πραγματοποιηθεί για λόγους έννομου συμφέροντος, εάν η επεξεργασία αυτή έρχεται σε σύγκρουση με τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, τονίζοντας ότι υπερισχύει η προστασία των δεδομένων προσωπικού χαρακτήρα. Η προσέγγιση αυτή είναι παρόμοια με εκείνη που ακολουθείται στην ΕΕ και προβλέπεται στο άρθρο 6 παράγραφος 1 στοιχείο στ) του κανονισμού (ΕΕ) 2016/679.

(50)

Το άρθρο 10 του LGPD καθορίζει τις πρόσθετες προϋποθέσεις βάσει των οποίων οι υπεύθυνοι επεξεργασίας μπορούν να βασίζονται σε «έννομο συμφέρον» ως νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Πρώτον, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα βασίζεται σε έννομο συμφέρον, ο υπεύθυνος επεξεργασίας επεξεργάζεται μόνο δεδομένα προσωπικού χαρακτήρα τα οποία είναι «απολύτως αναγκαία» για τον επιδιωκόμενο σκοπό (78). Δεύτερον, οι υπεύθυνοι επεξεργασίας πρέπει επίσης να εφαρμόζουν μέτρα για τη διασφάλιση της διαφάνειας των δραστηριοτήτων επεξεργασίας τους (79). Τρίτον, επίκληση έννομου συμφέροντος μπορεί να γίνει μόνο σε «ειδικές περιπτώσεις» (80).

(51)

Επιπλέον, η ANPD δημοσίευσε τον «Οδηγό για το έννομο συμφέρον», στον οποίο περιγράφονται λεπτομερώς οι προϋποθέσεις για τη χρήση του έννομου συμφέροντος (81). Στον εν λόγω οδηγό διευκρινίστηκε, για παράδειγμα, ότι το έννομο συμφέρον δεν μπορεί να χρησιμοποιηθεί ως νομική βάση για την επεξεργασία ευαίσθητων δεδομένων (82) και στο παράρτημά του παρατίθεται επίσης υπόδειγμα στάθμισης για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών, υπόδειγμα το οποίο μπορεί να χρησιμοποιήσει κάθε υπεύθυνος επεξεργασίας που προτίθεται να επικαλεστεί έννομο συμφέρον (83). Επιπλέον, η ANPD μπορεί να απαιτήσει από τον υπεύθυνο επεξεργασίας να διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων (84).

(52)

Στον οδηγό, η ANPD διευκρίνισε ότι, προκειμένου ένα συμφέρον να θεωρηθεί «έννομο», πρέπει να πληρούνται τρεις προϋποθέσεις: 1) συμβατότητα με το νομικό σύστημα της Βραζιλίας· 2) αναφορά σε συγκεκριμένη κατάσταση· και 3) σύνδεση της επεξεργασίας με νόμιμους, ειδικούς και ρητούς σκοπούς (85). Η πρώτη προϋπόθεση, «συμβατότητα με το νομικό σύστημα», προϋποθέτει ότι το έννομο συμφέρον που επικαλείται ο υπεύθυνος επεξεργασίας είναι συμβατό με τις αρχές, τα νομικά πρότυπα και τα θεμελιώδη δικαιώματα που κατοχυρώνονται στη Βραζιλία. Αυτό σημαίνει, για παράδειγμα, ότι η προβλεπόμενη επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να απαγορεύεται από νομοθεσία της Βραζιλίας και δεν μπορεί να αντιβαίνει, άμεσα ή έμμεσα, σε νομικές διατάξεις ή αρχές που περιέχονται στο δίκαιο της Βραζιλίας. Δεύτερον, το προβαλλόμενο έννομο συμφέρον πρέπει να βασίζεται σε «συγκεκριμένες, σαφείς και ακριβείς» καταστάσεις, οι οποίες αποσκοπούν σε συγκεκριμένα και σαφώς καθορισμένα συμφέροντα. Το προβαλλόμενο έννομο συμφέρον δεν μπορεί να στηρίζεται σε «αφηρημένες ή απλώς υποθετικές καταστάσεις» (86). Η ANPD διευκρινίζει περαιτέρω ότι συμφέροντα που δεν συνδέονται με τις «τρέχουσες δραστηριότητες του υπευθύνου επεξεργασίας δεν θεωρούνται έννομα» (87). Η τρίτη προϋπόθεση αναφέρεται στην ανάγκη απόδειξης συγκεκριμένου σκοπού επεξεργασίας. Η ANPD επισημαίνει ότι το έννομο συμφέρον του υπευθύνου επεξεργασίας (που δικαιολογεί την επεξεργασία) δεν πρέπει να συγχέεται με τον σκοπό της επεξεργασίας (ο οποίος αποτελεί τον ειδικό σκοπό που επιδιώκεται να επιτευχθεί με την εκτέλεση της επεξεργασίας). Η ύπαρξη έννομου συμφέροντος δεν εξαλείφει την υποχρέωση του υπευθύνου επεξεργασίας να τηρεί την αρχή του περιορισμού του σκοπού και όλες τις υποχρεώσεις που απορρέουν από τον LGPD. Ο σκοπός πρέπει να περιγράφεται με σαφήνεια και ακρίβεια, με τις πληροφορίες που είναι αναγκαίες για να οριοθετηθεί το πεδίο της επεξεργασίας και να καταστεί δυνατή η στάθμιση των συμφερόντων του υπευθύνου επεξεργασίας ή τρίτων με τα δικαιώματα και τη δικαιολογημένη εμπιστοσύνη των υποκειμένων των δεδομένων (88). Αυτό σημαίνει ότι, όταν επικαλείται έννομο συμφέρον με σκοπό την υποστήριξη ή την προώθηση της δραστηριότητάς του, ο υπεύθυνος επεξεργασίας πρέπει, μεταξύ άλλων, να προσδιορίζει με σαφήνεια τη δραστηριότητα την οποία προτίθεται να προωθήσει/υποστηρίξει και τη σχέση με την προβλεπόμενη επεξεργασία.

(53)

Θα πρέπει να προβλέπονται ειδικές εγγυήσεις για την επεξεργασία «ειδικών κατηγοριών» δεδομένων.

(54)

Το άρθρο 5 σημείο II του LGPD ορίζει τα ευαίσθητα δεδομένα προσωπικού χαρακτήρα ως «δεδομένα προσωπικού χαρακτήρα που αφορούν τη φυλετική ή εθνοτική καταγωγή, τις θρησκευτικές πεποιθήσεις, τα πολιτικά φρονήματα, τη συμμετοχή σε συνδικαλιστική ή θρησκευτική, φιλοσοφική ή πολιτική οργάνωση, δεδομένα σχετικά με την υγεία ή τη σεξουαλική ζωή, καθώς και γενετικά ή βιομετρικά δεδομένα, όταν συνδέονται με φυσικό πρόσωπο». Όπως προκύπτει από την εθνική νομολογία, η σεξουαλική ζωή θα πρέπει να θεωρείται ότι καλύπτει επίσης τον γενετήσιο προσανατολισμό ή τις σεξουαλικές προτιμήσεις του φυσικού προσώπου. Ειδικότερα, το STF, στη νομολογία του σχετικά με τον γάμο μεταξύ ατόμων του ιδίου φύλου, έκρινε ότι οι διακρίσεις λόγω «φύλου» καλύπτουν τη «σεξουαλική προτίμηση» (89) και ότι η ελευθερία άσκησης του «γενετήσιου προσανατολισμού» αποτελεί «προϋπόθεση για την ανάπτυξη της προσωπικότητας», η οποία προστατεύεται από το σύνταγμα (90). Ως εκ τούτου, οι κατηγορίες δεδομένων που θεωρούνται ευαίσθητα δεδομένα βάσει της νομοθεσίας της Βραζιλίας είναι οι ίδιες με εκείνες που προβλέπονται στο άρθρο 9 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679.

(55)

Τα δικαστήρια στη Βραζιλία διεύρυναν περαιτέρω τον ορισμό των ευαίσθητων δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του LGPD ώστε να συμπεριληφθούν άλλα είδη πληροφοριών που θα μπορούσαν να χρησιμοποιηθούν για διακρίσεις σε βάρος φυσικών προσώπων (91). Η ερμηνεία αυτή απορρέει από το δικαίωμα προστασίας από τις διακρίσεις βάσει του βραζιλιάνικου δικαίου, όπως αποτυπώνεται επίσης στο άρθρο 6 σημείο IX του LGPD. Ειδικότερα, η βραζιλιάνικη νομολογία έχει διευκρινίσει ότι οι πληροφορίες σχετικά με το ποινικό μητρώο θεωρούνται ευαίσθητα δεδομένα (92).

(56)

Η επεξεργασία ευαίσθητων δεδομένων βάσει του LGPD επιτρέπεται μόνον εφόσον το υποκείμενο των δεδομένων ή ο νόμιμος εκπρόσωπός του έχει δώσει την «ειδική και διακριτή» συγκατάθεσή του για συγκεκριμένους σκοπούς (93). Ισχύουν οι όροι έγκυρης συγκατάθεσης που περιγράφονται στις αιτιολογικές σκέψεις 46 έως 48 της παρούσας απόφασης.

(57)

Σύμφωνα με το άρθρο 11 σημείο II του LGPD, χωρίς τη ρητή συγκατάθεση του υποκειμένου των δεδομένων, επεξεργασία ευαίσθητων δεδομένων μπορεί να πραγματοποιηθεί: 1) όταν η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με νομική ή κανονιστική υποχρέωση του υπευθύνου επεξεργασίας [στοιχείο a)]· 2) όταν είναι απαραίτητη για επεξεργασία από τη δημόσια διοίκηση για την εκτέλεση δημόσιων πολιτικών που προβλέπονται σε νομοθετικές ή κανονιστικές διατάξεις [στοιχείο b)]· 3) για την προστασία της ζωής ή της σωματικής ακεραιότητας του υποκειμένου των δεδομένων ή τρίτου [στοιχείο e)]· 4) για την άσκηση δικαιωμάτων, μεταξύ άλλων για την άσκηση δικαιωμάτων που σχετίζονται με συμβάσεις, καθώς και δικαστικές διοικητικές και διαιτητικές διαδικασίες, σύμφωνα με το δίκαιο της Βραζιλίας [στοιχείο d)]· 5) για την προστασία της υγείας των υποκειμένων των δεδομένων, αποκλειστικά στο πλαίσιο διαδικασιών που εκτελούνται από επαγγελματίες του τομέα της υγείας, υγειονομικές υπηρεσίες ή υγειονομικές αρχές [στοιχείο f)]· 6) από ερευνητικούς φορείς για τη διεξαγωγή μελετών, με διασφάλιση της ανωνυμοποίησης των δεδομένων, όπου είναι δυνατόν [στοιχείο c)]· και 7) για τη διασφάλιση της πρόληψης της απάτης και της ασφάλειας των υποκειμένων των δεδομένων, στις διαδικασίες ταυτοποίησης και επαλήθευσης ταυτότητας μέσω καταχώρισης σε ηλεκτρονικά συστήματα. Ως εκ τούτου, οι λόγοι για την επεξεργασία ευαίσθητων δεδομένων βάσει του LGPD και του κανονισμού (ΕΕ) 2016/679 είναι παρόμοιοι.

(58)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να συλλέγονται για συγκεκριμένο σκοπό και κατά τρόπο που να μην είναι ασύμβατος με τον σκοπό της επεξεργασίας.

(59)

Το άρθρο 6 σημείο I του LGPD ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία για «νόμιμο, συγκεκριμένο και ρητό σκοπό για τον οποίο ενημερώνεται το υποκείμενο των δεδομένων», χωρίς δυνατότητα περαιτέρω επεξεργασίας που είναι «ασύμβατη» με τον αρχικό σκοπό. Η αρχή αυτή και η διατύπωσή της είναι σχεδόν πανομοιότυπες με την αντίστοιχη αρχή και διατύπωση του άρθρου 5 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679. Το άρθρο 6 σημείο II του LGPD ορίζει περαιτέρω ότι κάθε δραστηριότητα επεξεργασίας πρέπει να είναι συμβατή με τους σκοπούς που κοινοποιούνται στο υποκείμενο των δεδομένων.

(60)

Από τις οδηγίες που εξέδωσε η ANPD προκύπτει ότι, για να καθοριστεί αν η επεξεργασία για άλλον σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέχθηκαν αρχικά τα δεδομένα, ο υπεύθυνος επεξεργασίας πρέπει να αποδείξει τη σύνδεση μεταξύ των δύο σκοπών επεξεργασίας και λαμβάνει υπόψη τη «δικαιολογημένη εμπιστοσύνη» των υποκειμένων των δεδομένων (94). Σε περίπτωση επεξεργασίας για περαιτέρω συμβατούς σκοπούς, εφαρμόζονται οι αρχές και οι υποχρεώσεις του LGPD, δηλαδή να διασφαλίζεται ότι ο νέος σκοπός είναι συγκεκριμένος και να εξασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων των δεδομένων. Αυτό ισχύει επίσης για την περαιτέρω επεξεργασία δεδομένων που έχουν «προδήλως διατεθεί» από το υποκείμενο των δεδομένων ή είναι δημοσίως διαθέσιμα (95).

(61)

Τα δεδομένα πρέπει να είναι ακριβή και, όπου χρειάζεται, επικαιροποιημένα. Πρέπει επίσης να είναι κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά, λαμβανομένων υπόψη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία.

(62)

Οι αρχές αυτές διασφαλίζονται βάσει των αρχών της «ποιότητας των δεδομένων» και της «αναγκαιότητας» του άρθρου 6 σημεία III και V του LGPD, αντιστοίχως. Σύμφωνα με το άρθρο 6 σημείο V του LGPD, ο υπεύθυνος επεξεργασίας και οι εκτελούντες την επεξεργασία διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή, σαφή, συναφή και επικαιροποιημένα σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Το άρθρο 6 σημείο III του LGPD θεσπίζει τον «περιορισμό της επεξεργασίας στο ελάχιστο αναγκαίο» για την επίτευξη συγκεκριμένου σκοπού ή σκοπών, «καλύπτοντας δεδομένα που είναι συναφή, αναλογικά και μη υπερβολικά» σε σχέση με τον/τους εν λόγω σκοπό/-ούς. Οι αρχές αυτές είναι παρόμοιες με εκείνες που παρατίθενται στο άρθρο 5 παράγραφος 1 στοιχεία γ) και δ) του κανονισμού (ΕΕ) 2016/679.

(63)

Τα δεδομένα πρέπει καταρχήν να μη διατηρούνται για διάστημα μεγαλύτερο του αναγκαίου για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

(64)

Οι αρχές του «σκοπού», της «αναγκαιότητας» και της «πρόσβασης» που διατυπώνονται στο άρθρο 6 σημεία, I, III και IV, αντίστοιχα, του LGPD προβλέπουν απαιτήσεις σχετικά με τον περιορισμό της περιόδου αποθήκευσης. Περιορίζουν τη δυνατότητα αποθήκευσης δεδομένων στο ελάχιστο αναγκαίο σε σχέση με «νόμιμο, συγκεκριμένο και ρητό» σκοπό και απαιτούν να ενημερώνονται τα υποκείμενα των δεδομένων σχετικά με τη διάρκεια της αποθήκευσης.

(65)

Επιπλέον, το κεφάλαιο II τμήμα IV του LGPD είναι αφιερωμένο στον «τερματισμό της επεξεργασίας δεδομένων». Σύμφωνα με το εν λόγω τμήμα, το άρθρο 16 του LGPD απαιτεί τη διαγραφή όλων των δεδομένων προσωπικού χαρακτήρα μετά τον τερματισμό της επεξεργασίας για καθορισμένο σκοπό. Οι απαιτήσεις αυτές, σε συνδυασμό με τις αρχές του «σκοπού», της «αναγκαιότητας» και της «πρόσβασης» του LGPD, είναι παρόμοιες με τις υποχρεώσεις που απορρέουν από το άρθρο 5 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2016/679.

(66)

Σύμφωνα με τις αυστηρές εξαιρέσεις που προβλέπονται στο άρθρο 16 του LGPD, τα δεδομένα μπορούν να διατηρούνται και να αποθηκεύονται περαιτέρω: 1) για σκοπούς συμμόρφωσης με νομικές ή κανονιστικές υποχρεώσεις· 2) για ερευνητικούς σκοπούς, με διασφάλιση, όποτε είναι δυνατόν, της ανωνυμοποίησης των δεδομένων· 3) όταν μεταβιβάζονται σε τρίτους σύμφωνα με τις απαιτήσεις του LGPD· ή 4) όταν χρησιμοποιούνται αποκλειστικά από τον υπεύθυνο επεξεργασίας, εφόσον τα δεδομένα ανωνυμοποιούνται και απαγορεύεται η πρόσβαση τρίτων σε αυτά.

(67)

Η απαίτηση ασφάλειας των δεδομένων που προβλέπεται στον LGPD και περιγράφεται στις αιτιολογικές σκέψεις 68 έως 78 της παρούσας απόφασης ισχύει για τα αποθηκευμένα δεδομένα.

(68)

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά. Για τον σκοπό αυτόν, οι φορείς θα πρέπει να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από πιθανές απειλές. Τα μέτρα αυτά θα πρέπει να αξιολογούνται με βάση την πιο προηγμένη τεχνολογία και το σχετικό κόστος.

(69)

Η αρχή αυτή κατοχυρώνεται στο άρθρο 6 σημείο VII του LGPD, το οποίο επιβάλλει τη χρήση «τεχνικών και διοικητικών μέτρων» για την προστασία των δεδομένων προσωπικού χαρακτήρα από «μη εξουσιοδοτημένη πρόσβαση και τυχαία ή παράνομη» επεξεργασία, συμπεριλαμβανομένης της «καταστροφής, απώλειας, αλλοίωσης, κοινοποίησης ή διάδοσης» δεδομένων. Για να μειωθούν αυτοί οι κίνδυνοι για την ασφάλεια, το άρθρο 6 σημείο VIII του LGPD προβλέπει τη θέσπιση μέτρων για την «πρόληψη ζημιών/βλαβών λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».

(70)

Το άρθρο 44 του LGPD ορίζει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι παράνομη όταν δεν πληροί τα πρότυπα ασφάλειας που δικαιούται να αναμένει το υποκείμενο των δεδομένων. Το κατάλληλο επίπεδο ασφάλειας πρέπει να καθορίζεται, μεταξύ άλλων: 1) υπό το πρίσμα των ειδικών συνθηκών που περιβάλλουν τη διενεργηθείσα επεξεργασία· 2) με βάση το εύλογο αναμενόμενο επίπεδο κινδύνου· και 3) με βάση τις τεχνικές επεξεργασίας που ήταν διαθέσιμες κατά τον χρόνο πραγματοποίησής της (96).

(71)

Για την εφαρμογή της αρχής της ασφάλειας των δεδομένων, ο LGPD θέσπισε σειρά απαιτήσεων στο κεφάλαιο VII τμήμα I σχετικά με την «Ασφάλεια και το απόρρητο των δεδομένων». Σύμφωνα με το εν λόγω τμήμα, το άρθρο 46 του LGPD απαιτεί από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία να λαμβάνουν «μέτρα ασφάλειας και τεχνικά και διοικητικά μέτρα ικανά να προστατεύουν τα δεδομένα προσωπικού χαρακτήρα από μη εξουσιοδοτημένη πρόσβαση και τυχαία ή παράνομη» επεξεργασία, όπως «καταστροφή, απώλεια, αλλοίωση, κοινοποίηση ή κάθε είδους αθέμιτη ή παράνομη επεξεργασία». Τα μέτρα αυτά πρέπει να τηρούνται «από το στάδιο του σχεδιασμού του προϊόντος ή της υπηρεσίας μέχρι την εκτέλεσή του» (97). Το άρθρο 47 του LGPD επιβάλλει γενική υποχρέωση σε όλα τα μέρη που εμπλέκονται σε οποιοδήποτε στάδιο της επεξεργασίας να συμμορφώνονται με τις απαιτήσεις ασφάλειας. Οι υποχρεώσεις αυτές είναι παρόμοιες με εκείνες που προβλέπονται στο άρθρο 32 του κανονισμού (ΕΕ) 2016/679.

(72)

Το άρθρο 44 του LGPD ορίζει περαιτέρω ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που αμελεί να λάβει μέτρα ασφάλειας θεωρείται υπεύθυνος για ζημίες που προκαλούνται σε περίπτωση παραβίασης της ασφάλειας (98). Η ANPD μπορεί επίσης να θεσπίζει ελάχιστα τεχνικά πρότυπα ασφάλειας για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις ασφάλειας των δεδομένων (99).

(73)

Σύμφωνα με το άρθρο 48 του LGPD, σε περίπτωση περιστατικού ασφάλειας που ενδέχεται να ενέχει κίνδυνο ή να προκαλέσει σημαντική βλάβη στα υποκείμενα των δεδομένων, ο υπεύθυνος επεξεργασίας δεδομένων υποχρεούται να ενημερώσει τόσο την ANPD όσο και τα υποκείμενα των δεδομένων. Η εν λόγω ενημέρωση πρέπει να πραγματοποιείται εντός εύλογου χρονικού διαστήματος, όπως καθορίζεται από την ANPD, και πρέπει να περιλαμβάνει τουλάχιστον: 1) περιγραφή της φύσης των επηρεαζόμενων δεδομένων προσωπικού χαρακτήρα· 2) πληροφορίες για την ταυτοποίηση των εμπλεκόμενων υποκειμένων των δεδομένων· 3) μνεία των τεχνικών μέτρων και των μέτρων ασφάλειας που εφαρμόζονται για την προστασία των δεδομένων, με την επιφύλαξη της τήρησης του εμπορικού και βιομηχανικού απορρήτου· 4) αξιολόγηση των κινδύνων που συνδέονται με το συμβάν· 5) επεξήγηση τυχόν καθυστέρησης στην επικοινωνία· και 6) περιγραφή των μέτρων που έχουν ληφθεί ή πρόκειται να ληφθούν για τον μετριασμό ή την αποκατάσταση της προκληθείσας ζημίας. Η προσέγγιση που ακολουθείται στον LGPD είναι σε μεγάλο βαθμό παρόμοια με εκείνη που καθορίζεται στα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679.

(74)

Η ANPD έχει θεσπίσει πρόσθετους κανόνες σχετικά με το περιστατικό ασφάλειας δεδομένων για να αποσαφηνίσει, για παράδειγμα, τον ορισμό του «περιστατικού» και το χρονοδιάγραμμα για την κοινοποίηση ενός περιστατικού (100).

(75)

Το άρθρο 3 σημείο XII του κανονισμού για την κοινοποίηση περιστατικών ασφάλειας ορίζει ως περιστατικό ασφάλειας «κάθε επιβεβαιωμένο ανεπιθύμητο περιστατικό που σχετίζεται με την παραβίαση της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της γνησιότητας της ασφάλειας δεδομένων προσωπικού χαρακτήρα». Σύμφωνα με το άρθρο 48 του LGPD, ένα περιστατικό παραβίασης δεδομένων και ασφάλειας που ενδέχεται να δημιουργήσει κινδύνους για τα υποκείμενα των δεδομένων πρέπει πάντα να κοινοποιείται στην αρχή προστασίας δεδομένων (ANPD) και στα υποκείμενα των δεδομένων. Το άρθρο 5 του κανονισμού για την κοινοποίηση περιστατικών ασφάλειας διευκρινίζει ότι ένα περιστατικό ασφάλειας μπορεί να ενέχει κίνδυνο για τα υποκείμενα των δεδομένων όταν μπορεί να θίξει τα συμφέροντα και τα θεμελιώδη δικαιώματά τους και εάν αφορά τουλάχιστον ένα από τα ακόλουθα είδη δεδομένων: 1) ευαίσθητα δεδομένα προσωπικού χαρακτήρα· 2) δεδομένα παιδιών, εφήβων ή ηλικιωμένων· 3) χρηματοοικονομικά δεδομένα· 4) δεδομένα επαλήθευσης ταυτότητας σε συστήματα· 5) δεδομένα που προστατεύονται από το νομικό, δικαστικό ή επαγγελματικό απόρρητο· ή 6) βάσεις δεδομένων μεγάλης κλίμακας. Επιπλέον, ένα περιστατικό ασφάλειας θα θεωρείται ότι επηρεάζει σημαντικά τα θεμελιώδη συμφέροντα και δικαιώματα των υποκειμένων των δεδομένων, όταν: 1) μπορεί να εμποδίζει την άσκηση δικαιωμάτων ή τη χρήση μιας υπηρεσίας· ή 2) μπορεί να προκαλέσει υλική ή ηθική βλάβη στα υποκείμενα των δεδομένων, όπως διακρίσεις, παραβίαση της σωματικής ακεραιότητας, του δικαιώματος στην εικόνα και τη φήμη, οικονομική απάτη ή κλοπή ταυτότητας (101).

(76)

Η κοινοποίηση περιστατικού ασφάλειας στην ANPD και στα υποκείμενα των δεδομένων πραγματοποιείται εντός τριών εργάσιμων ημερών από τη στιγμή που ο υπεύθυνος επεξεργασίας λαμβάνει γνώση του περιστατικού (102). Ο δεσμευτικός κανονισμός για την κοινοποίηση περιστατικών ασφάλειας διευκρινίζει στους υπευθύνους επεξεργασίας τις πληροφορίες που πρέπει να παρέχονται στην ANPD και στα υποκείμενα των δεδομένων. Η ενημέρωση των υποκειμένων των δεδομένων περιλαμβάνει ιδίως τα εξής: 1) περιγραφή της φύσης και της κατηγορίας των επηρεαζόμενων δεδομένων προσωπικού χαρακτήρα· 2) τα τεχνικά μέτρα και τα μέτρα ασφάλειας που χρησιμοποιούνται για την προστασία των δεδομένων· 3) τους κινδύνους που σχετίζονται με το περιστατικό, με προσδιορισμό των πιθανών επιπτώσεων στα υποκείμενα των δεδομένων· 4) τους λόγους της καθυστέρησης, σε περίπτωση που η ενημέρωση δεν πραγματοποιήθηκε εντός 72 ωρών· 5) τα μέτρα που ελήφθησαν ή πρόκειται να ληφθούν για την αναστροφή ή τον μετριασμό των επιπτώσεων του περιστατικού, κατά περίπτωση· 6) την ημερομηνία κατά την οποία διαπιστώθηκε το περιστατικό ασφάλειας· και 7) τα στοιχεία επικοινωνίας για τη λήψη πληροφοριών και, κατά περίπτωση, τα στοιχεία επικοινωνίας του υπεύθυνου προσώπου (103). Κατά τη γνωστοποίηση του περιστατικού στα υποκείμενα των δεδομένων, οι υπεύθυνοι επεξεργασίας χρησιμοποιούν «απλή και κατανοητή γλώσσα» (104). Η κοινοποίηση πραγματοποιείται άμεσα και ατομικά, εάν είναι δυνατή η ταυτοποίηση των θιγόμενων υποκειμένων των δεδομένων (105).

(77)

Επιπλέον, η ANPD μπορεί, όταν αυτό είναι αναγκαίο για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων, να αξιολογεί τη σοβαρότητα του περιστατικού και μπορεί να δώσει εντολή στον υπεύθυνο επεξεργασίας να λάβει συγκεκριμένα μέτρα (106). Στα μέτρα αυτά μπορεί να περιλαμβάνεται η δημοσιοποίηση του περιστατικού μέσω κατάλληλων διαύλων μέσων ενημέρωσης, καθώς και η εφαρμογή διορθωτικών μέτρων ή μέτρων μετριασμού. Ο υπεύθυνος επεξεργασίας δεδομένων τηρεί μητρώο περιστατικών ασφάλειας δεδομένων (107).

(78)

Τέλος, ο LGPD συνδέει τα πρότυπα «ορθών πρακτικών και διακυβέρνησης (δεδομένων)» με τις απαιτήσεις για την ασφάλεια των δεδομένων, προκειμένου, μεταξύ άλλων, να μετριαστούν οι κίνδυνοι επεξεργασίας δεδομένων (108). Στο πλαίσιο αυτό περιλαμβάνεται η προώθηση της έγκρισης εσωτερικών προγραμμάτων διακυβέρνησης της προστασίας ιδιωτικής ζωής για την αξιολόγηση και τον μετριασμό των κινδύνων (109).

(79)

Τα υποκείμενα των δεδομένων θα πρέπει να ενημερώνονται για τα βασικά χαρακτηριστικά της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα.

(80)

Ακολουθώντας προσέγγιση συγκρίσιμη με εκείνη του άρθρου 12 του κανονισμού (ΕΕ) 2016/679, το άρθρο 6 σημείο VI του LGPD ορίζει ότι τα υποκείμενα των δεδομένων λαμβάνουν σαφείς, ακριβείς και εύκολα προσβάσιμες πληροφορίες τόσο σχετικά με την εκτέλεση της επεξεργασίας των δεδομένων τους όσο και σχετικά με τους αντίστοιχους φορείς επεξεργασίας, με την επιφύλαξη του «εμπορικού και βιομηχανικού απορρήτου».

(81)

Το άρθρο 9 του LGPD θεσπίζει κατάλογο των πληροφοριών που παρέχονται στα υποκείμενα των δεδομένων σχετικά με την επεξεργασία δεδομένων, ο οποίος καλύπτει: 1) τον ειδικό σκοπό της επεξεργασίας· 2) το είδος και τη διάρκεια της επεξεργασίας· 3) την ταυτότητα του υπευθύνου της επεξεργασίας· 4) τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας· 5) πληροφορίες σχετικά με την επεξεργασία δεδομένων από τον υπεύθυνο επεξεργασίας και τον σκοπό· 6) τις αρμοδιότητες των οντοτήτων που εκτελούν την επεξεργασία και 7) τα δικαιώματα των υποκειμένων των δεδομένων, συμπεριλαμβανομένων πληροφοριών σχετικά με την άσκηση των εν λόγω δικαιωμάτων.

(82)

Ο περιορισμός που σχετίζεται με το «εμπορικό και βιομηχανικό απόρρητο» που αναφέρεται στο άρθρο 6 σημείο VI και σε άλλες διατάξεις του LGPD θα πρέπει να ερμηνεύεται υπό το πρίσμα του νόμου της Βραζιλίας για την πρόσβαση σε πληροφορίες (στο εξής: LAI) (110). Ο LAI προβλέπει ως κανόνα τη δημοσιοποίηση πληροφοριών που περιέχονται σε μητρώα ή έγγραφα που τηρούνται από δημόσιους φορείς (111). Τυχόν εξαιρέσεις —δηλαδή η επιβολή περιορισμών στην πρόσβαση σε έγγραφα και πληροφορίες— πρέπει να αιτιολογούνται και να προβλέπονται από τον νόμο (112). Το εμπορικό και βιομηχανικό απόρρητο περιλαμβάνεται μεταξύ των εξαιρέσεων αυτών, με ειδική νομική διάταξη που αποσκοπεί στη διασφάλιση της προστασίας «των πληροφοριών που αφορούν τις επιχειρηματικές δραστηριότητες φυσικών ή νομικών προσώπων ιδιωτικού δικαίου, οι οποίες αποκτώνται από άλλους φορείς ή οντότητες κατά την άσκηση της δραστηριότητας ελέγχου, ρύθμισης και εποπτείας της οικονομικής δραστηριότητας, και των οποίων η δημοσιοποίηση θα μπορούσε να αποτελέσει ανταγωνιστικό πλεονέκτημα για άλλους οικονομικούς παράγοντες» (113). Ως εκ τούτου, οι διατάξεις του LGPD που αναφέρονται στο «εμπορικό και βιομηχανικό απόρρητο» ερμηνεύονται κατά τρόπον ώστε η επεξεργασία και η καθ’ οιονδήποτε άλλο τρόπο κοινολόγηση πληροφοριών να μην αποκαλύπτουν επιχειρηματικό απόρρητο ούτε να δημιουργούν ανταγωνιστικό πλεονέκτημα για άλλους παράγοντες, με παράλληλη εκπλήρωση των στόχων της προστασίας των δεδομένων προσωπικού χαρακτήρα. Αυτό σημαίνει ότι, όσον αφορά την αρχή της διαφάνειας και σε ολόκληρο το κείμενο του LGPD, ο περιορισμός του «εμπορικού και βιομηχανικού απορρήτου» δεν νοείται ως γενικός λόγος άρνησης της συμμόρφωσης με τον νόμο. Αντιθέτως, θα πρέπει να προβλέπονται συγκεκριμένες εγγυήσεις για τη διασφάλιση της κοινολόγησης πληροφοριών κατά τρόπο που προστατεύει τα εν λόγω συμφέροντα.

(83)

Τα υποκείμενα των δεδομένων θα πρέπει να έχουν ορισμένα δικαιώματα τα οποία μπορούν να ασκηθούν έναντι του υπευθύνου επεξεργασίας, ιδίως το δικαίωμα πρόσβασης στα δεδομένα, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής των δεδομένων, το δικαίωμα εναντίωσης στην επεξεργασία, το δικαίωμα φορητότητας και δικαιώματα στο πλαίσιο της αυτοματοποιημένης επεξεργασίας των δεδομένων. Τα δικαιώματα αυτά είναι δυνατόν να υπόκεινται σε περιορισμούς, εφόσον οι περιορισμοί αυτοί είναι αναγκαίοι και αναλογικοί για τη διασφάλιση συγκεκριμένων στόχων γενικού δημόσιου συμφέροντος.

(84)

Το κεφάλαιο III του LGPD θεσπίζει τα δικαιώματα των υποκειμένων των δεδομένων κατά τρόπο παρόμοιο με εκείνον βάσει των άρθρων 15 έως 22 του κανονισμού (ΕΕ) 2016/679. Η άσκηση όλων των δικαιωμάτων είναι δωρεάν και τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται για τα δικαιώματά τους (114). Σύμφωνα με το άρθρο 21 του LGPD, τα δεδομένα που αφορούν την άσκηση δικαιωμάτων από υποκείμενα των δεδομένων δεν μπορούν να χρησιμοποιηθούν εις βάρος τους. Τα υποκείμενα των δεδομένων μπορούν να ασκήσουν προσφυγή ενώπιον δικαστηρίου, ατομικά ή συλλογικά, σε σχέση με τα συμφέροντα και τα δικαιώματά τους (115).

(85)

Οι υπεύθυνοι επεξεργασίας δεδομένων ενημερώνουν «αμέσως» τους εκτελούντες την επεξεργασία, στους οποίους ενδέχεται να έχουν κοινοποιηθεί τα δεδομένα, σχετικά με τα αιτήματα των υποκειμένων των δεδομένων για διόρθωση, διαγραφή, ανωνυμοποίηση, περιορισμό και αντίρρηση, προκειμένου να διασφαλιστεί ότι όλα τα εμπλεκόμενα μέρη μπορούν να ανταποκριθούν στα εν λόγω αιτήματα (116).

(86)

Σύμφωνα με το άρθρο 9 και το άρθρο 18 σημείο II του LGPD, τα υποκείμενα των δεδομένων έχουν δικαίωμα ενημέρωσης και πρόσβασης προκειμένου να λαμβάνουν «ανά πάσα στιγμή» πληροφορίες σχετικά με την επεξεργασία των δεδομένων τους (117). Στις πληροφορίες αυτές περιλαμβάνονται οι εξής: 1) η ταυτότητα του υπευθύνου επεξεργασίας (σημείο III)· 2) τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας (σημείο IV)· 3) πληροφορίες σχετικά με τον ειδικό σκοπό της επεξεργασίας (σημείο I)· 4) πληροφορίες σχετικά με την πιθανή ανταλλαγή δεδομένων (σημείο V)· 5) το είδος και η διάρκεια της επεξεργασίας (σημείο II)· 6) η ύπαρξη δικαιωμάτων των υποκειμένων των δεδομένων, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας στην αρχή προστασίας δεδομένων· και 7) οι αρμοδιότητες των εκτελούντων την επεξεργασία δεδομένων. Επιπλέον, το άρθρο 10 παράγραφος 2 του LGPD ορίζει ότι ο υπεύθυνος επεξεργασίας πρέπει να είναι διαφανής όσον αφορά την επεξεργασία βάσει έννομου συμφέροντος. Ομοίως, το άρθρο 9 του κανονισμού για τις διαβιβάσεις δεδομένων ορίζει ότι τα υποκείμενα των δεδομένων ενημερώνονται σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα.

(87)

Το άρθρο 19 του LGPD περιγράφει περαιτέρω τον τρόπο με τον οποίο παρέχεται στα υποκείμενα των δεδομένων πρόσβαση στις προσωπικές τους πληροφορίες. Κατόπιν αιτήματος του υποκειμένου των δεδομένων, η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα παρέχεται: αμέσως, «σε απλουστευμένη μορφή»· ή εντός 15 ημερών, με σαφή και πλήρη δήλωση (118). Επιπλέον, το άρθρο 19 παράγραφος 1 του LGPD ορίζει ότι οι υπεύθυνοι επεξεργασίας αποθηκεύουν δεδομένα προσωπικού χαρακτήρα σε μορφότυπο που διευκολύνει την άσκηση του δικαιώματος πρόσβασης. Το υποκείμενο των δεδομένων μπορεί να αποφασίσει να λάβει τις πληροφορίες του σε ηλεκτρονική ή έντυπη μορφή (119).

(88)

Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητήσουν τη διόρθωση ελλιπών, ανακριβών ή παρωχημένων δεδομένων, σύμφωνα με το άρθρο 18 σημείο III του LGPD (δικαίωμα διόρθωσης).

(89)

Το άρθρο 18 σημεία IV και VI του LGPD παρέχει στα φυσικά πρόσωπα το δικαίωμα να ζητούν τη διαγραφή των δεδομένων τους, όταν: 1) πρόκειται για περιττά ή υπερβολικά δεδομένα· 2) πρόκειται για δεδομένα που υποβάλλονται σε επεξεργασία με τη συγκατάθεση του υποκειμένου των δεδομένων· ή 3) τα δεδομένα υποβάλλονται σε παράνομη επεξεργασία. Επιπλέον, το τμήμα IV κεφάλαιο II του LGPD σχετικά με τον «Τερματισμό της επεξεργασίας δεδομένων» αναφέρει ότι η επεξεργασία δεδομένων διακόπτεται όταν το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία ή ανακαλεί τη συγκατάθεσή του για την επεξεργασία (120). Στη συνέχεια, τα δεδομένα διαγράφονται μετά τον τερματισμό της επεξεργασίας (121). Ως εκ τούτου, οι διατάξεις αυτές, ερμηνευόμενες συνδυαστικά, επεκτείνουν έμμεσα το πεδίο εφαρμογής του δικαιώματος διαγραφής βάσει του LGPD.

(90)

Τα φυσικά πρόσωπα έχουν το δικαίωμα να αντιταχθούν στην επεξεργασία δεδομένων βάσει άλλης νομικής βάσης πλην της συγκατάθεσης, σε περίπτωση μη συμμόρφωσης με τον LGPD (δικαίωμα εναντίωσης) (122). Επιπλέον, σύμφωνα με το άρθρο 15 και το άρθρο 18 σημείο IV του LGPD, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να περιορίζουν την επεξεργασία δεδομένων («κλείδωμα»). Επίκληση του δικαιώματος αυτού μπορεί να γίνει, ιδίως, όταν τα δεδομένα που υποβάλλονται σε επεξεργασία είναι περιττά ή υπερβολικά, ή όταν τα δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που δεν συνάδει με τον LGPD (123). Το άρθρο 15 σημείο II του LGPD ορίζει ότι τα δεδομένα δεν υποβάλλονται πλέον σε επεξεργασία βάσει «γνωστοποίησης» από το υποκείμενο των δεδομένων προς τον υπεύθυνο επεξεργασίας. Παρότι η διάταξη αυτή υπόκειται στο «δημόσιο συμφέρον», ερμηνευόμενο διασταλτικά, προβλέπει ευρύ πεδίο εφαρμογής για το έμμεσο δικαίωμα εναντίωσης κατά τρόπο ισοδύναμο με το δικαίωμα εναντίωσης που προβλέπεται στον κανονισμό (ΕΕ) 2016/679.

(91)

Τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητούν «πλήρες ηλεκτρονικό αντίγραφο» των δεδομένων τους, ώστε να είναι δυνατή η χρήση τους από άλλες οντότητες (δικαίωμα φορητότητας) (124). Ομοίως, όπως και στην ΕΕ, τα υποκείμενα των δεδομένων μπορούν να ζητήσουν αυτό το αντίγραφο μόνον όταν τα δεδομένα έχουν υποβληθεί σε επεξεργασία βάσει συγκατάθεσης ή σύμβασης.

(92)

Μολονότι κάθε απόφαση που βασίζεται σε αυτοματοποιημένη επεξεργασία δεδομένων που συλλέγονται στην ΕΕ λαμβάνεται συνήθως από υπεύθυνο επεξεργασίας [ο οποίος έχει άμεση σχέση με το ενδιαφερόμενο υποκείμενο των δεδομένων και, ως εκ τούτου, εμπίπτει άμεσα στο πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679], αξίζει να σημειωθεί ότι ο LGPD διέπει αυτό το είδος επεξεργασίας κατά τρόπο παρόμοιο με το άρθρο 22 του κανονισμού (ΕΕ) 2016/679. Πρώτον, το άρθρο 6 σημείο IX του LGPD αναγνωρίζει την αρχή της απαγόρευσης των διακρίσεων ως αρχή προστασίας των δεδομένων σύμφωνα με την οποία απαγορεύεται η επεξεργασία δεδομένων για παράνομους ή καταχρηστικούς σκοπούς που εισάγουν διακρίσεις. Η αρχή αυτή εφαρμόζεται σε κάθε επεξεργασία και είναι ιδιαίτερα σημαντική στο πλαίσιο της αυτοματοποιημένης επεξεργασίας. Στη συνέχεια, σύμφωνα με το άρθρο 20 του LGPD, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητούν «την επανεξέταση αποφάσεων που έχουν ληφθεί αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας δεδομένων και οι οποίες θίγουν τα συμφέροντά τους, συμπεριλαμβανομένων αποφάσεων που αποσκοπούν στον καθορισμό του προσωπικού, επαγγελματικού, καταναλωτικού και πιστωτικού προφίλ τους ή πτυχών της προσωπικότητάς τους». Όταν απαντά σε αίτημα υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας πρέπει να παρέχει σαφείς πληροφορίες σχετικά με «τα κριτήρια και τη διαδικασία που χρησιμοποιούνται για την αυτοματοποιημένη απόφαση» (125). Σε περίπτωση που οι πληροφορίες αυτές δεν μπορούν να παρασχεθούν στο υποκείμενο των δεδομένων λόγω του «εμπορικού και βιομηχανικού απορρήτου», η ANPD έχει την εξουσία να διενεργεί έλεγχο για την επαλήθευση πτυχών που εισάγουν διακρίσεις κατά την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα (126). Ως εκ τούτου, το «εμπορικό και βιομηχανικό απόρρητο» δεν μπορεί να χρησιμοποιηθεί ως λόγος άρνησης της διεκπεραίωσης του αιτήματος του υποκειμένου των δεδομένων.

(93)

Το άρθρο 23 του LGPD ορίζει ότι ισχύουν ειδικές νομοθετικές διατάξεις για τη διαδικασία και τη χρονική περίοδο άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων όταν τα δεδομένα υποβάλλονται σε επεξεργασία από δημόσιες αρχές (127). Για παράδειγμα, ο νόμος της Βραζιλίας για τη διαδικασία δικαστικής προσφυγής Habeas Data ρυθμίζει το δικαίωμα πρόσβασης των φυσικών προσώπων σε πληροφορίες σχετικά με δεδομένα που τηρούνται σε μητρώα ή βάσεις δεδομένων της κυβέρνησης ή δημόσιου φορέα (128). Ο νόμος της Βραζιλίας για τη διαδικασία δικαστικής προσφυγής Habeas Data θεσπίζει ειδικές διατάξεις αφενός για το δικαίωμα πρόσβασης, το οποίο χορηγείται εντός 10 ημερών από την υποβολή σχετικής αίτησης από φυσικό πρόσωπο και, αφετέρου, για το δικαίωμα διόρθωσης, το οποίο χορηγείται εντός 15 ημερών από την υποβολή σχετικής αίτησης (129). Ομοίως, ο ομοσπονδιακός νόμος της Βραζιλίας για τις διοικητικές διαδικασίες θεσπίζει δικαίωμα ενημέρωσης και πρόσβασης του ατόμου στο πλαίσιο διοικητικών διαδικασιών (130). Ο νόμος της Βραζιλίας για την πρόσβαση σε πληροφορίες προβλέπει επίσης υποχρεώσεις ενημέρωσης και διαφάνειας για τις δημόσιες αρχές, τις δημόσιες εταιρείες και τις τρεις εξουσίες του κράτους (νομοθετική, εκτελεστική και δικαστική) στη Βραζιλία (131). Οι διατάξεις των νόμων αυτών ενισχύουν το δικαίωμα πρόσβασης και το δικαίωμα ενημέρωσης που θεσπίζονται στο πλαίσιο του LGPD για την επεξεργασία δεδομένων από τις δημόσιες αρχές. Όταν οι νομοθεσίες αυτές δεν προβλέπουν ειδικά δικαιώματα που θεσπίζονται βάσει του LGPD (π.χ. δικαιώματα που σχετίζονται με την αυτοματοποιημένη λήψη αποφάσεων), τα υποκείμενα των δεδομένων μπορούν να ασκούν τα δικαιώματα αυτά μέσω του LGPD.

(94)

Κάθε παραβίαση των δικαιωμάτων των υποκειμένων των δεδομένων θα αντιμετωπίζεται από την ANPD είτε ως «μέσης βαρύτητας» είτε ως «σοβαρή» παραβίαση του νόμου, ανάλογα με τον εκάστοτε παράγοντα και, ως εκ τούτου, μπορεί να υπόκειται στο υψηλότερο επίπεδο κυρώσεων και προστίμων. Είναι σημαντικό ότι, βάσει του κανονισμού της ANPD για τις κυρώσεις, το γεγονός και μόνον ότι ένα δικαίωμα του υποκειμένου των δεδομένων έχει θιγεί μέσω παραβίασης σημαίνει ότι η εν λόγω παραβίαση δεν μπορεί να θεωρηθεί «ήσσονος βαρύτητας» (132).

(95)

Από την έναρξη εφαρμογής του LGPD, η ANPD λαμβάνει σταθερό αριθμό καταγγελιών και αιτημάτων από φυσικά πρόσωπα σχετικά με τα δικαιώματά τους όσον αφορά την προστασία των δεδομένων τους (133). Οι αριθμοί αυτοί έχουν αυξηθεί σημαντικά από τον Ιούλιο του 2024, κατόπιν της εισαγωγής από την ANPD μιας εκσυγχρονισμένης και εύχρηστης πλατφόρμας για την υποβολή αιτημάτων και καταγγελιών (134). Έκτοτε, η ANPD λαμβάνει κάθε μήνα περίπου 400 καταγγελίες και 100 αιτήματα από φυσικά πρόσωπα (135).

(96)

Το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στη Βραζιλία δεν πρέπει να υπονομεύεται από την περαιτέρω διαβίβαση των εν λόγω δεδομένων σε αποδέκτες σε τρίτη χώρα.

(97)

Οι εν λόγω «περαιτέρω διαβιβάσεις» συνιστούν διεθνείς διαβιβάσεις από τη Βραζιλία από τη σκοπιά του Βραζιλιάνου υπευθύνου επεξεργασίας.

(98)

Το κεφάλαιο V του LGPD θεσπίζει πλαίσιο για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα. Οι διατάξεις του εν λόγω κεφαλαίου συμπληρώνονται περαιτέρω από δεσμευτικό κανονισμό για τις διεθνείς διαβιβάσεις δεδομένων (κανονισμός για τη διαβίβαση δεδομένων), ο οποίος εκδόθηκε από την ANPD τον Αύγουστο του 2024 (136).

(99)

Ο κανονισμός για τη διαβίβαση δεδομένων ορίζει τη «διαβίβαση» ως «πράξη επεξεργασίας μέσω της οποίας ένας υπεύθυνος επεξεργασίας διαβιβάζει, κοινοποιεί ή παρέχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα σε άλλον υπεύθυνο επεξεργασίας», ενώ ορίζει τη «διεθνή διαβίβαση δεδομένων» ως «διαβίβαση δεδομένων προσωπικού χαρακτήρα σε ξένη χώρα ή σε διεθνή οργανισμό του οποίου η χώρα είναι μέλος» (137).

(100)

Οι κανόνες για τις διεθνείς διαβιβάσεις που θεσπίστηκαν βάσει του LGPD και του κανονισμού για τη διαβίβαση δεδομένων εφαρμόζονται σε κάθε επεξεργασία που εμπίπτει στο πεδίο εφαρμογής του LGPD. Το άρθρο 7 του κανονισμού για τη διαβίβαση δεδομένων διευκρινίζει ρητά ότι η δυνατότητα εφαρμογής του LGPD σε διεθνή διαβίβαση δεδομένων δεν εξαρτάται από τα τεχνικά μέσα που χρησιμοποιούνται για την επεξεργασία, τη γεωγραφική θέση των δεδομένων ή τη φυσική παρουσία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (138). Αντιθέτως, αυτό που καθορίζει τη δυνατότητα εφαρμογής είναι η ύπαρξη ουσιαστικής σύνδεσης μεταξύ της δραστηριότητας επεξεργασίας δεδομένων και της Βραζιλίας.

(101)

Όπως και στην περίπτωση των άρθρων 44 έως 49 του κανονισμού (ΕΕ) 2016/679, το άρθρο 33 του LGPD καθορίζει τις «αποκλειστικές» περιστάσεις υπό τις οποίες μπορεί να επιτρέπεται μια διεθνής διαβίβαση δεδομένων. Οι περιστάσεις αυτές αναλύονται περαιτέρω στο άρθρο 9 του κανονισμού για τη διαβίβαση δεδομένων.

(102)

Διεθνής διαβίβαση δεδομένων μπορεί να πραγματοποιηθεί εάν πληρούνται οι ακόλουθες τρεις σωρευτικές προϋποθέσεις: Πρώτον, η διεθνής διαβίβαση δεδομένων «μπορεί να πραγματοποιηθεί μόνο για θεμιτούς, συγκεκριμένους και ρητούς σκοπούς που γνωστοποιούνται στο υποκείμενο των δεδομένων, χωρίς δυνατότητα περαιτέρω επεξεργασίας η οποία δεν συνάδει με τον σκοπό αυτό» (139). Δεύτερον, η διεθνής διαβίβαση δεδομένων πρέπει να βασίζεται σε έγκυρη νομική βάση που ορίζεται στο άρθρο 7 του LGPD (ή στο άρθρο 11 στην περίπτωση ευαίσθητων δεδομένων) (140). Τρίτον, πρέπει να χρησιμοποιείται ένας «έγκυρος» μηχανισμός διαβίβασης δεδομένων (141).

(103)

Το άρθρο 33 του LGPD προβλέπει διάφορους μηχανισμούς διαβίβασης δεδομένων.

(104)

Πρώτον, μπορεί να εκδοθεί απόφαση επάρκειας σε σχέση με τρίτη χώρα ή διεθνή οργανισμό (άρθρο 33 σημείο I). Η ANPD, όταν διακριβώνει αν μια τρίτη χώρα ή ένας διεθνής οργανισμός εγγυάται επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, λαμβάνει υπόψη διάφορα κριτήρια που καθορίζονται στο πλαίσιο του LGPD και του κανονισμού για τη διαβίβαση δεδομένων (142), τα οποία είναι παρόμοια με εκείνα που προβλέπονται στο δίκαιο της ΕΕ. Στα κριτήρια αυτά περιλαμβάνονται τα εξής: 1) η γενική και τομεακή νομοθεσία που ισχύει στη χώρα προορισμού ή εφαρμόζεται στον διεθνή οργανισμό, η οποία έχει άμεσο αντίκτυπο στην προστασία των δεδομένων προσωπικού χαρακτήρα (143)· 2) η φύση των δεδομένων (144)· 3) η διασφάλιση ότι η τρίτη χώρα ή ο διεθνής οργανισμός παρέχει επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα και εγγυάται τα δικαιώματα των υποκειμένων των δεδομένων κατά τρόπο που συνάδει με τον LGPD (145)· 4) η λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας των δεδομένων και τον μετριασμό των κινδύνων δυσμενών επιπτώσεων στην προστασία της ιδιωτικής ζωής και σε άλλα θεμελιώδη δικαιώματα (146)· 5) η ύπαρξη δικαστικών και θεσμικών μηχανισμών για τη διασφάλιση των δικαιωμάτων προστασίας των δεδομένων, ιδίως μέσω της ύπαρξης ανεξάρτητης εποπτικής αρχής με επαρκείς εξουσίες και πόρους για την παρακολούθηση και την επιβολή των διατάξεων περί προστασίας των δεδομένων (147)· και 6) κάθε άλλη ειδική περίσταση σχετική με το πλαίσιο της διεθνούς διαβίβασης δεδομένων (148).

(105)

Για την αξιολόγηση του επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο απόφασης επάρκειας, η ANPD θα αξιολογεί επίσης: 1) τους κινδύνους και τα οφέλη που παρέχονται με ειδική απόφαση επάρκειας, λαμβάνοντας υπόψη, μεταξύ άλλων, τη διασφάλιση των αρχών, τα δικαιώματα του υποκειμένου των δεδομένων και το καθεστώς προστασίας των δεδομένων που προβλέπεται για τον LGPD· καθώς και 2) τις επιπτώσεις της απόφασης στη διεθνή ροή δεδομένων, τις διπλωματικές σχέσεις, το διεθνές εμπόριο και τη διεθνή συνεργασία της Βραζιλίας με άλλες χώρες και διεθνείς οργανισμούς (149). Η αξιολόγηση και η έκδοση απόφασης επάρκειας υπάγονται στην ευθύνη της ANPD (150). Επί του παρόντος, η ANPD επεξεργάζεται απόφαση επάρκειας μόνο με την Ευρωπαϊκή Ένωση.

(106)

Δεύτερον, το άρθρο 33 παράγραφος II ορίζει ότι διαβιβάσεις δεδομένων μπορούν να πραγματοποιούνται όταν οι υπεύθυνοι επεξεργασίας διασφαλίζουν «εγγυήσεις συμμόρφωσης με τις αρχές και τα δικαιώματα των υποκειμένων των δεδομένων και το καθεστώς προστασίας των δεδομένων» που παρέχει ο LGPD. Αυτό μπορεί να διασφαλιστεί με 1) ειδικές συμβατικές ρήτρες [σημείο II στοιχείο a)]· 2) τυποποιημένες συμβατικές ρήτρες [σημείο II στοιχείο b)]· 3) δεσμευτικούς εταιρικούς κανόνες [σημείο II στοιχείο c)]· ή 4) εγκεκριμένες σφραγίδες, πιστοποίηση και κώδικες δεοντολογίας [σημείο II στοιχείο d)].

(107)

Οι υπεύθυνοι επεξεργασίας μπορούν να βασίζονται σε ειδικές συμβατικές διατάξεις για διεθνείς διαβιβάσεις, καθώς και σε τυποποιημένες συμβατικές ρήτρες που έχουν εγκριθεί από την ANPD (151). Σύμφωνα με τον κανονισμό για τη διαβίβαση δεδομένων, η ANPD έχει εγκρίνει ένα σύνολο πρότυπων συμβατικών ρητρών που καλύπτουν όλες τις σχετικές απαιτήσεις προστασίας των δεδομένων (δηλαδή τα δικαιώματα των υποκειμένων των δεδομένων, την ανεξάρτητη επίβλεψη και εποπτεία, τα μέτρα για την ασφάλεια των δεδομένων, τις εγγυήσεις για τις περαιτέρω διαβιβάσεις κ.λπ.) (152). Οι ρήτρες αυτές περιλαμβάνουν διατάξεις που δεν μπορούν να τροποποιηθούν από τα συμβαλλόμενα μέρη (153). Οι ρήτρες είναι σπονδυλωτές ώστε να προσαρμόζονται σε διαφορετικά σενάρια διαβίβασης δεδομένων (π.χ. υπεύθυνος επεξεργασίας προς εκτελούντα την επεξεργασία, εκτελών την επεξεργασία προς εκτελούντα την επεξεργασία) (154).

(108)

Όσον αφορά τους δεσμευτικούς εταιρικούς κανόνες (στο εξής: ΔΕΚ), η ANPD διευκρινίζει στο κεφάλαιο VI του κανονισμού για τη διαβίβαση δεδομένων τον τρόπο με τον οποίο μπορεί να χρησιμοποιηθεί ο εν λόγω μηχανισμός, καθώς και τις απαιτήσεις της εγκυρότητάς τους. Η ANPD υπενθυμίζει ιδίως τον «δεσμευτικό χαρακτήρα» του μηχανισμού για όλα τα «μέλη του ομίλου ομοιογενών ή ετερογενών δραστηριοτήτων» που βασίζονται σε αυτόν, τις απαιτήσεις που αφορούν τα δικαιώματα των υποκειμένων των δεδομένων και την άσκησή τους, τους ισχύοντες κανόνες για την ευθύνη και τις υποχρεώσεις (155), καθώς και όλες τις υποχρεωτικές πληροφορίες που πρέπει να περιλαμβάνουν οι ΔΕΚ (156). Οι ΔΕΚ υπόκεινται στην προηγούμενη έγκριση της ANPD σύμφωνα με τη διαδικασία που ορίζεται στο κεφάλαιο VIII του κανονισμού για τη διαβίβαση δεδομένων, η οποία απαιτεί από τις εταιρείες να υποβάλλουν πλήρη τεκμηρίωση στην ANPD και περιλαμβάνει διαδικασία ελέγχου από την ANPD (157). Οι εταιρείες υποχρεούνται επίσης να γνωστοποιούν στην ANPD τυχόν ζητήματα που ενδέχεται να επηρεάσουν τη συμμόρφωση με τον LGPD, μεταξύ άλλων όταν τα μέλη του ομίλου υπόκεινται σε υποχρεώσεις βάσει αλλοδαπού δικαίου (158). Όλοι οι εγκεκριμένοι ΔΕΚ θα δημοσιεύονται στην ιστοσελίδα της ANPD και οι εταιρείες έχουν την υποχρέωση να ενημερώνουν με διαφάνεια σχετικά με τη διεθνή διαβίβαση που πραγματοποιείται (159).

(109)

Η ANPD μπορεί επίσης να ορίζει φορείς πιστοποίησης για την ανάπτυξη σφραγίδων, πιστοποίησης ή κωδίκων δεοντολογίας για τις διαβιβάσεις δεδομένων (160). Οι αποφάσεις και οι δραστηριότητες των εν λόγω φορέων πιστοποίησης μπορούν να ελέγχονται από την ANPD, η οποία μπορεί να εξετάζει και να ανακαλεί αποφάσεις, σε περίπτωση μη συμμόρφωσης με τον LGPD (161).

(110)

Τέλος, στον LGPD παρατίθεται κατάλογος «ειδικών περιπτώσεων» στις οποίες μπορεί να πραγματοποιηθεί διεθνής διαβίβαση, συγκεκριμένα όταν: 1) είναι αναγκαία για τη διεθνή νομική συνεργασία μεταξύ δημόσιων οργανισμών, σύμφωνα με το διεθνές δίκαιο· 2) είναι αναγκαία για την προστασία της ζωής ή της σωματικής ακεραιότητας του υποκειμένου των δεδομένων ή τρίτου· 3) έχει εγκριθεί από την ANPD· 4) σχετίζεται με δέσμευση στο πλαίσιο της διεθνούς συνεργασίας· 5) είναι αναγκαία για την εκτέλεση δημόσιας πολιτικής ή νομικής υποχρέωσης δημόσιας αρχής· 6) τα υποκείμενα των δεδομένων έχουν δώσει τη συγκατάθεσή τους για τη συγκεκριμένη διαβίβαση δεδομένων, κατόπιν προηγούμενης ενημέρωσης σχετικά με τη φύση της επεξεργασίας· ή 7) όταν είναι αναγκαία για τη συμμόρφωση με νομική ή κανονιστική υποχρέωση, σε σχέση με διάταξη σύμβασης, ή για την άσκηση δικαιωμάτων σε δικαστικές, διοικητικές ή διαιτητικές διαδικασίες (162). Όπως αναφέρεται στον κανονισμό για τη διαβίβαση δεδομένων, διεθνείς διαβιβάσεις μπορούν να πραγματοποιούνται βάσει αυτών των σεναρίων μόνον εάν «πληρούνται οι ιδιαιτερότητες της συγκεκριμένης περίπτωσης και οι ισχύουσες νομικές απαιτήσεις» (163).

(111)

Όσον αφορά την ειδική περίπτωση κατά την οποία η διαβίβαση δεδομένων μπορεί να πραγματοποιηθεί βάσει συγκατάθεσης των υποκειμένων των δεδομένων, απαιτείται 1) να πληρούνται τα τυπικά κριτήρια για την εξασφάλιση έγκυρης συγκατάθεσης (δηλαδή να είναι συγκεκριμένη, ελεύθερη, ρητή, εν πλήρει επιγνώσει)· 2) να ενημερώνονται τα υποκείμενα των δεδομένων για τη φύση της διαβίβασης πριν από την εκτέλεσή της (π.χ. πληροφορίες σχετικά με την έννομη τάξη της σκοπούμενης διαβίβασης και το επίπεδο προστασίας που εγγυάται· πληροφορίες σχετικά με την απουσία απόφασης επάρκειας ή άλλων μηχανισμών διαβίβασης δεδομένων· πληροφορίες σχετικά με τη διάρκεια των διαβιβάσεων)· και 3) να λαμβάνεται συγκατάθεση για κάθε διαβίβαση ειδικά και χωριστά από οποιαδήποτε άλλη επεξεργασία. Όπως αναφέρεται στην αιτιολογική σκέψη 46, η σιωπηρή συμφωνία δεν μπορεί να θεωρηθεί έγκυρη συγκατάθεση και τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ανακαλέσουν τη συγκατάθεσή τους ανά πάσα στιγμή.

(112)

Ο κανονισμός για τη διαβίβαση δεδομένων οριοθετεί αυστηρά τις χρήσεις όλων αυτών των μηχανισμών βάσει διαφόρων προϋποθέσεων. Περιλαμβάνεται, ειδικότερα, η παροχή «σαφών, ακριβών και εύκολα προσβάσιμων πληροφοριών σχετικά με τη διαβίβαση» στο υποκείμενο των δεδομένων, καθώς και η διασφάλιση και η δυνατότητα απόδειξης ότι οι διεθνείς διαβιβάσεις εκτελούνται κατά τρόπο που διασφαλίζει τη συμμόρφωση με τις αρχές και τα δικαιώματα του υποκειμένου των δεδομένων και δεν μεταβάλλει το επίπεδο προστασίας που προβλέπεται στον LGPD, «ανεξάρτητα από τη χώρα στην οποία βρίσκονται τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο της διαβίβασης, ακόμη και μετά το τέλος της επεξεργασίας και στις περιπτώσεις περαιτέρω διαβιβάσεων» (164). Οι απαιτήσεις αυτές ισχύουν επίσης κατά τη διενέργεια διαβιβάσεων βάσει «ειδικών περιπτώσεων», ώστε να διασφαλίζεται η συνέχεια της προστασίας ανεξάρτητα από το μέσο που χρησιμοποιείται για την εκτέλεση διεθνούς διαβίβασης.

(113)

Οι κανόνες που περιγράφονται στις αιτιολογικές σκέψεις 96 έως 112 της παρούσας απόφασης εξασφαλίζουν, επομένως, τη συνέχεια της προστασίας όταν τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται περαιτέρω από τη Βραζιλία κατά τρόπο ουσιωδώς ισοδύναμο με εκείνον που προβλέπεται στον κανονισμό (ΕΕ) 2016/679.

(114)

Βάσει της αρχής της λογοδοσίας, οι οντότητες που επεξεργάζονται δεδομένα πρέπει να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να συμμορφώνονται ουσιαστικά με τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους, ιδίως στην αρμόδια εποπτική αρχή.

(115)

Το άρθρο 6 σημείο IX του LGPD θεσπίζει την αρχή της λογοδοσίας σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα τα οποία είναι «αποτελεσματικά και ικανά» να αποδείξουν τη συμμόρφωση με τον LGPD.

(116)

Ως μέσο για τη διασφάλιση της λογοδοσίας, το άρθρο 50 του LGPD προβλέπει ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία μπορούν να θεσπίζουν εσωτερικούς κανόνες και μοντέλα διακυβέρνησης, ιδίως για τη διασφάλιση ορθών πρακτικών κατά τον χειρισμό καταγγελιών και αναφορών από υποκείμενα των δεδομένων, την τήρηση των υποχρεώσεων ασφάλειας και όλων των άλλων υποχρεώσεων στο πλαίσιο του LGPD («Ορθές πρακτικές και διακυβέρνηση»). Τα προγράμματα αυτά θα πρέπει επίσης να περιλαμβάνουν σχέδια για εκπαιδευτικές δραστηριότητες, μηχανισμό εσωτερικής εποπτείας και μετριασμό των κινδύνων.

(117)

Ο LGPD προβλέπει επίσης την απαίτηση διορισμού υπευθύνου προστασίας δεδομένων (στο εξής: ΥΠΔ), ο οποίος διαδραματίζει σημαντικό ρόλο στον σχεδιασμό και την εφαρμογή των εν λόγω εσωτερικών προγραμμάτων. Σύμφωνα με το άρθρο 5 σημείο VIII, ο ΥΠΔ χρησιμεύει ως σύνδεσμος μεταξύ του υπευθύνου επεξεργασίας, των υποκειμένων των δεδομένων και της ANPD. Το άρθρο 41 του LGPD εντέλλει όλους τους υπευθύνους επεξεργασίας να διορίσουν υπεύθυνο προστασίας δεδομένων και να δημοσιοποιήσουν την ταυτότητά του.

(118)

Ο LGPD έχει εξουσιοδοτήσει την ANPD να θεσπίσει απαλλαγή από την υποχρέωση διορισμού υπευθύνου προστασίας δεδομένων για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία (165). Στον κανονισμό της σχετικά με την εφαρμογή του LGPD στις μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), η ANPD όρισε ότι ορισμένες μικρές επιχειρήσεις, ΜΜΕ, νεοφυείς επιχειρήσεις και μη κερδοσκοπικοί οργανισμοί ενδέχεται να εμπίπτουν στην εν λόγω εξαίρεση (166). Συγκεκριμένα, το πεδίο εφαρμογής της απαλλαγής καλύπτει τις ακόλουθες οντότητες: «πολύ μικρές επιχειρήσεις, μικρές επιχειρήσεις, νεοφυείς επιχειρήσεις, νομικές οντότητες ιδιωτικού δικαίου, συμπεριλαμβανομένων μη κερδοσκοπικών οργανισμών, σύμφωνα με την ισχύουσα νομοθεσία, καθώς και φυσικά πρόσωπα και αποπροσωποποιημένες ιδιωτικές οντότητες που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα» (167). Σύμφωνα με τη νομοθεσία της Βραζιλίας, οι όροι «πολύ μικρές επιχειρήσεις» (168), «μικρές επιχειρήσεις» (169) ή «νεοφυείς επιχειρήσεις» (170) αναφέρονται σε εταιρείες με έναν ή λίγους εργαζομένους (171), των οποίων τα ετήσια ακαθάριστα έσοδα δεν υπερβαίνουν ορισμένο όριο (172).

(119)

Η απαλλαγή από τον διορισμό υπευθύνου προστασίας δεδομένων δεν θα ισχύει για καμία από τις εν λόγω εταιρείες και οντότητες, ανεξάρτητα από το μέγεθος ή τα έσοδά τους, εφόσον προβαίνουν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα «υψηλού κινδύνου» (173). Μια επεξεργασία θεωρείται υψηλού κινδύνου εάν, σωρευτικά, πληροί τουλάχιστον ένα από τα παρακάτω γενικά χαρακτηριστικά: 1) επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα· και 2) επεξεργασία δεδομένων που ενδέχεται να επηρεάσει σημαντικά τα θεμελιώδη δικαιώματα και συμφέροντα των υποκειμένων των δεδομένων· και τουλάχιστον ένα από τα παρακάτω ειδικά χαρακτηριστικά: 1) χρήση αναδυόμενης ή καινοτόμου τεχνολογίας· 2) επιτήρηση ή έλεγχος περιοχών προσβάσιμων στο κοινό· 3) αποκλειστικά αυτοματοποιημένες διαδικασίες λήψης αποφάσεων· και 4) επεξεργασία ευαίσθητων δεδομένων ή δεδομένων που ανήκουν σε παιδιά ή ηλικιωμένους (174). Ως επεξεργασία δεδομένων προσωπικού χαρακτήρα σε «μεγάλη κλίμακα» ορίζεται η επεξεργασία που «περιλαμβάνει σημαντικό αριθμό υποκειμένων των δεδομένων, λαμβανομένου επίσης υπόψη του όγκου των σχετικών δεδομένων, καθώς και της διάρκειας, της συχνότητας και της γεωγραφικής έκτασης της επεξεργασίας που διενεργείται» (175). Ως «επεξεργασία δεδομένων που μπορεί να επηρεάσει σημαντικά τα θεμελιώδη δικαιώματα και συμφέροντα των υποκειμένων των δεδομένων» ορίζεται «μεταξύ άλλων περιπτώσεων, εκείνη στην οποία η δραστηριότητα επεξεργασίας μπορεί να παρεμποδίσει την άσκηση δικαιωμάτων ή τη χρήση μιας υπηρεσίας, καθώς και να προκαλέσει υλική ή ηθική βλάβη στα υποκείμενα των δεδομένων, όπως διακρίσεις, παραβίαση της σωματικής ακεραιότητας, δικαίωμα στην εικόνα και τη φήμη, οικονομική απάτη ή κλοπή ταυτότητας». (176)

(120)

Η ANPD εξέδωσε δεσμευτικό κανονισμό σχετικά με τον ρόλο του ΥΠΔ, ο οποίος αποσαφηνίζει περαιτέρω τα καθήκοντά του (177). Στον εν λόγω κανονισμό, η ANPD υπενθυμίζει τις υποχρεώσεις των ιδιωτικών οντοτήτων και των δημόσιων αρχών να δημοσιεύουν πληροφορίες σχετικά με την ταυτότητα του οικείου υπευθύνου προστασίας δεδομένων (178). Το άρθρο 10 του κανονισμού για τον ΥΠΔ υπενθυμίζει την υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία να διασφαλίζουν, μεταξύ άλλων, ότι ο ΥΠΔ μπορεί να εκτελεί τα καθήκοντά του με ανεξαρτησία, «χωρίς αδικαιολόγητες παρεμβάσεις, ιδίως κατά την παροχή καθοδήγησης σχετικά με τις πρακτικές που πρέπει να υιοθετούνται σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα», καθώς και ότι στον ΥΠΔ παρέχεται άμεση πρόσβαση στο ανώτατο διοικητικό επίπεδο και σε όλους τους υπαλλήλους που συμμετέχουν σε στρατηγικές αποφάσεις για την επεξεργασία δεδομένων εντός μιας οντότητας. Ομοίως, ο ΥΠΔ εκτελεί τα καθήκοντα και τις εργασίες του με «δεοντολογικό τρόπο, ακεραιότητα και τεχνική ανεξαρτησία, αποφεύγοντας καταστάσεις που ενδέχεται να συνιστούν σύγκρουση συμφερόντων» (179).

(121)

Ο ρόλος του ΥΠΔ αποτελεί προτεραιότητα των μέτρων επιβολής της ANPD. Για παράδειγμα, οι πρώτες κυρώσεις που επέβαλε η ANPD αφορούσαν μια εταιρεία η οποία τιμωρήθηκε με πρόστιμο και έλαβε ειδική προειδοποίηση επειδή δεν κατόρθωσε να αποδείξει ότι είχε διορίσει ΥΠΔ (180). Η οντότητα αποφάσισε να διορίσει ΥΠΔ κατά τη διάρκεια της διοικητικής διαδικασίας προκειμένου να συμμορφωθεί με την εντολή της ANPD. Έκτοτε, η ANPD συνέχισε να επιβάλλει κυρώσεις σε δημόσιες και ιδιωτικές οντότητες σε σχέση με τις διατάξεις για τον ΥΠΔ που θεσπίστηκαν βάσει του LGPD (181).

(122)

Η εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων (στο εξής: ΕΕΠΔ) αποτελεί ένα ακόμη σημαντικό εργαλείο για τη διασφάλιση της λογοδοσίας. Η ΕΕΠΔ επιτρέπει την αξιολόγηση και τον προσδιορισμό των επιπτώσεων της επεξεργασίας. Σύμφωνα με το άρθρο 38 του LGPD, η ANPD μπορεί να ζητήσει από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να εκπονήσει ΕΕΠΔ (182), η οποία πρέπει να περιλαμβάνει περιγραφή του είδους της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, καθώς και μέτρα, εγγυήσεις και μηχανισμούς για τον μετριασμό των κινδύνων. Επιπλέον, το τμήμα II του LGPD θεσπίζει διατάξεις σχετικά με τη λογοδοσία, οι οποίες εξουσιοδοτούν την ANPD να ζητεί τη δημοσίευση ΕΕΠΔ ή να συνιστά την υιοθέτηση «ορθών πρακτικών» για την προστασία των δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές (183).

(123)

Υπό το πρίσμα των απαιτήσεων και των πρακτικών λογοδοσίας που περιγράφονται στις αιτιολογικές σκέψεις 114 έως 122 της παρούσας απόφασης, το πλαίσιο της Βραζιλίας εφαρμόζει την αρχή της λογοδοσίας κατά τρόπο παρόμοιο με τα μέτρα που προβλέπονται στα τμήματα 3 και 4 του κεφαλαίου 4 του κανονισμού (ΕΕ) 2016/679, μεταξύ άλλων προβλέποντας διάφορους μηχανισμούς για τη διασφάλιση και την απόδειξη της συμμόρφωσης με τον LGPD.

(124)

Για να είναι εγγυημένη η διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων στην πράξη, είναι αναγκαία η ύπαρξη ανεξάρτητης εποπτικής αρχής με εξουσίες παρακολούθησης και επιβολής της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων. Η αρχή αυτή θα πρέπει να ενεργεί με πλήρη ανεξαρτησία και αμεροληψία κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών της.

(125)

Στη Βραζιλία, η ανεξάρτητη εποπτική αρχή που είναι αρμόδια για την παρακολούθηση και την επιβολή του LGPD είναι η Agência Nacional de Proteção de Dados — ANPD.

(126)

Η ANPD συστάθηκε με το άρθρο 55-A του LGPD και αποτέλεσε ανεξάρτητο φορέα, αρχικά με προσωρινό διάταγμα και, στη συνέχεια, με νόμο το 2022 (184). Ο νόμος που θεσπίστηκε για τη μεταβολή της φύσης της ANPD περιλάμβανε τροποποιήσεις του LGPD προκειμένου να καταργηθούν διατάξεις οι οποίες εξαρτούσαν τη λειτουργία και τις οικονομικές δραστηριότητες της ANPD από εγκρίσεις που έπρεπε να χορηγηθούν από την εκτελεστική εξουσία βάσει του νόμου της Βραζιλίας για τον προϋπολογισμό (185). Η τροποποιημένη διάταξη του LGPD αναγνωρίζει την ANPD ως «ειδική αρχή, με τεχνική αυτονομία και αυτονομία λήψης αποφάσεων, η οποία διαθέτει ίδια περιουσιακά στοιχεία και έχει την έδρα της στην Ομοσπονδιακή Περιφέρεια» (186).

(127)

Ως «αρχή ειδικού χαρακτήρα», η ANPD διαθέτει την αυτονομία να ασκεί πλήρως τα νομικά της καθήκοντα και εξουσίες που προβλέπονται από τον LGPD, συμπεριλαμβανομένης της διοικητικής διαχείρισης του οργανισμού (187). Στο πλαίσιο αυτό περιλαμβάνεται η αυτονομία όσον αφορά τη διαχείριση των δαπανών και των προσλήψεων (188). Η ANPD δημιουργήθηκε για πρώτη φορά ως «αρχή» προτού μετατραπεί σε «υπηρεσία» τον Σεπτέμβριο του 2025, οπότε η ονομασία της ευθυγραμμίστηκε με εκείνη άλλων 11 ρυθμιστικών φορέων που απολαμβάνουν αυτόν τον υψηλό βαθμό ανεξαρτησίας στη Βραζιλία (π.χ. η Εθνική Υπηρεσία Ηλεκτρικής Ενέργειας, η Εθνική Υπηρεσία Τηλεπικοινωνιών κ.λπ.) (189).

(128)

Οι πόροι της ANPD προέρχονται σε μεγάλο βαθμό από τον γενικό προϋπολογισμό του Ομοσπονδιακού Κράτους της Βραζιλίας. Επιπλέον, ο προϋπολογισμός της ANPD μπορεί να περιλαμβάνει δωρεές, επιδοτήσεις ή άλλες πιστώσεις, όπως ορίζεται στο άρθρο 55-L του LGPD. Η ANPD, από τη σύστασή της το 2021, αναπτύσσεται εκθετικά. Οι ετήσιες εκθέσεις της ANPD αναφέρουν ότι η αρχή απασχολούσε 141 εργαζομένους / δημόσιους υπαλλήλους στο τέλος του 2023, έπειτα από μόλις τέσσερα έτη ύπαρξης (190). Ο ετήσιος προϋπολογισμός της ANPD για το 2025 ανέρχεται σε 18 εκατ. BRL (191). Τον Σεπτέμβριο του 2025 ανακοινώθηκε στη Βραζιλία η δημιουργία μιας νέας σταδιοδρομίας στον δημόσιο τομέα στο πεδίο της «προστασίας δεδομένων», με 200 θέσεις, στο πλαίσιο της αύξησης του εργατικού δυναμικού της ANPD κατά τα επόμενα έτη (192).

(129)

Η ANPD απαρτίζεται από ένα διοικητικό συμβούλιο (το οποίο είναι το ανώτατο διοικητικό της όργανο), ένα Εθνικό Συμβούλιο για την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής (το οποίο διαθέτει συμβουλευτικές εξουσίες) και διάφορα διοικητικά γραφεία και μονάδες (193). Η δομή αυτή καθορίζεται στο άρθρο 55-C του LGPD και αναλύεται περαιτέρω σε δύο διατάγματα που εκδόθηκαν το 2020 και το 2023, αντίστοιχα (194).

(130)

Το διοικητικό συμβούλιο απαρτίζεται από πέντε διαχειριστές, συμπεριλαμβανομένου του προέδρου της Αρχής. Κάθε μέλος του διοικητικού συμβουλίου της ANPD διορίζεται για πέντε έτη από τον πρόεδρο της Δημοκρατίας της Βραζιλίας, κατόπιν έγκρισης της Ομοσπονδιακής Γερουσίας (195).

(131)

Οι διαχειριστές είναι Βραζιλιάνοι και διαθέτουν υψηλού επιπέδου εκπαίδευση σχετική με τη θέση (196). Για να διασφαλιστεί η ανεξαρτησία τους, όλοι οι διαχειριστές πρέπει να απέχουν, μεταξύ άλλων, από κάθε κερδοφόρα επιχειρηματική δραστηριότητα, πολιτική δραστηριότητα και από την κατοχή διοικητικών ή συμβουλευτικών θέσεων σε οποιαδήποτε εταιρεία (197). Επιπλέον, η βραζιλιάνικη νομοθεσία που ρυθμίζει την κατοχή ανώτερων θέσεων εντός της ομοσπονδιακής δημόσιας διοίκησης ορίζει ότι τα άτομα που ασκούν καθήκοντα ισοδύναμα με εκείνα των διαχειριστών της ANPD απαγορεύεται, μεταξύ άλλων περιορισμών, να ασκούν δραστηριότητες ασυμβίβαστες με τα καθήκοντά τους (198). Στις δραστηριότητες αυτές περιλαμβάνεται η εργασία τους ως συμβούλων ή μεσαζόντων ιδιωτικών συμφερόντων (ακόμη και ανεπίσημα) ή η παροχή υπηρεσιών σε οντότητες που υπόκεινται στην εποπτεία ή τη ρύθμιση της ANPD, ακόμη και περιστασιακά. Επιπλέον, κατά τη λήξη της εντολής ή της θητείας τους στην ANPD και για τους έξι επόμενους μήνες, οι διαχειριστές δεν επιτρέπεται να ασκούν ορισμένα καθήκοντα που ενδέχεται να δημιουργήσουν κίνδυνο σύγκρουσης συμφερόντων (199).

(132)

Οι διαχειριστές μπορούν να παυθούν μόνο υπό ειδικές περιστάσεις που ορίζονται στο άρθρο 55-E του LGPD, δηλαδή «σε περίπτωση παραίτησης, τελεσίδικης και αμετάκλητης δικαστικής καταδίκης ή ποινής παύσης λόγω πειθαρχικής διοικητικής διαδικασίας». Ο ομοσπονδιακός νόμος για τη δημόσια διοίκηση ορίζει ότι μια τέτοια κύρωση πρέπει να είναι δικαιολογημένη και μπορεί να προταθεί μόνο σε περίπτωση αποδεδειγμένων συγκεκριμένων αδικημάτων (π.χ. σοβαρά παραπτώματα, διαφθορά, παράτυπη χρήση δημόσιων πόρων) (200). Οι εν λόγω κανόνες και η διαδικασία παρέχουν στους διαχειριστές της ANPD θεσμική προστασία κατά την άσκηση των καθηκόντων τους. Μέχρι σήμερα, κανένας διαχειριστής της ANPD δεν παύθηκε ποτέ ούτε υποβλήθηκε σε πειθαρχική διαδικασία. Το διοικητικό συμβούλιο της ANPD έχει παραμείνει στη θέση του και αμετάβλητο παρά την αλλαγή της κυβέρνησης στη Βραζιλία που πραγματοποιήθηκε το 2023.

(133)

Τα καθήκοντα και οι εξουσίες της ANPD περιγράφονται λεπτομερώς στο άρθρο 55-J του LGPD. Ειδικότερα, περιλαμβάνουν την ανάπτυξη πολιτικών και κατευθυντήριων γραμμών για την προστασία των δεδομένων, την προώθηση της θέσπισης προτύπων που διευκολύνουν τον έλεγχο των δεδομένων προσωπικού χαρακτήρα από τα υποκείμενα των δεδομένων, τη διερεύνηση παραβιάσεων των ατομικών δικαιωμάτων, τον χειρισμό καταγγελιών, την επιβολή της συμμόρφωσης με τον LGPD και την έκδοση κυρώσεων, τη διασφάλιση της εκπαίδευσης και της προώθησης στον τομέα της προστασίας των δεδομένων, καθώς και την ανταλλαγή και συνεργασία με αρχές προστασίας δεδομένων τρίτων χωρών, μεταξύ άλλων (201).

(134)

Η ANPD διαθέτει συμβουλευτικό όργανο το οποίο συγκροτείται από το Εθνικό Συμβούλιο για την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής, όπως ορίζεται στο άρθρο 58-A του LGPD. Το όργανο αυτό απαρτίζεται από εκπροσώπους της εκτελεστικής, νομοθετικής και δικαστικής εξουσίας, καθώς και της κοινωνίας των πολιτών, των συνδικαλιστικών οργανώσεων και του επιχειρηματικού τομέα (202). Έχει καθαρά συμβουλευτικό ρόλο, ο οποίος συνίσταται στην εκπόνηση μελετών ή ετήσιων εκθέσεων σχετικά με την προστασία των δεδομένων, στη διεξαγωγή δημόσιων συζητήσεων και ακροάσεων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής, στη διατύπωση μη δεσμευτικών συστάσεων προς την ANPD και στη διάδοση γνώσεων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής (203). Η συνεργασία μεταξύ της ANPD και του Εθνικού Συμβουλίου επικεντρώνεται στην προώθηση της προστασίας των δεδομένων και της ιδιωτικής ζωής στη Βραζιλία. Το Εθνικό Συμβούλιο δεν έχει καμία εξουσία όσον αφορά την παρακολούθηση και την επιβολή του LGPD, καθώς μόνο η ANPD έχει την εξουσία να επιβλέπει την εφαρμογή του νόμου και να τον επιβάλλει, για παράδειγμα, εκδίδοντας κανονισμούς, διεξάγοντας έρευνες και επιβάλλοντας κυρώσεις. Ως ανεξάρτητη αρχή, η ANPD δεν χρειάζεται να ακολουθεί τυχόν προτάσεις που μπορεί να διατυπωθούν από το Εθνικό Συμβούλιο μέσω των εκθέσεων ή μη δεσμευτικών συστάσεών του.

(135)

Για την επιβολή της συμμόρφωσης, ο νομοθέτης έχει χορηγήσει στην ANPD τόσο εξουσίες έρευνας όσο και εξουσίες επιβολής, οι οποίες ποικίλλουν από την έκδοση προειδοποιήσεων έως την επιβολή διοικητικών προστίμων.

(136)

Όσον αφορά τις εξουσίες έρευνας, εάν έχει αναφερθεί παράβαση του LGPD ή υπάρχουν υπόνοιες τέτοιας παράβασης, ή όταν είναι αναγκαίο για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων που έχουν παραβιαστεί / ενδέχεται να παραβιαστούν, η ANPD μπορεί να διενεργεί ανά πάσα στιγμή ελέγχους και επιτόπιες επιθεωρήσεις σε υπευθύνους επεξεργασίας από τον δημόσιο και τον ιδιωτικό τομέα και να ζητεί κάθε αναγκαία πληροφορία (204). Ειδικότερα, ο δεσμευτικός κανονισμός σχετικά με τις εξουσίες επιβολής κυρώσεων της ANPD ορίζει ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία επιτρέπουν στην ANPD «την πρόσβαση σε γραφεία/κτίρια, εξοπλισμό, εφαρμογές, εγκαταστάσεις, συστήματα, εργαλεία και τεχνολογικούς πόρους, έγγραφα, δεδομένα και πληροφορίες τεχνικής, επιχειρησιακής και άλλης φύσης που σχετίζονται με την αξιολόγηση των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, στοιχεία τα οποία έχει στην κατοχή της ή βρίσκονται στην κατοχή τρίτων» (205).

(137)

Στο πλαίσιο των διορθωτικών εξουσιών της, η ANPD μπορεί να επιβάλλει προειδοποιήσεις, πρόστιμα ή άλλες κυρώσεις, όπως εντολές για την προσωρινή διακοπή της επεξεργασίας δεδομένων ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα (206). Οι κυρώσεις αυτές μπορούν να επιβάλλονται σε δημόσιους ή ιδιωτικούς φορείς, με εξαίρεση τα πρόστιμα και τα καθημερινά πρόστιμα που δεν μπορούν να επιβληθούν σε δημόσιους φορείς (207). Μπορούν να επιβληθούν διάφορες σωρευτικές κυρώσεις για τη συμμόρφωση μιας οντότητας. Μέσω προειδοποίησης, η ANPD θα παρέχει στον υπεύθυνο επεξεργασίας συγκεκριμένο χρονικό διάστημα για τη λήψη διορθωτικών μέτρων προκειμένου η επεξεργασία να συμμορφώνεται με τον LGPD (208). Σε αντίθετη περίπτωση, θα επιβάλλονται πρόσθετες κυρώσεις. Για παράδειγμα, η ANPD έχει εκδώσει διάφορες προειδοποιήσεις προς το Υπουργείο Υγείας για μη παροχή εκτίμησης επιπτώσεων σχετικά με την προστασία των δεδομένων και για μη κοινοποίηση παραβίασης δεδομένων, μεταξύ άλλων (209). Η ANPD μπορεί να επιβάλει διάφορες κυρώσεις σε συνδυασμό με την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων ή τη διασφάλιση της συμμόρφωσης με τον LGPD. Για παράδειγμα, η ANPD μπορεί να επιβάλει διοικητικό πρόστιμο για παραβίαση του LGPD παράλληλα με εντολή διαγραφής δεδομένων που συνδέονται με την εν λόγω παραβίαση (210). Η ANPD μπορεί επίσης, σε περίπτωση μη χρηματικών κυρώσεων, να αποφασίσει την επιβολή «ημερήσιων προστίμων»«όταν είναι αναγκαίο για τη διασφάλιση της συμμόρφωσης (με τον LGPD) εντός συγκεκριμένης προθεσμίας» (211). Το ημερήσιο πρόστιμο επιβάλλεται σωρευτικά, λαμβανομένου υπόψη του χρόνου που μεσολαβεί μεταξύ της επιβολής του προστίμου και της εκπλήρωσης της υποχρέωσης, και το ύψος του είναι έως 50 εκατ. BRL (212).

(138)

Σύμφωνα με το άρθρο 52 σημείο II του LGPD, η ANPD μπορεί να επιβάλλει διοικητικά πρόστιμα, επιπλέον των ημερήσιων προστίμων, ύψους έως και 2 % των εσόδων μιας οντότητας στη Βραζιλία, με μέγιστο ποσό τα 50 εκατ. BRL (213). Τα πρόστιμα μπορούν να είναι σωρευτικά σε περίπτωση πολλαπλών παραβάσεων. Η ANPD επέβαλε τα πρώτα χρηματικά πρόστιμα, λίγους μήνες μετά την έκδοση του κανονισμού της για τις κυρώσεις, κατά εταιρείας τηλεπικοινωνιών, η οποία δεν προσδιόρισε τη νομική βάση για την επεξεργασία και δεν διόρισε υπεύθυνο προστασίας δεδομένων. Η εταιρεία έλαβε προειδοποίηση και της επιβλήθηκαν δύο πρόστιμα συνολικού ύψους 14 400 BRL (214). Στον δεσμευτικό κανονισμό για τις κυρώσεις, η ANPD κατηγοριοποίησε τις κυρώσεις σε τρία επίπεδα βαρύτητας: χαμηλής βαρύτητας, μέσης βαρύτητας και υψηλής βαρύτητας (215) ανάλογα με τον καθορισμένο παράγοντα, όπως το είδος και ο όγκος των δεδομένων που υποβάλλονται σε επεξεργασία, το είδος της επεξεργασίας ή ο αντίκτυπος στα δικαιώματα του υποκειμένου των δεδομένων. Για παράδειγμα, οι παραβιάσεις που αφορούν την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα υπόκεινται στο υψηλότερο επίπεδο κυρώσεων που μπορεί να επιβάλει η ANPD (216).

(139)

Ο κανονισμός για τις κυρώσεις προβλέπει μεθοδολογία για τον υπολογισμό των προστίμων, μεταξύ άλλων για να λαμβάνονται υπόψη επιβαρυντικοί και/ή ελαφρυντικοί παράγοντες (217). Για παράδειγμα, το πρόστιμο μπορεί να αυξηθεί κατά 10 % σε περίπτωση επανειλημμένων συγκεκριμένων παραβάσεων ή ακόμη και κατά 90 % για κάθε διορθωτικό μέτρο που δεν τηρήθηκε εντός καθορισμένης προθεσμίας (218). Ομοίως, το πρόστιμο μπορεί να μειωθεί κατά 50 % εάν η παράβαση αποκατασταθεί αμέσως μετά την έναρξη της διοικητικής διαδικασίας από την ANPD (219).

(140)

Ως εκ τούτου, το βραζιλιάνικο σύστημα συνδυάζει διάφορα είδη κυρώσεων, από διορθωτικά μέτρα μέχρι διοικητικά πρόστιμα. Αμέσως μετά την έναρξη ισχύος των εξουσιών της επιβολής κυρώσεων, η ANPD άρχισε να κάνει χρήση των εξουσιών της (220). Μέχρι σήμερα, έχουν εκδοθεί κυρώσεις και συστάσεις τόσο κατά δημόσιων αρχών, μεταξύ άλλων στον τομέα της ασφάλειας, όσο και κατά ιδιωτικών φορέων (221). Οι κυρώσεις που έχει επιβάλει μέχρι σήμερα η ANPD αφορούν ευρύ φάσμα ζητημάτων, συμπεριλαμβανομένου του μη διορισμού υπευθύνου προστασίας δεδομένων, περιστατικών ασφάλειας, όπως παραβιάσεις δεδομένων, ή της μη συνεργασίας με την ANPD. Εκτός από την επιβολή χρηματικών προστίμων, η ANPD έχει υπάρξει ιδιαίτερα ενεργή στη χρήση του πλήρους εύρους των διορθωτικών εξουσιών της με σκοπό, για παράδειγμα, την έκδοση εντολών προς τους υπευθύνους επεξεργασίας να διενεργήσουν ΕΕΠΔ ή να σταματήσουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Για παράδειγμα, τον Ιούλιο του 2024 η ANPD εξέδωσε εντολή προς μεγάλη πλατφόρμα μέσων κοινωνικής δικτύωσης να αναστείλει την επεξεργασία δεδομένων προσωπικού χαρακτήρα για την εκπαίδευση συστημάτων παραγωγικής τεχνητής νοημοσύνης (ΤΝ) σε όλα τα προϊόντα της (222). Μαζί με αυτό το προληπτικό μέτρο, το οποίο αποσκοπούσε στην προστασία των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων, η ANPD επέβαλε ημερήσιο πρόστιμο ύψους 50 000 BRL έως ότου η επεξεργασία πραγματοποιηθεί σύμφωνα με τον LGPD (223). Τέλος, η ANPD ανακοίνωσε την έναρξη ερευνών κατά αρκετών μεγάλων πολυεθνικών τεχνολογικών πλατφορμών, εταιρειών μέσων κοινωνικής δικτύωσης και μίας τράπεζας, συνεχίζοντας παράλληλα τις έρευνες κατά φορέων του δημόσιου τομέα (224). Στα λίγα χρόνια ύπαρξής της, η ANPD έχει επιδείξει ισχυρό έργο επιβολής, αξιοποιώντας όλο το φάσμα των εξουσιών επιβολής της.

(141)

Τέλος, οι διοικητικές κυρώσεις που θεσπίστηκαν βάσει του LGPD δεν υποκαθιστούν την εφαρμογή άλλων διοικητικών ή αστικών και ποινικών κυρώσεων, συμπεριλαμβανομένων εκείνων που προβλέπονται στον κώδικα προστασίας των καταναλωτών της Βραζιλίας (225) και στο αστικό πλαίσιο για το διαδίκτυο (226). Ειδικότερα, ο κώδικας προστασίας των καταναλωτών της Βραζιλίας απαιτεί από τις εταιρείες να παρέχουν στους καταναλωτές πληροφορίες σχετικά με τις δραστηριότητές τους (227). Περαιτέρω, στο άρθρο 56 του κώδικα προστασίας των καταναλωτών απαριθμούνται οι κυρώσεις που αντιμετωπίζουν οι εταιρείες σε περίπτωση μη συμμόρφωσης, οι οποίες κυμαίνονται από πρόστιμα έως την απαγόρευση πώλησης ή παραγωγής ενός προϊόντος ή την υποχρέωση αναστολής μιας υπηρεσίας. Επιπλέον, στα άρθρα 61 έως 74 του κώδικα προστασίας των καταναλωτών απαριθμούνται τα ποινικά αδικήματα για τα οποία οι εταιρείες μπορεί να αντιμετωπίζουν ποινές φυλάκισης από έξι μήνες έως δύο έτη, μεταξύ άλλων σε περίπτωση ψευδών ή παραπλανητικών ισχυρισμών σε σχέση με μια υπηρεσία ή σε περίπτωση προώθησης μιας υπηρεσίας που μπορεί να προκαλέσει ζημία στον καταναλωτή. Για παράδειγμα, το 2014 το Υπουργείο Άμυνας και Προστασίας των Καταναλωτών της Βραζιλίας επέβαλε πρόστιμο ύψους 3,5 εκατ. BRL σε εταιρεία τηλεπικοινωνιών για παραβάσεις του κώδικα προστασίας των καταναλωτών και του αστικού πλαισίου για το διαδίκτυο σε σχέση με την εκ μέρους της εταιρείας χρήση της παρακολούθησης για διαδικτυακή συμπεριφορική διαφήμιση και την πώληση δεδομένων περιήγησης (228).

(142)

Από τα ανωτέρω συνάγεται ότι το βραζιλιάνικο σύστημα διασφαλίζει την αποτελεσματική εφαρμογή των κανόνων του για την προστασία των δεδομένων στην πράξη.

(143)

Για να διασφαλίζεται επαρκής προστασία και ιδίως η επιβολή των ατομικών δικαιωμάτων, το υποκείμενο των δεδομένων θα πρέπει να έχει στη διάθεσή του αποτελεσματικά μέσα παροχής διοικητικής και δικαστικής έννομης προστασίας, συμπεριλαμβανομένης της αποζημίωσης.

(144)

Το βραζιλιάνικο σύστημα παρέχει στα φυσικά πρόσωπα διάφορους μηχανισμούς για την αποτελεσματική άσκηση των δικαιωμάτων τους και την παροχή έννομης προστασίας.

(145)

Ως πρώτο βήμα, τα φυσικά πρόσωπα που θεωρούν ότι έχουν παραβιαστεί τα δικαιώματα τους ή έχουν προσβληθεί τα συμφέροντά τους όσον αφορά την προστασία των δεδομένων, ή επιθυμούν να ασκήσουν τα δικαιώματα προστασίας των δεδομένων τους, μπορούν να απευθυνθούν στον οικείο υπεύθυνο επεξεργασίας. Σύμφωνα με το άρθρο 9 του LGPD, ο υπεύθυνος επεξεργασίας παρέχει, μεταξύ άλλων, τα στοιχεία επικοινωνίας ώστε να είναι δυνατή η υποβολή αίτησης και «υπομνημάτων» των υποκειμένων των δεδομένων (229).

(146)

Επιπλέον, στο πλαίσιο του LGPD και του νομικού συστήματος της Βραζιλίας, διάφορα μέσα παροχής έννομης προστασίας είναι διαθέσιμα για φυσικά πρόσωπα που θεωρούν ότι τα δικαιώματα ή τα συμφέροντά τους όσον αφορά την προστασία των δεδομένων έχουν παραβιαστεί από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(147)

Πρώτον, κάθε φυσικό πρόσωπο που θεωρεί ότι τα δικαιώματα ή τα συμφέροντά του όσον αφορά την προστασία των δεδομένων έχουν παραβιαστεί ή προσβληθεί από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία μπορεί να υποβάλει καταγγελία ή να αναφέρει την εν λόγω παραβίαση στην ANPD (230). Η ANPD διαθέτει ειδική σελίδα στον ιστότοπό της που επιτρέπει στα υποκείμενα των δεδομένων να υποβάλουν καταγγελία σε περίπτωση παραβίασης του LGPD ή αναφορά σε περίπτωση ζητημάτων που αφορούν αίτημα που υποβάλλεται σε υπεύθυνο επεξεργασίας σχετικά με τα δικαιώματα προστασίας των δεδομένων τους (231). Όπως εξηγείται στην αιτιολογική σκέψη 138 της παρούσας απόφασης, ως απάντηση σε καταγγελία, η ANPD μπορεί να επιβάλει κύρωση όπως περιγράφεται λεπτομερώς στο άρθρο 52 του LGPD. Ο κανονισμός σχετικά με τις εξουσίες επιβολής κυρώσεων της ANPD θέσπισε τη διοικητική διαδικασία για τις διαδικασίες της, συμπεριλαμβανομένων των προθεσμιών, των διαδικασιών που διέπουν το δικαίωμα ακρόασης και της δημοσίευσης της απόφασης (232).

(148)

Οι αποφάσεις της ANPD μπορούν να προσβληθούν από τα υποκείμενα των δεδομένων με την υποβολή προσφυγής στο διοικητικό συμβούλιο της ANPD εντός 10 ημερών από την παραλαβή των αποφάσεων (233). Στο πλαίσιο του δικαιώματός τους πραγματικής προσφυγής, τα φυσικά πρόσωπα μπορούν επίσης να προσβάλουν τις αποφάσεις του συμβουλίου ενώπιον δικαστηρίου, καθώς και να ασκήσουν προσφυγή κατά της ANPD για μη συμμόρφωση με τις υποχρεώσεις της που απορρέουν από τον LGPD (συμπεριλαμβανομένης της άρνησης χειρισμού καταγγελίας ή της απόρριψης καταγγελίας επί της ουσίας) (234).

(149)

Δεύτερον, η ANPD μπορεί να ενθαρρύνει τον «άμεσο συμβιβασμό» (διαμεσολάβηση) μεταξύ των υποκειμένων των δεδομένων και των υπευθύνων επεξεργασίας, ώστε να δοθεί προτεραιότητα στην επίλυση προβλημάτων και στην «αποζημίωση ζημίας από τον υπεύθυνο επεξεργασίας» (235). Οι διαδικασίες αυτές δεν εμποδίζουν τα υποκείμενα των δεδομένων να υποβάλλουν καταγγελίες ή να έχουν πρόσβαση σε άλλα μέσα παροχής έννομης προστασίας.

(150)

Τρίτον, όσον αφορά την αποζημίωση, το άρθρο 42 του LGPD θεσπίζει την υποχρέωση του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να επανορθώσει «υλικές, ηθικές, ατομικές ή συλλογικές ζημίες σε τρίτους», οι οποίες προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τα υποκείμενα των δεδομένων μπορούν να ασκήσουν αγωγή, ατομικά ή συλλογικά, για να ζητήσουν επανόρθωση και αποζημίωση για τις εν λόγω ζημίες (236). Ο LGPD ορίζει ότι ο δικαστής έχει τη διακριτική ευχέρεια να «αντιστρέψει το βάρος της απόδειξης υπέρ του υποκειμένου των δεδομένων», ιδίως σε περιπτώσεις στις οποίες «η προσκόμιση αποδεικτικών στοιχείων από το υποκείμενο των δεδομένων θα ήταν υπερβολικά επαχθής» (237).

(151)

Τέταρτον, όταν η παραβίαση των δικαιωμάτων των υποκειμένων των δεδομένων εμπίπτει στο πεδίο εφαρμογής της νομοθεσίας για την προστασία των καταναλωτών και των σχέσεων με τους καταναλωτές, εφαρμόζεται η προστασία που παρέχεται στον εν λόγω τομέα και μπορεί να γίνει επίκλησή της ενώπιον δικαστηρίου (238).

(152)

Πέμπτον, το Ανώτατο Ομοσπονδιακό Δικαστήριο της Βραζιλίας έχει αναγνωρίσει ότι τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητούν έννομη προστασία με τη μορφή ασφαλιστικών μέτρων για προσβολές των δικαιωμάτων τους που απορρέουν από το Σύνταγμα, συμπεριλαμβανομένου του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα (239). Στο πλαίσιο αυτό, το δικαστήριο μπορεί, για παράδειγμα, να διατάξει τους υπευθύνους επεξεργασίας να αναστείλουν ή να διακόψουν κάθε παράνομη δραστηριότητα. Επιπλέον, τα δικαιώματα προστασίας των δεδομένων, συμπεριλαμβανομένων των δικαιωμάτων που προστατεύονται από τον LGPD, μπορούν να επιβληθούν μέσω αστικών αγωγών. Το άρθρο 22 του LGPD επιτρέπει ρητά την υπεράσπιση των δικαιωμάτων των υποκειμένων των δεδομένων ενώπιον δικαστηρίου και, γενικότερα, την προσφυγή των φυσικών προσώπων στη δικαιοσύνη για υποθέσεις προστασίας δεδομένων, είτε ατομικά είτε συλλογικά.

(153)

Ως εκ τούτου, το βραζιλιάνικο σύστημα προσφέρει διάφορα μέσα για την εξασφάλιση έννομης προστασίας, από εύκολα προσβάσιμες επιλογές χαμηλού κόστους (π.χ. καταγγελίες στην ANPD) έως δικαστικές οδούς, οι οποίες περιλαμβάνουν τη δυνατότητα λήψης αποζημίωσης ή παροχής συλλογικής έννομης προστασίας.

(154)

Η Επιτροπή αξιολόγησε επίσης τους περιορισμούς και τις εγγυήσεις, συμπεριλαμβανομένων των μηχανισμών εποπτείας και ατομικής προσφυγής, που προβλέπει το δίκαιο της Βραζιλίας όσον αφορά τη συλλογή και επακόλουθη χρήση από δημόσιες αρχές της Βραζιλίας δεδομένων προσωπικού χαρακτήρα που έχουν διαβιβαστεί σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στη Βραζιλία προς το δημόσιο συμφέρον, ειδικότερα για σκοπούς εθνικής ασφάλειας και επιβολής της ποινικής νομοθεσίας (στο εξής: πρόσβαση από την κυβέρνηση).

(155)

Κατά την αξιολόγηση του αν οι όροι υπό τους οποίους οι κρατικές αρχές θα έχουν πρόσβαση στα δεδομένα που θα διαβιβάζονται στη Βραζιλία βάσει της παρούσας απόφασης πληρούν το κριτήριο της «ουσιώδους ισοδυναμίας» σύμφωνα με το άρθρο 45 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, όπως έχει ερμηνευθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων, η Επιτροπή έλαβε υπόψη ιδίως τα ακόλουθα κριτήρια.

(156)

Πρώτον, κάθε περιορισμός του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα πρέπει να προβλέπεται από τον νόμο και η νομική βάση που επιτρέπει την επέμβαση στο δικαίωμα αυτό πρέπει να καθορίζει η ίδια την έκταση του περιορισμού στην άσκηση του εν λόγω δικαιώματος (240).

(157)

Δεύτερον, προκειμένου να πληρούται η απαίτηση της αναλογικότητας, σύμφωνα με την οποία οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της πρέπει να εφαρμόζονται μόνο στο μέτρο που είναι απολύτως αναγκαίο σε μια δημοκρατική κοινωνία για την επίτευξη συγκεκριμένων στόχων γενικού συμφέροντος ισοδύναμων με εκείνους που αναγνωρίζει η Ένωση, η νομοθεσία της σχετικής τρίτης χώρας που συνεπάγεται την επέμβαση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν το περιεχόμενο και την εφαρμογή των σχετικών μέτρων και να επιβάλλει ελάχιστες απαιτήσεις, έτσι ώστε τα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται να έχουν επαρκείς εγγυήσεις οι οποίες καθιστούν δυνατή την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα από τους κινδύνους κατάχρησης (241). Η ρύθμιση πρέπει, ειδικότερα, να ορίζει υπό ποιες περιστάσεις και υπό ποιες συνθήκες μπορεί να ληφθεί μέτρο το οποίο προβλέπει την επεξεργασία τέτοιων δεδομένων (242), καθώς και να υποβάλει την εκπλήρωση των εν λόγω απαιτήσεων σε ανεξάρτητη εποπτεία (243).

(158)

Τρίτον, η εν λόγω νομοθεσία και οι απαιτήσεις της πρέπει να είναι νομικά δεσμευτικές σύμφωνα με το εθνικό δίκαιο. Αυτό αφορά πρωτίστως τις αρχές της οικείας τρίτης χώρας, αλλά οι εν λόγω νομικές απαιτήσεις πρέπει να είναι επίσης εκτελεστές ενώπιον των δικαστηρίων κατά των εν λόγω αρχών (244). Ειδικότερα, τα υποκείμενα των δεδομένων πρέπει να έχουν τη δυνατότητα να ασκήσουν ένδικο βοήθημα ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου προκειμένου να εξασφαλίσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτύχουν τη διόρθωση ή τη διαγραφή τέτοιων δεδομένων (245).

(159)

Οι περιορισμοί και οι εγγυήσεις που ισχύουν για τη συλλογή και επακόλουθη χρήση δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές της Βραζιλίας απορρέουν από το γενικό συνταγματικό πλαίσιο, από ειδικούς νόμους που ρυθμίζουν τις δραστηριότητές τους στους τομείς της επιβολής του ποινικού δικαίου και της εθνικής ασφάλειας, καθώς και από τους κανόνες που εφαρμόζονται ειδικά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.

(160)

Πρώτον, η πρόσβαση των δημόσιων αρχών της Βραζιλίας σε δεδομένα προσωπικού χαρακτήρα διέπεται από τη γενική αρχή της νομιμότητας, από όπου απορρέουν οι αρχές του εύλογου χαρακτήρα, της αναγκαιότητας και της αναλογικότητας, και η οποία κατοχυρώνεται στο Σύνταγμα της Βραζιλίας (246). Ειδικότερα, σύμφωνα με το άρθρο 5 του Συντάγματος, τα θεμελιώδη δικαιώματα και οι ελευθερίες (συμπεριλαμβανομένου του δικαιώματος στην ιδιωτική ζωή και στην προστασία των δεδομένων) μπορούν να περιορίζονται μόνον από τον νόμο και όταν είναι αναγκαίο για επιτακτικούς λόγους εθνικής ασφάλειας, δημόσιας ασφάλειας ή άλλου ειδικού σκοπού δημόσιου συμφέροντος που ορίζεται από τον νόμο. Οι περιορισμοί αυτοί πρέπει να είναι εύλογοι και αναλογικοί (247). Ειδικότερα, η αξιολόγηση του σκοπού δημοσίου συμφέροντος είναι απαραίτητη για την εκτίμηση της αναλογικότητας της παρέμβασης, υπό το πρίσμα της αρχής της νομιμότητας. Το άρθρο 5 σημείο LIV του Συντάγματος ορίζει περαιτέρω ότι «κανείς δεν μπορεί να στερηθεί την ελευθερία ή την περιουσία του χωρίς τη διεξαγωγή δέουσας διαδικασίας».

(161)

Δεύτερον, η έννομη τάξη της Βραζιλίας εγγυάται τη διαδικασία δικαστικής προσφυγής Habeas Data ως συνταγματική οδό προσφυγής που αποσκοπεί στην προστασία του δικαιώματος πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που βρίσκονται στην κατοχή δημόσιων αρχών ή σε δημόσια σύνολα δεδομένων ή μητρώα, καθώς και διόρθωσης και διαγραφής τέτοιων δεδομένων (248). Χρησιμεύει ως εγγύηση κατά της κατάχρησης ή της παραβίασης της ιδιωτικής ζωής που σχετίζεται με την επεξεργασία δεδομένων από δημόσιους φορείς. Κάθε φυσικό πρόσωπο μπορεί να εγείρει αξίωση ή να υποβάλει αίτηση βάσει της διαδικασίας δικαστικής προσφυγής Habeas Data, ανεξάρτητα από την ιθαγένειά του (249).

(162)

Τρίτον, οι γενικές αρχές και τα δικαιώματα στα οποία γίνεται αναφορά στις αιτιολογικές σκέψεις 155 έως 158 αντικατοπτρίζονται επίσης στους ειδικούς νόμους που ρυθμίζουν τις εξουσίες των αρχών επιβολής του νόμου και των αρχών εθνικής ασφάλειας. Για παράδειγμα, το αστικό πλαίσιο για το διαδίκτυο προβλέπει μέτρα που απαιτούν προηγούμενη δικαστική απόφαση για την πρόσβαση σε δεδομένα και περιορισμό της πρόσβασης σε επιγραμμικά δεδομένα (250). Ομοίως, ο νόμος για την παρακολούθηση των τηλεφωνικών επικοινωνιών θεσπίζει ειδικά μέτρα και εγγυήσεις για την επεξεργασία τηλεπικοινωνιακών δεδομένων (251). Στον τομέα της εθνικής ασφάλειας, ο νόμος για τη δημιουργία του συστήματος πληροφοριών της Βραζιλίας προβλέπει μέτρα για τη νόμιμη πρόσβαση σε δεδομένα για σκοπούς εθνικής ασφάλειας (252).

(163)

Τέταρτον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές, μεταξύ άλλων για σκοπούς επιβολής του νόμου και εθνικής ασφάλειας, υπόκειται στις απαιτήσεις προστασίας των δεδομένων βάσει του LGPD. Όπως περιγράφεται στην αιτιολογική σκέψη 31 της παρούσας απόφασης, η εξαίρεση σχετικά με την εφαρμογή του LGPD στους τομείς της δημόσιας ασφάλειας, της εθνικής άμυνας, της κρατικής ασφάλειας και της διερεύνησης και δίωξης ποινικών αδικημάτων που προβλέπεται από τον LGPD είναι μερική. Το Ανώτατο Ομοσπονδιακό Δικαστήριο έχει ερμηνεύσει τη δυνατότητα εφαρμογής του LGPD υπό το πρίσμα της συνταγματικής προστασίας των δεδομένων προσωπικού χαρακτήρα και έχει αποφανθεί ότι οι βασικές αρχές, τα δικαιώματα και οι στόχοι του LGPD ισχύουν για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές, μεταξύ άλλων όταν η εν λόγω επεξεργασία διενεργείται για σκοπούς επιβολής του ποινικού δικαίου ή εθνικής ασφάλειας (253). Σε αυτή τη βάση, η ANPD διενήργησε, για παράδειγμα, έρευνες και εξέδωσε κατευθυντήριες γραμμές, όπως τεχνικό σημείωμα προς τις δημόσιες αρχές για δραστηριότητες που σχετίζονται με τη δημόσια ασφάλεια, στις οποίες υπενθύμισε ότι η επεξεργασία για τους εν λόγω σκοπούς δημόσιου συμφέροντος πρέπει να συμμορφώνεται με τις γενικές αρχές και τα δικαιώματα που προβλέπει ο LGPD (254).

(164)

Τέλος, τα φυσικά πρόσωπα μπορούν να αξιώσουν την προστασία των συνταγματικών δικαιωμάτων και των ελευθεριών τους ενώπιον του Ανώτατου Ομοσπονδιακού Δικαστηρίου, εάν πιστεύουν ότι αυτά έχουν παραβιαστεί από δημόσιες αρχές κατά την άσκηση των αρμοδιοτήτων τους. Τα φυσικά πρόσωπα μπορούν επίσης να ζητήσουν την παροχή έννομης προστασίας, σε σχέση με τα δικαιώματά τους όσον αφορά την προστασία των δεδομένων, ενώπιον ανεξάρτητων εποπτικών φορέων (π.χ. ANPD) και δικαστηρίων, όπως περιγράφεται λεπτομερώς στις αιτιολογικές σκέψεις 143 έως 153 της παρούσας απόφασης.

(165)

Το δίκαιο της Βραζιλίας επιβάλλει σειρά περιορισμών στην πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου και προβλέπει μηχανισμούς εποπτείας και παροχής έννομης προστασίας που συνάδουν με τις απαιτήσεις που αναφέρονται στις αιτιολογικές σκέψεις 155 έως 158 της παρούσας απόφασης. Οι όροι υπό τους οποίους μπορεί να αποκτηθεί τέτοια πρόσβαση και οι εγγυήσεις που ισχύουν για τη χρήση αυτών των εξουσιών αξιολογούνται λεπτομερώς στις επόμενες ενότητες.

(166)

Κατά γενικό κανόνα, η πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου πραγματοποιείται βάσει προηγούμενης δικαστικής απόφασης που έχει εκδοθεί από αρμόδια δικαστική αρχή (255). Κατ’ εξαίρεση από τον κανόνα αυτό, οι αστυνομικές και εισαγγελικές αρχές μπορούν, σε περιπτώσεις που προβλέπονται ειδικά από τον νόμο, να έχουν πρόσβαση στα δεδομένα των υπό έρευνα προσώπων που περιλαμβάνονται σε δημόσιο μητρώο, δηλαδή στα δεδομένα που αφορούν τα προσωπικά στοιχεία ταυτότητας, την ιδιότητα και τη διεύθυνση (256). Ο εξαντλητικός κατάλογος προσβάσιμων μητρώων, που προβλέπεται από τον νόμο, καλύπτει τις πληροφορίες Βραζιλιάνων ή ατόμων που διαμένουν στη Βραζιλία και δεν καλύπτει την πρόσβαση σε δεδομένα που διαβιβάζονται από την ΕΕ, με αποτέλεσμα να μην εμπίπτει στο πεδίο εφαρμογής της παρούσας απόφασης (257). Η πρόσβαση στα μητρώα αυτά διέπεται από τη συνταγματική αρχή της νομιμότητας —από την οποία απορρέουν οι αρχές του εύλογου χαρακτήρα, της αναγκαιότητας και της αναλογικότητας— και μπορεί να υπόκειται σε εκ των υστέρων δικαστικό έλεγχο, όπως εξηγείται στις αιτιολογικές σκέψεις 159 έως 161.

(167)

Οι αρχές της Βραζιλίας που έχουν δικαίωμα πρόσβασης και συλλογής δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου, δυνάμει προηγούμενης δικαστικής απόφασης, είναι οι εξής: 1) η πολιτική αστυνομία· 2) η ομοσπονδιακή αστυνομία· 3) η πολιτειακή εισαγγελική αρχή· 4) η ομοσπονδιακή εισαγγελική αρχή· 5) δικαστές και δικαστήρια· και 6) οι κοινοβουλευτικές εξεταστικές επιτροπές.

(168)

Σύμφωνα με το άρθρο 3-B του ποινικού κώδικα, δικαστής «επιφορτισμένος με τον έλεγχο της νομιμότητας της ποινικής έρευνας και τη διασφάλιση των ατομικών δικαιωμάτων» μπορεί να εκδώσει δικαστική απόφαση με την οποία επιτρέπεται: 1) η παρακολούθηση τηλεφωνικών επικοινωνιών σε υπολογιστές και συνδεδεμένα συστήματα ή άλλων μορφών επικοινωνίας· 2) η κατάργηση του φορολογικού, τραπεζικού και τηλεφωνικού απορρήτου και του απορρήτου των δεδομένων· 3) η κατ’ οίκον έρευνα και κατάσχεση· 4) η πρόσβαση σε απόρρητες πληροφορίες· και 5) «άλλα μέτρα για τη συγκέντρωση αποδεικτικών στοιχείων που περιορίζουν τα θεμελιώδη δικαιώματα του υπό έρευνα προσώπου» (258).

(169)

Το απόρρητο της αλληλογραφίας και των ηλεκτρονικών και τηλεφωνικών επικοινωνιών θεωρείται θεμελιώδες δικαίωμα στο νομικό πλαίσιο της Βραζιλίας (259).

(170)

Οι δημόσιες αρχές μπορούν να έχουν πρόσβαση στα δεδομένα αυτά μόνο σε εξαιρετικές περιπτώσεις για σκοπούς ποινικής έρευνας ή δίωξης. Η παρακολούθηση των επικοινωνιών πρέπει πάντα να αποτελεί επικουρικό και έκτακτο μέτρο, το οποίο επιτρέπεται μόνον όταν δεν υπάρχουν άλλα μέσα για την επίλυση συγκεκριμένης υπόθεσης, όπως έχει κρίνει το Ανώτατο Ομοσπονδιακό Δικαστήριο (260). Οι τρόποι παρακολούθησης των διαδικτυακών και τηλεφωνικών επικοινωνιών καλύπτονται από τον νόμο για την παρακολούθηση των τηλεφωνικών επικοινωνιών (261).

(171)

Το άρθρο 2 του νόμου για την παρακολούθηση των τηλεφωνικών επικοινωνιών θέτει αυστηρές προϋποθέσεις που επιτρέπουν την πρόσβαση σε επικοινωνίες. Για κάθε παρακολούθηση επικοινωνιών απαιτείται προηγούμενη δικαστική άδεια. Έγκυρη αίτηση παρακολούθησης υποβάλλεται σε δικαστή από τις εξουσιοδοτημένες δημόσιες αρχές, οι οποίες μπορούν να είναι είτε 1) η αρμόδια αστυνομική αρχή, στο πλαίσιο ποινικής έρευνας· είτε 2) ο εκπρόσωπος της Εισαγγελίας, στο πλαίσιο ποινικής έρευνας και ποινικής δίωξης (262). Η παρακολούθηση τηλεφωνικών επικοινωνιών δεν επιτρέπεται σε καμία από τις ακόλουθες περιπτώσεις, όπως υπαγορεύουν οι αρχές της αναγκαιότητας και της αναλογικότητας: 1) εάν δεν υπάρχουν εύλογες αποδείξεις αυτουργίας ή συμμετοχής σε ποινικό αδίκημα· 2) εάν τα αποδεικτικά στοιχεία μπορούν να παρασχεθούν με άλλα διαθέσιμα μέσα· 3) εάν το περιστατικό που διερευνάται συνιστά ποινικό αδίκημα που τιμωρείται με κράτηση (263).

(172)

Επιπλέον, ο νόμος για την παρακολούθηση των τηλεφωνικών επικοινωνιών απαιτεί να διευκρινίζεται στην αίτηση παρακολούθησης η αναγκαιότητα του μέτρου (264). Η προηγούμενη δικαστική άδεια τεκμηριώνεται και εξετάζει την αναλογικότητα των μέσων που χρησιμοποιήθηκαν για τη διενέργεια της παρακολούθησης (265). Ο δικαστής μπορεί να επιτρέψει την πρόσβαση στο περιεχόμενο των επικοινωνιών για μέγιστο διάστημα 15 ημερών. Η περίοδος αυτή μπορεί να παραταθεί με νέα δικαστική απόφαση μόλις αποδειχθεί ο απαραίτητος χαρακτήρας του μέτρου (266). Κάθε παρακολούθηση επικοινωνιών, συμπεριλαμβανομένης της παρακολούθησης του περιβάλλοντος, η οποία διεξάγεται χωρίς δικαστική άδεια ή για σκοπό που δεν επιτρέπεται από τον νόμο, συνιστά έγκλημα που τιμωρείται με έως και τέσσερα έτη φυλάκισης (267).

(173)

Κατά γενικό κανόνα, τα δεδομένα στα οποία παρέχεται πρόσβαση και τα δεδομένα που συλλέγονται για σκοπούς επιβολής του ποινικού δικαίου σύμφωνα με τον νόμο για την παρακολούθηση των τηλεφωνικών επικοινωνιών διατηρούνται καθ’ όλη τη διάρκεια της επεξεργασίας και στη συνέχεια διαγράφονται μόλις παύσουν να είναι απαραίτητα για τη δικαστική διαδικασία, σύμφωνα με τις δεσμευτικές κατευθυντήριες γραμμές του δικαστικού σώματος (268). Το άρθρο 9 του νόμου για την παρακολούθηση των τηλεφωνικών επικοινωνιών ορίζει περαιτέρω ότι, όταν το συλλεγόμενο περιεχόμενο δεν σχετίζεται με το ζήτημα που διερευνάται στην υπόθεση, τα δεδομένα καθίστανται «μη χρησιμοποιήσιμα» (269).

(174)

Όσον αφορά τα μεταδεδομένα τηλεπικοινωνιών, το άρθρο 17 του νόμου σχετικά με τις εγκληματικές οργανώσεις και τις ποινικές έρευνες απαιτεί από τις τηλεφωνικές εταιρείες να διατηρούν τα στοιχεία λογαριασμού χρήστη των ατόμων που διαμένουν στη Βραζιλία και τα αρχεία τηλεφωνικών κλήσεων (αποκλειστικά τηλεφωνικούς αριθμούς) για πέντε έτη (270). Η πρόσβαση στο εν λόγω μητρώο που τηρείται από την ANATEL (ρυθμιστική αρχή τηλεπικοινωνιών της Βραζιλίας) περιορίζεται σε συγκεκριμένους δημόσιους φορείς, ενώ απαιτείται δικαστική άδεια, όπως περιγράφεται ανωτέρω.

(175)

Όσον αφορά τις πληροφορίες που διατίθενται στο διαδίκτυο, το άρθρο 7 του αστικού πλαισίου για το διαδίκτυο εγγυάται περαιτέρω «το απαραβίαστο και το απόρρητο της ροής των επικοινωνιών μέσω του διαδικτύου», εκτός εάν υπάρχει δικαστική απόφαση, σύμφωνα με τον νόμο· και «το απαραβίαστο και το απόρρητο των αποθηκευμένων ιδιωτικών επικοινωνιών, εκτός εάν υπάρχει δικαστική απόφαση» (271).

(176)

Σύμφωνα με το άρθρο 10 του αστικού πλαισίου για το διαδίκτυο, η πρόσβαση στο περιεχόμενο διαδικτυακών επικοινωνιών και στα δεδομένα σύνδεσης (συμπεριλαμβανομένων των μεταδεδομένων) επιτρέπεται μόνο με προηγούμενη δικαστική απόφαση. Σύμφωνα με το άρθρο 22 του αστικού πλαισίου για το διαδίκτυο, η αίτηση έκδοσης δικαστικής απόφασης πρέπει να περιλαμβάνει: (σημείο i) βάσιμα αποδεικτικά στοιχεία για την τέλεση του αδικήματος· (σημείο ii) εμπεριστατωμένη αιτιολόγηση της χρησιμότητας των αρχείων που ζητούνται για σκοπούς έρευνας ή απόδειξης· και (σημείο iii) καθορισμό της περιόδου στην οποία αναφέρονται τα αρχεία. Το άρθρο 13 απαιτεί επίσης από τους παρόχους υπηρεσιών διαδικτύου ή εφαρμογών να τηρούν αρχεία καταγραφής σύνδεσης για ένα έτος «σε ελεγχόμενο και ασφαλές περιβάλλον» (272). Δεν προβλέπεται παρόμοια υποχρέωση διατήρησης δεδομένων σε σχέση με το περιεχόμενο των διαδικτυακών επικοινωνιών. Πρόσβαση στα τηρούμενα αρχεία καταγραφής σύνδεσης μπορεί να χορηγηθεί σε αρμόδια αρχή μόνο βάσει δικαστικής άδειας, υπό τους όρους που περιγράφονται στην παρούσα αιτιολογική σκέψη (273).

(177)

Το άρθρο 11 του αστικού πλαισίου για το διαδίκτυο υπενθυμίζει ότι κάθε πράξη που περιλαμβάνει τη συλλογή, αποθήκευση, διατήρηση ή οποιαδήποτε άλλη επεξεργασία αρχείων καταγραφής, δεδομένων προσωπικού χαρακτήρα ή επικοινωνιών από παρόχους σύνδεσης και διαδικτυακών εφαρμογών στη Βραζιλία πρέπει να τηρεί «τη νομοθεσία της Βραζιλίας και τα δικαιώματα στην προστασία της ιδιωτικής ζωής, την προστασία των δεδομένων προσωπικού χαρακτήρα και το απόρρητο των ιδιωτικών επικοινωνιών και αρχείων». Από τις εγγυήσεις που αποτυπώνονται στις αιτιολογικές σκέψεις 175 έως 177 προκύπτει ότι η μαζική συλλογή και διατήρηση δεδομένων επικοινωνίας στο διαδίκτυο δεν επιτρέπεται γενικά στη Βραζιλία.

(178)

Στη Βραζιλία υπάρχει συνταγματική προστασία όσον αφορά το απόρρητο της αλληλογραφίας, των ηλεκτρονικών (συμπεριλαμβανομένων των δεδομένων) και των τηλεφωνικών επικοινωνιών (274). Ο LGPD προστατεύει επίσης τη χρήση δεδομένων και πληροφοριών επικοινωνιών (275), ενώ ο νόμος για την εμπιστευτικότητα των χρηματοπιστωτικών ιδρυμάτων προστατεύει την εμπιστευτικότητα των φορολογικών και τραπεζικών πληροφοριών (276).

(179)

Οι δημόσιες αρχές μπορούν να έχουν πρόσβαση σε αυτές τις πληροφορίες μόνο σε εξαιρετικές περιπτώσεις για σκοπούς ποινικής έρευνας ή δίωξης. Η παρακολούθηση των επικοινωνιών πρέπει πάντα να αποτελεί επικουρικό και έκτακτο μέτρο, το οποίο επιτρέπεται μόνον όταν δεν υπάρχουν άλλα μέσα για την επίλυση συγκεκριμένης υπόθεσης, όπως έχει κρίνει το Ανώτατο Ομοσπονδιακό Δικαστήριο (277).

(180)

Τα κριτήρια και οι εγγυήσεις για την πρόσβαση σε δεδομένα και επικοινωνίες καθορίζονται στο αστικό πλαίσιο για το διαδίκτυο και στον νόμο για την παρακολούθηση των τηλεφωνικών επικοινωνιών, και περιγράφονται λεπτομερώς στις αιτιολογικές σκέψεις 169 έως 177 της παρούσας απόφασης.

(181)

Όσον αφορά τα φορολογικά και τραπεζικά δεδομένα, το άρθρο 1 του νόμου για την εμπιστευτικότητα των χρηματοπιστωτικών ιδρυμάτων καθορίζει τις προϋποθέσεις για την άρση των γενικών υποχρεώσεων διασφάλισης της εμπιστευτικότητας των πληροφοριών αυτών. Πρώτον, το απόρρητο μπορεί να αρθεί μόνο μέσω δικαστικής άδειας (278). Δεύτερον, τα μέτρα μπορούν να εγκριθούν μόνο για ποινικές έρευνες ή δίωξη αναγνωρισμένων αδικημάτων ή εγκλημάτων ως εξής: 1) τρομοκρατία· 2) παράνομη διακίνηση ναρκωτικών ουσιών ή παρόμοιων ναρκωτικών· 3) λαθρεμπόριο ή διακίνηση όπλων, πυρομαχικών ή υλικού που προορίζεται για την παραγωγή τους· 4) εκβίαση μέσω απαγωγής· 5) εγκλήματα κατά του εθνικού χρηματοπιστωτικού συστήματος· 6) εγκλήματα κατά της δημόσιας διοίκησης· 7) εγκλήματα κατά του φορολογικού συστήματος και του συστήματος κοινωνικής ασφάλισης· 8) νομιμοποίηση εσόδων από παράνομες δραστηριότητες ή απόκρυψη περιουσιακών στοιχείων· και 9) σύνδεση με εγκληματική οργάνωση (279). Το άρθρο 10 του νόμου ορίζει περαιτέρω ότι η προστασία του απορρήτου των φορολογικών και τραπεζικών δεδομένων δεν αίρεται για άλλους σκοπούς και ότι η μη τήρηση του εν λόγω περιορισμού συνιστά έγκλημα που τιμωρείται με φυλάκιση έως τεσσάρων ετών (280).

(182)

Κατά γενικό κανόνα, το ομοσπονδιακό Σύνταγμα προβλέπει ότι έρευνες και κατασχέσεις μπορούν να πραγματοποιηθούν μόνο σε αυστηρά καθορισμένες εξαιρετικές περιπτώσεις ή όπως προβλέπεται από τον νόμο και βάσει δικαστικής απόφασης που εκδίδεται από αρμόδια δικαστική αρχή τηρουμένης της δέουσας διαδικασίας (281). Οι έρευνες και οι κατασχέσεις πρέπει να συμμορφώνονται με την αρχή της νομιμότητας και να διεξάγονται στο μέτρο που είναι αναγκαίο.

(183)

Στις ακόλουθες εξαιρετικές περιπτώσεις, έρευνες και κατασχέσεις μπορούν να πραγματοποιηθούν χωρίς δικαστική απόφαση: 1) σε περίπτωση αυτοφώρου εγκλήματος (δηλαδή εάν ένα έγκλημα διαπράττεται παρουσία των αρχών επιβολής του νόμου)· 2) σε περίπτωση φυσικής καταστροφής (προκειμένου να σωθούν ανθρώπινες ζωές ή περιουσίες)· ή 3) για την παροχή βοήθειας σε άτομο που δεν είναι σε θέση να δώσει τη συγκατάθεσή του και το οποίο χρειάζεται βοήθεια (282). Η νομολογία του Ανώτατου Ομοσπονδιακού Δικαστηρίου της Βραζιλίας έχει διευκρινίσει ότι οι αρχές επιβολής του νόμου δεν μπορούν να βασίζονται σε «ανώνυμες πληροφορίες» και «ύποπτη συμπεριφορά» ως λόγο για τη διεξαγωγή ερευνών ή κατασχέσεων χωρίς ένταλμα, καθώς η πρακτική αυτή δεν συμμορφώνεται με την απαίτηση νομιμότητας και δεν παρέχει στις αρχές έγκυρη δικαιολόγηση για την παραβίαση του απαραβίαστου της κατοικίας (283).

(184)

Όσον αφορά τις διαδικαστικές εγγυήσεις, σύμφωνα με τις συνταγματικές αρχές της Βραζιλίας, δεν μπορεί να πραγματοποιηθεί έρευνα σε ηλεκτρονική συσκευή χωρίς εύλογες υπόνοιες ότι έχει καταγραφεί σε αυτήν ποινικό αδίκημα και, κατά γενικό κανόνα, χωρίς να υπάρχει δικαστική απόφαση (284). Επιπλέον, ένα φυσικό πρόσωπο δεν μπορεί να υποχρεωθεί να παραδώσει δεδομένα εάν η εν λόγω παράδοση θα μπορούσε να παραβιάσει τα συνταγματικά δικαιώματα του ατόμου, όπως το δικαίωμα της μη αυτοενοχοποίησης (285). Κατά την υποβολή αίτησης για ένταλμα έρευνας στο δικαστήριο, η αρχή επιβολής του ποινικού δικαίου παρέχει τα σχετικά πραγματικά περιστατικά και αποδεικτικά στοιχεία που τεκμηριώνουν την ανάγκη πρόσβασης στο σύστημα και στα δεδομένα υπολογιστή, με τη χρήση διαπιστευτηρίων πρόσβασης που έχουν αποκτηθεί νόμιμα (286). Σε περίπτωση που το δικαστήριο χορηγήσει ένταλμα έρευνας, οι αρχές χρησιμοποιούν τα διαπιστευτήρια πρόσβασης για την πρόσβαση στο σύστημα υπολογιστή και στα δεδομένα που περιέχονται σε αυτό, σύμφωνα με τους όρους και τις προϋποθέσεις που καθορίζονται στο ένταλμα. Μόλις ολοκληρωθεί η έρευνα ή η πρόσβαση, οι αρμόδιες αρχές πρέπει να υποβάλουν έκθεση στο δικαστήριο, στην οποία θα περιγράφονται τα αποτελέσματα της έρευνας ή της πρόσβασης και θα παρέχεται κατάλογος των δεδομένων ή των πληροφοριών που λήφθησαν.

(185)

Το άρθρο 4 του νόμου για την πρόσβαση σε πληροφορίες (στο εξής: LAI) ορίζει ως «εμπιστευτικές πληροφορίες» τις πληροφορίες που «υπόκεινται προσωρινά σε περιορισμό της πρόσβασης του κοινού λόγω του ουσιώδους χαρακτήρα τους για την ασφάλεια της κοινωνίας και του κράτους» (287). Τα δεδομένα προσωπικού χαρακτήρα μπορούν να εντάσσονται στο πεδίο εφαρμογής των εμπιστευτικών πληροφοριών, όπως ορίζονται στο προηγούμενο εδάφιο.

(186)

Το άρθρο 6 του LAI απαιτεί από τους δημόσιους φορείς να προστατεύουν τις εμπιστευτικές πληροφορίες και να περιορίζουν την πρόσβαση σε αυτές. Όσον αφορά την πρόσβαση σε επικοινωνίες, δεδομένα, τραπεζικές και φορολογικές πληροφορίες, η πρόσβαση σε εμπιστευτικές πληροφορίες για ποινικές έρευνες και διώξεις επιτρέπεται μόνο βάσει δικαστικής άδειας, σε εξαιρετικές περιπτώσεις, και επιτρέπεται μόνο όταν δεν υπάρχουν άλλα μέσα για την επίλυση συγκεκριμένης υπόθεσης, όπως ορίζεται από το Ανώτατο Ομοσπονδιακό Δικαστήριο και από τον νόμο (288).

(187)

Τα «άλλα μέτρα για τη συγκέντρωση αποδεικτικών στοιχείων που περιορίζουν τα θεμελιώδη δικαιώματα του υπό έρευνα προσώπου» αναφέρονται, για παράδειγμα, στη δυνατότητα να διαταχθεί προληπτική κράτηση ή να τεθεί ένα άτομο υπό φυσική παρακολούθηση. Τα μέτρα αυτά δεν έχουν καταρχήν σημασία στο πλαίσιο της διαβίβασης δεδομένων βάσει απόφασης περί επάρκειας.

(188)

Για λόγους πληρότητας, τέτοια μέτρα, τα οποία προτείνονται από δημόσια αρχή, μπορούν να εφαρμοστούν μόνο βάσει δικαστικής άδειας. Τα προτεινόμενα μέτρα πρέπει να συνάδουν με την αρχή της νομιμότητας που κατοχυρώνεται στο Σύνταγμα, να διατάσσονται σε εξαιρετικές περιπτώσεις και όταν δεν μπορεί να χρησιμοποιηθεί άλλη εναλλακτική λύση, όπως ορίζει το Ανώτατο Ομοσπονδιακό Δικαστήριο.

(189)

Όσον αφορά τη μεταγενέστερη χρήση δεδομένων προσωπικού χαρακτήρα για άλλο σκοπό από δημόσια αρχή, το άρθρο 9 του νόμου για την παρακολούθηση των τηλεφωνικών επικοινωνιών ορίζει ότι, όταν το συλλεγόμενο περιεχόμενο δεν σχετίζεται με το ζήτημα που διερευνάται στο πλαίσιο συγκεκριμένης έρευνας, τα δεδομένα καθίστανται «μη χρησιμοποιήσιμα». Το άρθρο 13 του αστικού πλαισίου για το διαδίκτυο περιορίζει επίσης τη διατήρηση δεδομένων σύνδεσης σε μητρώο σε μέγιστο διάστημα ενός έτους. Το άρθρο 10 του νόμου για την εμπιστευτικότητα των χρηματοπιστωτικών ιδρυμάτων περιορίζει επίσης τον σκοπό για τον οποίο μπορεί να αρθεί η εμπιστευτικότητα των φορολογικών και τραπεζικών δεδομένων (289). Τα μέτρα αυτά περιορίζουν στην πράξη τη δυνατότητα περαιτέρω χρήσης των πληροφοριών.

(190)

Ένα ακόμη σημαντικό στοιχείο είναι ότι το Ανώτατο Ομοσπονδιακό Δικαστήριο έκρινε ότι ο LGPD εφαρμόζεται στην ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ δημόσιων φορέων, συμπεριλαμβανομένης της ανταλλαγής δεδομένων προσωπικού χαρακτήρα μεταξύ υπηρεσιών επιβολής του νόμου και υπηρεσιών πληροφοριών (290). Ειδικότερα, το Δικαστήριο υπενθύμισε ότι «η ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ φορέων και οντοτήτων της δημόσιας διοίκησης προϋποθέτει: 1) τον ορισμό θεμιτού, ειδικού και ρητού σκοπού για την επεξεργασία δεδομένων· 2) τη συμβατότητα της επεξεργασίας με τους γνωστοποιηθέντες σκοπούς· 3) τον περιορισμό της ανταλλαγής στο ελάχιστο αναγκαίο για την επίτευξη του γνωστοποιηθέντος σκοπού· καθώς και την πλήρη συμμόρφωση με τις απαιτήσεις, τις εγγυήσεις και τις διαδικασίες που προβλέπονται στον LGPD, στον βαθμό που αυτό είναι συμβατό με τον δημόσιο τομέα». Το Δικαστήριο πρόσθεσε ότι «η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από δημόσιους φορείς κατά τρόπο αντίθετο προς τις νομικές και συνταγματικές παραμέτρους ενεργοποιεί την αστική ευθύνη του κράτους για ζημίες που υφίστανται οι ιδιώτες», σύμφωνα με το άρθρο 42 του LGPD.

(191)

Όσον αφορά την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ των αρχών επιβολής του ποινικού δικαίου στη Βραζιλία και παρόμοιων αρχών σε τρίτες χώρες, οι δραστηριότητες αυτές διέπονται από πράξεις του διεθνούς δικαίου, σύμφωνα με τον LGPD. Εν προκειμένω, το άρθρο 33 σημείο III του LGPD ορίζει ότι διεθνείς διαβιβάσεις δεδομένων μπορούν να πραγματοποιούνται όταν «είναι αναγκαίες για σκοπούς διεθνούς νομικής συνεργασίας μεταξύ δημόσιων φορέων πληροφοριών, ερευνών και δίωξης, σύμφωνα με τις πράξεις του διεθνούς δικαίου». Στη Βραζιλία, το Υπουργείο Δικαιοσύνης και Δημόσιας Ασφάλειας λειτουργεί ως κεντρική αρχή για τη διεθνή νομική συνεργασία σε ποινικά ζητήματα. Το υπουργείο είναι αρμόδιο για την παραλαβή, την ανάλυση, τη διαβίβαση και την παρακολούθηση της εκτέλεσης αιτήσεων διεθνούς συνεργασίας με αλλοδαπές αρχές, σύμφωνα με τους ισχύοντες κανόνες του διεθνούς δικαίου και τον LGPD. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για τη διεθνή νομική συνεργασία υπόκειται στις αρχές του περιορισμού του σκοπού (άρθρο 6 σημείο I του LGPD), της νομιμότητας και του θεμιτού χαρακτήρα της επεξεργασίας (άρθρα 6 και 7 του LGPD), της ελαχιστοποίησης και της ακρίβειας των δεδομένων (άρθρο 6 σημεία III και V του LGPD), της διαφάνειας (άρθρο 6 σημείο VI του LGPD), της ασφάλειας των δεδομένων (άρθρο 6 σημείο VII του LGPD) και του περιορισμού της αποθήκευσης (άρθρο 6 σημεία I, III και IV και άρθρο 16 του LGPD). Η πιθανή γνωστοποίηση δεδομένων προσωπικού χαρακτήρα σε τρίτους (συμπεριλαμβανομένων τρίτων χωρών) μπορεί να πραγματοποιηθεί μόνο σύμφωνα με τις εν λόγω αρχές, αφού αξιολογηθεί η συμμόρφωση με τις συνταγματικές αρχές της αναγκαιότητας και της αναλογικότητας και διασφαλιστεί η συνέχεια της προστασίας και η συμμόρφωση με τα δικαιώματα των υποκειμένων των δεδομένων (άρθρο 2 του κανονισμού για τη διαβίβαση δεδομένων).

(192)

Ως εκ τούτου, οι εξουσίες των αρχών επιβολής του ποινικού δικαίου στη Βραζιλία όσον αφορά τη συλλογή δεδομένων και την πρόσβαση σε αυτά οριοθετούνται από σαφείς και ακριβείς κανόνες που προβλέπονται από τον νόμο και υπόκεινται σε διάφορες εγγυήσεις. Οι εγγυήσεις αυτές περιλαμβάνουν ιδίως την εγγυημένη εποπτεία της εκτέλεσης των εν λόγω μέτρων, μεταξύ άλλων μέσω προηγούμενης δικαστικής έγκρισης και εγγυήσεων που περιορίζουν τη διάρκεια της πρόσβασης και τη διατήρηση των πληροφοριών σύμφωνα με τις αρχές της αναγκαιότητας και της αναλογικότητας.

(193)

Στη Βραζιλία, οι δραστηριότητες των αρχών επιβολής του ποινικού δικαίου εποπτεύονται από διάφορους φορείς.

(194)

Πρώτον, όπως επιβεβαιώθηκε από το Ανώτατο Ομοσπονδιακό Δικαστήριο, η ANPD έχει την εξουσία να εποπτεύει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από τις αρχές επιβολής του ποινικού δικαίου βάσει ορισμένων απαιτήσεων του LGPD (291). Στο πλαίσιο αυτό, η ANPD μπορεί να ασκεί τις εξουσίες διερεύνησης και τις διορθωτικές εξουσίες που διαθέτει βάσει του LGPD. Για παράδειγμα, η ANPD έχει διερευνήσει τις δραστηριότητες της Ομοσπονδιακής Αστυνομίας, του Υπουργείου Δικαιοσύνης και Δημόσιας Ασφάλειας και άλλων δημόσιων φορέων που ασκούν δραστηριότητες ασφάλειας σε ομοσπονδιακό, πολιτειακό ή τοπικό επίπεδο, ή έχουν αρμοδιότητες επιβολής του νόμου (292). Οι έρευνες μπορούν να διεξάγονται με πρωτοβουλία της ίδιας της ANPD ή κατόπιν αιτημάτων και καταγγελιών, οι οποίες μπορούν, για παράδειγμα, να υποβάλλονται από ιδιώτες, οργανώσεις της κοινωνίας των πολιτών και δημόσιες αρχές. Για παράδειγμα, η ANPD διεξήγαγε αρκετές έρευνες σχετικά με τη χρήση βιντεοκάμερας κατόπιν αιτημάτων της κοινωνίας των πολιτών (293).

(195)

Δεύτερον, οι δραστηριότητες των αρχών επιβολής του ποινικού δικαίου εποπτεύονται από το δικαστικό σώμα. Τα δικαστήρια έχουν την εξουσία να επιτρέπουν τη συλλογή δεδομένων προσωπικού χαρακτήρα και την πρόσβαση σε αυτά, υπό τις περιστάσεις που αναφέρονται ανωτέρω στις αιτιολογικές σκέψεις 165 έως 187. Επιπλέον, έχουν την εξουσία να επιβάλλουν αστικές και ποινικές κυρώσεις σε περίπτωση κατάχρησης ή μη συμμόρφωσης με την ισχύουσα νομοθεσία, οι οποίες περιλαμβάνουν την κράτηση ή την εντολή διακοπής ορισμένων δραστηριοτήτων.

(196)

Τρίτον, η Εισαγγελία, ένα ανεξάρτητο και μόνιμο θεσμικό όργανο στη Βραζιλία που είναι υπεύθυνο για την προάσπιση της έννομης τάξης και του δημοκρατικού συστήματος, έχει την εξουσία να ασκεί εξωτερικό έλεγχο στις δραστηριότητες της αστυνομίας (294). Όπως ορίζεται στο ψήφισμα σχετικά με την Εισαγγελία, σκοπός του εξωτερικού ελέγχου των δραστηριοτήτων της αστυνομίας είναι η διατήρηση της «νομιμότητας και της καταλληλότητας των διαδικασιών που εφαρμόζονται κατά την άσκηση των αστυνομικών δραστηριοτήτων», ιδίως όσον αφορά τον «σεβασμό των θεμελιωδών δικαιωμάτων που κατοχυρώνονται από το ομοσπονδιακό Σύνταγμα και τους νόμους» (295). Υπό την ιδιότητα αυτή, η Εισαγγελία μπορεί, μεταξύ άλλων, να πραγματοποιεί επιτόπιες επισκέψεις, είτε προγραμματισμένες είτε οποτεδήποτε, να εξετάζει έρευνες, να επιβλέπει την κατάσχεση εμπορευμάτων και να παρακολουθεί τη συμμόρφωση με εντάλματα (296). Κάθε παραβίαση της νομοθεσίας αναφέρεται στο δικαστήριο. Στο πλαίσιο των καθηκόντων της, η Εισαγγελία έχει συμμετάσχει στη διερεύνηση και τη δίωξη υποθέσεων αστυνομικής βίας, κατάχρησης εξουσίας και παραβιάσεων των ανθρωπίνων δικαιωμάτων. Επιπλέον, η Εισαγγελία διαδραματίζει ρόλο στην εποπτεία της προστασίας των δεδομένων κινώντας νομικές διαδικασίες βάσει της συνταγματικής προστασίας ή συμμετέχοντας σε αυτές και προωθώντας τα δικαιώματα προστασίας των δεδομένων παράλληλα με την ANPD. Η Εισαγγελία, για παράδειγμα, παρουσίασε στο Ανώτατο Ομοσπονδιακό Δικαστήριο το επιχείρημά της υπέρ της απόφασης-ορόσημου που αναγνωρίζει την προστασία των δεδομένων ως θεμελιώδες δικαίωμα στη Βραζιλία (297). Στην ιστοσελίδα της Εισαγγελίας διατίθεται επίσης μητρώο των ενεργειών της σχετικά με τον LGPD (298).

(197)

Το βραζιλιάνικο σύστημα προσφέρει διάφορους δικαστικούς και διοικητικούς τρόπους παροχής έννομης προστασίας, συμπεριλαμβανομένης της αποζημίωσης. Αυτοί οι μηχανισμοί παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά διοικητικά και δικαστικά μέσα έννομης προστασίας, με τα οποία τους παρέχεται ιδίως η δυνατότητα να επιβάλλουν τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να αποκτούν πρόσβαση στα δεδομένα τους προσωπικού χαρακτήρα ή να επιτυγχάνουν τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(198)

Πρώτον, τα φυσικά πρόσωπα μπορούν να ζητήσουν έννομη προστασία ενώπιον δικαστηρίου, συμπεριλαμβανομένης της αποζημίωσης. Το ομοσπονδιακό Σύνταγμα και ο Κώδικας Πολιτικής Δικονομίας παρέχουν τις νομικές βάσεις για την αξίωση αποζημίωσης για ηθική βλάβη ή υλική ζημία που προκλήθηκε από τη δημόσια αρχή η οποία συνέλεξε ή χρησιμοποίησε παράνομα δεδομένα για εγκληματικούς σκοπούς (299). Ειδικότερα, το Σύνταγμα αναφέρει ρητά ότι το δικαίωμα στην προστασία της ιδιωτικής ζωής συνεπάγεται «δικαίωμα αποζημίωσης» για την υλική ζημία ή την ηθική βλάβη που προκλήθηκε από την προσβολή του (300). Οι δικαστικές αποφάσεις μπορούν να προσβληθούν ενώπιον του Ανώτατου Ομοσπονδιακού Δικαστηρίου και κατόπιν ενώπιον του Διαμερικανικού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων. Το 2009 το Διαμερικανικό Δικαστήριο Ανθρωπίνων Δικαιωμάτων διέταξε τη Βραζιλία να αποζημιώσει τους εργαζομένους γεωργικών συνεταιρισμών λόγω αθέμιτων δραστηριοτήτων παρακολούθησης τηλεφωνικών κλήσεων που έλαβαν χώρα στην πολιτεία Paraná το 1999 κατά παράβαση του νόμου για την παρακολούθηση των τηλεφωνικών επικοινωνιών και της Αμερικανικής Σύμβασης των Δικαιωμάτων του Ανθρώπου (301).

(199)

Δεύτερον, τα φυσικά πρόσωπα, ανεξάρτητα από την ιθαγένειά τους, μπορούν να επικαλεστούν την προστασία που απορρέει από την έννοια της προσφυγής Habeas Data προκειμένου να αποκτήσουν συνακόλουθα πρόσβαση στα δεδομένα τους που βρίσκονται στην κατοχή δημόσιων αρχών και να επιτύχουν τη διόρθωση των δεδομένων αυτών (302). Σε αυτή τη βάση, τα φυσικά πρόσωπα μπορούν επίσης να προσφεύγουν ενώπιον δικαστηρίων, μεταξύ άλλων με την άσκηση «συνταγματικής προσφυγής» (Ação Direta de Inconstitucionalidade — στο εξής: ADI) στο Ανώτατο Ομοσπονδιακό Δικαστήριο. Η απόφαση-ορόσημο του 2020 από το Ανώτατο Ομοσπονδιακό Δικαστήριο, η οποία άνοιξε τον δρόμο ώστε η Βραζιλία να αναγνωρίσει την προστασία των δεδομένων ως θεμελιώδες δικαίωμα, ξεκίνησε από συνταγματικές προσφυγές που υποβλήθηκαν με βάση την αρχή Habeas Data (303). Η Εισαγγελία συμμετείχε επίσης στην υπόθεση, υποστηρίζοντας τη θέση των ατόμων και της κοινωνίας των πολιτών που προσέφυγαν στη δικαιοσύνη. Στο πλαίσιο της υπόθεσης αμφισβητήθηκε εκτελεστικό διάταγμα το οποίο είχε ως σκοπό την κοινοποίηση δεδομένων προσωπικού χαρακτήρα άνω των 200 εκατομμυρίων συνδρομητών τηλεπικοινωνιών στο Ινστιτούτο Γεωγραφίας και Στατιστικής της Βραζιλίας κατά τη διάρκεια της πανδημίας COVID-19 (304). Το Ανώτατο Ομοσπονδιακό Δικαστήριο έκρινε ότι το εκτελεστικό διάταγμα παραβίαζε τα θεμελιώδη δικαιώματα στην προστασία της ιδιωτικής ζωής και στο απόρρητο των επικοινωνιών που προστατεύονται από το Σύνταγμα (305). Το εκτελεστικό διάταγμα ανεστάλη και το Ανώτατο Ομοσπονδιακό Δικαστήριο αποφάνθηκε ότι η προστασία των δεδομένων θα πρέπει να θεωρείται θεμελιώδες δικαίωμα και να προστατεύεται ως τέτοιο, όπως το δικαίωμα στην προστασία της ιδιωτικής ζωής. (306) Κατά τον χρόνο έκδοσης της απόφασης ο LGPD δεν είχε αρχίσει ακόμη να ισχύει. Ως εκ τούτου, η επιτροπή δικαστών χρησιμοποίησε το συγκριτικό δίκαιο, ιδίως τη νομολογία του γερμανικού Ομοσπονδιακού Συνταγματικού Δικαστηρίου και το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, προκειμένου να υποστηρίξει την εκτίμησή της σχετικά με την αντισυνταγματικότητα του εκτελεστικού διατάγματος, καθώς και την ερμηνεία των θεμελιωδών δικαιωμάτων στην αξιοπρέπεια και την προστασία της ιδιωτικής ζωής, τα οποία κατοχυρώνονται στο Σύνταγμα, και την αναγνώριση της διαδικασίας δικαστικής προσφυγής Habeas Data ως εργαλείου για την προστασία του δικαιώματος στην πληροφοριακή αυτοδιάθεση (307).

(200)

Τρίτον, τα φυσικά πρόσωπα μπορούν να προσφύγουν στην ANPD για παραβάσεις του LGPD σύμφωνα με το άρθρο 55-J σημείο V και υπό τους όρους που περιγράφονται λεπτομερώς στις αιτιολογικές σκέψεις 146 και 149 της παρούσας απόφασης. Τα φυσικά πρόσωπα μπορούν επίσης να ασκούν τα σχετικά με την προστασία των δεδομένων δικαιώματά τους που έχουν θεσπιστεί στο πλαίσιο του LGPD έναντι των δημόσιων αρχών (308).

(201)

Οι μηχανισμοί προσφυγής που περιγράφονται στις αιτιολογικές σκέψεις 197 έως 200 της παρούσας απόφασης προσφέρουν στα υποκείμενα των δεδομένων αποτελεσματικά διοικητικά και δικαστικά μέσα έννομης προστασίας, παρέχοντάς τους ιδίως τη δυνατότητα να ασκούν τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματός τους για προστασία των δεδομένων σε σχέση με τα εν λόγω δεδομένα.

(202)

Το δίκαιο της Βραζιλίας περιλαμβάνει σειρά περιορισμών και εγγυήσεων όσον αφορά την πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα για λόγους εθνικής ασφάλειας και προβλέπει μηχανισμούς εποπτείας και προσφυγής οι οποίοι συνάδουν με τις απαιτήσεις που αναφέρονται στις αιτιολογικές σκέψεις (156) έως (158) της παρούσας απόφασης. Οι όροι υπό τους οποίους μπορεί να αποκτηθεί τέτοια πρόσβαση και οι εγγυήσεις που ισχύουν για τη χρήση αυτών των εξουσιών αξιολογούνται λεπτομερώς στις επόμενες ενότητες.

(203)

Στη Βραζιλία, η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα είναι δυνατή για σκοπούς εθνικής ασφάλειας στο πλαίσιο δραστηριοτήτων συλλογής πληροφοριών βάσει του νόμου για τη δημιουργία του συστήματος πληροφοριών της Βραζιλίας (στο εξής: SISBIN) (309). Ως γενικό κανόνα, το άρθρο 1 του εν λόγω νόμου ορίζει ότι το σύστημα πληροφοριών της Βραζιλίας «πρέπει να τηρεί και να διαφυλάσσει τα ατομικά δικαιώματα, τις εγγυήσεις και τις λοιπές διατάξεις του ομοσπονδιακού Συντάγματος, συνθηκών, συμβάσεων, συμφωνιών και διεθνών δεσμεύσεων στις οποίες η Ομοσπονδιακή Δημοκρατία της Βραζιλίας είναι συμβαλλόμενο ή υπογράφον μέρος» (310). Στο πλαίσιο αυτό περιλαμβάνεται η διασφάλιση των αρχών της αναγκαιότητας και της αναλογικότητας, καθώς και του δικαιώματος στην προστασία των δεδομένων (311). Οι δραστηριότητες που πρόκειται να διεξάγονται από το σύστημα πληροφοριών της Βραζιλίας περιγράφονται περαιτέρω σε δεσμευτικά διατάγματα (312).

(204)

Σύμφωνα με το άρθρο 4 του νόμου για τη δημιουργία του συστήματος πληροφοριών της Βραζιλίας, οι οντότητες που αποτελούν μέρος του SISBIN μπορούν να λαμβάνουν και να αναλύουν συγκεκριμένα δεδομένα για σκοπούς εθνικής ασφάλειας («Segurança Pública»). Η έννοια της εθνικής ασφάλειας διέπεται από νόμο του 2021 ο οποίος τροποποίησε τον ποινικό κώδικα (313) και ανακάλεσε τον νόμο της Βραζιλίας για την εθνική ασφάλεια (314). Ο νόμος του 2021 θέσπισε εξαντλητικό κατάλογο «εγκλημάτων» κατά της εθνικής ασφάλειας, ο οποίος πλαισιώνει την έννοια αυτή. Τα εγκλήματα αυτά είναι 1) εγκλήματα κατά της «εθνικής κυριαρχίας» (καλύπτονται οι πράξεις πολέμου, η εισβολή στη χώρα, η απόπειρα κατάσχεσης μέρους της εθνικής επικράτειας για να σχηματιστεί νέα χώρα, η ανταλλαγή διαβαθμισμένων πληροφοριών με ξένες κυβερνήσεις ή ξένες εγκληματικές οργανώσεις, οι οποίες θα μπορούσαν να θέσουν σε κίνδυνο τη συνταγματική τάξη της εθνικής κυριαρχίας, καθώς και η διευκόλυνση ή η πλαστογράφηση της πρόσβασης μη εξουσιοδοτημένων προσώπων σε συστήματα πληροφοριών) (315)· 2) εγκλήματα κατά των «δημοκρατικών θεσμών» (καλύπτεται η βίαιη απόπειρα κατάλυσης του κράτους δικαίου μέσω αποτροπής ή περιορισμού των συνταγματικών εξουσιών και πραξικοπήματος) (316)· 3) εγκλήματα κατά της «λειτουργίας των δημοκρατικών θεσμών κατά τη διάρκεια της εκλογικής διαδικασίας» (καλύπτεται η διακοπή της εκλογικής διαδικασίας και ο περιορισμός ή η παρεμπόδιση, με τη χρήση βίας, της ικανότητας των ατόμων να ασκούν τα πολιτικά τους δικαιώματα) (317)· και 4) εγκλήματα κατά της λειτουργίας των βασικών υπηρεσιών (καλύπτεται η δολιοφθορά μέσων δημόσιων επικοινωνιών, αμυντικών εγκαταστάσεων, με στόχο την κατάργηση του κράτους δικαίου) (318). Το άρθρο 359-T του νόμου διευκρινίζει ότι η άσκηση της ελευθερίας έκφρασης, των συνταγματικών δικαιωμάτων και εξουσιών, η άσκηση δημοσιογραφικής δραστηριότητας, μεταξύ άλλων «μέσω πορειών, συναντήσεων, απεργιών, συγκεντρώσεων ή κάθε άλλης μορφής πολιτικής διαδήλωσης με κοινωνικούς σκοπούς» δεν μπορεί να θεωρηθεί έγκλημα (319). Η εθνική πολιτική πληροφοριών της Βραζιλίας (PIN) έθεσε μια σειρά βασικών στόχων για τις πληροφορίες που πρέπει να λαμβάνουν υπόψη οι αρχές, όπως η πρόληψη της «δολιοφθοράς» ή της «κατασκοπείας» (320). Ωστόσο, ως «έγγραφο προσανατολισμού υψηλού επιπέδου», η PIN δεν διευρύνει τον κατάλογο των εγκλημάτων που σχετίζονται με την έννοια της εθνικής ασφάλειας ούτε μεταβάλλει τον ορισμό της (321).

(205)

Τα δεδομένα που μπορούν να προσπελαστούν και να αναλυθούν για την πρόληψη των προαναφερόμενων εγκλημάτων κατά της εθνικής ασφάλειας καλύπτουν τις πληροφορίες στις οποίες έχουν πρόσβαση οι δημόσιες αρχές που αποτελούν μέρος του SISBIN στο πλαίσιο των επιχειρησιακών τους δραστηριοτήτων και σύμφωνα με τους όρους που περιγράφονται στις αιτιολογικές σκέψεις 165 έως 187 της παρούσας απόφασης (δηλαδή, βάσει δικαστικής άδειας που χορηγείται για σαφώς καθορισμένο σκοπό). Τα δεδομένα που ανταλλάσσονται με το SISBIN υποβάλλονται σε επεξεργασία μέσω ασφαλούς κρυπτογραφημένου ηλεκτρονικού συστήματος με αρχεία καταγραφής πρόσβασης, ώστε να διασφαλίζεται η ιχνηλασιμότητα και η ελεγξιμότητα των πληροφοριών (322). Όπως διευκρίνισε το Ανώτατο Ομοσπονδιακό Δικαστήριο, η ανταλλαγή δεδομένων με το SISBIN υπόκειται στις αρχές του LGPD, μεταξύ των οποίων ο περιορισμός του σκοπού (άρθρο 6 σημείο I του LGPD), η ελαχιστοποίηση και η ακρίβεια των δεδομένων (άρθρο 6 σημεία III και V του LGPD), η διαφάνεια (άρθρο 6 σημείο VI του LGPD), η ασφάλεια των δεδομένων (άρθρο 6 σημείο VII του LGPD) και ο περιορισμός της αποθήκευσης (άρθρο 6 σημεία I, III και IV, και άρθρο 16 του LGPD) (323).

(206)

Το άρθρο 2 του νόμου για τη δημιουργία του συστήματος πληροφοριών της Βραζιλίας αναφέρει ότι μόνο οι δημόσιες αρχές αποτελούν μέρος του συστήματος αυτού. Το SISBIN αποτελείται από την Υπηρεσία Πληροφοριών της Βραζιλίας (στο εξής: ABIN) και από εκπροσώπους κέντρων πληροφοριών, υπουργείων, γραμματειών και υπηρεσιών της Ομοσπονδιακής Δημόσιας Διοίκησης. Ο κατάλογος των αρχών που είναι μέλη του SISBIN παρατίθεται σε διάταγμα σχετικά με την οργάνωση και τη λειτουργία του συστήματος (324).

(207)

Η ABIN είναι το κεντρικό όργανο του συστήματος πληροφοριών και είναι υπεύθυνη για τον σχεδιασμό, την εκτέλεση, τον συντονισμό, την εποπτεία και την επίβλεψη των δραστηριοτήτων συλλογής πληροφοριών. Οι δραστηριότητες αυτές πρέπει να διεξάγονται με τη χρήση εμπιστευτικών μέσων και τεχνικών που βασίζονται σε πληροφορίες. Για την εκτέλεση των καθηκόντων της, η ABIN λαμβάνει από τις διάφορες δημόσιες αρχές που αποτελούν μέρος του SISBIN συγκεκριμένες πληροφορίες και δεδομένα που σχετίζονται με την εθνική ασφάλεια. Οι αρχές που αποτελούν μέρος του SISBIN υποχρεούνται να παρέχουν τις πληροφορίες αυτές (325), δεδομένου ότι ο νόμος δεν επιτρέπει στην ABIN να συλλέγει μόνη της πληροφορίες. Η νομιμότητα της υποχρέωσης ανταλλαγής δεδομένων από τα μέλη του SISBIN αμφισβητήθηκε ενώπιον του Ανώτατου Ομοσπονδιακού Δικαστηρίου (326). Στην απόφασή του που εκδόθηκε το 2021, το Ανώτατο Ομοσπονδιακό Δικαστήριο διευκρίνισε ότι τα δεδομένα που κοινοποιούν οι δημόσιες αρχές στην ABIN πρέπει να τηρούν τους αυστηρούς σκοπούς δημόσιου συμφέροντος (π.χ. προάσπιση των δημόσιων οργανισμών και του εθνικού συμφέροντος) και υπενθύμισε ότι ο ειδικός και νόμιμος σκοπός κάθε δραστηριότητας ανταλλαγής δεδομένων ορίζεται μέσω επίσημης διαδικασίας που υπόκειται σε δικαστική άδεια και ορίζεται σε αυτήν (327). Οι περιορισμοί αυτοί ισχύουν επίσης για κάθε περαιτέρω ανταλλαγή δεδομένων μεταξύ δημόσιων αρχών (328).

(208)

Τέλος, η επεξεργασία δεδομένων που πραγματοποιείται μέσω του SISBIN πρέπει να προστατεύει τις πληροφορίες από την πρόσβαση μη εξουσιοδοτημένων προσώπων ή φορέων. Το άρθρο 5 του διατάγματος για τη λειτουργία του SISBIN ορίζει ρητά ότι ο συντονισμός και η ανταλλαγή δεδομένων μεταξύ των αρχών που είναι μέλη του συστήματος πρέπει να τηρούν «τη νομοθεσία σχετικά με το επαγγελματικό απόρρητο και την ασφάλεια, την προστασία των δεδομένων προσωπικού χαρακτήρα και την ασφάλεια των πληροφοριών και των γνώσεων», η οποία περιλαμβάνει τον LGPD ως τη βασική νομοθεσία της Βραζιλίας για την προστασία των δεδομένων προσωπικού χαρακτήρα (329). Το άρθρο 6 του διατάγματος διευκρινίζει περαιτέρω ότι οι πληροφορίες που ανταλλάσσουν οι αρχές στο SISBIN τηρούν «την αρχή της ασφάλειας δικαίου, της αναγκαιότητας, του δημοσίου συμφέροντος» και έχουν θεμιτό σκοπό (330). Το SISBIN αναγνωρίζει επίσης τη σημασία της συμμόρφωσης με τον LGPD στα δημόσια έγγραφα και τις εσωτερικές διαδικασίες του (331).

(209)

Ως εκ τούτου, οι εξουσίες των αρχών που επεξεργάζονται δεδομένα για σκοπούς εθνικής ασφάλειας στη Βραζιλία οριοθετούνται από σαφείς και ακριβείς κανόνες που προβλέπονται από τον νόμο και υπόκεινται σε διάφορες εγγυήσεις. Οι εγγυήσεις αυτές περιλαμβάνουν ιδίως την εγγυημένη εποπτεία της εκτέλεσης των εν λόγω μέτρων, μεταξύ άλλων μέσω προηγούμενης δικαστικής έγκρισης και εγγυήσεων που περιορίζουν την πρόσβαση σε πληροφορίες σύμφωνα με τις αρχές της αναγκαιότητας και της αναλογικότητας.

(210)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που συλλέγονται από τις αρχές της Βραζιλίας για σκοπούς εθνικής ασφάλειας υπόκειται στις αρχές του περιορισμού του σκοπού (άρθρο 6 σημείο I του LGPD), της νομιμότητας και του θεμιτού χαρακτήρα της επεξεργασίας (άρθρα 6 και 7 του LGPD), της ελαχιστοποίησης και της ακρίβειας των δεδομένων (άρθρο 6 σημεία III και V του LGPD), της διαφάνειας (άρθρο 6 σημείο VI του LGPD), της ασφάλειας των δεδομένων (άρθρο 6 σημείο VII του LGPD) και του περιορισμού της αποθήκευσης (άρθρο 6 σημεία I, III και IV, και άρθρο 16 του LGPD).

(211)

Η πιθανή γνωστοποίηση δεδομένων προσωπικού χαρακτήρα σε τρίτους (συμπεριλαμβανομένων τρίτων χωρών και μέσω διεθνών συμφωνιών) μπορεί να πραγματοποιηθεί μόνο σύμφωνα με τις αρχές του LGPD, αφού αξιολογηθεί η συμμόρφωση με τις συνταγματικές αρχές της αναγκαιότητας και της αναλογικότητας και διασφαλιστεί η συνέχεια της προστασίας και η συμμόρφωση με τα δικαιώματα των υποκειμένων των δεδομένων (άρθρο 2 του κανονισμού για τη διαβίβαση δεδομένων).

(212)

Οι δραστηριότητες των αρχών εθνικής ασφάλειας της Βραζιλίας εποπτεύονται από διάφορους φορείς. Το διάταγμα σχετικά με την εθνική στρατηγική πληροφοριών της Βραζιλίας επισημαίνει τη σημασία της ύπαρξης διαφόρων επιπέδων μηχανισμού εποπτείας για την προστασία του «δημοκρατικού κράτους δικαίου» (332). Το Ανώτατο Ομοσπονδιακό Δικαστήριο υπενθύμισε τη σημασία αυτής της εποπτείας σε υπόθεση που αφορούσε την επεξεργασία δεδομένων στο πλαίσιο του SISBIN, αναφέροντας ότι «η αποτελεσματικότητα των δραστηριοτήτων συλλογής πληροφοριών συνδέεται συχνά με το απόρρητο της διαδικασίας και των συλλεγόμενων πληροφοριών. Στο δημοκρατικό κράτος δικαίου, η λειτουργία αυτή υπόκειται σε εξωτερικό έλεγχο από τη νομοθετική και τη δικαστική εξουσία, προκειμένου να εκτιμηθεί αν το επιβαλλόμενο απόρρητο είναι κατάλληλο για τους αυστηρούς δημόσιους σκοπούς τους οποίους εξυπηρετεί» (333).

(213)

Πρώτον, υπάρχει έλεγχος από την εκτελεστική εξουσία, ο οποίος διασφαλίζει ότι οι στόχοι που πρέπει να επιτευχθούν από το σύστημα πληροφοριών, καθώς και οι πολιτικές που πρέπει να εφαρμοστούν και τα σχέδια που καταρτίζονται ανταποκρίνονται επαρκώς στις απαιτήσεις της κοινωνίας. Η εκτελεστική εξουσία είναι επίσης υπεύθυνη να διασφαλίζει ότι οι δαπάνες των υπηρεσιών πληροφοριών πραγματοποιούνται με ορθολογικό τρόπο και αποκλειστικά για νόμιμες, αναγκαίες και χρήσιμες ενέργειες προς όφελος του κράτους. Στο πλαίσιο της Βραζιλίας, ο έλεγχος αυτός ασκείται από το Επιμελητήριο Εξωτερικών Σχέσεων και Εθνικής Άμυνας του Συμβουλίου της Κυβέρνησης, το οποίο είναι αρμόδιο για την εποπτεία της εφαρμογής της Εθνικής Πολιτικής Πληροφοριών, και από την Υπηρεσία Θεσμικής Ασφάλειας, η οποία είναι υπεύθυνη για τον συντονισμό της δραστηριότητας των ομοσπονδιακών υπηρεσιών πληροφοριών (334).

(214)

Δεύτερον, η νομοθετική εξουσία ασκεί έλεγχο όσον αφορά τις δραστηριότητες συλλογής πληροφοριών. Σκοπός του ελέγχου αυτού είναι η εξακρίβωση τόσο της νομιμότητας όσο και της αποτελεσματικότητας της δραστηριότητας συλλογής πληροφοριών. Οι επικεφαλής των κομμάτων της πλειοψηφίας και της μειοψηφίας στη Βουλή των Αντιπροσώπων και στην Ομοσπονδιακή Γερουσία, καθώς και οι πρόεδροι των Επιτροπών Εξωτερικών Σχέσεων και Εθνικής Άμυνας της Βουλής των Αντιπροσώπων και της Ομοσπονδιακής Γερουσίας, αποτελούν μέρος του οργάνου εξωτερικής εποπτείας των δραστηριοτήτων συλλογής πληροφοριών που ονομάζεται Μεικτή Επιτροπή για τον έλεγχο των δραστηριοτήτων συλλογής πληροφοριών («Comissão mista de Controle da Atividade de Inteligência — CCAI») (335). Ο έλεγχος της νομοθετικής εξουσίας επί των δραστηριοτήτων συλλογής πληροφοριών θεσπίστηκε με τον νόμο για τη δημιουργία του συστήματος πληροφοριών της Βραζιλίας το 1999 και ο εποπτικός ρόλος και οι εξουσίες της CCAI ενισχύθηκαν σημαντικά με την έκδοση του δεσμευτικού ψηφίσματος του 2013 από το Κογκρέσο (336). Το εν λόγω ψήφισμα αντιμετώπισε τις ελλείψεις που είχαν εντοπιστεί στο παρελθόν όσον αφορά την περαιτέρω θεσμική καθιέρωση της CCAI, με την παροχή μόνιμης δομής και γραμματείας, αποσαφηνίζοντας τις εξουσίες της και αυξάνοντας τη διαφάνεια των δραστηριοτήτων της. Ο ρόλος, οι δραστηριότητες και οι εξουσίες της CCAI περιγράφονται λεπτομερώς στο εν λόγω ψήφισμα και στη σχετική νομοθεσία. Η CCAI παρακολουθεί και ελέγχει τις δραστηριότητες των υπηρεσιών πληροφοριών που διεξάγονται από τα όργανα της ομοσπονδιακής δημόσιας διοίκησης, ιδίως τα όργανα που αποτελούν μέρος του SISBIN, με σκοπό να διασφαλίζει ότι οι δραστηριότητες διεξάγονται σύμφωνα με το Σύνταγμα και να προστατεύει τα δικαιώματα και τις εγγυήσεις των ατόμων, της κοινωνίας και του κράτους (337). Η CCAI μπορεί να πραγματοποιεί εκ των υστέρων εξέταση, αλλά και λογιστικούς και άλλους ελέγχους σε επιχειρήσεις που βρίσκονται σε εξέλιξη (338). Τα μέλη της CCAI διαθέτουν το υψηλότερο επίπεδο διαβάθμισης ασφαλείας, ώστε να έχουν πρόσβαση σε έγγραφα. Η CCAI καταρτίζει ετήσιες εκθέσεις για τις δραστηριότητές της, στις οποίες δεν περιλαμβάνονται πληροφορίες που ενδέχεται να θέσουν σε κίνδυνο την εθνική ασφάλεια (339). Όπως περιγράφεται λεπτομερώς στην αιτιολογική σκέψη 222 της παρούσας απόφασης, η CCAI μπορεί επίσης να λαμβάνει και να διερευνά καταγγελίες από ιδιώτες.

(215)

Τρίτον, η ANPD επιβλέπει τη συμμόρφωση των εθνικών αρχών ασφαλείας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εντός των παραμέτρων που καθορίζει ο LGPD. Ο LGPD εφαρμόζεται εν μέρει στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται για σκοπούς δημόσιας ασφάλειας, εθνικής άμυνας, κρατικής ασφάλειας ή σε δραστηριότητες διερεύνησης και δίωξης ποινικών αδικημάτων (340). Στο πλαίσιο αυτό, η ANPD μπορεί να ασκεί τις εξουσίες διερεύνησης και τις διορθωτικές εξουσίες που διαθέτει βάσει του LGPD. Η ANPD μπορεί, για παράδειγμα, να διενεργεί ελέγχους ανά πάσα στιγμή σε όλες τις δημόσιες αρχές, συμπεριλαμβανομένης της υπηρεσίας πληροφοριών (341).

(216)

Τέλος, το δικαστικό σώμα θα εκδικάζει αγωγές πολιτών κατά δημόσιων αρχών και, στο πλαίσιο αυτό, μπορεί να επιβλέπει τις δραστηριότητες που διεξάγονται για σκοπούς εθνικής ασφάλειας, ώστε να διασφαλίζεται η συμμόρφωση με όλα τα συνταγματικά δικαιώματα και το σχετικό νομοθετικό πλαίσιο, συμπεριλαμβανομένου του LGPD. Οι δικαστικές αποφάσεις μπορούν να προσβληθούν ενώπιον του Ανώτατου Ομοσπονδιακού Δικαστηρίου και κατόπιν ενώπιον του Διαμερικανικού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων.

(217)

Το βραζιλιάνικο σύστημα προσφέρει διάφορους δικαστικούς και διοικητικούς τρόπους αναζήτησης έννομης προστασίας, συμπεριλαμβανομένης της αποζημίωσης. Αυτοί οι μηχανισμοί παρέχουν στα υποκείμενα των δεδομένων αποτελεσματικά διοικητικά και δικαστικά μέσα έννομης προστασίας, με τα οποία τους παρέχεται ιδίως η δυνατότητα να επιβάλλουν τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτυγχάνουν τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(218)

Όπως περιγράφεται λεπτομερώς στην αιτιολογική σκέψη 9 της παρούσας απόφασης, η πρόσβαση σε έννομη προστασία διασφαλίζεται για τους υπηκόους της Βραζιλίας και τρίτων χωρών, ανεξάρτητα από το αν βρίσκονται ή όχι στην εθνική επικράτεια.

(219)

Πρώτον, τα φυσικά πρόσωπα έχουν «απόλυτο» δικαίωμα να ασκήσουν αγωγή σχετικά με την προστασία των δικαιωμάτων τους. Σύμφωνα με τους γενικούς κανόνες που ορίζονται στον Κώδικα Πολιτικής Δικονομίας, για την άσκηση αγωγής ενώπιον δικαστηρίου, ένα φυσικό πρόσωπο δεν χρειάζεται να αποδείξει τη ζημία του (δηλαδή, το φυσικό πρόσωπο δεν χρειάζεται να αποδείξει ότι τέθηκε ενδεχομένως υπό παρακολούθηση ή ότι τα δεδομένα του υποβλήθηκαν σε επεξεργασία για σκοπούς εθνικής ασφάλειας). Το φυσικό πρόσωπο μπορεί να ασκήσει τα δικαιώματά του βάσει της διαδικασίας δικαστικής προσφυγής Habeas Data σε σχέση με δεδομένα που υποβάλλονται σε επεξεργασία από τις αρχές πληροφοριών (342).

(220)

Όταν ζητούν έννομη προστασία ενώπιον δικαστηρίου, τα φυσικά πρόσωπα μπορούν να ζητήσουν αποζημίωση. Όπως και στην περίπτωση της επεξεργασίας δεδομένων για σκοπούς επιβολής του ποινικού δικαίου, το ομοσπονδιακό Σύνταγμα και ο Κώδικας Πολιτικής Δικονομίας παρέχουν τις νομικές βάσεις για την αξίωση αποζημίωσης για ηθική βλάβη ή υλική ζημία που προκλήθηκε από τη δημόσια αρχή η οποία συνέλεξε ή χρησιμοποίησε παράνομα δεδομένα για εγκληματικούς σκοπούς, μεταξύ άλλων μέσω συλλογικών αγωγών (343).

(221)

Δεύτερον, το Ανώτατο Ομοσπονδιακό Δικαστήριο επιβεβαίωσε τη μερική εφαρμογή του LGPD σε σκοπούς εθνικής ασφάλειας και, κατ’ επέκταση, τις εξουσίες της ANPD να χειρίζεται καταγγελίες που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές για σκοπούς εθνικής ασφάλειας (344). Στην ίδια απόφαση, το Δικαστήριο επισήμανε ότι «η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από δημόσιους φορείς κατά τρόπο αντίθετο προς τις νομικές και συνταγματικές παραμέτρους ενεργοποιεί την αστική ευθύνη του κράτους για ζημίες που υφίστανται οι ιδιώτες», σύμφωνα με το άρθρο 42 του LGPD (345).

(222)

Τρίτον, η CCAI μπορεί να λαμβάνει και να διερευνά καταγγελίες σχετικά με παραβιάσεις των θεμελιωδών δικαιωμάτων και εγγυήσεων που διαπράττονται από δημόσιους φορείς και οντότητες που διεξάγουν δραστηριότητες συλλογής πληροφοριών και αντικατασκοπείας από οποιονδήποτε πολίτη, πολιτικό κόμμα ή ένωση (346). Σε αυτή τη βάση, η CCAI μπορεί να διενεργεί ελέγχους ή έρευνες. Ως εκ τούτου, η CCAI παρέχει μια πρόσθετη διοικητική οδό έννομης προστασίας σε περίπτωση παραβιάσεων δικαιωμάτων που σχετίζονται με την επεξεργασία δεδομένων για σκοπούς εθνικής ασφάλειας. Οι καταγγελίες που λαμβάνει η CCAI μπορούν στη συνέχεια να διαβιβάζονται στα δικαστήρια.

(223)

Τα διάφορα ένδικα βοηθήματα που είναι διαθέσιμα στο καθεστώς της Βραζιλίας επιτρέπουν στα φυσικά πρόσωπα να λαμβάνουν έννομη προστασία. Ειδικότερα, τα φυσικά πρόσωπα μπορούν να αμφισβητήσουν τη νομιμότητα των ενεργειών των δημόσιων αρχών και των αρχών πληροφοριών. Επιπλέον, μπορούν να λάβουν αποζημίωση.

(224)

Η Επιτροπή θεωρεί ότι η Ομοσπονδιακή Δημοκρατία της Βραζιλίας —μέσω του LGPD— διασφαλίζει επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση το οποίο είναι ουσιωδώς ισοδύναμο με αυτό που εγγυάται ο κανονισμός (ΕΕ) 2016/679.

(225)

Επιπλέον, η Επιτροπή θεωρεί ότι, συνολικά, οι εποπτικοί μηχανισμοί και τα μέσα προσφυγής που προβλέπονται στη βραζιλιάνικη νομοθεσία επιτρέπουν τον εντοπισμό και την αντιμετώπιση στην πράξη πιθανών παραβάσεων των κανόνων προστασίας των δεδομένων από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στη Βραζιλία και προσφέρουν μέσα παροχής έννομης προστασίας στα υποκείμενα των δεδομένων προκειμένου να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν και, τελικώς, να επιτυγχάνουν τη διόρθωση ή διαγραφή των εν λόγω δεδομένων.

(226)

Τέλος, με βάση τις διαθέσιμες πληροφορίες σχετικά με την έννομη τάξη της Βραζιλίας, η Επιτροπή θεωρεί ότι οποιαδήποτε παρέμβαση που γίνεται προς το δημόσιο συμφέρον, ιδίως για σκοπούς επιβολής του ποινικού δικαίου και εθνικής ασφάλειας, από τις δημόσιες αρχές της Βραζιλίας στα θεμελιώδη δικαιώματα φυσικών προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ευρωπαϊκή Ένωση στη Βραζιλία περιορίζεται στο απολύτως αναγκαίο για την επίτευξη των οικείων νόμιμων στόχων, και ότι υπάρχει αποτελεσματική νομική προστασία κατά των παρεμβάσεων αυτού του είδους.

(227)

Ως εκ τούτου, βάσει των διαπιστώσεων της παρούσας απόφασης, θα πρέπει να αποφασιστεί ότι η Βραζιλία διασφαλίζει επαρκές επίπεδο προστασίας, κατά την έννοια του άρθρου 45 του κανονισμού (ΕΕ) 2016/679, όπως ερμηνεύεται υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στη Βραζιλία και τα οποία υπόκεινται στον LGPD.

(228)

Τα κράτη μέλη και τα όργανά τους υποχρεούνται να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφώνονται με τις πράξεις των θεσμικών οργάνων της Ένωσης, καθώς αυτές τεκμαίρονται νόμιμες και, ως εκ τούτου, παράγουν έννομα αποτελέσματα έως ότου τυχόν ανακληθούν, ακυρωθούν κατόπιν προσφυγής ακύρωσης ή κριθούν ανίσχυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ένστασης έλλειψης νομιμότητας.

(229)

Κατά συνέπεια, η απόφαση επάρκειας που εκδίδεται από την Επιτροπή βάσει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται, συμπεριλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους. Ιδίως, διαβιβάσεις από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ευρωπαϊκή Ένωση προς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στη Βραζιλία μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια.

(230)

Θα πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 58 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679 και όπως εξήγησε το ΔΕΕ στην απόφαση Schrems, όταν μια εθνική αρχή προστασίας των δεδομένων αμφισβητεί, μεταξύ άλλων κατόπιν καταγγελίας, τη συμβατότητα απόφασης επάρκειας που έχει εκδώσει η Επιτροπή με τα θεμελιώδη δικαιώματα του προσώπου στην προστασία της ιδιωτικής ζωής και των δεδομένων, το εθνικό δίκαιο πρέπει να της παρέχει ένδικα βοηθήματα ώστε να μπορεί να προβάλει τις αιτιάσεις αυτές ενώπιον εθνικού δικαστηρίου, το οποίο μπορεί να χρειαστεί να υποβάλει προδικαστικό ερώτημα στο ΔΕΕ (347).

(231)

Σύμφωνα με τη νομολογία του Δικαστηρίου (348) και όπως αναγνωρίζεται στο άρθρο 45 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή θα πρέπει να παρακολουθεί σε συνεχή βάση τις σχετικές εξελίξεις στην τρίτη χώρα μετά την έκδοση απόφασης επάρκειας, προκειμένου να αξιολογεί αν η τρίτη χώρα εξακολουθεί να παρέχει ουσιωδώς ισοδύναμο επίπεδο προστασίας. Ο έλεγχος αυτός είναι, σε κάθε περίπτωση, επιβεβλημένος, όταν περιέρχονται στην Επιτροπή πληροφορίες που προκαλούν δικαιολογημένες αμφιβολίες ως προς το ζήτημα αυτό.

(232)

Κατά συνέπεια, η Επιτροπή θα πρέπει να παρακολουθεί σε συνεχή βάση την κατάσταση στη Βραζιλία όσον αφορά το νομικό πλαίσιο και την εφαρμοζόμενη πρακτική για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αξιολογούνται στην παρούσα απόφαση. Στο πλαίσιο αυτό, θα πρέπει να δοθεί ιδιαίτερη προσοχή στην πρακτική εφαρμογή των απαιτήσεων για την εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων· των απαιτήσεων διαφάνειας και του πιθανού περιορισμού τους όσον αφορά τα δικαιώματα πληροφόρησης και πρόσβασης· των κανόνων σχετικά με την κοινοποίηση παραβιάσεων δεδομένων· του καθεστώτος κυρώσεων, καθώς και της συμμόρφωσης με τους περιορισμούς και τις εγγυήσεις όσον αφορά την πρόσβαση της κυβέρνησης, λαμβανομένων υπόψη τυχόν σχετικών εξελίξεων εν προκειμένω.

(233)

Προκειμένου να διευκολύνουν τη διαδικασία παρακολούθησης, οι αρχές της Βραζιλίας, συμπεριλαμβανομένης της ANPD, καλούνται να ενημερώνουν την Επιτροπή για τις ουσιώδεις εξελίξεις που έχουν σημασία για την παρούσα απόφαση, όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από επιχειρηματικούς φορείς και δημόσιες αρχές, καθώς και όσον αφορά τους περιορισμούς και τις εγγυήσεις που ισχύουν για την πρόσβαση των δημόσιων αρχών στα δεδομένα προσωπικού χαρακτήρα.

(234)

Επιπροσθέτως, για να μπορεί η Επιτροπή να εκτελεί με αποτελεσματικότητα το καθήκον της παρακολούθησης, τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή για κάθε συναφή ενέργεια των εθνικών αρχών προστασίας δεδομένων, ιδίως σε σχέση με ερωτήσεις ή καταγγελίες από υποκείμενα δεδομένων της ΕΕ σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία δεδομένων στη Βραζιλία. Η Επιτροπή θα πρέπει επίσης να ενημερώνεται για κάθε ένδειξη ότι οι ενέργειες των δημόσιων αρχών της Βραζιλίας που είναι αρμόδιες για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή για την εθνική ασφάλεια, συμπεριλαμβανομένων των εποπτικών φορέων, δεν διασφαλίζουν το απαιτούμενο επίπεδο προστασίας.

(235)

Κατ’ εφαρμογή του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 (349), και με δεδομένο ότι μπορεί να επέλθουν μεταβολές στο επίπεδο προστασίας που προσφέρει η έννομη τάξη της Βραζιλίας, η Ευρωπαϊκή Επιτροπή, μετά την έκδοση της παρούσας απόφασης, θα πρέπει κατά διαστήματα να ελέγχει αν οι διαπιστώσεις σχετικά με την επάρκεια του επιπέδου προστασίας που εγγυάται η Βραζιλία συνεχίζουν πρακτικά και νομικά να ισχύουν.

(236)

Για τον σκοπό αυτόν, η παρούσα απόφαση θα πρέπει να αποτελέσει αντικείμενο μιας πρώτης επανεξέτασης εντός τεσσάρων ετών μετά την έναρξη ισχύος της. Στη συνέχεια θα διενεργούνται περιοδικές επανεξετάσεις τουλάχιστον κάθε τέσσερα χρόνια (350). Οι επανεξετάσεις θα πρέπει να καλύπτουν όλες τις πτυχές της λειτουργίας της παρούσας απόφασης, συμπεριλαμβανομένης της συνεργασίας της ANPD με τις αρχές προστασίας δεδομένων της ΕΕ σχετικά με καταγγελίες από φυσικά πρόσωπα. Θα πρέπει να καλύπτουν επίσης την αποτελεσματικότητα της εποπτείας και της επιβολής στους τομείς της επιβολής του ποινικού δικαίου και της εθνικής ασφάλειας.

(237)

Για τη διενέργεια της επανεξέτασης, η Επιτροπή θα πρέπει να πραγματοποιεί συνάντηση με την ANPD, συνοδευόμενη, κατά περίπτωση, από άλλες βραζιλιάνικες αρχές αρμόδιες για την κρατική πρόσβαση, συμπεριλαμβανομένων των σχετικών εποπτικών φορέων. Η συμμετοχή στη συνάντηση αυτή θα πρέπει να είναι ανοικτή στους εκπροσώπους των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Στο πλαίσιο της επανεξέτασης, η Επιτροπή θα πρέπει να ζητεί από την ANPD να υποβάλει ολοκληρωμένες πληροφορίες για όλες τις πτυχές που σχετίζονται με τη διαπίστωση της επάρκειας, συμπεριλαμβανομένων των περιορισμών και εγγυήσεων όσον αφορά την κρατική πρόσβαση. Η Επιτροπή θα πρέπει επίσης να ζητεί εξηγήσεις σχετικά με τυχόν πληροφορίες συναφείς με την παρούσα απόφαση των οποίων έλαβε γνώση, συμπεριλαμβανομένων των δημοσιοποιημένων εκθέσεων από βραζιλιάνικες αρχές ή άλλα ενδιαφερόμενα μέρη στη Βραζιλία, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, επιμέρους αρχές προστασίας δεδομένων, ομάδες της κοινωνίας των πολιτών, δημοσιεύματα μέσων μαζικής επικοινωνίας ή άλλες διαθέσιμες πηγές πληροφοριών.

(238)

Βάσει της επανεξέτασης, η Επιτροπή θα πρέπει να καταρτίζει δημόσια έκθεση η οποία θα υποβάλλεται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(239)

Σε περίπτωση που οι διαθέσιμες πληροφορίες, ειδικότερα οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης ή που παρέχονται από τις αρχές της Βραζιλίας ή των κρατών μελών, αποκαλύπτουν ότι το επίπεδο προστασίας που παρέχει η Βραζιλία ενδέχεται να μην είναι πλέον επαρκές, η Επιτροπή θα πρέπει να ενημερώσει σχετικά τις αρμόδιες αρχές της Βραζιλίας και να ζητήσει τη λήψη κατάλληλων μέτρων εντός καθορισμένου εύλογου χρονικού διαστήματος.

(240)

Εάν, κατά τη λήξη του εν λόγω καθορισμένου χρονικού διαστήματος, οι αρμόδιες αρχές της Βραζιλίας δεν έχουν λάβει τα εν λόγω μέτρα ή δεν αποδείξουν με άλλον τρόπο ικανοποιητικά ότι η παρούσα απόφαση εξακολουθεί να βασίζεται σε επαρκές επίπεδο προστασίας, η Επιτροπή θα κινήσει τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679 με σκοπό τη μερική ή πλήρη αναστολή ή κατάργηση της παρούσας απόφασης.

(241)

Εναλλακτικά, η Επιτροπή θα κινήσει την εν λόγω διαδικασία για την τροποποίηση της απόφασης, ιδίως με την υποβολή των διαβιβάσεων δεδομένων σε πρόσθετες προϋποθέσεις ή τον περιορισμό του πεδίου εφαρμογής της διαπίστωσης επάρκειας μόνο στις διαβιβάσεις δεδομένων για τις οποίες εξακολουθεί να διασφαλίζεται επαρκές επίπεδο προστασίας.

(242)

Η Επιτροπή θα πρέπει επίσης να εξετάσει το ενδεχόμενο κίνησης της διαδικασίας τροποποίησης, αναστολής ή κατάργησης της παρούσας απόφασης εάν, στο πλαίσιο της επανεξέτασης ή σε άλλο πλαίσιο, οι αρμόδιες βραζιλιάνικες αρχές δεν παρέχουν τις αναγκαίες πληροφορίες ή διευκρινίσεις για την αξιολόγηση του επιπέδου προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση στη Βραζιλία ή όσον αφορά τη συμμόρφωση με την παρούσα απόφαση. Συναφώς, η Επιτροπή θα πρέπει να λαμβάνει υπόψη αν οι συναφείς πληροφορίες μπορούν να εξασφαλιστούν από άλλες πηγές.

(243)

Όταν συντρέχουν δεόντως αιτιολογημένοι επιτακτικοί λόγοι επείγουσας ανάγκης, η Επιτροπή θα κάνει χρήση της δυνατότητας να εκδώσει, σύμφωνα με τη διαδικασία του άρθρου 93 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, εκτελεστικές πράξεις άμεσης εφαρμογής για την αναστολή, την κατάργηση ή την τροποποίηση της απόφασης.

(244)

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε τη γνώμη του (351), η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(245)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 93 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679,