(1)

Regulamentul (UE) 2016/679 stabilește normele pentru transferurile de date cu caracter personal de la operatori sau persoane împuternicite de operatori din Uniune către țări terțe și organizații internaționale, în măsura în care astfel de transferuri intră în domeniul său de aplicare. Normele privind transferurile internaționale de date sunt prevăzute în capitolul V (articolele 44-50) din regulamentul respectiv. Deși fluxul de date cu caracter personal către și dinspre țări situate în afara Uniunii Europene este esențial pentru dezvoltarea comerțului transfrontalier și a cooperării internaționale, nivelul de protecție conferit datelor cu caracter personal în Uniune nu trebuie să fie diminuat de transferurile către țări terțe (2).

(2)

În temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, Comisia poate decide, printr-un act de punere în aplicare, că o țară terță, un teritoriu sau unul sau mai multe sectoare specificate dintr-o țară terță sau o organizație internațională asigură un nivel de protecție adecvat. În astfel de condiții, transferurile de date cu caracter personal către o țară terță pot avea loc fără a fi necesar să se obțină autorizări suplimentare, astfel cum se prevede la articolul 45 alineatul (1) și în considerentul 103 din Regulamentul (UE) 2016/679.

(3)

În conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2016/679, adoptarea unei decizii privind caracterul adecvat al nivelului de protecție trebuie să se bazeze pe o analiză cuprinzătoare a ordinii juridice a țării terțe, în ceea ce privește atât normele aplicabile importatorilor de date, cât și limitările și garanțiile referitoare la accesul autorităților publice la datele cu caracter personal. În evaluarea sa, Comisia trebuie să stabilească dacă țara terță în cauză garantează un nivel de protecție „echivalent în esență” cu cel asigurat în cadrul Uniunii Europene (3). Standardul în raport cu care este evaluată „echivalența în esență” este cel stabilit de legislația Uniunii Europene, în special de Regulamentul (UE) 2016/679, precum și de jurisprudența Curții de Justiție a Uniunii Europene (4). Criteriile de referință privind caracterul adecvat al nivelului de protecție ale Comitetului european pentru protecția datelor (CEPD) sunt, de asemenea, importante în acest sens pentru a oferi clarificări suplimentare cu privire la standardul respectiv, precum și orientări (5).

(4)

Astfel cum a precizat Curtea de Justiție a Uniunii Europene, nu se poate impune ca o țară terță să asigure un nivel de protecție identic cu cel garantat în ordinea juridică a UE (6). În special, mijloacele la care țara terță în cauză recurge pentru protecția datelor cu caracter personal pot fi diferite de cele puse în aplicare în Uniune, cu condiția ca acestea să se dovedească în practică eficace în scopul de a asigura un nivel de protecție adecvat (7). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai curând, testul constă în a se stabili dacă, prin fondul drepturilor la viață privată și al garanțiilor în materie de protecție a datelor (inclusiv în ceea ce privește punerea lor efectivă în aplicare, supravegherea și asigurarea respectării acestora), precum și prin circumstanțele referitoare la un transfer de date cu caracter personal, sistemul străin în cauză, în ansamblul său, oferă nivelul de protecție necesar (8).

(5)

Comisia a analizat legislația și practica Republicii Federative a Braziliei (denumită în continuare „Brazilia”). Pe baza constatărilor prezentate în considerentele 7-223, Comisia concluzionează că Brazilia asigură un nivel de protecție adecvat pentru datele cu caracter personal care intră în domeniul de aplicare al Regulamentului (UE) 2016/679, transferate din Uniunea Europeană către Brazilia.

(6)

Prezenta decizie are drept efect posibilitatea ca transferurile de la operatori și persoane împuternicite de operatori din Uniune către operatori și persoane împuternicite de operatori din Brazilia să aibă loc fără a fi necesară obținerea unei autorizări suplimentare. Aceasta nu aduce atingere aplicării directe a Regulamentului (UE) 2016/679 pentru astfel de entități în cazul în care sunt îndeplinite condițiile privind domeniul de aplicare teritorial al regulamentului respectiv, astfel cum se prevede la articolul 3.

(7)

Brazilia este o republică federativă formată din uniunea celor 26 de state și a Districtului Federal, conform prevederilor Constituției sale federale (denumită în continuare „Constituția”) (9). Statele braziliene au, de asemenea, constituții proprii, care nu trebuie să contravină Constituției federale (10). Brazilia are un sistem prezidențial în cadrul căruia președintele și membrii camerelor legislative (Camera Deputaților și Senatul Federal) sunt aleși în mod direct.

(8)

Viața privată și protecția datelor sunt protejate în Constituție ca drepturi fundamentale. Mai precis, articolul 5 punctul (X) din Constituție protejează intimitatea și viața privată a persoanelor, articolul 5 punctul (XII) garantează secretul corespondenței, inclusiv al datelor, iar articolul 5 punctul (LXXIX) stabilește dreptul la protecția datelor cu caracter personal online și offline (11).

(9)

Toate drepturile prevăzute de Constituție se aplică cetățenilor brazilieni și străinilor care își au reședința în Brazilia, în temeiul articolului 5 din aceasta. Legile federale au clarificat faptul că orice persoană de pe teritoriul Braziliei, care își are reședința sau nu pe teritoriul Braziliei, are dreptul la protecția drepturilor fundamentale (12). Domeniul de aplicare al protecției acestor drepturi a fost extins prin jurisprudența constituțională pentru a include și străinii care locuiesc în alte țări, astfel cum se subliniază și în doctrina juridică relevantă (13). Prin urmare, orice străin, fie că este rezident în Brazilia sau nu, poate invoca aceste protecții constituționale (14).

(10)

Brazilia a ratificat, în 1992, Convenția americană privind drepturile omului, cunoscută sub denumirea de „Pactul de la San José” (15) (denumită în continuare „convenția”). Printre altele, articolul 11 din convenție garantează dreptul la viață privată, iar articolul 8 protejează dreptul la un proces echitabil. În 1998, Brazilia a recunoscut autoritatea obligatorie a Curții Interamericane a Drepturilor Omului pentru interpretarea și aplicarea convenției (16). Curtea poate pronunța hotărâri privind aplicarea drepturilor în contextul activităților desfășurate de autoritățile publice din Brazilia, inclusiv de autoritățile care îndeplinesc sarcini în scopuri de siguranță publică și apărare (17).

(11)

Brazilia a adoptat în 2018 un act legislativ general în domeniul protecției datelor, care oferă garanții pentru toate persoanele, indiferent de cetățenia acestora. Legea generală privind protecția datelor sau „Lei Geral de Proteção de Dados” (denumită în continuare „LGPD”) (18).

(12)

De la adoptarea sa, LGPD a fost consolidată și clarificată prin acte legislative suplimentare. În special, Legea nr. 13.853 din 2019 a creat Autoritatea pentru Protecția Datelor din Brazilia (19) (Agência Nacional de Proteção de Dados, denumită în continuare ANPD), care a devenit o autoritate independentă printr-o lege adoptată în 2022 (20). Ulterior, aceste acte legislative au fost completate prin decrete obligatorii, printre altele, pentru a actualiza statutul ANPD (21), pentru a defini mai clar componența ANPD și procedura de numire a directorilor acesteia (22).

(13)

Astfel cum se descrie mai detaliat în considerentele 125-141 din prezenta decizie, ANPD este autoritatea responsabilă cu interpretarea și asigurarea respectării LGPD. În acest context, ea emite în mod regulat reglementări obligatorii pentru interpretarea și aplicarea legii. De exemplu, a adoptat mai multe regulamente pentru a dezvolta în continuare regimul de sancțiuni și pentru a specifica normele privind notificarea încălcării securității datelor (23). ANPD furnizează orientări suplimentare privind aplicarea și interpretarea LGPD prin documente și ghiduri, cum sunt cele adoptate cu privire la interpretarea temeiului juridic (de exemplu, interesul legitim) și a conceptelor-cheie din cadrul LGPD (de exemplu, sancțiuni, responsabil cu protecția datelor).

(14)

Ca parte a angajamentului său internațional pentru promovarea și protejarea protecției datelor, ANPD din Brazilia a devenit în 2023 membră a Adunării mondiale pentru protecția vieții private, alături de toate autoritățile pentru protecția datelor din Uniunea Europeană (24). Brazilia s-a alăturat, de asemenea, în calitate de observator, Comitetului Consiliului Europei pentru Convenția 108 privind protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal (25). În plus, Brazilia a avut un rol de lider în ceea ce privește mai multe progrese realizate la nivelul Organizației Națiunilor Unite (ONU) în domeniul dreptului la viață privată. Alături de Germania, Brazilia a introdus rezoluțiile Organizației Națiunilor Unite privind dreptul la viață privată în era digitală, adoptate de Adunarea Generală a ONU în 2013 și 2014 (26). Printre alte dispoziții, această rezoluție menționează că „supravegherea și/sau interceptarea ilegală sau arbitrară a comunicațiilor, precum și colectarea ilegală sau arbitrară a datelor cu caracter personal, fiind acte extrem de intruzive, încalcă dreptul la viață privată și dreptul la libertatea de exprimare și pot contraveni principiilor unei societăți democratice”. Rezoluția invită statele să revizuiască normele privind colectarea de date pentru a le alinia la dreptul internațional al drepturilor omului și „să instituie sau să mențină mecanisme interne independente și eficiente de supraveghere, capabile să asigure transparența, după caz, și responsabilitatea statului în ceea ce privește supravegherea comunicațiilor, interceptarea acestora și colectarea datelor cu caracter personal” (27).

(15)

În structura și componentele sale principale, cadrul juridic al Braziliei care se aplică datelor cu caracter personal transferate în temeiul prezentei decizii este similar celui aplicabil în Uniunea Europeană. Aceasta include faptul că acest cadru nu se bazează numai pe obligațiile prevăzute în dreptul intern și pe drepturile garantate de Constituție, ci și pe obligațiile consacrate în dreptul internațional, în special prin aderarea Braziliei la Convenția americană privind drepturile omului și prin recunoașterea de către aceasta a competenței Curții Interamericane a Drepturilor Omului (28).

(16)

LGPD se aplică oricărei prelucrări de date cu caracter personal din Brazilia, indiferent de mijloacele utilizate pentru desfășurarea acestei activități (29).

(17)

Articolul 3 din LGPD precizează domeniul de aplicare teritorial al legii, indicând că aceasta se aplică: (1) activităților de prelucrare desfășurate pe teritoriul național al Braziliei (care cuprinde uniunea, statele, Districtul Federal și municipalitățile); (2) activităților de prelucrare care au scopul de a oferi sau de a furniza bunuri sau servicii sau prelucrării datelor persoanelor fizice care se află pe teritoriul național al Braziliei; precum și (3) atunci când datele cu caracter personal prelucrate au fost colectate pe teritoriul național al Braziliei. Această abordare este similară celei adoptate la articolul 3 din Regulamentul (UE) 2016/679.

(18)

În plus, în temeiul articolului 3 punctul (II) din LGPD, toate prelucrările de date cu caracter personal ale persoanelor care se află pe teritoriul național intră sub incidența legii. Aceasta include prelucrarea efectuată pentru monitorizarea comportamentului persoanelor fizice pe teritoriu, indiferent de locul în care sunt prelucrate datele.

(19)

În cele din urmă, conform jurisprudenței Curții Supreme Federale (Supremo Tribunal Federal, denumit în continuare „STF”), rezultă că protecția drepturilor fundamentale prevăzută de Constituție, cum ar fi dreptul la protecția datelor, se aplică oricărei persoane, indiferent de cetățenia sau de reședința persoanei vizate (30).

(20)

Articolul 5 punctul I din LGPD definește datele cu caracter personal ca fiind informații referitoare la o persoană fizică identificată sau identificabilă. Legea precizează că „persoana vizată” este o „persoană fizică la care se referă datele cu caracter personal prelucrate” (31).

(21)

În plus, informațiile pseudonimizate – adică informațiile care nu mai pot conduce, în mod direct sau indirect, la identificarea unei anumite persoane sau nu mai pot fi asociate cu o anumită persoană fără a fi utilizate/combinate cu informații suplimentare pentru a fi readuse la starea inițială – sunt considerate date cu caracter personal în temeiul LGPD (32).

(22)

În schimb, informațiile complet „anonimizate” sunt excluse din domeniul de aplicare al LGPD (33). Conform articolului 5 din LGPD, datele anonimizate sunt definite ca fiind date care, prin utilizarea unor mijloace tehnice rezonabile și disponibile la momentul prelucrării, nu pot fi asociate direct sau indirect cu o persoană. Articolul 12 din LGPD precizează, în plus, că datele anonimizate nu sunt considerate date cu caracter personal decât atunci când procesul de anonimizare la care au fost supuse datele a fost inversat sau poate fi inversat prin „eforturi rezonabile”. Articolul 12 din LGPD subliniază, de asemenea, că stabilirea a ceea ce este considerat „rezonabil” trebuie să țină seama de factori obiectivi, cum ar fi: (1) costul și timpul necesar pentru inversare; (2) tehnologia disponibilă și (3) utilizarea exclusivă a mijloacelor proprii ale operatorului. Abordarea privind anonimizarea și garanțiile introduse în LGPD pentru a aborda posibilitatea de reidentificare este similară celei aplicate în UE.

(23)

Aceasta corespunde domeniului de aplicare material al Regulamentului (UE) 2016/679 și noțiunilor sale de „date cu caracter personal”, „pseudonimizare” și „informații anonimizate”.

(24)

Atât definiția „prelucrării” din sistemul Uniunii Europene, cât și cea din sistemul brazilian fac referire la „orice operațiune” efectuată cu date cu caracter personal (34). Articolul 5 punctul (X) din LGPD prevede următoarea listă neexhaustivă de activități care constituie prelucrare: „colectarea, producerea, primirea, clasificarea, utilizarea, accesarea, reproducerea, transmiterea, distribuirea, prelucrarea, arhivarea, stocarea, ștergerea, evaluarea sau controlul informațiilor, modificarea, comunicarea, transferul, difuzarea sau extragerea.”

(25)

Noțiunea de operator de date este definită în LGPD ca fiind persoana fizică sau juridică, publică sau privată, care este responsabilă de deciziile privind prelucrarea datelor cu caracter personal (35).

(26)

Conceptul de persoană împuternicită de operator este definit în LGPD ca fiind persoana fizică sau juridică, publică sau privată, care efectuează prelucrarea datelor cu caracter personal în numele operatorului (36). Persoana împuternicită de operator trebuie să efectueze prelucrarea în conformitate cu instrucțiunile furnizate de operator, care este responsabil de verificarea conformității (37).

(27)

Operatorul și persoana împuternicită de operator trebuie să țină o evidență a operațiunilor de prelucrare a datelor cu caracter personal pe care le efectuează, în special atunci când se bazează pe un interes legitim (38).

(28)

Conform LGPD, doi sau mai mulți operatori care sunt direct implicați în prelucrarea în urma căreia persoana vizată a suferit prejudicii sunt răspunzători în solidar (39). Persoana împuternicită de operator răspunde în solidar pentru prejudiciul cauzat de prelucrare dacă nu respectă obligațiile definite la articolul 44 din LGPD, sau dacă nu a urmat instrucțiunile legale ale operatorului (40).

(29)

Prin urmare, normele din LGPD care reglementează relația dintre operatori și persoanele împuternicite de operatori sunt similare cu cele prevăzute în capitolul IV din Regulamentul (UE) 2016/679.

(30)

La fel ca în sistemul Uniunii, LGPD nu se aplică datelor anonimizate (41), prelucrării de date cu caracter personal în scopuri pur casnice (42) sau atunci când prelucrarea este efectuată exclusiv în scopuri de siguranță publică, apărare națională, securitate a statului sau pentru investigarea și urmărirea penală a infracțiunilor (43).

(31)

Cu toate acestea, exceptarea în domeniul siguranței publice, al apărării naționale, al securității statului și al investigării și urmăririi penale a infracțiunilor este parțială. Curtea Supremă Federală a interpretat aplicabilitatea LGPD în lumina protecției constituționale a datelor cu caracter personal și a stabilit că principiile, drepturile și obiectivele principale ale LGPD se aplică tuturor prelucrărilor de date cu caracter personal efectuate de autoritățile publice, inclusiv atunci când sunt efectuate în scopul activităților de informații (intelligence) (44). În plus, condițiile de prelucrare a datelor cu caracter personal pentru siguranța publică, apărarea națională, securitatea statului sau investigarea și urmărirea penală a infracțiunilor sunt stabilite la articolul 4 alineatele (2)-(4) din LGPD, în special pentru a împiedica entitățile private să prelucreze date în aceste scopuri, pentru a instrui ANPD să emită avize tehnice și recomandări în această privință și pentru a împuternici ANPD să solicite evaluarea impactului asupra protecției datelor în legătură cu aceste activități (45). De exemplu, pe această bază, ANPD a efectuat investigații și a emis orientări, cum ar fi o notă tehnică adresată Ministerului Justiției și Securității Publice cu privire la utilizarea tehnologiilor, inclusiv a recunoașterii faciale, în spațiile publice (46). În această notă, ANPD a reamintit că prelucrarea în aceste scopuri trebuie să respecte principiile generale și drepturile prevăzute de LGPD (47).

(32)

În plus, articolul 4 punctul II din LGPD introduce o exceptare parțială de la lege pentru prelucrarea datelor cu caracter personal în scopuri de cercetare academică și în scopuri jurnalistice și artistice.

(33)

În ceea ce privește cercetarea academică, exceptarea este limitată de mai multe elemente. În primul rând, potrivit articolului 4 punctul II din LGPD, prelucrarea trebuie efectuată „exclusiv” în scopuri de cercetare academică. În al doilea rând, articolul 4 punctul II litera (b) din LGPD prevede că articolul 7 (cerința temeiului juridic) și articolul 11 (norme privind prelucrarea datelor sensibile) se aplică acestor tipuri de prelucrare (48). În al treilea rând, ANPD a elaborat un ghid de orientare pentru a detalia normele aplicabile prelucrării de date în scopuri academice și de cercetare, inclusiv prin definirea strictă a entităților care pot fi considerate „organisme de cercetare” conform definiției de la articolul 5 punctul XVII din LGPD (49). În ghidul respectiv, ANPD confirmă că prelucrarea de date în scopuri de cercetare academică este exceptată doar parțial de la LGPD și că se vor aplica principiile generale ale legii (50).

(34)

În ceea ce privește datele utilizate în mod specific pentru cercetarea în domeniul sănătății, LGPD conține limitări suplimentare. Pe de o parte, articolul 13 din LGPD stabilește obligații de securitate pentru bazele de date utilizate și încurajează utilizarea tehnicilor de anonimizare și pseudonimizare. Acesta prevede, de asemenea, ca entitățile de cercetare să fie trase la răspundere pentru nepunerea în aplicare a măsurii de securitate pentru protecția datelor cu caracter personal (51). Pe de altă parte, transferul de date utilizate pentru cercetarea în domeniul sănătății către o terță parte „este interzis, în orice circumstanțe” (52).

(35)

În ceea ce privește prelucrarea datelor cu caracter personal în scopuri jurnalistice și artistice, exceptarea din LGPD este similară cu cea prevăzută la articolul 85 alineatul (2) din Regulamentul (UE) 2016/679. Exceptarea prevăzută de LGPD se referă la situația în care prelucrarea ar fi efectuată „exclusiv” în aceste scopuri (53). Aceasta înseamnă că, în cazul în care presa, mass-media și organismele artistice prelucrează date cu caracter personal în alte scopuri, cum ar fi gestionarea resurselor umane sau administrarea internă, LGPD se aplică integral.

(36)

Expresia artistică și libertatea mass-mediei fac parte, ambele, din libertatea de exprimare prevăzută la articolul 5 punctul IX din Constituție, care garantează libertatea de exprimare pentru discursul „intelectual, artistic, științific și de comunicare”. În ceea ce privește exercițiul de echilibrare între libertatea de exprimare și alte drepturi (inclusiv dreptul la viață privată și la protecția datelor), acesta este guvernat de criteriile prevăzute în Constituție, astfel cum au fost interpretate de Curtea Supremă Federală. În special, exercitarea dreptului la libertatea de exprimare nu necesită nicio autorizare prealabilă, dar rămâne supusă limitelor impuse pentru protejarea altor drepturi fundamentale. Mai precis, o persoană poate solicita despăgubiri în caz de prejudiciere sau de încălcare a dreptului la viață privată, în conformitate cu articolul 5 punctul X din Constituție. În plus, aceste garanții au fost integrate în Cadrul civil pentru internet, o lege adoptată în 2014 pentru a proteja drepturile fundamentale în mediul online (54). În special, articolul 7 punctul I din Cadrul civil pentru internet garantează „inviolabilitatea vieții private” și stabilește dreptul la despăgubiri pentru orice prejudicii materiale sau morale care rezultă dintr-o încălcare. În plus, STF face referire, în jurisprudența sa, la necesitatea de „a stabili un echilibru între drepturi, conciliind dreptul la libertatea de exprimare cu inviolabilitatea vieții private”, subliniind importanța dreptului la reparații și a accesului la căi de atac în cazul încălcării vieții private (55). Într-un alt caz, STF a reamintit că „libertatea presei și libertatea comunicării sociale trebuie exercitate în armonie cu alte principii constituționale”, cum ar fi inviolabilitatea vieții private și dreptul la protecția datelor (56).

(37)

În cele din urmă, LGPD exclude din domeniul de aplicare al legii prelucrarea datelor care își au originea în afara Braziliei și care fie (1) nu sunt partajate sau comunicate agenților de prelucrare din Brazilia, fie (2) provin dintr-o țară care a fost considerată adecvată în temeiul LGPD, cu condiția ca ele să nu fie transferate într-o altă țară (57). ANPD a oferit o interpretare obligatorie pentru a clarifica în mod strict cele două scenarii în Regulamentul său privind transferurile de date (58).

(38)

În primul scenariu, simplul tranzit al datelor cu caracter personal prin Brazilia, fără nicio prelucrare suplimentară în această țară, ar fi exclus din domeniul de aplicare al legii (59). Totuși, de îndată ce datele ar fi accesate, utilizate sau prelucrate în alt mod în Brazilia, s-ar aplica LGPD. Normele interne existente privind securitatea cibernetică și accesul autorităților publice la date s-ar aplica în continuare și acestui scenariu limitat, indiferent dacă datele sunt prelucrate sau rămân doar în tranzit.

(39)

În al doilea scenariu, ANPD a precizat că numai transferarea înapoi a datelor care au fost transferate inițial dintr-o țară care beneficiază de o decizie privind caracterul adecvat al nivelului de protecție în temeiul LGPD este exclusă din domeniul de aplicare al legii, atât timp cât legislația națională a acestei țări adecvate s-ar aplica prelucrării respective. Și în acest caz, normele privind securitatea cibernetică și accesul autorităților publice la date ar continua să se aplice. În contextul transferului de date cu caracter personal între UE și Brazilia, în cazul în care UE ar beneficia de o decizie privind caracterul adecvat al nivelului de protecție din partea Braziliei, transferul de date din Brazilia înapoi în UE nu ar intra întotdeauna sub incidența articolului 3 din Regulamentul (UE) 2016/679. Prin urmare, în cazurile în care prelucrarea în cauză nu ar intra sub incidența Regulamentului (UE) 2016/679, din articolul 8 punctul II litera (b) din Regulamentul privind transferurile de date rezultă că LGPD s-ar aplica transferului de date din Brazilia înapoi în UE.

(40)

Datele cu caracter personal ar trebui prelucrate în mod legal și echitabil.

(41)

Principiul legalității, al bunei-credințe și al transparenței, precum și temeiurile prelucrării legale sunt garantate în temeiul articolelor 6 și 7 din LGPD prin condiții similare cu cele prevăzute la articolele 5 și 6 din Regulamentul (UE) 2016/679.

(42)

În temeiul articolelor 6 și 7 din LGPD, operatorii și persoanele împuternicite de operatori trebuie să prelucreze informațiile cu caracter personal în mod legal și cu bună-credință, în măsura minimă necesară pentru scopul prevăzut, acoperind date care să fie relevante, proporționale și neexcesive în raport cu scopul (60).

(43)

Aceste principii generale ale prelucrării legale sunt detaliate la articolul 7 din LGPD, care stabilește diferitele temeiuri juridice pentru prelucrare, inclusiv circumstanțele în care aceasta poate implica o modificare a scopului.

(44)

În temeiul articolului 7 din LGPD, un operator și o persoană împuternicită de operator pot prelucra date cu caracter personal numai pe baza unui număr limitat de temeiuri juridice. Aceste temeiuri juridice prevăzute de LGPD sunt: (1) consimțământul persoanei vizate (punctul I); (2) necesitatea de a executa un contract sau proceduri preliminare legate de un contract la care persoana vizată este parte, la cererea persoanei vizate (punctul V); (3) respectarea unei obligații legale sau de reglementare de către operator (61) (punctul II); (4) protejarea vieții sau a siguranței fizice a persoanei vizate sau a unei părți terțe (punctul VII); (5) prelucrarea datelor de către o administrație publică, atunci când este necesară pentru punerea în aplicare a politicilor publice prevăzute în legi și regulamente sau pe baza unor contracte, acorduri sau instrumente similare (62) (punctul III), și (6) atunci când este necesar pentru îndeplinirea intereselor legitime ale operatorului sau ale unei terțe părți, cu excepția cazului în care prevalează drepturile și libertățile fundamentale ale persoanei vizate care impun protecția datelor cu caracter personal (punctul IX).

(45)

Articolul 7 din LGPD prevede patru temeiuri juridice specifice suplimentare pentru prelucrarea datelor, și anume: (1) efectuarea de studii de către entități de cercetare, asigurând, ori de câte ori este posibil, anonimizarea datelor cu caracter personal (punctul IV); (2) exercitarea regulată a drepturilor în cadrul procedurilor judiciare, administrative sau de arbitraj (63) (punctul VI); (3) protejarea sănătății, exclusiv în cadrul unei proceduri efectuate de profesioniști din domeniul sănătății, servicii de sănătate sau autorități sanitare/de sănătate (punctul VIII) și (4) protecția creditului (punctul X) (64).

(46)

Cerințele formale pentru obținerea consimțământului valabil pentru prelucrarea datelor cu caracter personal în temeiul LGPD sunt prevăzute la articolul 8, urmând o abordare similară celei prevăzute la articolul 4 alineatul (11) și la articolul 7 din Regulamentul (UE) 2016/679. În primul rând, consimțământul trebuie dat fie în scris, fie prin alte mijloace capabile să demonstreze „manifestarea voinței” persoanei vizate (65). În orientările sale, ANPD a precizat că „consimțământul trebuie să fie neechivoc, ceea ce necesită obținerea unei exprimări clare și pozitive a voinței persoanei vizate”, ceea ce înseamnă că nu este permisă obținerea consimțământului „în mod tacit sau printr-o omisiune din partea persoanei vizate” (66). În al doilea rând, consimțământul trebuie să se refere la „scopuri speciale”, iar „autorizațiile generice de prelucrare” a datelor cu caracter personal sunt considerate nule (67). În al treilea rând, consimțământul trebuie să fie exprimat în cunoștință de cauză pe baza unor informații furnizate într-un mod „transparent, clar și lipsit de ambiguitate” (68). Atunci când este inclus într-un contract mai amplu, consimțământul trebuie să figureze într-o clauză distinctă și specifică ce se diferențiază în mod clar de celelalte dispoziții contractuale (69). În plus, consimțământul este considerat nul dacă informațiile furnizate persoanei vizate cuprind „conținut înșelător sau abuziv” (70). De asemenea, operatorul trebuie să informeze persoana vizată cu privire la orice modificare referitoare la: (1) scopul specific al prelucrării; (2) tipul sau durata prelucrării; (3) identitatea operatorului sau (4) orice informații privind prelucrarea și posibila partajare a datelor (71). În al patrulea rând, consimțământul poate fi „revocat în orice moment” de către persoana vizată printr-o „procedură gratuită” (72).

(47)

LGPD stabilește o interdicție strictă privind prelucrarea datelor cu caracter personal în cazul în care consimțământul este viciat sau nevalid (73). În plus, LGPD precizează că operatorului îi revine sarcina probei pentru a demonstra că consimțământul a fost obținut în mod legal, în conformitate cu LGPD (74).

(48)

În cele din urmă, LGPD stabilește că, în situația în care consimțământul ar constitui temeiul juridic adecvat pentru prelucrare, dacă datele cu caracter personal au fost făcute „publice în mod vădit de către persoana vizată”, se consideră că se renunță la cerința consimțământului (75). Conceptul de „date publice în mod vădit” se regăsește și la articolul 9 din Regulamentul (UE) 2016/679. Cu toate acestea, chiar și atunci când se consideră că se renunță la cerința consimțământului, operatorii și persoanele împuternicite de operatori nu beneficiază de o exceptare de la respectarea tuturor celorlalte drepturi și obligații prevăzute în LGPD (76). În special, datele care au fost făcute publice în mod vădit de către persoana vizată pot fi prelucrate ulterior, cu condiția ca scopul prelucrării să fie „legitim și specific”, iar drepturile persoanelor vizate și principiile stabilite în LGPD să fie respectate (77).

(49)

Articolul 7 punctul IX din LGPD prevede că prelucrarea datelor cu caracter personal nu poate fi efectuată niciodată din motive de interes legitim în cazul în care prelucrarea respectivă ar intra în conflict cu drepturile și libertățile fundamentale ale persoanelor vizate, subliniind că protecția datelor cu caracter personal trebuie să prevaleze. Această abordare este similară celei aplicate în UE și prevăzută la articolul 6 alineatul (1) litera (f) din Regulamentul (UE) 2016/679.

(50)

Articolul 10 din LGPD stabilește condițiile suplimentare pentru ca operatorii să invoce „interesul legitim” ca temei juridic pentru prelucrarea datelor cu caracter personal. În primul rând, atunci când prelucrarea datelor cu caracter personal se bazează pe interesul legitim, operatorul trebuie să prelucreze numai date cu caracter personal care sunt „strict necesare” pentru scopul prevăzut (78). În al doilea rând, operatorii trebuie, de asemenea, să pună în aplicare măsuri prin care să asigure transparența activităților lor de prelucrare (79). În al treilea rând, interesul legitim nu poate fi invocat decât în „situații speciale” (80).

(51)

În plus, ANPD a publicat „Ghidul privind interesul legitim”, care detaliază condițiile de utilizare a interesului legitim (81). Acest ghid a precizat, de exemplu, că interesul legitim nu poate fi utilizat ca temei juridic pentru prelucrarea datelor sensibile (82) și, de asemenea, furnizează în anexă un model pentru testul comparativ pentru protecția drepturilor și a libertăților fundamentale pe care îl pot utiliza toți operatorii care doresc să se invoce interesul legitim (83). În plus, ANPD poate solicita operatorului să efectueze o evaluare a impactului asupra protecției datelor (84).

(52)

În ghid, ANPD a precizat că, pentru ca un interes să fie considerat „legitim”, trebuie îndeplinite trei condiții: (1) compatibilitatea cu sistemul juridic brazilian; (2) referirea la o situație specială și (3) prelucrarea să fie legată de scopuri legitime, speciale și explicite (85). Prima condiție, „compatibilitatea cu sistemul juridic”, presupune ca interesul legitim invocat de operator să fie compatibil cu principiile, standardele juridice și drepturile fundamentale garantate în Brazilia. Aceasta înseamnă, de exemplu, că prelucrarea prevăzută a datelor cu caracter personal nu ar trebui să fie interzisă de un act legislativ din Brazilia și nu poate, în mod direct sau indirect, să contravină dispozițiilor legale sau principiilor din dreptul brazilian. În al doilea rând, interesul legitim invocat trebuie să se bazeze pe situații „concrete, clare și precise”, care vizează interese specifice și bine definite. Interesul legitim invocat nu se poate întemeia pe „situații abstracte sau pur speculative” (86). În plus, ANPD precizează că interesele care nu sunt asociate cu „activitățile curente ale operatorului nu sunt considerate legitime” (87). Cea de a treia condiție se referă la necesitatea de a demonstra un scop specific pentru prelucrare. ANPD constată că interesul legitim al operatorului (care justifică prelucrarea) nu trebuie confundat cu scopul prelucrării (care constituie scopul specific care urmează să fie atins prin efectuarea prelucrării). Existența unui interes legitim nu elimină obligația operatorului de a respecta principiul limitării scopului și toate obligațiile care decurg din LGPD. Scopul trebuie descris în mod clar și precis, furnizând informațiile necesare pentru a delimita domeniul de aplicare al prelucrării și pentru a permite ponderarea intereselor operatorului sau ale terților cu drepturile și așteptările legitime ale persoanelor vizate (88). Aceasta înseamnă că, atunci când se bazează pe interesul legitim pentru sprijinirea sau promovarea activității sale, operatorul trebuie, printre altele, să definească în mod clar activitatea pe care intenționează să o promoveze/sprijine și legătura cu prelucrarea avută în vedere.

(53)

În cazul în care sunt prelucrate „categorii speciale” de date, ar trebui să existe garanții specifice.

(54)

Articolul 5 punctul II din LGPD definește datele sensibile cu caracter personal ca fiind „date cu caracter personal privind originea rasială sau etnică, convingerile religioase, opiniile politice, afilierea sindicală sau organizația religioasă, filozofică sau politică, date privind sănătatea sau viața sexuală, date genetice sau biometrice, atunci când sunt legate de o persoană fizică”. Astfel cum reiese din jurisprudența națională, viața sexuală ar trebui interpretată ca incluzând și orientarea sau preferințele sexuale ale unei persoane. În special, în jurisprudența sa privind căsătoria între persoane de același sex, STF a statuat că discriminarea pe criterii de „sex” include și „preferința sexuală” (89) și că libertatea de exercitare a „orientării sexuale” este o „premisă pentru dezvoltarea personalității”, care este protejată constituțional (90). Prin urmare, categoriile de date considerate date sensibile conform legislației braziliene sunt aceleași cu cele prevăzute la articolul 9 alineatul (1) din Regulamentul (UE) 2016/679.

(55)

Instanțele din Brazilia au extins și mai mult definiția datelor sensibile cu caracter personal în cadrul LGPD pentru a include și alte tipuri de informații care ar putea fi utilizate pentru a discrimina persoanele fizice (91). Această interpretare rezultă din dreptul de a fi protejat împotriva discriminării, prevăzut în dreptul brazilian, reflectat și la articolul 6 punctul IX din LGPD. În special, jurisprudența braziliană a clarificat faptul că informațiile privind cazierele judiciare sunt considerate date sensibile (92).

(56)

Prelucrarea datelor sensibile conform LGPD este autorizată numai în cazul în care persoana vizată sau reprezentantul său legal și-a dat consimțământul „specific și distinct” pentru scopuri specifice (93). Se aplică condițiile privind valabilitatea consimțământului descrise în considerentele 46-48 din prezenta decizie.

(57)

Conform articolului 11 punctul II din LGPD, fără consimțământul explicit al persoanei vizate, prelucrarea datelor sensibile poate fi efectuată: (1) atunci când prelucrarea este necesară pentru respectarea unei obligații legale sau de reglementare a operatorului [litera (a)]; (2) atunci când este necesar pentru prelucrarea de către administrația publică în vederea punerii în aplicare a politicilor publice prevăzute în legi și regulamente [litera (b)]; (3) pentru protejarea vieții sau a siguranței fizice a persoanei vizate sau a unei părți terțe [litera (e)]; (4) pentru exercitarea drepturilor, inclusiv în cadrul contractelor sau al procedurilor judiciare, administrative și arbitrale, în conformitate cu dreptul brazilian [litera (d)]; (5) pentru a proteja sănătatea persoanelor vizate, exclusiv în cadrul procedurilor desfășurate de profesioniști din domeniul sănătății, servicii de sănătate sau autorități sanitare [litera (f)]; (6) de către entități de cercetare pentru a efectua studii, asigurându-se că datele sunt anonimizate, ori de câte ori este posibil [litera (c)] și (7) pentru a asigura prevenirea fraudei și siguranța persoanelor vizate, în procesele de identificare și autentificare prin înregistrarea în sistemele electronice. Prin urmare, motivele pentru prelucrarea datelor sensibile prevăzute în LGPD și în Regulamentul (UE) 2016/679 sunt similare.

(58)

Datele cu caracter personal ar trebui să fie colectate pentru un scop specific și într-un mod care să nu fie incompatibil cu scopul prelucrării.

(59)

Articolul 6 punctul I din LGPD prevede că datele cu caracter personal ar trebui să fie prelucrate pentru un „scop legitim, specific și explicit care este adus la cunoștința persoanei vizate”, fără nicio posibilitate de prelucrare ulterioară „incompatibilă” cu scopul inițial. Acest principiu și formularea sa sunt aproape identice cu cele corespunzătoare de la articolul 5 alineatul (1) litera (c) din Regulamentul (UE) 2016/679. Articolul 6 punctul II din LGPD stabilește, în plus, că orice activitate de prelucrare trebuie să fie compatibilă cu scopurile comunicate persoanei vizate.

(60)

Din orientările emise de ANPD reiese că, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele au fost colectate inițial, operatorul trebuie să demonstreze o legătură între cele două scopuri ale prelucrării și să țină seama de „așteptările legitime” ale persoanelor vizate (94). În cazul prelucrării pentru alte scopuri compatibile, se aplică principiile și obligațiile prevăzute în LGPD, și anume asigurarea caracterului specific al noului scop și garantarea protecției drepturilor persoanelor vizate. Acest lucru este valabil și pentru prelucrarea ulterioară a datelor care au fost făcute „publice în mod vădit” de către persoana vizată sau care sunt disponibile public (95).

(61)

Datele ar trebui să fie exacte și, dacă este necesar, actualizate. De asemenea, ar trebui să fie adecvate, relevante și neexcesive în raport cu scopurile în care sunt prelucrate.

(62)

Aceste principii sunt garantate de principiul „calității datelor” și al „necesității”, prevăzute la articolul 6 punctul III și, respectiv, V din LGPD. Conform articolului 6 punctul V din LGPD, operatorul și persoanele împuternicite de operator trebuie să se asigure că datele cu caracter personal sunt exacte, clare, relevante și actualizate, având în vedere scopurile în care sunt prelucrate datele respective. Articolul 6 punctul III din LGPD stabilește „limitarea prelucrării la minimul necesar” pentru a atinge unul sau mai multe scopuri specifice, „cuprinzând date relevante, proporționale și neexcesive” în raport cu scopul (scopurile) respectiv(e). Aceste principii sunt similare cu cele prevăzute la articolul 5 alineatul (1) literele (c) și (d) din Regulamentul (UE) 2016/679.

(63)

În principiu, datele nu ar trebui să fie păstrate o perioadă mai îndelungată decât este necesar în vederea atingerii scopurilor în care sunt prelucrate datele cu caracter personal.

(64)

Principiile „scopului”, „necesității” și „accesului” prevăzute la articolul 6 punctele (I), (III) și, respectiv, (IV) din LGPD prevăd cerințe privind limitarea stocării. Acestea limitează posibilitatea de a stoca date la minimul necesar în raport cu un scop „legitim, specific și explicit” și impun ca persoanele vizate să fie informate cu privire la durata stocării.

(65)

În plus, secțiunea IV din capitolul II din LGPD este consacrată „încetării prelucrării datelor”. În cadrul secțiunii respective, articolul 16 din LGPD prevede ca toate datele cu caracter personal să fie șterse după încetarea prelucrării pentru un scop definit. Aceste cerințe, coroborate cu principiile LGPD privind „scopul”, „necesitatea” și „accesul”, sunt similare obligațiilor care decurg din articolul 5 alineatul (1) litera (e) din Regulamentul (UE) 2016/679.

(66)

În temeiul excepțiilor stricte prevăzute la articolul 16 din LGPD, datele pot fi păstrate și stocate în continuare: (1) pentru respectarea obligațiilor legale sau de reglementare; (2) în scopuri de cercetare, asigurând, ori de câte ori este posibil, anonimizarea datelor; (3) atunci când sunt transferate unor terți în conformitate cu cerințele LGPD sau (4) atunci când sunt utilizate exclusiv de operator, atât timp cât datele sunt anonimizate, iar accesul terților la datele respective este interzis.

(67)

Datelor stocate li se aplică cerința privind securitatea datelor prevăzută în LGPD și descrisă în considerentele 68-78 din prezenta decizie.

(68)

Datele cu caracter personal ar trebui să fie prelucrate într-un mod care să le asigure securitatea, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale. În acest scop, operatorii ar trebui să ia măsurile tehnice sau organizatorice adecvate pentru a proteja datele cu caracter personal împotriva eventualelor amenințări. Aceste măsuri ar trebui să fie evaluate luându-se în considerare cunoștințele actuale și costurile aferente.

(69)

Acest principiu este garantat de articolul 6 punctul VII din LGPD, care prevede utilizarea unor „măsuri tehnice și administrative” pentru a proteja datele cu caracter personal împotriva „accesărilor neautorizate și a prelucrării accidentale sau ilegale”, inclusiv împotriva „distrugerii, pierderii, modificării, comunicării sau difuzării” datelor. Pentru a reduce aceste riscuri de securitate, articolul 6 punctul VIII din LGPD prevede adoptarea de măsuri pentru „a preveni producerea de daune/prejudicii cauzate de prelucrarea datelor cu caracter personal”.

(70)

Articolul 44 din LGPD prevede că prelucrarea datelor cu caracter personal este ilegală atunci când nu respectă standardele de securitate la care persoana vizată este îndreptățită să se aștepte. Trebuie stabilit nivelul adecvat de securitate, printre altele: (1) având în vedere circumstanțele specifice ale prelucrării efectuate; (2) nivelul rezonabil de risc preconizat și (3) tehnicile de prelucrare disponibile în momentul în care a fost efectuată (96).

(71)

Pentru a pune în aplicare principiul securității datelor, LGPD a stabilit o serie de cerințe în cadrul capitolului VII secțiunea I privind „Securitatea și confidențialitatea datelor”. În cadrul acestei secțiuni, articolul 46 din LGPD impune operatorilor de date și persoanelor împuternicite de operatori să adopte „măsuri de securitate, tehnice și administrative capabile să protejeze datele cu caracter personal împotriva accesărilor neautorizate și a prelucrării accidentale sau ilegale”, cum ar fi „distrugerea, pierderea, modificarea, comunicarea sau orice tip de prelucrare necorespunzătoare sau ilegală”. Aceste măsuri trebuie să fie respectate „din faza de concepere a produsului sau a serviciului până la executarea acestuia” (97). Articolul 47 din LGPD impune tuturor părților implicate în orice etapă a prelucrării o obligație generală de a respecta cerințele de securitate. Aceste obligații sunt similare celor stabilite la articolul 32 din Regulamentul (UE) 2016/679.

(72)

În plus, articolul 44 din LGPD stabilește că operatorul sau persoana împuternicită de operator care neglijează să adopte măsuri de securitate trebuie să fie considerat(ă) răspunzător (răspunzătoare) pentru prejudiciile cauzate în caz de încălcare a securității (98). ANPD poate stabili, de asemenea, standarde tehnice minime de securitate pentru a asigura respectarea obligațiilor în materie de securitate a datelor (99).

(73)

Conform articolului 48 din LGPD, în cazul unui incident de securitate care poate prezenta un risc sau poate cauza prejudicii semnificative persoanelor vizate, operatorul este obligat să notifice atât ANPD, cât și persoanele vizate. Această notificare trebuie să aibă loc într-un interval de timp rezonabil, stabilit de ANPD, și trebuie să includă cel puțin: (1) o descriere a naturii datelor cu caracter personal afectate; (2) informații de identificare a persoanelor vizate implicate; (3) indicarea măsurilor tehnice și de securitate utilizate pentru protecția datelor, sub rezerva păstrării confidențialității comerciale și industriale; (4) o evaluare a riscurilor asociate incidentului; (5) explicarea oricărei întârzieri în comunicare și (6) o descriere a măsurilor luate sau care urmează să fie luate pentru a atenua sau a remedia prejudiciile cauzate. Abordarea aplicată în LGPD este în mare măsură similară celei stabilite la articolele 33 și 34 din Regulamentul (UE) 2016/679.

(74)

ANPD a adoptat norme suplimentare privind incidentele legate de securitatea datelor pentru a clarifica, de exemplu, definiția termenului „incident” și termenele pentru notificarea unui incident (100).

(75)

Articolul 3 punctul XII din Regulamentul privind notificarea incidentelor de securitate definește incidentul de securitate ca fiind „orice eveniment advers confirmat legat de încălcarea confidențialității, integrității, disponibilității și autenticității securității datelor cu caracter personal”. Conform articolului 48 din LGPD, o încălcare a securității datelor și un incident de securitate care pot crea riscuri pentru persoanele vizate trebuie să fie întotdeauna comunicate autorității pentru protecția datelor (ANPD) și persoanelor vizate. Articolul 5 din Regulamentul privind notificarea incidentelor de securitate precizează că un incident de securitate poate implica un risc pentru persoanele vizate atunci când acesta le poate afecta interesele și drepturile fundamentale și dacă implică cel puțin unul dintre următoarele tipuri de date: (1) date sensibile cu caracter personal; (2) date referitoare la copii, adolescenți sau vârstnici; (3) date financiare; (4) date de autentificare în sisteme; (5) date protejate de secretul juridic, judiciar sau profesional sau (6) baze de date la scară largă. În plus, se va considera că un incident de securitate afectează în mod semnificativ interesele și drepturile fundamentale ale persoanelor vizate atunci când acesta: (1) poate împiedica exercitarea drepturilor sau utilizarea unui serviciu sau (2) poate cauza prejudicii materiale sau morale persoanelor vizate, cum ar fi discriminarea, încălcarea integrității fizice, dreptul la imagine și reputație, frauda financiară sau furtul de identitate (101).

(76)

Notificarea unui incident de securitate către ANPD și persoanele vizate trebuie să aibă loc în termen de trei zile lucrătoare de la data la care operatorul a luat cunoștință de acesta (102). Regulamentul obligatoriu privind notificarea incidentelor de securitate precizează pentru operatori informațiile care trebuie furnizate ANPD și persoanelor vizate. Notificarea persoanelor vizate trebuie să includă în special: (1) o descriere a naturii și a categoriei de date cu caracter personal afectate; (2) măsurile tehnice și de securitate utilizate pentru protecția datelor; (3) riscurile legate de incident, identificând posibilele efecte asupra persoanelor vizate; (4) motivele întârzierii, în cazul în care comunicarea nu a fost efectuată în termen de 72 de ore; (5) măsurile care au fost sau vor fi adoptate pentru a inversa sau a atenua efectele incidentului, după caz; (6) data la care a fost descoperit incidentul de securitate și (7) datele de contact pentru obținerea de informații și, după caz, datele de contact ale persoanei responsabile (103). Atunci când comunică incidentul persoanelor vizate, operatorii trebuie să utilizeze un „limbaj simplu și ușor de înțeles” (104). Notificarea se efectuează în mod direct și individual, dacă este posibilă identificarea persoanelor vizate afectate (105).

(77)

În plus, ANPD poate, dacă este necesar pentru a proteja drepturile persoanelor vizate, să evalueze gravitatea incidentului și să solicite operatorului să adopte măsuri specifice (106). Acestea pot include divulgarea publică a incidentului prin canale mass-media adecvate, precum și punerea în aplicare a unor măsuri de remediere sau de atenuare. Operatorul de date trebuie să mențină un registru al incidentelor legate de securitatea datelor (107).

(78)

În cele din urmă, LGPD asociază standardele sale „de bune practici și de guvernanță (a datelor)” cu cerințele privind securitatea datelor, printre altele pentru a atenua riscurile de prelucrare a datelor (108). Aceasta include promovarea adoptării unor programe interne de guvernanță a vieții private pentru a evalua și a atenua riscurile (109).

(79)

Persoanele vizate ar trebui să fie informate cu privire la principalele caracteristici ale prelucrării datelor lor cu caracter personal.

(80)

Aplicând o abordare comparabilă cu cea de la articolul 12 din Regulamentul (UE) 2016/679, articolul 6 punctul VI din LGPD stabilește că persoanele vizate trebuie să primească informații clare, precise și ușor accesibile atât cu privire la efectuarea prelucrării datelor, cât și cu privire la agenții de prelucrare respectivi, sub rezerva „secretului comercial și industrial”.

(81)

Articolul 9 din LGPD stabilește o listă de informații care trebuie furnizate persoanelor vizate cu privire la prelucrarea datelor, care include: (1) scopul specific al prelucrării; (2) tipul și durata prelucrării; (3) identificarea operatorului; (4) datele de contact ale operatorului; (5) informații privind prelucrarea datelor de către operator și scopul; (6) responsabilitățile entităților care efectuează prelucrarea și (7) drepturile persoanelor vizate, inclusiv informații privind exercitarea drepturilor respective.

(82)

Limitarea legată de „secretul comercial și industrial” menționată la articolul 6 punctul VI și alte dispoziții ale LGPD ar trebui interpretate prin prisma Legii privind accesul la informații (LAI) a Braziliei (110). LAI prevede, ca regulă generală, divulgarea informațiilor cuprinse în registrele sau documentele deținute de organismele publice (111). Orice excepție – adică impunerea unor restricții privind accesul la documente și informații – trebuie să fie justificată și prevăzută de lege (112). Secretul comercial și industrial este una dintre aceste excepții, fiind prevăzut într-o dispoziție legală specifică menită să asigure protecția „informațiilor referitoare la activitățile comerciale ale persoanelor fizice sau juridice de drept privat, obținute de alte organisme sau entități în exercitarea activității de control, de reglementare și de supraveghere a activității economice, a căror divulgare ar putea reprezenta un avantaj concurențial pentru alți agenți economici” (113). Prin urmare, dispozițiile LGPD care se referă la „secretul comercial și industrial” trebuie interpretate în sensul că prelucrarea și divulgarea în alt mod a informațiilor nu trebuie să dezvăluie secretul comercial sau să creeze un avantaj concurențial pentru alți actori, îndeplinind totodată obiectivele de protecție a datelor cu caracter personal. Aceasta înseamnă că, în ceea ce privește principiul transparenței și în întregul text al LGPD, limitarea pe motivul „secretului comercial și industrial” nu trebuie înțeleasă ca un motiv general de refuz al respectării legii, ci în sensul că trebuie instituite garanții specifice pentru a se asigura divulgarea informațiilor într-un mod care să protejeze interesele respective.

(83)

Persoanele vizate ar trebui să aibă anumite drepturi care pot fi impuse operatorului, în special dreptul de acces la date, dreptul la rectificare, dreptul la ștergerea datelor, dreptul de a se opune prelucrării, dreptul la portabilitatea datelor și drepturi în contextul prelucrării automate a datelor. Aceste drepturi pot face obiectul unor restricții, în măsura în care aceste restricții sunt necesare și proporționale pentru a proteja obiectivele specifice de interes public general.

(84)

Capitolul III din LGPD stabilește drepturile persoanelor vizate într-un mod similar cu cel prevăzut la articolele 15-22 din Regulamentul (UE) 2016/679. Exercitarea tuturor drepturilor este gratuită, iar persoanele vizate trebuie să fie informate cu privire la drepturile lor (114). În temeiul articolului 21 din LGPD, datele privind exercitarea drepturilor de către o persoană vizată nu pot fi utilizate în detrimentul acesteia. Persoanele vizate pot introduce o cale de atac în instanță, în mod individual sau colectiv, în legătură cu interesele și drepturile lor (115).

(85)

Operatorii de date trebuie să informeze „imediat” persoanele împuternicite de operatori, cu care este posibil ca datele să fi fost partajate, cu privire la cererile persoanelor vizate referitoare la rectificarea, ștergerea, anonimizarea, restricționarea și opoziția, pentru a se asigura că aceste cereri pot fi respectate de toate părțile implicate (116).

(86)

În temeiul articolului 9 și articolului 18 punctul (II) din LGPD, persoanele vizate au dreptul la informații și la acces pentru a obține „în orice moment” informații privind prelucrarea datelor lor (117). Acestea includ: (1) identitatea operatorului (punctul III); (2) datele de contact ale operatorului (punctul IV); (3) informații privind scopul specific al prelucrării (punctul I); (4) informații privind posibila partajare a datelor (punctul V); (5) tipul și durata prelucrării (punctul II); (6) existența drepturilor persoanelor vizate, inclusiv a dreptului de a depune o plângere la autoritatea pentru protecția datelor și (7) responsabilitățile persoanelor împuternicite de operator. În plus, articolul 10 alineatul (2) din LGPD impune operatorului să dea dovadă de transparență în ceea ce privește prelucrarea pe baza interesului legitim. În mod similar, articolul 9 din Regulamentul privind transferurile de date precizează că persoanele vizate trebuie să fie informate în cazul transferurilor de date cu caracter personal.

(87)

Articolul 19 din LGPD detaliază modalitatea de a oferi persoanelor vizate acces la informațiile lor cu caracter personal. La cererea unei persoane vizate, accesul la datele cu caracter personal se acordă: imediat, „într-un format simplificat”, sau în termen de 15 zile, printr-o declarație clară și completă (118). În plus, articolul 19 alineatul (1) din LGPD stabilește că operatorii trebuie să stocheze datele cu caracter personal într-un format care să faciliteze exercitarea dreptului de acces. Persoana vizată poate decide să își primească informațiile în format electronic sau pe suport de hârtie (119).

(88)

În temeiul articolului 18 punctul (III) din LGPD, persoanele vizate au dreptul de a solicita corectarea datelor incomplete, inexacte sau perimate (dreptul la rectificare).

(89)

Articolul 18 punctele (IV) și (VI) din LGPD conferă persoanelor fizice dreptul de a solicita ștergerea datelor lor în următoarele situații: (1) atunci când datele sunt inutile sau excesive; (2) pentru orice date prelucrate cu consimțământul persoanei vizate sau (3) atunci când datele sunt prelucrate în mod ilegal. În plus, secțiunea IV din capitolul II din LGPD privind „Încetarea prelucrării datelor” precizează că prelucrarea datelor trebuie să înceteze atunci când o persoană vizată fie se opune prelucrării, fie își retrage consimțământul pentru prelucrare (120). Ulterior, datele se șterg după încheierea prelucrării (121). Prin urmare, aceste dispoziții coroborate extind în mod indirect domeniul de aplicare al dreptului la ștergerea datelor prevăzut în LGPD.

(90)

Persoanele fizice au dreptul de a se opune prelucrării datelor pe baza unui alt temei juridic decât consimțământul, în cazul nerespectării LGPD (dreptul la opoziție) (122). În plus, conform articolului 15 și articolului 18 alineatul IV din LGPD, persoanele vizate au dreptul de a restricționa prelucrarea datelor (denumită în continuare „blocare”). Acest drept poate fi invocat, în special, atunci când datele prelucrate sunt inutile sau excesive sau atunci când datele sunt prelucrate într-un mod care nu este conform cu LGPD (123). Articolul 15 punctul II din LGPD prevede că datele nu mai trebuie să fie prelucrate pe baza unei „comunicări” din partea persoanei vizate către operator. Deși face obiectul „interesului public”, interpretat în sens larg, această dispoziție prevede un domeniu de aplicare vast pentru un drept indirect de a se opune într-un mod echivalent cu dreptul la opoziție prevăzut de Regulamentul (UE) 2016/679.

(91)

Persoanele fizice au dreptul de a solicita „o copie electronică completă” a datelor lor pentru a permite utilizarea acestora de către alte entități (dreptul la portabilitate) (124). În mod similar, ca și în UE, persoanele vizate pot solicita această copie numai atunci când datele au fost prelucrate pe baza consimțământului sau a unui contract.

(92)

Deși orice decizie bazată pe prelucrarea automată de date colectate în UE va fi luată, de regulă, de un operator [care are o relație directă cu persoana vizată în cauză și, prin urmare, intră în mod direct în domeniul de aplicare al Regulamentului (UE) 2016/679], trebuie menționat că LGPD reglementează acest tip de prelucrare într-un mod similar cu articolul 22 din Regulamentul (UE) 2016/679. În primul rând, articolul 6 punctul IX din LGPD recunoaște principiul nediscriminării ca fiind un principiu de protecție a datelor potrivit căruia este interzisă prelucrarea de date în scopuri discriminatorii ilegale sau abuzive. Acest principiu este aplicabil tuturor prelucrărilor și este deosebit de relevant în contextul prelucrării automate. Apoi, conform articolului 20 din LGPD, persoana vizată are dreptul de a solicita „revizuirea deciziilor luate exclusiv pe baza unei prelucrări automate de date care îi afectează interesele, inclusiv a deciziilor prin care se urmărește definirea profilului său personal, profesional, de consum și de credit sau a unor aspecte ale personalității sale”. Atunci când răspunde unei cereri a persoanei vizate, operatorul trebuie să furnizeze informații clare cu privire la „criteriile și procedura utilizate pentru decizia automatizată” (125). În cazul în care aceste informații nu pot fi furnizate persoanei vizate din motive de „secret comercial și industrial”, ANPD are competența de a efectua un audit pentru a verifica aspectele discriminatorii din prelucrarea automată a datelor cu caracter personal (126). Prin urmare, „secretul comercial și industrial” nu poate fi folosit ca motiv pentru a refuza să răspundă cererii persoanei vizate.

(93)

Articolul 23 din LGPD prevede că pentru procedura și termenul de exercitare a drepturilor persoanelor vizate se aplică acte legislative specifice atunci când prelucrarea este efectuată de autoritățile publice (127). De exemplu, Legea Habeas Data a Braziliei reglementează dreptul de acces la informații al persoanelor fizice cu privire la datele deținute în registrele sau bazele de date ale guvernului sau ale unei entități publice (128). Legea Habeas Data a Braziliei stabilește dispoziții specifice privind dreptul de acces, care se acordă în termen de 10 zile de la cererea unei persoane, și dreptul la rectificare, care se acordă în termen de 15 zile de la cerere (129). În mod similar, Legea federală privind procedura administrativă din Brazilia instituie un drept la informații și la acces pentru persoane în contextul procedurilor administrative (130). Legea privind accesul la informații a Braziliei prevede, de asemenea, obligații de informare și transparență pentru autoritățile publice, societățile publice și cele trei ramuri ale guvernului (legislativă, executivă și judecătorească) din Brazilia (131). Dispozițiile acestor legi consolidează dreptul de acces și la informații instituit în temeiul LGPD pentru prelucrarea datelor de către autoritățile publice. În cazul în care aceste acte legislative nu prevăd drepturi specifice instituite în temeiul LGPD (de exemplu, drepturi legate de procesul decizional automatizat), persoanele vizate își pot exercita aceste drepturi prin intermediul LGPD.

(94)

O încălcare a drepturilor persoanelor vizate va fi tratată de ANPD ca o încălcare „medie” sau „gravă” a legii, în funcție de factorul relevant, prin urmare poate fi supusă celui mai ridicat nivel de sancțiuni și amenzi. Este important de remarcat faptul că, pe baza Regulamentului ANPD privind sancțiunile, simplul fapt că un drept al unei persoane vizate a fost afectat printr-o încălcare înseamnă că o astfel de încălcare nu poate fi considerată „ușoară” (132).

(95)

De la intrarea în vigoare a LGPD, ANPD a primit un număr constant de plângeri și solicitări de la cetățeni cu privire la drepturile lor în materie de protecție a datelor (133). Aceste cifre au crescut semnificativ din iulie 2024, odată cu introducerea de către ANPD a unei platforme modernizate și ușor de utilizat pentru depunerea cererilor și a plângerilor (134). De atunci, ANPD primește lunar aproximativ 400 de plângeri și 100 de cereri de la cetățeni (135).

(96)

Nivelul de protecție conferit datelor cu caracter personal transferate din Uniune către operatori și persoane împuternicite de operatori din Brazilia nu trebuie să fie subminat de transferul suplimentar al acestor date către destinatari dintr-o țară terță.

(97)

Astfel de „transferuri ulterioare” constituie transferuri internaționale din Brazilia din perspectiva operatorului brazilian.

(98)

Capitolul V din LGPD stabilește un cadru pentru transferurile internaționale de date cu caracter personal. Dispozițiile acestui capitol sunt completate de un regulament obligatoriu privind transferurile internaționale de date (Regulamentul privind transferurile de date), care a fost adoptat de ANPD în august 2024 (136).

(99)

Regulamentul privind transferurile de date definește „transferul” ca fiind „operațiunea de prelucrare prin care un agent de prelucrare transmite, partajează sau oferă acces la date cu caracter personal unui alt agent de prelucrare”, iar „transferul internațional de date” ca fiind „transferul de date cu caracter personal către o țară străină sau către o organizație internațională din care face parte țara respectivă” (137).

(100)

Normele privind transferurile internaționale stabilite în temeiul LGPD și al Regulamentului privind transferurile de date se aplică tuturor prelucrărilor care intră în domeniul de aplicare al LGPD. Articolul 7 din Regulamentul privind transferurile de date precizează în mod expres că aplicabilitatea LGPD în cazul unui transfer internațional de date nu depinde de mijloacele tehnice utilizate pentru prelucrare, de localizarea geografică a datelor sau de prezența fizică a operatorului sau a persoanei împuternicite de operator (138). Ceea ce determină însă aplicabilitatea este existența unei legături materiale între activitatea de prelucrare a datelor și Brazilia.

(101)

În mod similar cu articolele 44-49 din Regulamentul (UE) 2016/679, articolul 33 din LGPD stabilește singurele circumstanțe în care un transfer internațional de date poate fi permis. Aceste circumstanțe sunt detaliate la articolul 9 din Regulamentul privind transferurile de date.

(102)

Un transfer internațional de date poate avea loc dacă sunt îndeplinite următoarele trei circumstanțe cumulative: în primul rând, un transfer internațional de date poate „fi efectuat numai în scopuri legitime, specifice și explicite, aduse la cunoștința persoanei vizate, fără nicio posibilitate de prelucrare ulterioară incompatibilă cu aceste scopuri” (139). În al doilea rând, transferul internațional de date trebuie să se bazeze pe un temei juridic valabil prevăzut la articolul 7 din LGPD (sau la articolul 11 în cazul datelor sensibile) (140). În al treilea rând, trebuie utilizat un mecanism „valabil” de transfer de date (141).

(103)

Articolul 33 din LGPD prevede mai multe mecanisme de transfer de date.

(104)

În primul rând, se poate adopta o decizie privind caracterul adecvat al nivelului de protecție referitoare la o țară terță sau la o organizație internațională (articolul 33 punctul I). Pentru a stabili dacă o țară terță sau o organizație internațională garantează un nivel adecvat de protecție a datelor cu caracter personal, ANPD trebuie să ia în considerare mai multe criterii prevăzute în LGPD și în Regulamentul privind transferurile de date (142) care sunt similare cu cele corespunzătoare din dreptul UE. Printre acestea se numără: (1) legislația generală și sectorială în vigoare în țara de destinație sau aplicabilă organizației internaționale, care are un impact direct asupra protecției datelor cu caracter personal (143); (2) natura datelor (144); (3) asigurarea faptului că țara terță sau organizația internațională respectivă asigură un nivel de protecție a datelor cu caracter personal și de garantare a drepturilor persoanelor vizate care este în concordanță cu LGPD (145); (4) adoptarea unor măsuri tehnice și organizatorice adecvate pentru a asigura securitatea datelor și pentru a atenua riscurile de efecte negative asupra vieții private și a altor drepturi fundamentale (146); (5) existența unor mecanisme judiciare și instituționale de garantare a drepturilor în materie de protecție a datelor, în special prin existența unei autorități de supraveghere independente, cu competențe și resurse adecvate pentru a monitoriza și a asigura respectarea dispozițiilor privind protecția datelor (147) și (6) orice alte circumstanțe specifice relevante pentru contextul transferului internațional de date (148).

(105)

Pentru evaluarea nivelului de protecție a datelor cu caracter personal în contextul unei decizii privind caracterul adecvat al nivelului de protecție, ANPD va evalua, de asemenea: (1) riscurile și beneficiile oferite de o anumită decizie privind caracterul adecvat al nivelului de protecție, luând în considerare, printre alte aspecte, garantarea principiilor, a drepturilor persoanei vizate și a regimului de protecție a datelor prevăzut de LGPD, precum și (2) impactul deciziei asupra fluxului internațional de date, a relațiilor diplomatice, a comerțului internațional și a cooperării internaționale a Braziliei cu alte țări și organizații internaționale (149). Evaluarea și emiterea unei decizii privind caracterul adecvat al nivelului de protecție intră în responsabilitatea ANPD (150). În prezent, ANPD lucrează doar la o decizie privind caracterul adecvat al nivelului de protecție împreună cu Uniunea Europeană.

(106)

În al doilea rând, articolul 33 punctul II prevede că transferurile de date pot avea loc atunci când operatorii asigură „garanții de conformitate cu principiile și drepturile persoanelor vizate și cu regimul de protecție a datelor” prevăzut de LGPD. Acest lucru poate fi garantat prin (1) clauze contractuale specifice [punctul II litera (a)]; (2) clauze contractuale standard [punctul II litera (b)]; (3) reguli corporatiste obligatorii [punctul II litera (c)] sau (4) sigilii, certificări și coduri de conduită aprobate [punctul II litera (d)].

(107)

Operatorii se pot baza pe dispoziții contractuale specifice pentru transferul internațional, precum și pe clauze contractuale standard aprobate de ANPD (151). Conform Regulamentului privind transferurile de date, ANPD a adoptat un set de clauze contractuale tip care acoperă toate cerințele relevante în materie de protecție a datelor (și anume drepturile persoanelor vizate, supravegherea și controlul independent, măsurile privind securitatea datelor, garanțiile privind transferurile ulterioare etc.) (152). Aceste clauze cuprind dispoziții care nu pot fi modificate de părțile contractante (153). Clauzele sunt modulare pentru a fi adaptate la diferite scenarii de transfer de date (de exemplu, de la un operator către o persoană împuternicită de operator, de la o persoană împuternicită de operator către o altă persoană împuternicită de operator) (154).

(108)

În ceea ce privește regulile corporatiste obligatorii (BCR), ANPD clarifică în capitolul VI din Regulamentul privind transferurile de date modul în care poate fi utilizat acest mecanism, precum și cerințele privind valabilitatea regulilor respective. ANPD reamintește, în special, „caracterul obligatoriu” al instrumentului pentru toți „membrii grupului sau ai conglomeratului” care se bazează pe acesta, cerințele privind drepturile persoanelor vizate și exercitarea lor, normele aplicabile privind responsabilitatea (155), precum și toate informațiile obligatorii pe care trebuie să le includă BCR (156). BCR sunt supuse aprobării prealabile a ANPD conform unui proces definit în capitolul VIII din Regulamentul privind transferurile de date, care impune societăților să depună documentația completă la ANPD și implică un proces de revizuire din partea ANPD (157). Societățile au, de asemenea, obligația de a comunica cu ANPD orice aspecte care ar putea afecta respectarea LGPD, inclusiv atunci când membrii grupului sunt supuși unor obligații străine (158). Toate BCR aprobate vor fi publicate pe pagina web a ANPD, iar societățile au obligația de a informa în mod transparent cu privire la transferul internațional efectuat (159).

(109)

De asemenea, ANPD poate desemna entități de certificare care să elaboreze sigilii, certificări sau coduri de conduită pentru transferurile de date (160). Deciziile și activitățile efectuate de aceste entități de certificare pot fi revizuite de ANPD, care poate revizui și revoca deciziile, în cazul nerespectării LGPD (161).

(110)

În sfârșit, LGPD prevede o listă de „situații specifice” în care un transfer internațional poate fi efectuat atunci când: (1) este necesar pentru cooperarea judiciară internațională între agențiile publice, în conformitate cu dreptul internațional; (2) este necesar pentru a proteja viața sau siguranța fizică a persoanei vizate sau a unei părți terțe; (3) este autorizat de ANPD; (4) este legat de un angajament în cadrul cooperării internaționale; (5) este necesar pentru punerea în aplicare a unei politici publice sau a unei obligații legale a unei autorități publice; (6) persoanele vizate și-au dat consimțământul pentru respectivul transfer de date, pe baza unor informații prealabile cu privire la natura prelucrării sau (7) atunci când este necesar pentru respectarea unei obligații legale sau de reglementare în legătură cu executarea unui contract sau pentru exercitarea drepturilor în cadrul procedurilor judiciare, administrative sau de arbitraj (162). Astfel cum se indică în Regulamentul privind transferurile de date, transferurile internaționale pot fi efectuate în cadrul acestor scenarii doar dacă „sunt respectate particularitățile cazului respectiv și cerințele legale aplicabile” (163).

(111)

În ceea ce privește situația specifică în care transferul de date poate fi efectuat pe baza consimțământului persoanelor vizate, aceasta impune (1) ca criteriile formale pentru obținerea unui consimțământ valabil (și anume, ca acesta să fie specific, acordat în mod liber, explicit, în cunoștință de cauză) să fie îndeplinite; (2) ca persoanele vizate să fie informate cu privire la natura transferului înainte ca acesta să fie efectuat (de exemplu, informații cu privire la jurisdicția transferului avut în vedere și la nivelul de protecție pe care îl garantează; informații cu privire la absența unei decizii privind caracterul adecvat al nivelului de protecție sau a altor mecanisme de transfer de date; informații privind durata transferurilor); și (3) ca pentru fiecare transfer să se obțină consimțământul în mod specific și separat de orice altă prelucrare. Astfel cum se indică în considerentul 46, acordul tacit nu poate fi considerat consimțământ valabil, iar persoanele vizate au dreptul de a-și retrage consimțământul în orice moment.

(112)

Regulamentul privind transferurile de date încadrează strict utilizările tuturor acestor mecanisme pe baza mai multor condiții. Aceasta include, în special, furnizarea de „informații clare, precise și ușor accesibile cu privire la transfer” persoanei vizate, precum și garantarea și capacitatea de a demonstra faptul că transferurile internaționale sunt efectuate într-un mod care asigură respectarea principiilor și a drepturilor persoanei vizate și nu modifică nivelul de protecție prevăzut în LGPD, indiferent de țara în care se află datele cu caracter personal care fac obiectul transferului, chiar și după încheierea prelucrării și în cazul transferurilor ulterioare (164). Aceste cerințe se aplică, de asemenea, atunci când se efectuează transferuri pe baza unor „situații specifice”, pentru a asigura continuitatea protecției, indiferent de instrumentul utilizat pentru efectuarea unui transfer internațional.

(113)

Prin urmare, normele descrise în considerentele 96-112 din prezenta decizie asigură continuitatea protecției atunci când datele cu caracter personal sunt transferate ulterior din Brazilia într-un mod care este echivalent în esență cu ceea ce se prevede în Regulamentul (UE) 2016/679.

(114)

Conform principiului responsabilității, entităților care prelucrează date li se solicită să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a-și respecta în mod efectiv obligațiile în materie de protecție a datelor și pentru a putea demonstra această conformitate, în special autorității de supraveghere competente.

(115)

Articolul 6 punctul (IX) din LGPD stabilește principiul responsabilității, potrivit căruia operatorul și persoana împuternicită de operator trebuie să adopte măsuri „eficiente și capabile” să demonstreze conformitatea cu LGPD.

(116)

Ca mijloc de asigurare a responsabilității, articolul 50 din LGPD prevede că operatorii și persoanele împuternicite de operatori pot adopta norme interne și modele de guvernanță, în special pentru a asigura bune practici în ceea ce privește tratarea plângerilor și a petițiilor din partea persoanelor vizate, respectarea obligațiilor în materie de securitate și a tuturor celorlalte obligații prevăzute în LGPD (denumite în continuare „bune practici și guvernanță”). Aceste programe ar trebui să includă și planuri de activități educaționale, mecanisme de supraveghere internă și reducerea riscurilor.

(117)

LGPD prevede, de asemenea, cerința de a numi un responsabil cu protecția datelor (RPD), care are un rol semnificativ în conceperea și punerea în aplicare a acestor programe interne. Conform articolului 5 punctul VIII, RPD servește drept legătură între operator, persoanele vizate și ANPD. Articolul 41 din LGPD mandatează toți operatorii să numească un RPD și ca identitatea acestuia să fie făcută publică.

(118)

LGPD a împuternicit ANPD să introducă o exceptare de la obligația operatorilor și a persoanelor împuternicite de operatori de a numi un RPD (165). În Regulamentul său privind aplicarea LGPD în cazul întreprinderilor mici și mijlocii (IMM-uri), ANPD a stabilit că anumite întreprinderi mici, IMM-uri, start-upuri și organizații nonprofit pot intra sub incidența acestei exceptări (166). Mai precis, domeniul de aplicare al exceptării cuprinde următoarele entități: „microîntreprinderile, întreprinderile mici, start-upurile, entitățile juridice de drept privat, inclusiv organizațiile nonprofit, în conformitate cu legislația în vigoare, precum și persoanele fizice și entitățile private fără personalitate juridică ce prelucrează date cu caracter personal” (167). Conform dreptului brazilian, microîntreprinderile (168), întreprinderile mici (169) sau start-upurile (170) sunt societăți care au un singur angajat sau un număr mic de angajați (171) și care se încadrează scad sub un anumit venit brut anual (172).

(119)

Exceptarea de la desemnarea unui RPD nu s-ar aplica niciuneia dintre aceste societăți și entități, indiferent de dimensiunea sau veniturile sale, care efectuează o prelucrare „cu risc ridicat” a datelor cu caracter personal (173). O prelucrare va fi considerată ca prezentând un grad ridicat de risc dacă se încadrează, cumulativ, în cel puțin una dintre următoarele caracteristici generale: (1) prelucrare de date cu caracter personal la scară largă și (2) prelucrare de date care pot avea un impact semnificativ asupra drepturilor fundamentale și intereselor persoanelor vizate și în cel puțin una dintre următoarele caracteristici specifice: (1) utilizarea tehnologiilor emergente sau inovatoare; (2) supravegherea sau controlul zonelor accesibile publicului; (3) exclusiv procese decizionale automatizate și (4) prelucrare de date sensibile sau de date care aparțin copiilor sau vârstnicilor (174). O prelucrare „la scară largă” a datelor cu caracter personal este definită ca o prelucrare care „implică un număr semnificativ de persoane vizate, ținând seama și de volumul de date implicate, precum și de durata, frecvența și întinderea geografică a prelucrării efectuate” (175). O „prelucrare de date care poate avea un impact semnificativ asupra drepturilor fundamentale și intereselor persoanelor vizate” este definită ca reprezentând, „printre alte situații, cele în care activitatea de prelucrare poate împiedica exercitarea drepturilor sau utilizarea unui serviciu și poate cauza prejudicii materiale sau morale persoanelor vizate, cum ar fi discriminarea, încălcarea integrității fizice, dreptul la imagine și reputație, frauda financiară sau furtul de identitate” (176).

(120)

ANPD a adoptat un regulament obligatoriu privind rolul RPD, care clarifică și mai mult atribuțiile acestuia (177). În acest regulament, ANPD reamintește obligațiile entităților private și ale autorităților publice de a publica informații privind identitatea RPD (178). Articolul 10 din Regulamentul privind RPD reamintește obligația operatorilor și a persoanelor împuternicite de operatori de a se asigura, printre altele, că RPD își poate îndeplini sarcinile în mod independent, „fără interferențe nejustificate, în special în ceea ce privește furnizarea de orientări cu privire la practicile care trebuie să fie adoptate în legătură cu protecția datelor cu caracter personal” și că RPD are acces direct la cel mai înalt nivel de conducere și la toți angajații implicați în decizii strategice pentru prelucrarea de date în cadrul unei entități. În mod similar, RPD trebuie să își îndeplinească atribuțiile și sarcinile cu „etică, integritate și independență tehnică, evitând situațiile care pot constitui un conflict de interese” (179).

(121)

Rolul RPD a constituit o prioritate a măsurilor de asigurare a respectării legislației întreprinse de ANPD. De exemplu, prima sancțiune aplicată vreodată de ANPD a vizat o societate care a fost amendată și a primit un avertisment specific pentru că nu a reușit să demonstreze că a numit un RPD (180). Entitatea a hotărât să numească un RPD în cursul procedurii administrative pentru a se conforma ordinului ANPD. De atunci, ANPD a continuat să aplice sancțiuni entităților publice și private în legătură cu dispozițiile privind RPD instituite în temeiul LGPD (181).

(122)

Evaluarea impactului asupra protecției datelor (EIPD) reprezintă un alt instrument important de asigurare a responsabilității. EIPD permite evaluarea și determinarea impactului unei prelucrări. Conform articolului 38 din LGPD, ANPD poate solicita unui operator sau unei persoane împuternicite de operator să realizeze o EIPD (182), care trebuie să includă o descriere a tipului de prelucrare a datelor cu caracter personal, precum și măsuri, garanții și mecanisme de atenuare a riscurilor. În plus, secțiunea II din LGPD stabilește dispoziții privind responsabilitatea care împuternicesc ANPD să solicite publicarea EIPD sau să recomande adoptarea de „bune practici” pentru protecția datelor cu caracter personal de către autoritățile publice (183).

(123)

Având în vedere cerințele și practicile în materie de responsabilitate descrise în considerentele 114-122 din prezenta decizie, cadrul brazilian pune în aplicare principiul responsabilității într-un mod similar cu măsurile prevăzute în capitolul 4 secțiunile 3 și 4 din Regulamentul (UE) 2016/679, inclusiv prin prevederea unor mecanisme diferite pentru a asigura și a demonstra conformitatea cu LGPD.

(124)

Pentru a asigura în practică un nivel adecvat de protecție a datelor, ar trebui instituită o autoritate de supraveghere independentă, care să aibă competența de a monitoriza și de a asigura respectarea normelor privind protecția datelor. Această autoritate ar trebui să acționeze cu deplină independență și imparțialitate în îndeplinirea atribuțiilor sale și în exercitarea competențelor sale.

(125)

În Brazilia, autoritatea de supraveghere independentă responsabilă cu monitorizarea și asigurarea respectării LGPD este Agência Nacional de Proteção de Dados – ANPD.

(126)

ANPD a fost creată prin articolul 55-A din LGPD și a devenit un organism independent mai întâi printr-un decret provizoriu și apoi printr-o lege în 2022 (184). Adoptarea legii care transformă natura ANPD a inclus și modificări ale LGPD, pentru a revoca dispozițiile care subordonau funcționarea și operațiunile financiare ale ANPD unor autorizații care ar fi trebuit să fie acordate de executiv conform Legii bugetului a Braziliei (185). Dispoziția modificată din LGPD recunoaște ANPD drept o „autoritate specială, cu autonomie tehnică și decizională, cu active proprii și cu sediul în Districtul Federal” (186).

(127)

În calitate de „autoritate cu caracter special”, ANPD are autonomia de a-și îndeplini pe deplin funcțiile juridice și competențele stabilite în temeiul LGPD, inclusiv gestionarea administrativă a agenției (187). Aceasta include și autonomia de a-și gestiona cheltuielile și angajările (188). ANPD a fost creată inițial ca „autoritate” înainte de a deveni „agenție” în septembrie 2025, aliniindu-și denumirea la alte 11 entități de reglementare care se bucură de acest grad ridicat de independență în Brazilia (de exemplu, Agenția Națională pentru Energie Electrică, Agenția Națională pentru Telecomunicații etc.) (189).

(128)

Resursele ANPD provin în mare parte din bugetul general al statului federal brazilian. În plus, bugetul ANPD poate include donații, subvenții sau alte credite, astfel cum se prevede la articolul 55-L din LGPD. De la crearea sa în 2021, ANPD a crescut exponențial. Rapoartele anuale ale ANPD indică faptul că autoritatea avea 141 de angajați/funcționari publici la sfârșitul anului 2023, după doar patru ani de existență (190). Bugetul anual al ANPD pentru 2025 este de 18 milioane R$ (191). În septembrie 2025, în Brazilia a fost anunțată crearea unei noi cariere în domeniul „protecției datelor”, cu 200 de posturi, ca parte a unui proces de creștere a forței de muncă a ANPD în anii următori (192).

(129)

ANPD este compusă dintr-un Consiliu de administrație (care este cel mai înalt organ de conducere), un Consiliu național pentru protecția datelor cu caracter personal și a vieții private (care are competențe consultative) și mai multe birouri și unități administrative (193). Această structură este stabilită la articolul 55-C din LGPD și detaliată în două decrete adoptate în 2020 și, respectiv, în 2023 (194).

(130)

Consiliul de administrație este format din cinci administratori, printre care și președintele Autorității. Fiecare membru al Consiliului de administrație al ANPD este numit pentru un mandat de cinci ani de către Președintele Braziliei, după aprobarea Senatului Federal (195).

(131)

Administratorii trebuie să fie brazilieni și să aibă un nivel înalt de studii relevant pentru acest post (196). Pentru asigurarea independenței acestora, toți administratorii trebuie să se abțină, printre altele, de la orice activitate comercială cu scop lucrativ, de la activități politice și de la deținerea unor funcții de conducere sau de consilier în cadrul unor societăți (197). În plus, legea braziliană care reglementează exercitarea funcțiilor de conducere în cadrul administrației publice federale stabilește că persoanelor care dețin funcții echivalente cu cele ale administratorilor ANPD li se interzice, printre alte restricții, să desfășoare activități incompatibile cu atribuțiile lor (198). Aceasta include activarea în calitate de consultanți sau intermediari de interese private (chiar și în mod informal) sau furnizarea de servicii unor entități care fac obiectul supravegherii sau reglementării ANPD, chiar și ocazional. În plus, la finalul mandatului lor în cadrul ANPD și timp de șase luni după aceea, administratorilor li se interzice să exercite anumite funcții care pot crea un risc de conflict de interese (199).

(132)

Administratorii pot fi revocați numai în circumstanțe specifice definite la articolul 55-E din LGPD, și anume „în caz de demisie, condamnare judiciară definitivă și fără drept de apel sau sancțiune de concediere ca urmare a unei proceduri administrative disciplinare”. Legea federală privind funcția publică stabilește că o astfel de sancțiune trebuie să fie justificată și poate fi propusă numai în cazul unor infracțiuni specifice demonstrate (și anume abateri grave, corupție, utilizarea ilegală a fondurilor publice) (200). Aceste norme și proceduri oferă administratorilor ANPD protecție instituțională în exercitarea funcțiilor lor. Până în prezent, niciun administrator al ANPD nu a fost revocat și nu a făcut obiectul unor proceduri disciplinare. Consiliul de administrație al ANPD era instituit și a rămas neschimbat în cursul schimbării administrației din Brazilia, care a avut loc în 2023.

(133)

Sarcinile și competențele ANPD sunt detaliate la articolul 55-J din LGPD. În special, acestea includ, printre altele, elaborarea de politici și orientări privind protecția datelor, promovarea adoptării de standarde care să faciliteze controlul persoanelor vizate asupra datelor lor cu caracter personal, investigarea încălcărilor drepturilor individuale, tratarea plângerilor, asigurarea respectării LGPD și aplicarea de sancțiuni, asigurarea educației și promovării în domeniul protecției datelor, precum și schimbul și cooperarea cu autoritățile de protecție a datelor din țări terțe (201).

(134)

ANPD are un organ consultativ format din Consiliul național pentru protecția datelor cu caracter personal și a vieții private, instituit prin articolul 58-A din LGPD. Acest organism este alcătuit din reprezentanți ai executivului, ai legislativului și ai sistemului judiciar, precum și din reprezentanți ai societății civile, ai sindicatelor și ai mediului de afaceri (202). Acesta are un rol pur consultativ, care constă în elaborarea de studii sau rapoarte anuale privind protecția datelor, organizarea de dezbateri publice și audieri privind protecția datelor cu caracter personal și a vieții private, propunerea de recomandări fără caracter obligatoriu adresate ANPD și diseminarea de cunoștințe privind protecția datelor cu caracter personal și a vieții private (203). Cooperarea dintre ANPD și Consiliul Național se axează pe promovarea protecției datelor și a vieții private în Brazilia. Consiliul Național nu are competențe în ceea ce privește monitorizarea și punerea în aplicare a LGPD, întrucât numai ANPD are autoritatea de a supraveghea punerea în aplicare a legii și de a asigura respectarea acesteia, de exemplu, prin emiterea de reglementări, efectuarea de investigații și aplicarea de sancțiuni. În calitate de autoritate independentă, ANPD nu are obligația de a da curs eventualelor sugestii formulate de Consiliul Național prin intermediul rapoartelor sau recomandărilor sale cu caracter neobligatoriu.

(135)

Pentru a asigura respectarea normelor, legiuitorul a acordat ANPD atât competențe de investigare, cât și de aplicare a legii, variind de la avertismente la amenzi administrative.

(136)

În ceea ce privește competențele de investigare, dacă se suspectează sau a fost raportată o încălcare a LGPD sau dacă acest lucru este necesar pentru protejarea drepturilor persoanelor vizate care au fost/este probabil să fie încălcate, ANPD poate efectua în orice moment audituri și inspecții la fața locului la operatori din sectorul public și din cel privat și poate solicita orice informații necesare (204). În special, Regulamentul obligatoriu privind competențele de sancționare ale ANPD stabilește că operatorii și persoanele împuternicite de operatori trebuie să permită ANPD „accesul la birouri/clădiri, echipamente, aplicații, instalații, sisteme, instrumente și resurse tehnologice, documente, date și informații tehnice, operaționale și de altă natură relevante pentru evaluarea activităților de prelucrare a datelor cu caracter personal, aflate în posesia acestora sau în posesia unor terți” (205).

(137)

În cadrul competențelor sale corective, ANPD poate aplica avertismente, amenzi sau alte sancțiuni, de exemplu ordine de încetare temporară a unei prelucrări de date sau de ștergere a unor date cu caracter personal (206). Aceste sancțiuni pot fi impuse entităților publice sau private, cu excepția amenzilor și a amenzilor zilnice, care nu pot fi impuse entităților publice (207). Pentru a determina o entitate să se conformeze legii, se pot aplica mai multe sancțiuni cumulative. Prin intermediul unui avertisment, ANPD ar acorda unui operator o anumită perioadă în vederea adoptării de măsuri corective pentru a asigura conformitatea prelucrării cu LGPD (208). Neadoptarea unor astfel de măsuri ar duce la aplicarea unor sancțiuni suplimentare. De exemplu, ANPD a emis mai multe avertismente către Ministerul Sănătății pentru că nu a furnizat o evaluare a impactului asupra protecției datelor și nu a notificat o încălcare a securității datelor, printre altele (209). ANPD poate impune mai multe sancțiuni coroborate pentru a proteja drepturile persoanelor vizate sau pentru a asigura respectarea LGPD. De exemplu, ANPD poate aplica o amendă administrativă pentru o încălcare a LGPD, împreună cu un ordin de ștergere a datelor legate de această încălcare (210). De asemenea, ANPD poate decide, în cazul sancțiunilor nemonetare, să aplice „amenzi zilnice”„atunci când acest lucru este necesar pentru a asigura respectarea (LGPD) într-un anumit termen” (211). Amenda zilnică se aplică cumulativ, ținând seama de intervalul de timp dintre momentul aplicării amenzii și cel al îndeplinirii obligației, și poate ajunge până la 50 de milioane R$ (212).

(138)

Conform articolului 52 punctul II din LGPD, ANPD poate aplica amenzi administrative, pe lângă amenzile zilnice, de până la 2 % din veniturile unei entități din Brazilia, putând ajunge până la o sumă maximă de 50 de milioane R$ (213). Amenzile pot fi cumulate în cazul unor încălcări multiple. ANPD a aplicat primele amenzi monetare la câteva luni de la adoptarea Regulamentului său privind sancțiunile, împotriva unei societăți de telecomunicații care nu a identificat temeiul juridic al unei prelucrări și nu a numit un responsabil cu protecția datelor. Societatea respectivă a primit un avertisment și două amenzi în valoare totală de 14 400 R$ (214). În Regulamentul obligatoriu privind sancțiunile, ANPD a clasificat sancțiunile în trei niveluri de gravitate: ușoare, medii și grave (215), în funcție de un factor stabilit, cum ar fi tipul și volumul datelor prelucrate, tipul de prelucrare sau impactul asupra drepturilor persoanelor vizate. De exemplu, încălcările în ceea ce privește prelucrarea datelor sensibile cu caracter personal fac obiectul celui mai ridicat nivel de sancțiuni pe care îl poate aplica ANPD (216).

(139)

Regulamentul privind sancțiunile prevede o metodologie pentru calcularea amenzilor, inclusiv pentru a lua în considerare factorii agravanți și/sau atenuanți (217). De exemplu, o amendă poate fi majorată cu 10 % în cazul unor încălcări specifice repetate sau chiar cu 90 % pentru fiecare măsură corectivă care nu a fost respectată până la termenul stabilit (218). În mod similar, o amendă poate fi redusă cu 50 % dacă încălcarea este remediată imediat după inițierea procedurii administrative de către ANPD (219).

(140)

Prin urmare, sistemul brazilian combină diverse tipuri de sancțiuni, de la măsuri corective până la amenzi administrative. Imediat după intrarea în vigoare a competențelor sale de sancționare, ANPD a început să facă uz de acestea (220). Până în prezent, au fost emise sancțiuni și recomandări atât împotriva autorităților publice, inclusiv în domeniul securității, cât și împotriva operatorilor privați (221). Sancțiunile aplicate de ANPD până în prezent vizează o gamă largă de aspecte, inclusiv lipsa numirii unui RPD, incidente de securitate, inclusiv încălcări ale securității datelor, sau lipsa cooperării cu ANPD. Pe lângă aplicarea de amenzi monetare, ANPD a fost deosebit de activă în utilizarea întregii game de competențe corective de care dispune pentru a emite, de exemplu, ordine către operatori de a efectua o EIPD sau de a înceta prelucrarea datelor cu caracter personal. De exemplu, în iulie 2024, ANPD a emis un ordin adresat unei mari platforme de comunicare socială de a suspenda prelucrarea datelor cu caracter personal pentru antrenarea sistemelor de inteligență artificială (IA) generativă în toate produsele sale (222). Împreună cu această măsură preventivă, menită să protejeze drepturile fundamentale ale persoanelor vizate, ANPD a aplicat o amendă zilnică în valoare de 50 000 R$ până când prelucrarea a fost efectuată în conformitate cu LGPD (223). În cele din urmă, ANPD a anunțat deschiderea de investigații împotriva mai multor mari platforme tehnologice multinaționale, a unor societăți care gestionează platforme de comunicare socială și a unei bănci, continuând în același timp și investigațiile împotriva entităților din sectorul public (224). În puținii săi ani de existență, ANPD a demonstrat o activitate solidă de aplicare a legii, utilizând întreaga gamă a competențelor sale de aplicare a legii.

(141)

În cele din urmă, sancțiunile administrative instituite în temeiul LGPD nu înlocuiesc aplicarea altor sancțiuni administrative sau de altă natură civile și penale, inclusiv a celor prevăzute în Codul privind protecția consumatorilor (225) și în Cadrul civil pentru internet (226) ale Braziliei. În special, Codul privind protecția consumatorilor al Braziliei impune societăților să furnizeze consumatorilor informații cu privire la afacerile și activitățile lor (227). De asemenea, articolul 56 din Codul privind protecția consumatorilor enumeră sancțiunile cu care riscă să se confrunte societățile în caz de neconformitate, care variază de la amenzi la interdicția de a vinde sau de a fabrica un produs sau la obligația de a suspenda un serviciu. În plus, articolele 61-74 din Codul privind protecția consumatorilor enumeră infracțiunile pentru care societățile pot fi sancționate cu închisoare de la șase luni la doi ani, inclusiv în cazuri de afirmații false sau înșelătoare în legătură cu un serviciu sau de promovare a unui serviciu care poate cauza prejudicii consumatorului. De exemplu, în 2014, Departamentul pentru apărarea și protecția consumatorilor din Brazilia a amendat o societate de telecomunicații cu 3,5 milioane R$ pentru încălcarea Codului privind protecția consumatorilor și a Cadrului civil pentru internet în legătură cu utilizarea urmăririi pentru publicitatea comportamentală online și vânzarea de date de navigare (228).

(142)

Din cele de mai sus rezultă că sistemul brazilian asigură o aplicare eficientă în practică a normelor sale de protecție a datelor.

(143)

Pentru a se asigura o protecție adecvată și, în special, respectarea drepturilor individuale, persoanei vizate ar trebui să i se ofere căi de atac administrative și judiciare efective, inclusiv despăgubiri pentru prejudiciile suferite.

(144)

Sistemul brazilian le oferă persoanelor fizice diverse mecanisme pentru a-și exercita în mod efectiv drepturile și pentru a obține reparații.

(145)

Într-o primă etapă, persoanele care consideră că le-au fost încălcate drepturile sau interesele în materie de protecție a datelor sau care vor să își exercite drepturile în materie de protecția datelor pot apela la operatorul relevant. Conform articolului 9 din LGPD, operatorul trebuie să furnizeze, printre altele, datele de contact necesare pentru a permite depunerea cererilor și a „memoriilor” persoanelor vizate (229).

(146)

În plus, în temeiul LGPD și al sistemului juridic brazilian, mai multe căi de atac sunt la dispoziția persoanelor fizice care consideră că drepturile sau interesele lor în materie de protecție a datelor au fost încălcate de operator sau de persoana împuternicită de operator.

(147)

În primul rând, orice persoană care consideră că drepturile sau interesele sale în materie de protecție a datelor au fost încălcate de operator sau de persoana împuternicită de operator poate depune o plângere sau poate raporta încălcarea respectivă la ANPD (230). ANPD are pe site-ul său o pagină dedicată pentru a permite persoanelor vizate să depună o plângere în cazul încălcării LGPD sau o petiție în cazul unor probleme legate de o cerere adresată unui operator cu privire la drepturile lor în materie de protecție a datelor (231). Astfel cum se explică în considerentul 138 din prezenta decizie, ca răspuns la o plângere, ANPD poate impune o sancțiune prevăzută la articolul 52 din LGPD. Regulamentul privind competențele de sancționare ale ANPD a stabilit procedura administrativă pentru procedurile sale, inclusiv termenele, procedurile care guvernează dreptul de a fi audiat și publicarea deciziei (232).

(148)

Deciziile ANPD pot fi contestate de persoanele vizate prin depunerea unei contestații la Consiliul de administrație al ANPD în termen de 10 zile de la primirea deciziilor (233). Ca parte a dreptului lor la o cale de atac eficientă, persoanele fizice pot, de asemenea, să conteste deciziile Consiliului în instanță, precum și să introducă orice cale de atac împotriva ANPD pentru nerespectarea obligațiilor care îi revin în temeiul LGPD (inclusiv refuzul de a trata o plângere sau respingerea pe fond a unei plângeri) (234).

(149)

În al doilea rând, ANPD poate încuraja „concilierea directă” (medierea) între persoanele vizate și operatori, pentru a acorda prioritate soluționării problemelor și „despăgubirii pentru prejudicii de către operator” (235). Aceste procese nu împiedică persoanele vizate să depună plângeri sau să acceseze alte căi de atac.

(150)

În al treilea rând, în ceea ce privește prejudiciile, articolul 42 din LGPD stabilește obligația operatorului sau a persoanei împuternicite de operator de a repara „prejudiciile materiale sau morale, individuale sau colective aduse altor persoane” care rezultă din prelucrarea datelor cu caracter personal. Persoanele vizate pot introduce o acțiune în justiție, în mod individual sau colectiv, pentru a solicita reparații și despăgubiri pentru aceste prejudicii (236). LGPD stabilește că un judecător are puterea discreționară de a „inversa sarcina probei în favoarea persoanei vizate”, în special în cazurile în care „prezentarea probelor de către persoana vizată ar fi excesiv de împovărătoare” (237).

(151)

În al patrulea rând, atunci când o încălcare a drepturilor persoanelor vizate intră sub incidența legislației privind protecția consumatorilor și a relației cu consumatorii, protecția acordată în acest domeniu se aplică și poate fi invocată în instanță (238).

(152)

În al cincilea rând, Curtea Supremă Federală a Braziliei a recunoscut că persoanele fizice au dreptul de a solicita o ordonanță președințială pentru încălcarea drepturilor lor prevăzute de Constituție, inclusiv dreptul la protecția datelor cu caracter personal (239). În acest context, o instanță poate, de exemplu, să oblige operatorii să suspende sau să înceteze orice activitate ilegală. În plus, drepturile în materie de protecție a datelor, inclusiv drepturile protejate de LGPD, pot fi puse în aplicare prin acțiuni civile. Articolul 22 din LGPD permite în mod explicit ca apărarea drepturilor persoanelor vizate să fie exercitată în instanță și, mai general, ca persoanele fizice să poată introduce în instanță o acțiune privind protecția datelor, în mod individual sau colectiv.

(153)

Prin urmare, sistemul brazilian oferă diverse căi de a obține reparații, de la opțiuni ușor accesibile și necostisitoare (de exemplu, plângeri adresate ANPD) până la căi judiciare, care includ posibilitatea de a obține despăgubiri pentru prejudicii sau de a introduce acțiuni colective în despăgubire.

(154)

Comisia a evaluat, de asemenea, limitările și garanțiile, inclusiv mecanismele de supraveghere și mecanismele individuale de obținere de reparații prevăzute în dreptul brazilian cu privire la colectarea și utilizarea ulterioară, din motive de interes public, de către autoritățile publice din Brazilia a datelor cu caracter personal transferate operatorilor și persoanelor împuternicite de operatori din Brazilia, în special în scopul asigurării respectării dreptului penal și în scopuri legate de securitatea națională (denumit în continuare „accesul autorităților”).

(155)

Pentru a evalua dacă condițiile în care accesul autorităților la datele transferate către Brazilia în temeiul prezentei decizii îndeplinesc criteriul „echivalenței în esență” prevăzut la articolul 45 alineatul (1) din Regulamentul (UE) 2016/679, astfel cum a fost interpretat de Curtea de Justiție a Uniunii Europene în lumina Cartei drepturilor fundamentale, Comisia a luat în considerare în special următoarele criterii.

(156)

În primul rând, orice restrângere a dreptului la protecția datelor cu caracter personal trebuie să fie prevăzută de lege, iar temeiul juridic care permite ingerința în acest drept trebuie să definească el însuși întinderea restrângerii exercitării dreptului vizat (240).

(157)

În al doilea rând, pentru a îndeplini cerința proporționalității potrivit căreia derogările de la protecția datelor cu caracter personal și restrângerile acesteia trebuie să fie efectuate în limitele strictului necesar într-o societate democratică pentru a îndeplini obiective specifice de interes general echivalente cu cele recunoscute de Uniune, legislația țării terțe în cauză care permite o ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurilor respective și să impună o serie de cerințe minime, astfel încât persoanele ale căror date au fost transferate să dispună de garanții suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz (241). Legislația trebuie în special să indice în ce împrejurări și în ce condiții poate fi luată o măsură care prevede prelucrarea unor asemenea date (242), precum și să supună îndeplinirea acestor cerințe unei supravegheri independente (243).

(158)

În al treilea rând, legislația respectivă și cerințele sale trebuie să fie obligatorii din punct de vedere juridic în temeiul dreptului intern. Acest lucru se referă în primul rând la autoritățile din țara terță în cauză, dar aceste cerințe legale trebuie să fie, de asemenea, opozabile autorităților respective în fața instanțelor judecătorești (244). În special, persoanele vizate trebuie să dispună de posibilitatea de a exercita căi legale în fața unei instanțe judecătorești independente și imparțiale pentru a avea acces la date cu caracter personal care le privesc sau pentru a obține rectificarea sau ștergerea unor astfel de date (245).

(159)

Limitările și garanțiile care se aplică colectării și utilizării ulterioare a datelor cu caracter personal de către autoritățile publice braziliene decurg din cadrul constituțional general, din legile specifice care reglementează activitățile acestora în domeniul asigurării respectării dreptului penal și al securității naționale, precum și din normele care se aplică în mod specific prelucrării datelor cu caracter personal.

(160)

În primul rând, accesul autorităților publice braziliene la datele cu caracter personal este guvernat de principiul general al legalității – din care derivă principiul caracterului rezonabil, al necesității și al proporționalității – consacrat în Constituția Braziliei (246). În special, conform articolului 5 din Constituție, drepturile și libertățile fundamentale (inclusiv dreptul la viață privată și la protecția datelor) pot fi restricționate numai prin lege și atunci când acest lucru este necesar din imperative de securitate națională, siguranță publică sau alte scopuri specifice de interes public prevăzute de lege. Astfel de restricții trebuie să fie rezonabile și proporționale (247). În special, evaluarea scopului de interes public este esențială pentru aprecierea proporționalității ingerinței, în lumina principiului legalității. În plus, articolul 5 punctul LIV din Constituție stabilește că „nimeni nu poate fi privat de libertate sau de bunurile sale fără respectarea garanțiilor procedurale”.

(161)

În al doilea rând, ordinea juridică braziliană garantează Habeas Data drept cale de atac constituțională menită să protejeze dreptul de acces, rectificare și ștergere a datelor cu caracter personal deținute de autoritățile publice sau incluse în seturile de date sau registrele publice (248). Aceasta servește drept garanție împotriva utilizării abuzive sau a încălcării vieții private în legătură cu prelucrarea datelor de către entitățile publice. Orice persoană poate introduce o plângere sau o cerere pe baza Habeas Data, indiferent de cetățenia sa (249).

(162)

În al treilea rând, principiile generale și drepturile menționate în considerentele 155-158 sunt reflectate și în legile specifice care reglementează competențele autorităților de aplicare a legii și ale autorităților din domeniul securității naționale. De exemplu, Cadrul civil pentru internet prevede măsuri care necesită un ordin judiciar prealabil pentru accesul la date și limitarea accesului la datele din mediul online (250). În mod similar, Legea privind interceptarea telefonică stabilește măsuri și garanții specifice pentru prelucrarea datelor de telecomunicații (251). În domeniul securității naționale, Legea de instituire a sistemului brazilian de informații prevede măsuri pentru accesul legal la date în scopuri de securitate națională (252).

(163)

În al patrulea rând, prelucrarea datelor cu caracter personal de către autoritățile publice, inclusiv în scopul aplicării legii și al securității naționale, face obiectul cerințelor privind protecția datelor prevăzute de LGPD. Astfel cum se arată în considerentul 31 din prezenta decizie, exceptarea privind aplicarea LGPD în domeniul siguranței publice, al apărării naționale, al securității statului și al investigării și urmăririi penale a infracțiunilor prevăzută în LGPD este parțială. Curtea Supremă Federală a interpretat aplicabilitatea LGPD în lumina protecției constituționale a datelor cu caracter personal și a stabilit că principiile, drepturile și obiectivele principale ale LGPD se aplică tuturor prelucrărilor de date cu caracter personal efectuate de autoritățile publice, inclusiv atunci când sunt efectuate în scopul asigurării respectării dreptului penal sau în scopuri de securitate națională (253). Pe această bază, de exemplu, ANPD a efectuat investigații și a emis orientări, precum o notă tehnică adresată autorităților publice pentru activități legate de siguranța publică, în care a reamintit că prelucrarea în aceste scopuri de interes public trebuie să respecte principiile generale și drepturile prevăzute de LGPD (254).

(164)

În cele din urmă, persoanele fizice își pot invoca drepturile și libertățile constituționale în fața Curții Supreme Federale în cazul în care consideră că acestea au fost încălcate de autoritățile publice în exercitarea competențelor lor. Persoanele fizice pot, de asemenea, să solicite reparații, în legătură cu drepturile lor în materie de protecție a datelor, în fața organismelor independente de supraveghere (de exemplu, ANPD) și a instanțelor, astfel cum se detaliază în considerentele 143-153 din prezenta decizie.

(165)

Legislația Braziliei impune o serie de limitări privind accesul la datele cu caracter personal și utilizarea acestora în scopul aplicării dreptului penal și prevede mecanisme de supraveghere și de obținere de reparații care sunt în concordanță cu cerințele menționate în considerentele 155-158 din prezenta decizie. Condițiile în care pot fi accesate datele și garanțiile aplicabile utilizării acestor competențe sunt evaluate în detaliu în secțiunile următoare.

(166)

Ca regulă generală, accesul autorităților publice la datele cu caracter personal în scopul aplicării dreptului penal are loc pe baza unui ordin judiciar prealabil emis de o autoritate judiciară competentă (255). Ca excepție de la această regulă, este posibil ca, în cazurile prevăzute în mod expres de lege, organele de poliție și de urmărire penală să aibă acces la datele persoanelor supuse investigațiilor care sunt incluse într-un registru public, și anume la datele referitoare la calificarea, afilierea și adresa personală (256). Lista exhaustivă a registrelor accesibile, prevăzută de lege, acoperă informațiile cetățenilor brazilieni sau ale persoanelor fizice care își au reședința în Brazilia și nu ar acoperi accesul la datele transferate din UE, neintrând astfel în domeniul de aplicare al prezentei decizii (257). Accesul la aceste registre este reglementat de principiul constituțional al legalității – din care derivă principiile caracterului rezonabil, necesității și proporționalității – și poate face obiectul unui control jurisdicțional ex post, astfel cum se explică în considerentele 159-161.

(167)

Autoritățile din Brazilia care au dreptul de a accesa și colecta date cu caracter personal în scopuri legate de infracțiuni, prin intermediul unui ordin judiciar prealabil, sunt: (1) Poliția Civilă; (2) Poliția Federală; (3) Parchetul de Stat; (4) Parchetul Federal; (5) judecătorii și instanțele și (6) comisiile parlamentare de anchetă.

(168)

Conform articolului 3-B din Codul penal, judecătorul „însărcinat cu controlul legalității investigației penale și cu apărarea drepturilor individuale” poate emite un ordin judiciar pentru a autoriza: (1) interceptarea telefonică a comunicațiilor efectuate prin sisteme informatice și sisteme conectate sau prin alte forme de comunicare; (2) eliminarea confidențialității fiscale, bancare, a datelor și a convorbirilor telefonice; (3) percheziția și punerea sub sechestru la domiciliu și (4) accesul la informații secrete și (5) „alte măsuri pentru obținerea de probe care restrâng drepturile fundamentale ale persoanei care face obiectul investigației” (258).

(169)

Confidențialitatea corespondenței și a comunicațiilor electronice și telefonice este considerată un drept fundamental în cadrul juridic brazilian (259).

(170)

Autoritățile publice pot accesa aceste date numai în cazuri excepționale în scopul investigațiilor penale sau al urmăririi penale. Interceptarea comunicațiilor trebuie să fie întotdeauna o măsură subsidiară și excepțională, care este permisă numai atunci când nu există alte mijloace de soluționare a unui anumit caz, astfel cum a stabilit Curtea Supremă Federală (260). Modalitățile de interceptare a comunicațiilor online și telefonice sunt reglementate de Legea privind interceptarea telefonică (261).

(171)

Articolul 2 din Legea privind interceptarea telefonică a stabilit condiții stricte care permit accesul la comunicații. Orice interceptare a comunicațiilor necesită o autorizație judiciară prealabilă. Trebuie prezentată o cerere valabilă de interceptare unui judecător de către autoritățile publice autorizate, care pot fi (1) autoritatea polițienească relevantă, în contextul unei investigații penale sau (2) reprezentantul Parchetului, în contextul unei investigații penale și al urmăririi penale (262). Interceptarea comunicațiilor telefonice nu trebuie să fie autorizată în niciuna dintre următoarele circumstanțe, reflectând cerințele privind necesitatea și proporționalitatea: (1) dacă nu există dovezi rezonabile privind calitatea de autor sau participarea la o infracțiune; (2) dacă dovezile pot fi furnizate prin alte mijloace disponibile; (3) dacă fapta investigată constituie o infracțiune pasibilă de o pedeapsă privativă de libertate (263).

(172)

În plus, Legea privind interceptarea telefonică prevede că cererea de interceptare trebuie să explice necesitatea măsurii (264). Autorizația judiciară prealabilă trebuie să fie motivată și să ia în considerare proporționalitatea mijloacelor utilizate pentru efectuarea interceptării (265). Judecătorul poate autoriza accesul la conținutul comunicațiilor pentru maximum 15 zile. Această perioadă poate fi prelungită printr-o nouă hotărâre judecătorească după ce caracterul indispensabil al măsurii este dovedit (266). Orice interceptare a comunicațiilor, inclusiv monitorizarea ambientală, efectuată fără o autorizație judiciară sau în scopuri neautorizate de lege constituie o infracțiune care se pedepsește cu până la patru ani de închisoare (267).

(173)

Ca regulă generală, datele accesate și colectate în scopuri infracționale potrivit Legii privind interceptarea telefonică vor fi păstrate pe durata prelucrării și apoi șterse după ce nu mai sunt necesare pentru proceduri judiciare, în conformitate cu orientările obligatorii ale sistemului judiciar (268). În plus, articolul 9 din Legea privind interceptarea telefonică stabilește că, atunci când conținutul colectat nu are legătură cu chestiunea investigată în cazul respectiv, datele vor fi declarate „inutilizabile” (269).

(174)

În ceea ce privește metadatele privind telecomunicațiile, articolul 17 din Legea privind organizațiile criminale și investigațiile penale impune companiilor de telefonie să păstreze timp de cinci ani informațiile privind contul de utilizator al persoanelor fizice care își au reședința în Brazilia și registrele cu apelurile telefonice (exclusiv numerele de telefon) (270). Accesul la acest registru administrat de ANATEL (agenția de reglementare a telecomunicațiilor din Brazilia) este limitat la anumite entități publice și necesită o autorizație judiciară, astfel cum se descrie mai sus.

(175)

În ceea ce privește informațiile disponibile online, articolul 7 din Cadrul civil pentru internet garantează, de asemenea, „inviolabilitatea și confidențialitatea fluxului de comunicații pe internet”, cu excepția cazului în care există o hotărâre judecătorească, în conformitate cu legea și „inviolabilitatea și confidențialitatea comunicațiilor private stocate, cu excepția cazului în care există o hotărâre judecătorească” (271).

(176)

Conform articolului 10 din Cadrul civil pentru internet, accesul la conținutul comunicațiilor online și la datele de conectare (inclusiv la metadate) poate avea loc numai printr-un ordin judiciar prealabil. Conform articolului 22 din Cadrul civil pentru internet, cererea de emitere a unui ordin judiciar trebuie să includă: [punctul (i)] dovada întemeiată a săvârșirii infracțiunii; [punctul (ii)] justificarea motivată a utilității înregistrărilor solicitate pentru investigație sau al administrării de probe și [punctul (iii)] stabilirea perioadei la care se referă înregistrările. În plus, articolul 13 impune furnizorilor de servicii de internet sau de aplicații să păstreze jurnalele de conectare timp de un an „într-un mediu controlat și securizat” (272). Nu există o obligație similară de păstrare a datelor în ceea ce privește conținutul comunicațiilor online. Accesul la înregistrările păstrate ale jurnalelor de conectare poate fi acordat unei autorități competente numai pe baza unei autorizații judiciare, în condițiile descrise în prezentul considerent (273).

(177)

Articolul 11 din Cadrul civil pentru internet reamintește că orice operațiune care implică colectarea, stocarea, păstrarea sau orice altă prelucrare a jurnalelor de conectare, a datelor cu caracter personal sau a comunicațiilor de către furnizorii de conexiuni și de aplicații de internet din Brazilia trebuie să respecte „legislația braziliană și dreptul la viață privată, la protecția datelor cu caracter personal și la confidențialitatea comunicațiilor și a înregistrărilor private”. Din garanțiile reflectate în considerentele 175-177 rezultă că, în general, colectarea și păstrarea în masă a datelor privind comunicațiile prin internet nu sunt autorizate în Brazilia.

(178)

În Brazilia există o protecție constituțională pentru confidențialitatea corespondenței comunicațiilor electronice (inclusiv a datelor) și a comunicațiilor telefonice (274). LGPD oferă o protecția suplimentară pentru utilizarea datelor și a informațiilor de comunicare (275), în timp ce Legea privind confidențialitatea instituțiilor financiare protejează confidențialitatea informațiilor fiscale și bancare (276).

(179)

Autoritățile publice pot accesa aceste informații numai în cazuri excepționale, în scopul investigațiilor penale sau al urmăririi penale. Interceptarea comunicațiilor trebuie să fie întotdeauna o măsură subsidiară și excepțională, care este permisă numai atunci când nu există alte mijloace de soluționare a unui anumit caz, astfel cum a stabilit Curtea Supremă Federală (277).

(180)

Criteriile și garanțiile pentru accesul la date și comunicații sunt stabilite în Cadrul civil pentru internet și în Legea privind interceptarea telefonică și sunt detaliate în considerentele 169-177 din prezenta decizie.

(181)

În ceea ce privește datele fiscale și bancare, articolul 1 din Legea privind confidențialitatea instituțiilor financiare stabilește condițiile pentru eliminarea obligațiilor generale de garantare a confidențialității acestor informații. În primul rând, confidențialitatea poate fi eliminată numai printr-o autorizație judiciară (278). În al doilea rând, măsurile pot fi autorizate numai pentru investigații penale sau pentru urmărirea penală a unor infracțiuni identificate: (1) terorism; (2) trafic ilicit de stupefiante sau de droguri similare; (3) contrabandă sau trafic de arme, muniții sau materiale destinate producerii acestora; (4) șantaj prin răpire; (5) infracțiuni împotriva sistemului financiar național; (6) infracțiuni împotriva administrației publice; (7) infracțiuni împotriva sistemului fiscal și a securității sociale; (8) spălare de bani sau disimulare de bunuri și (9) asociere cu o organizație criminală (279). În plus, articolul 10 din lege prevede că protejarea confidențialității datelor fiscale și bancare nu poate fi eliminată în niciun alt scop, iar nerespectarea acestei limitări constituie o infracțiune pasibilă de o pedeapsă cu închisoarea de până la patru ani (280).

(182)

Ca regulă generală, Constituția federală prevede că perchezițiile și punerile sub sechestru pot avea loc numai în circumstanțe excepționale definite strict sau astfel cum sunt prevăzute de lege și pe baza unui ordin judiciar emis de o autoritate judiciară competentă și cu respectarea garanțiilor procedurale (281). Perchezițiile și punerile sub sechestru trebuie să respecte principiul legalității și să fie efectuate în măsura în care este necesar.

(183)

În următoarele circumstanțe excepționale, perchezițiile și punerile sub sechestru pot avea loc fără un ordin judiciar: (1) în caz de flagrante delicto (adică dacă se comite o infracțiune în prezența autorităților de aplicare a legii); (2) în caz de dezastru natural (pentru a salva vieți sau bunuri) sau (3) pentru a oferi asistență unei persoane care nu își poate da consimțământul și care necesită ajutor (282). Jurisprudența Curții Supreme Federale a Braziliei a precizat că autoritățile de aplicare a legii nu pot invoca „sesizări anonime” sau „comportamente suspecte” ca motiv pentru a efectua percheziții sau puneri sub sechestru fără mandat, deoarece acest lucru nu respectă cerința de legalitate și nu oferă autorităților o justificare valabilă pentru a încălca inviolabilitatea domiciliului (283).

(184)

În ceea ce privește garanțiile procedurale, în conformitate cu principiile constituționale ale Braziliei, nu poate avea loc o percheziție a unui dispozitiv electronic fără să existe o suspiciune rezonabilă că în dispozitivul respectiv este stocată o infracțiune și, ca regulă generală, fără un ordin judiciar (284). În plus, o persoană nu poate fi obligată să predea date dacă respectiva predare i-ar putea încălca drepturile constituționale, de exemplu dreptul de a nu se autoincrimina (285). Atunci când transmite instanței o cerere de emitere a unui ordin de percheziție, autoritatea de aplicare a dreptului penal trebuie să precizeze faptele și probele relevante care susțin necesitatea de a accesa sistemul informatic și datele, utilizând credențiale de acces obținute în mod legal (286). În cazul în care instanța emite ordinul de percheziție, autoritățile vor utiliza credențialele de acces pentru a accesa sistemul informatic și datele din acesta, în conformitate cu termenele și condițiile specificate în ordin. După încheierea percheziției sau a accesului, autoritățile competente trebuie să transmită instanței un raport care să descrie rezultatele percheziției sau ale accesului și să furnizeze o listă cu datele sau informațiile obținute.

(185)

Articolul 4 din Legea privind accesul la informații (denumită în continuare „LAI”) definește „informațiile confidențiale” ca fiind informațiile care „fac temporar obiectul unor restricții privind accesul public ca urmare a caracterului lor esențial pentru securitatea societății și a statului” (287). Datele cu caracter personal pot face parte din domeniul de aplicare al informațiilor confidențiale, astfel cum este definit în teza anterioară.

(186)

Articolul 6 din LAI impune entităților publice să protejeze informațiile confidențiale și să restricționeze accesul la acestea. În ceea ce privește accesul la comunicații, date, informații bancare și fiscale, accesul la informații confidențiale pentru investigații și urmăriri penale poate avea loc numai pe baza unei autorizații judiciare, în cazuri excepționale, și este permis numai atunci când nu există alte mijloace de soluționare a unui anumit caz, conform celor stabilite de Curtea Supremă Federală și de lege (288).

(187)

„Alte măsuri pentru obținerea de probe care restrâng drepturile fundamentale ale persoanei care face obiectul investigației” se referă, de exemplu, la posibilitatea de a dispune detenția preventivă sau de a pune o persoană sub supraveghere fizică. Aceste măsuri nu sunt relevante, în principiu, în contextul transferului de date pe baza unei decizii privind caracterul adecvat al nivelului de protecție.

(188)

Din motive de exhaustivitate, astfel de măsuri, propuse de o autoritate publică, pot fi întreprinse numai pe baza unei autorizații judiciare. Măsurile propuse trebuie să respecte principiul legalității prevăzut în Constituție, să fie dispuse în cazuri excepționale și atunci când nu poate fi utilizată nicio alternativă, conform celor stabilite de Curtea Supremă Federală.

(189)

În ceea ce privește utilizarea ulterioară a datelor cu caracter personal într-un alt scop de către o autoritate publică, articolul 9 din Legea privind interceptarea telefonică prevede că, atunci când conținutul colectat nu are legătură cu chestiunea investigată în cadrul unei anumite investigații, datele vor fi declarate „inutilizabile”. Articolul 13 din Cadrul civil pentru internet limitează, de asemenea, păstrarea datelor de conectare în registru la maximum un an. Articolul 10 din Legea privind confidențialitatea instituțiilor financiare limitează, de asemenea, scopurile pentru care poate fi eliminată confidențialitatea datelor fiscale și bancare (289). În practică, aceste măsuri limitează posibilitatea unei utilizări ulterioare a informațiilor.

(190)

În plus, și mai important, Curtea Supremă Federală a statuat că LGPD se aplică schimbului de date cu caracter personal între organismele publice, inclusiv atunci când acestea sunt partajate între autoritățile de aplicare a legii și serviciile de informații (290). În special, Curtea a reamintit că „schimbul de date cu caracter personal între organismele și entitățile administrației publice presupune: (1) definirea unui scop legitim, specific și explicit pentru prelucrarea datelor; (2) compatibilitatea prelucrării cu scopurile comunicate; (3) limitarea partajării la minimul necesar pentru îndeplinirea scopului comunicat, precum și respectarea deplină a cerințelor, a garanțiilor și a procedurilor prevăzute în LGPD, în măsura în care acest lucru este compatibil cu sectorul public”. Curtea a adăugat că „prelucrarea datelor cu caracter personal efectuată de organisme publice cu încălcarea parametrilor juridici și constituționali va atrage răspunderea civilă a statului pentru prejudiciile suferite de persoane”, în conformitate cu articolul 42 din LGPD.

(191)

În ceea ce privește schimbul de date cu caracter personal între autoritățile de aplicare a dreptului penal din Brazilia și autorități similare din țări terțe, aceste activități sunt reglementate de instrumente de drept internațional, în conformitate cu LGPD. În acest sens, articolul 33 alineatul III din LGPD prevede că transferurile internaționale de date pot avea loc atunci când „sunt necesare pentru cooperarea judiciară internațională între organismele publice de informații, de investigare și de urmărire penală, în conformitate cu instrumentele juridice internaționale”. În Brazilia, Ministerul Justiției și Securității Publice are rol de autoritate centrală pentru cooperarea judiciară internațională în materie penală. Ministerul este responsabil de primirea, analizarea, transmiterea și monitorizarea punerii în aplicare a cererilor de cooperare internațională cu autoritățile străine, în conformitate cu normele aplicabile ale dreptului internațional și ale LGPD. Prelucrarea datelor cu caracter personal necesare pentru cooperarea judiciară internațională este supusă principiilor următoare: limitarea scopului [articolul 6 punctul (I) din LGPD], legalitatea și echitatea prelucrării (articolele 6 și 7 din LGPD), reducerea la minimum a datelor și exactitatea datelor [articolul 6 punctele (III) și (V) din LGPD], transparența [articolul 6 punctul (VI) din LGPD], securitatea datelor [articolul 6 punctul (VII) din LGPD] și limitarea stocării [articolul 6 punctele (I), (III), (IV) și articolul 16 din LGPD]. Posibila divulgare a datelor cu caracter personal către părți terțe (inclusiv țări terțe) poate avea loc numai în conformitate cu aceste principii, după evaluarea conformității cu principiile constituționale ale necesității și proporționalității și după asigurarea continuității protecției și a respectării drepturilor persoanelor vizate (articolul 2 din Regulamentul privind transferurile de date).

(192)

Prin urmare, competențele autorităților de aplicare a dreptului penal din Brazilia de a colecta și accesa date sunt limitate de norme clare și precise prevăzute de lege și fac obiectul unui set de garanții. Aceste garanții includ, în special, supravegherea garantată a punerii în aplicare a măsurilor, inclusiv prin autorizația judiciară prealabilă și prin garanții care limitează durata accesului și păstrarea informațiilor în conformitate cu principiul necesității și al proporționalității.

(193)

În Brazilia, activitățile autorităților de aplicare a dreptului penal sunt supravegheate de diferite organisme.

(194)

În primul rând, astfel cum a confirmat Curtea Supremă Federală, ANPD este împuternicită să supravegheze prelucrarea datelor cu caracter personal efectuată de autoritățile de aplicare a dreptului penal conform anumitor cerințe prevăzute în LGPD (291). În acest context, ANPD poate exercita competențele de investigare și corective de care dispune în temeiul LGPD. De exemplu, ANPD a investigat activitățile Poliției Federale, ale Ministerului Justiției și Securității Publice și ale altor organisme publice care desfășoară activități federale, de stat sau de securitate locală sau care au responsabilități în materie de asigurare a respectării legii (292). Investigațiile pot fi efectuate de către ANPD din proprie inițiativă sau în urma unor cereri și plângeri, care pot fi depuse, de exemplu, de persoane fizice, de organizații ale societății civile și de autorități publice. De exemplu, ANPD a efectuat mai multe investigații privind utilizarea camerelor video în urma unor solicitări venite din partea societății civile (293).

(195)

În al doilea rând, activitățile autorităților de aplicare a dreptului penal sunt supravegheate de sistemul judiciar. Instanțele au competența de a autoriza colectarea datelor cu caracter personal și accesul la acestea, în circumstanțele menționate mai sus în considerentele 165-187. În plus, instanțele au competența de a impune sancțiuni civile și penale în caz de abuz sau de nerespectare a legislației în vigoare, printre aceste sancțiuni numărându-se măsurile privative de libertate sau ordinele de încetare a anumitor activități.

(196)

În al treilea rând, Parchetul, o instituție independentă și permanentă în Brazilia, responsabilă cu apărarea ordinii juridice și a sistemului democratic, are competența de a exercita un control extern asupra activităților polițienești (294). Astfel cum se prevede în Rezoluția privind Parchetul, controlul extern al activităților polițienești are ca scop menținerea „regularității și a adecvării procedurilor utilizate în desfășurarea activităților polițienești”, în special în ceea ce privește „respectarea drepturilor fundamentale garantate de Constituția și legile federale” (295). În această calitate, Parchetul poate, printre altele, să efectueze vizite la fața locului, programate sau în orice moment, să examineze investigațiile, să supravegheze confiscarea bunurilor și să monitorizeze respectarea mandatelor (296). Orice încălcare a legii se raportează instanței. Ca parte a rolurilor sale, Parchetul a fost implicat în investigarea și urmărirea penală a cazurilor de violență polițienească, abuz de putere și încălcări ale drepturilor omului. În plus, Parchetul are un rol în supravegherea protecției datelor prin inițierea sau participarea la acțiuni în justiție pe baza protecției constituționale și prin promovarea drepturilor în materie de protecție a datelor alături de ANPD. De exemplu, Parchetul și-a prezentat în fața Curții Supreme Federale argumentul care a sprijinit decizia istorică de recunoaștere a protecției datelor ca drept fundamental în Brazilia (297). Un registru al acțiunilor Parchetului cu privire la LGPD este, de asemenea, disponibil pe pagina sa web (298).

(197)

Sistemul brazilian oferă diferite căi judiciare și administrative pentru a obține reparații, inclusiv despăgubiri pentru prejudicii. Aceste mecanisme le oferă persoanelor vizate căi de atac administrative și judiciare efective care le permit în special să își exercite drepturile, inclusiv dreptul de a avea acces la datele lor cu caracter personal sau de a obține rectificarea sau ștergerea acestor date.

(198)

În primul rând, persoanele fizice pot solicita reparații în instanță, inclusiv pentru prejudicii. Constituția federală și Codul de procedură civilă oferă temeiurile juridice pentru solicitarea de despăgubiri pentru prejudicii morale sau materiale cauzate de autoritatea publică ce a colectat sau a utilizat în mod ilegal date în scopuri infracționale (299). În special, Constituția menționează în mod expres că dreptul la viață privată implică un „drept la despăgubire” pentru prejudiciile materiale sau morale care rezultă din încălcarea acestuia (300). Hotărârile instanțelor pot fi atacate la Curtea Supremă Federală și, ulterior, la Curtea Interamericană a Drepturilor Omului. În 2009, Brazilia a fost obligată de Curtea Interamericană a Drepturilor Omului să despăgubească lucrătorii din cooperativele agricole ca urmare a unor operațiuni necorespunzătoare de interceptare telefonică desfășurate în statul Paraná în 1999 cu încălcarea Legii privind interceptarea telefonică și a Convenției americane a drepturilor omului (301).

(199)

În al doilea rând, persoanele fizice, indiferent de cetățenia lor, se pot prevala de protecția instituită prin conceptul de Habeas Data pentru a obține în continuare accesul la datele lor deținute de autoritățile publice și pentru a le rectifica (302). Pe această bază, persoanele fizice pot, de asemenea, să introducă acțiuni în instanță, inclusiv o „acțiune directă de neconstituționalitate” (Ação Direta de Inconstitucionalidade – „ADI”) la Curtea Supremă Federală. Hotărârea de referință din 2020 a STF, care pregătește terenul pentru recunoașterea de către Brazilia a protecției datelor ca drept fundamental, a fost inițiată de ADI introduse pe baza principiului Habeas Data (303). Parchetul a fost, de asemenea, implicat în acest caz, sprijinind poziția persoanelor fizice și a societății civile care au introdus acțiunea. Cauza respectivă a contestat un ordin executiv care viza schimbul de date cu caracter personal a peste 200 de milioane de abonați ai serviciilor de telecomunicații cu Institutul de Geografie și Statistică din Brazilia în timpul pandemiei de COVID-19 (304). STF a constatat că ordinul executiv încalcă drepturile fundamentale la viață privată și la confidențialitatea comunicațiilor protejate de Constituție (305). Ordinul executiv a fost suspendat, iar STF a statuat că protecția datelor ar trebui să fie considerată și protejată ca un drept fundamental, în mod similar cu dreptul la viață privată (306). La momentul adoptării hotărârii, LGPD nu era încă în vigoare. Prin urmare, completul de judecată a recurs la dreptul comparat, în special la jurisprudența Curții Constituționale Federale din Germania și la articolul 8 din Carta drepturilor fundamentale a Uniunii Europene, pentru a-și susține interpretarea privind neconstituționalitatea ordinului executiv respectiv, precum și pentru a fundamenta o interpretare a drepturilor fundamentale la demnitate și viață privată garantate în Constituție și recunoașterea Habeas Data ca instrument de protejare a dreptului la autodeterminare informațională (307).

(200)

În al treilea rând, persoanele fizice pot solicita reparații pe lângă ANPD pentru încălcări ale LGPD în temeiul articolului 55-J punctul (V) și în condițiile detaliate în considerentele 146 și 149 din prezenta decizie. Persoanele fizice își pot exercita, de asemenea, drepturile în materie de protecție a datelor stabilite în temeiul LGPD față de autoritățile publice (308).

(201)

Mecanismele de obținere de reparații descrise în considerentele 197-200 din prezenta decizie oferă persoanelor vizate căi de atac administrative și judiciare efective, care le permit în special să își exercite drepturile, inclusiv dreptul la protecția datelor în legătură cu astfel de date.

(202)

Legislația Braziliei conține o serie de limitări și garanții în ceea ce privește accesul la datele cu caracter personal și utilizarea acestora în scopuri legate de securitatea națională și prevede mecanisme de supraveghere și de obținere de reparații care sunt în concordanță cu cerințele menționate în considerentele (156)-(158) din prezenta decizie. Condițiile în care pot fi accesate datele și garanțiile aplicabile utilizării acestor competențe sunt evaluate în detaliu în secțiunile următoare.

(203)

În Brazilia, datele cu caracter personal pot fi accesate în scopuri legate de securitatea națională ca parte a activităților de informații în temeiul Legii de instituire a sistemului brazilian de informații (SISBIN) (309). Articolul 1 din această lege prevede, ca regulă generală, că sistemul brazilian de informații „trebuie să respecte și să păstreze drepturile și garanțiile individuale și alte dispoziții ale Constituției federale, ale tratatelor, convențiilor, acordurilor și angajamentelor internaționale la care Republica Federativă a Braziliei este parte sau semnatară” (310). Aceasta include și garantarea principiului necesității și al proporționalității, precum și a dreptului la protecția datelor (311). Activitățile pe care trebuie să le desfășoare sistemul brazilian de informații sunt descrise mai detaliat în decretele obligatorii (312).

(204)

Conform articolului 4 din Legea de instituire a sistemului brazilian de informații, entitățile care fac parte din SISBIN pot obține și analiza anumite date în scopuri legate de securitatea națională („Segurança Pública”). Conceptul de securitate națională este reglementat de o lege din 2021 care a modificat Codul penal (313) și care a revocat Legea Braziliei privind securitatea națională (314). Legea din 2021 prevedea o listă exhaustivă a „infracțiunilor” împotriva securității naționale care definește această noțiune. Infracțiunile respective sunt: (1) infracțiuni împotriva „suveranității naționale” (care includ actele de război, invadarea țării, tentativa de a prelua o parte din teritoriul național pentru a forma o altă țară, divulgarea de informații clasificate unor guverne străine sau organizații criminale străine care ar putea pune în pericol ordinea constituțională a suveranității naționale, precum și facilitarea sau falsificarea accesului persoanelor neautorizate la sistemele de informații) (315); (2) infracțiuni împotriva „instituțiilor democratice” (care includ tentativa violentă de a înlătura statul de drept prin împiedicarea exercitării sau limitarea puterilor constituționale și lovitura de stat) (316); (3) infracțiuni împotriva „funcționării instituțiilor democratice în timpul procesului electoral” (care acoperă întreruperea procesului electoral și limitarea sau împiedicarea prin violență a capacității persoanelor de a-și exercita drepturile politice) (317); și (4) infracțiuni împotriva funcționării serviciilor esențiale (care includ sabotarea mijloacelor de comunicații publice sau a instalațiilor de apărare, cu scopul de a înlătura statul de drept) (318). Articolul 359-T din lege precizează că exercitarea libertății de exprimare, a drepturilor și puterilor constituționale, desfășurarea activității jurnalistice, inclusiv „prin marșuri, reuniuni, greve, adunări sau orice altă formă de demonstrație politică în scopuri sociale” nu pot fi considerate infracțiuni (319). Politica națională de informații a Braziliei (PIN) a stabilit o serie de obiective-cheie pentru serviciile de informații pe care autoritățile trebuie să le ia în considerare, cum ar fi prevenirea „sabotajului” sau a „spionajului” (320). Ca „document de orientare la nivel înalt”, această politică nu extinde însă lista infracțiunilor legate de conceptul de securitate națională și nici nu modifică definiția acestuia (321).

(205)

Datele care pot fi accesate și analizate pentru a preveni infracțiunile împotriva securității naționale enumerate mai sus se referă la informațiile la care autoritățile publice care fac parte din SISBIN au acces în contextul operațiunilor lor și în conformitate cu condițiile descrise în considerentele 165-187 din prezenta decizie (și anume pe baza unei autorizații judiciare emise pentru un scop clar definit). Datele partajate cu SISBIN sunt prelucrate prin intermediul unui sistem electronic criptat securizat cu jurnale de acces pentru a asigura trasabilitatea și posibilitatea auditării informațiilor (322). Astfel cum a clarificat Curtea Supremă Federală, schimbul de date cu SISBIN este supus principiilor LGPD, inclusiv principiului limitării scopului [articolul 6 punctul (I) din LGPD], al reducerii la minimum a datelor și al exactității datelor [articolul 6 punctele (III) și (V) din LGPD], al transparenței [articolul 6 punctul (VI) din LGPD], al securității datelor [articolul 6 punctul (VII) din LGPD] și al limitării stocării [articolul 6 punctele (I), (III), (IV) și articolul 16 din LGPD] (323).

(206)

Articolul 2 din Legea de instituire a sistemului brazilian de informații precizează că din acest sistem fac parte numai autorități publice. SISBIN este alcătuit din Agenția Braziliană de Informații (ABIN) și din reprezentanți ai centrelor, ai ministerelor, ai secretariatelor și ai agențiilor administrației publice federale din domeniul informațiilor. Lista autorităților care sunt membre ale SISBIN este prevăzută într-un decret privind organizarea și funcționarea sistemului (324).

(207)

ABIN este organismul central al sistemului de informații și este responsabil cu planificarea, executarea, coordonarea, supravegherea și monitorizarea activităților de informații. Aceste activități trebuie să se desfășoare prin mijloace și tehnici confidențiale, bazate pe informații. Pentru a-și îndeplini sarcinile, ABIN primește informații și date specifice de la diferitele autorități publice care fac parte din SISBIN în legătură cu securitatea națională. Autoritățile care fac parte din SISBIN sunt obligate să furnizeze aceste informații (325), deoarece legea nu autorizează ABIN să colecteze informații pe cont propriu. Legalitatea obligației de partajare de date a membrilor SISBIN a fost contestată în fața Curții Supreme Federale (326). În hotărârea sa din 2021, STF a precizat că datele pe care autoritățile publice le partajează cu ABIN trebuie să respecte scopurile stricte de interes public (de exemplu, apărarea instituțiilor publice și interesul național) și a reamintit că scopul specific și legitim al fiecărei activități de partajare de date este definit printr-o procedură oficială supusă unei autorizații judiciare și reglementată prin aceasta (327). Aceste limitări se aplică și oricărui schimb ulterior de date între autoritățile publice (328).

(208)

În cele din urmă, prelucrarea de date efectuată prin intermediul SISBIN trebuie să protejeze informațiile împotriva accesului unor persoane sau organisme neautorizate. Articolul 5 din Decretul privind funcționarea SISBIN prevede în mod explicit că coordonarea și schimbul de date între autoritățile membre ale sistemului trebuie să respecte „legislația privind secretul profesional și securitatea, protecția datelor cu caracter personal și securitatea informațiilor și a cunoștințelor”, care include LGPD ca principală legislație pentru protecția datelor cu caracter personal din Brazilia (329). În plus, articolul 6 din decret precizează că schimbul de informații între autoritățile din SISBIN trebuie să respecte „principiul securității juridice, al necesității, al interesului public” și să aibă un scop legitim (330). De asemenea, SISBIN recunoaște importanța respectării LGPD în materialele sale publice și în procedurile sale interne (331).

(209)

Prin urmare, competențele autorităților care prelucrează date în scopuri legate de securitatea națională în Brazilia sunt limitate de norme clare și precise prevăzute de lege și fac obiectul unui set de garanții. Aceste garanții includ, în special, supravegherea garantată a executării măsurilor respective, inclusiv prin autorizația judiciară prealabilă, precum și garanții care limitează accesul la informații în conformitate cu principiul necesității și al proporționalității.

(210)

Prelucrarea datelor cu caracter personal colectate de autoritățile braziliene în scopuri de securitate națională este supusă principiilor următoare: limitarea scopului [articolul 6 punctul (I) din LGPD], legalitatea și echitatea prelucrării (articolele 6 și 7 din LGPD), reducerea la minimum a datelor și exactitatea datelor [articolul 6 punctele (III) și (V) din LGPD], transparența [articolul 6 punctul (VI) din LGPD], securitatea datelor [articolul 6 punctul (VII) din LGPD] și limitarea stocării [articolul 6 punctele (I), (III), (IV) și articolul 16 din LGPD].

(211)

Posibila divulgare a datelor cu caracter personal către părți terțe (inclusiv țări terțe și prin acorduri internaționale) poate avea loc numai în conformitate cu principiile LGPD, după evaluarea conformității cu principiul constituțional al necesității și cel al proporționalității și după asigurarea continuității protecției și a respectării drepturilor persoanelor vizate (articolul 2 din Regulamentul privind transferurile de date).

(212)

Activitățile autorităților naționale braziliene din domeniul securității sunt supravegheate de diferite organisme. Decretul privind Strategia națională în materie de informații a Braziliei subliniază importanța existenței mai multor niveluri de mecanisme de supraveghere pentru protejarea „statului de drept democratic” (332). Curtea Supremă Federală a reamintit importanța acestei supravegheri într-o cauză referitoare la prelucrarea datelor în cadrul SISBIN, afirmând că „eficacitatea activităților de informații este adesea legată de caracterul secret al procesului și al informațiilor colectate. În statul de drept democratic, această funcție este supusă controlului extern exercitate de putere legislativă și de cea judecătorească, pentru a evalua dacă secretul impus este adecvat scopurilor publice stricte cărora li se adresează” (333).

(213)

În primul rând, există un control din partea executivului, care se asigură că obiectivele care trebuie atinse de sistemul de informații, precum și politicile care urmează să fie puse în aplicare și planurile formulate răspund în mod adecvat cerințelor societății. Executivul are, de asemenea, responsabilitatea de a se asigura că cheltuielile serviciilor de informații sunt efectuate în mod rațional și exclusiv pentru acțiuni legitime, necesare și utile pentru stat. În contextul brazilian, acest control este exercitat de Camera pentru relații externe și apărare națională a Consiliului Guvernului, care este responsabilă de supravegherea punerii în aplicare a Poliției Naționale de Informații, și de Biroul de securitate instituțională, care este responsabil de coordonarea activității serviciilor federale de informații (334).

(214)

În al doilea rând, legislativul exercită un control în ceea ce privește activitățile de informații. Scopul acestui control este de a verifica atât legitimitatea, cât și eficacitatea activității de informații. Liderii partidelor majoritare și minoritare din Camera Deputaților și din Senatul Federal, precum și președinții comisiilor pentru relații externe și apărare națională ale Camerei Deputaților și Senatului Federal fac parte din organismul de supraveghere externă a activităților de informații denumit Comisia mixtă pentru controlul activităților de informații („Comissão mista de Controle da Atividade de Inteligência – CCAI”) (335). Controlul legislativului asupra activităților de informații a fost stabilit în 1999 prin Legea de instituire a sistemului brazilian de informații, iar rolul și competențele de supraveghere ale CCAI au fost consolidate semnificativ în 2013 odată cu adoptarea unei rezoluții obligatorii a Congresului (336). Această rezoluție a abordat deficiențele identificate anterior în ceea ce privește continuarea instituționalizării CCAI, dotând-o cu o structură permanentă și un secretariat permanent, aducând claritate în ceea ce privește competențele și sporind transparența activităților sale. Rolul, activitățile și competențele CCAI sunt detaliate în prezenta rezoluție și în lege. CCAI monitorizează și controlează activitățile de informații desfășurate de organismele administrației publice federale, în special de organismele care fac parte din SISBIN, pentru a se asigura că activitățile se desfășoară în conformitate cu Constituția și pentru a proteja drepturile și garanțiile persoanelor, ale societății și ale statului (337). CCAI poate efectua o examinare post hoc, dar și audituri și controale ale operațiunilor în curs (338). Membrii CCAI dețin cel mai înalt nivel de autorizare pentru accesul la documente. CCAI întocmește rapoarte anuale privind activitățile sale, fără a include informații care ar putea periclita securitatea națională (339). Astfel cum se detaliază în considerentul 222 din prezenta decizie, CCAI poate, de asemenea, să primească și să investigheze plângeri din partea cetățenilor.

(215)

În al treilea rând, ANPD supraveghează conformitate autorităților naționale din domeniul securității în ceea ce privește prelucrarea datelor cu caracter personal, în parametrii definiți de LGPD. LGPD se aplică parțial prelucrării datelor cu caracter personal efectuate în scopuri legate de siguranța publică, de apărarea națională, de securitatea statului sau de activități de investigare și urmărire penală a infracțiunilor (340). În acest context, ANPD poate exercita competențele de investigare și corective de care dispune în temeiul LGPD. ANPD poate, de exemplu, să efectueze audituri în orice moment la toate autoritățile publice, inclusiv la serviciul de informații (341).

(216)

În cele din urmă, sistemul judiciar va soluționa acțiunile introduse de cetățeni împotriva autorităților publice și, în acest context, poate supraveghea activitățile desfășurate în scopuri legate de securitatea națională pentru a asigura respectarea tuturor drepturilor constituționale și a cadrului legislativ relevant, inclusiv a LGPD. Hotărârile instanțelor pot fi atacate la Curtea Supremă Federală și, ulterior, la Curtea Interamericană a Drepturilor Omului.

(217)

Sistemul brazilian oferă diferite căi judiciare și administrative pentru a obține reparații, inclusiv despăgubiri pentru prejudicii. Aceste mecanisme le oferă persoanelor vizate căi de atac administrative și judiciare efective care le permit în special să își exercite drepturile, inclusiv dreptul de a avea acces la datele lor cu caracter personal sau de a obține rectificarea sau ștergerea acestor date.

(218)

Astfel cum se detaliază în considerentul 9 din prezenta decizie, accesul la reparații este garantat atât pentru resortisanții brazilieni, cât și pentru resortisanții țărilor terțe, indiferent dacă aceștia se află sau nu pe teritoriul național.

(219)

În primul rând, persoanele fizice au un drept „absolut” de a introduce o acțiune în justiție în ceea ce privește protecția drepturilor lor. Conform normelor generale stabilite în Codul de procedură civilă, pentru a introduce o acțiune în instanță, o persoană nu trebuie să demonstreze un prejudiciu (adică nu este necesar să demonstreze că ar fi fost supusă supravegherii sau că datele sale au fost prelucrate în scopuri legate de securitatea națională). Persoana respectivă își poate exercita drepturile în temeiul Habeas Data în legătură cu datele prelucrate de autoritățile din domeniul informațiilor (342).

(220)

Atunci când solicită reparații în instanță, persoanele fizice pot solicita despăgubiri. La fel ca în cazul prelucrării în scopul aplicării dreptului penal, Constituția federală și Codul de procedură civilă oferă temeiurile juridice pentru solicitarea de despăgubiri pentru prejudiciile morale sau materiale cauzate de autoritatea publică ce a colectat sau a utilizat în mod ilegal date, inclusiv prin acțiuni colective (343).

(221)

În al doilea rând, Curtea Supremă Federală a confirmat aplicarea parțială a LGPD în scopuri legate de securitatea națională și, prin extensie, competențele ANPD de a soluționa plângeri referitoare la prelucrarea datelor cu caracter personal de către autoritățile publice în scopuri legate de securitatea națională (344). În aceeași hotărâre, Curtea a arătat că „prelucrarea datelor cu caracter personal efectuată de organisme publice cu încălcarea parametrilor juridici și constituționali va impune răspunderea civilă a statului pentru prejudiciile suferite de cetățeni”, în conformitate cu articolul 42 din LGPD (345).

(222)

În al treilea rând, CCAI poate primi și investiga plângeri depuse de orice cetățean, partid politic sau asociație cu privire la încălcări ale drepturilor fundamentale și ale garanțiilor comise de organisme și entități publice care desfășoară activități de informații și contrainformații (346). Pe această bază, CCAI poate efectua controale sau investigații. Prin urmare, CCAI oferă o cale de atac administrativă suplimentară în cazul încălcării drepturilor legate de prelucrarea datelor în scopuri legate de securitatea națională. Plângerile primite de CCAI pot fi transmise apoi instanțelor.

(223)

Diferitele căi de atac judiciare disponibile în cadrul regimului brazilian permit persoanelor fizice să obțină reparații. Mai precis, persoanele fizice pot contesta legalitatea acțiunilor autorităților publice și ale serviciilor de informații. În plus, acestea pot obține despăgubiri pentru prejudicii.

(224)

Comisia consideră că Republica Federativă a Braziliei asigură – prin LGPD – un nivel de protecție a datelor cu caracter personal transferate din Uniunea Europeană care este echivalent în esență cu cel garantat de Regulamentul (UE) 2016/679.

(225)

În plus, Comisia consideră că, în ansamblu, mecanismele de supraveghere și căile de atac prevăzute în legislația braziliană permit detectarea și abordarea în practică a eventualelor încălcări ale normelor privind protecția datelor de către operatorii și persoanele împuternicite de operatori din Brazilia și pun la dispoziția persoanelor vizate căile de atac juridice necesare pentru a obține accesul la datele lor cu caracter personal și, în cele din urmă, rectificarea sau ștergerea datelor respective.

(226)

În fine, pe baza informațiilor disponibile privind ordinea juridică braziliană, Comisia consideră că orice ingerință în interesul public, în special în scopuri de aplicare a dreptului penal și legate de securitatea națională, din partea autorităților publice braziliene în drepturile fundamentale ale persoanelor ale căror date cu caracter personal sunt transferate din Uniunea Europeană către Brazilia se va limita la ceea ce este strict necesar pentru atingerea obiectivului legitim în cauză și că există o protecție juridică eficientă împotriva unei astfel de ingerințe.

(227)

Prin urmare, având în vedere constatările din prezenta decizie, ar trebui să se decidă că Brazilia asigură un nivel de protecție adecvat în sensul articolului 45 din Regulamentul (UE) 2016/679, interpretat în lumina Cartei drepturilor fundamentale a Uniunii Europene, pentru datele cu caracter personal transferate din Uniunea Europeană către operatorii și persoanele împuternicite de operatori din Brazilia care fac obiectul aplicării LGPD.

(228)

Statele membre și organele acestora au obligația de a lua măsurile necesare pentru a se conforma actelor instituțiilor Uniunii, întrucât se presupune că aceste acte sunt legale și, prin urmare, produc efecte juridice atât timp cât nu sunt retrase, anulate în cadrul unei acțiuni în anulare sau declarate nule ca urmare a unei trimiteri preliminare sau a unei excepții de nelegalitate.

(229)

În consecință, o decizie a Comisiei privind caracterul adecvat al nivelului de protecție, adoptată în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, este obligatorie pentru toate organele statelor membre cărora li se adresează, inclusiv pentru autoritățile de supraveghere independente ale acestora. În special, transferurile de la un operator sau de la o persoană împuternicită de operator din Uniune către operatori sau persoane împuternicite de operatori din Brazilia pot avea loc fără a fi necesară obținerea unei autorizări suplimentare.

(230)

Ar trebui reamintit faptul că, potrivit articolului 58 alineatul (5) din Regulamentul (UE) 2016/679 și astfel cum a explicat Curtea de Justiție în Hotărârea Schrems I, în cazul în care o autoritate națională pentru protecția datelor pune sub semnul întrebării, inclusiv în urma primirii unei plângeri, compatibilitatea unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție cu drepturile fundamentale ale unei persoane la viață privată și la protecția datelor, legislația națională trebuie să prevadă o cale de atac legală pentru a invoca motivele respective în fața unei instanțe naționale, care poate fi obligată să efectueze o trimitere preliminară către Curtea de Justiție (347).

(231)

Potrivit jurisprudenței Curții de Justiție (348) și astfel cum se prevede la articolul 45 alineatul (4) din Regulamentul (UE) 2016/679, Comisia ar trebui să monitorizeze continuu evoluțiile relevante din țara terță după adoptarea unei decizii privind caracterul adecvat al nivelului de protecție, pentru a evalua dacă țara terță respectivă continuă să asigure un nivel de protecție echivalent în esență. O astfel de verificare se impune, în orice caz, atunci când Comisia primește orice informație care dă naștere unor îndoieli justificate în această privință.

(232)

Prin urmare, Comisia ar trebui să monitorizeze în permanență situația din Brazilia în ceea ce privește cadrul juridic și practica propriu-zisă de prelucrare a datelor cu caracter personal, evaluate în prezenta decizie. În acest sens, ar trebui să se acorde o atenție deosebită aplicării în practică a cerințelor privind evaluarea impactului referitoare la protecția datelor; a cerințelor de transparență și a posibilei limitări a acestora în ceea ce privește drepturile la informare și la acces; a normelor privind notificarea încălcărilor securității datelor; a regimului de sancțiuni, precum și respectării limitărilor și a garanțiilor în ceea ce privește accesul administrației publice, luând în considerare orice evoluții relevante în această privință.

(233)

Pentru a facilita procesul de monitorizare, autoritățile braziliene, inclusiv ANPD, sunt invitate să informeze Comisia cu privire la evoluțiile semnificative relevante pentru prezenta decizie în ceea ce privește prelucrarea datelor cu caracter personal de către operatorii economici și autoritățile publice, precum și cu privire la limitările și garanțiile aplicabile accesului autorităților publice la datele cu caracter personal.

(234)

În plus, pentru a permite Comisiei să își exercite în mod eficient funcția de monitorizare, statele membre ar trebui să informeze Comisia cu privire la orice acțiune relevantă întreprinsă de autoritățile naționale de protecție a datelor, în special în ceea ce privește solicitările sau plângerile formulate de persoane vizate din UE cu privire la transferul de date cu caracter personal din Uniunea Europeană către operatori de date și persoane împuternicite de operatori din Brazilia. De asemenea, Comisia ar trebui să fie informată cu privire la orice indiciu potrivit căruia acțiunile autorităților publice braziliene responsabile cu prevenirea, investigarea, detectarea sau urmărirea penală a infracțiunilor sau cu securitatea națională, inclusiv acțiunile oricărui organism de supraveghere, nu asigură nivelul de protecție necesar.

(235)

Conform articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 (349) și având în vedere faptul că nivelul de protecție asigurat de ordinea juridică braziliană poate suferi modificări, Comisia, în urma adoptării prezentei decizii, ar trebui să verifice periodic dacă constatările referitoare la caracterul adecvat al nivelului de protecție asigurat de Brazilia sunt în continuare justificate în fapt și în drept.

(236)

În acest scop, prezenta decizie ar trebui să facă obiectul unei prime revizuiri în termen de patru ani de la intrarea sa în vigoare. Ulterior, ar trebui să aibă loc revizuiri periodice cel puțin o dată la patru ani (350). Revizuirile ar trebui să acopere toate aspectele legate de funcționarea prezentei decizii, inclusiv cooperarea ANPD cu autoritățile UE pentru protecția datelor în ceea ce privește plângerile persoanelor fizice. Acestea ar trebui să acopere, de asemenea, eficacitatea supravegherii și a asigurării respectării legislației în domeniul aplicării dreptului penal și al securității naționale.

(237)

Pentru a efectua această revizuire, Comisia ar trebui să se reunească cu ANPD, însoțită, dacă este cazul, de alte autorități braziliene responsabile cu accesul administrației publice la date, inclusiv organismele de supraveghere competente. Participarea la această reuniune ar trebui să fie deschisă reprezentanților membrilor Comitetului european pentru protecția datelor. În cadrul revizuirii, Comisia ar trebui să solicite ANPD să furnizeze informații cuprinzătoare cu privire la toate aspectele relevante pentru constatarea referitoare la caracterul adecvat, inclusiv cu privire la limitările și garanțiile referitoare la accesul administrației publice la date. Comisia ar trebui, de asemenea, să solicite explicații atât cu privire la orice informație primită care este relevantă pentru prezenta decizie, inclusiv cu privire la rapoartele publice întocmite de autoritățile braziliene sau de alte părți interesate din Brazilia, de Comitetul european pentru protecția datelor, de diferite autorități pentru protecția datelor, de grupuri ale societății civile, cât și cu privire la informațiile transmise de mass-media sau de orice altă sursă de informații disponibilă.

(238)

Pe baza revizuirii, Comisia ar trebui să întocmească un raport public, care să fie prezentat Parlamentului European și Consiliului.

(239)

În cazul în care informațiile disponibile, în special informațiile care rezultă din monitorizarea prezentei decizii sau cele furnizate de autoritățile braziliene sau ale statelor membre, arată că nivelul de protecție acordat de Brazilia ar putea să nu mai fie adecvat, Comisia ar trebui să informeze autoritățile braziliene competente în acest sens și să solicite luarea unor măsuri adecvate într-un termen rezonabil specificat.

(240)

În cazul în care, la expirarea termenului specificat, autoritățile braziliene competente nu iau măsurile respective sau nu demonstrează în mod satisfăcător în alt fel că prezenta decizie continuă să se bazeze pe un nivel adecvat de protecție, Comisia va iniția procedura menționată la articolul 93 alineatul (2) din Regulamentul (UE) 2016/679 în vederea suspendării sau a abrogării parțiale sau integrale a prezentei decizii.

(241)

Ca alternativă, Comisia va iniția această procedură în vederea modificării prezentei decizii, în special prin aplicarea unor condiții suplimentare pentru transferurile de date sau prin limitarea domeniului de aplicare al constatării referitoare la caracterul adecvat numai la transferurile de date pentru care se asigură în continuare un nivel adecvat de protecție.

(242)

De asemenea, Comisia ar trebui să aibă în vedere inițierea procedurii care conduce la modificarea, suspendarea sau abrogarea prezentei decizii dacă, în contextul revizuirii sau într-un alt context, autoritățile braziliene competente nu furnizează informațiile sau clarificările necesare pentru evaluarea nivelului de protecție acordat datelor cu caracter personal transferate din Uniunea Europeană către Brazilia sau în ceea ce privește respectarea prezentei decizii. În acest sens, Comisia ar trebui să ia în considerare măsura în care informațiile relevante pot fi obținute din alte surse.

(243)

Din motive imperioase de urgență justificate corespunzător, Comisia va face uz de posibilitatea de a adopta, în conformitate cu procedura menționată la articolul 93 alineatul (3) din Regulamentul (UE) 2016/679, acte de punere în aplicare imediat aplicabile de suspendare, abrogare sau modificare a deciziei.

(244)

Comitetul european pentru protecția datelor și-a publicat avizul (351), care a fost luat în considerare la pregătirea prezentei decizii.

(245)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 93 alineatul (1) din Regulamentul (UE) 2016/679,