تهدیدات در حال تحول: وضعیت حفاظت از داده های شخصی در برزیل
سلیو ویکاس، یک کارمند دولتی بازنشسته از سائوپائولو، یک واقعه دلخراش در ژانویه را به یاد می آورد که در آن یک شیاد که خود را به عنوان یک فرد متقلب نشان می داد. کارمند بانک از طریق تلفن، تقریباً او را از رمز عبور خارج کرد. Vikas از خانه خود بیرون رفت تا اعتبار خود را در دستگاه خودپرداز طبق دستور تغییر دهد، اما قبل از اینکه پین جدید خود را برای کلاهبردار فاش کند، تماس قطع شد.
در حالی که Vikas خوش شانس بود، یک سری اطلاعات درز اطلاعات شخصی برزیل را در سال های اخیر متحیر کرده است و حفاظت از داده ها را به یک نگرانی پیچیده تر برای شهروندان تبدیل کرده است.
Vikas که از ترس قرار گرفتن بیشتر در معرض خطر قرار گرفتن بیشتر است، گفت: “من می دانم که مجرمان داده های شخصی من را دارند و این باعث می شود احساس کنم بسیار آسیب پذیر هستم – تقریباً انگار هویتم را از دست داده اند.”
او تنها نیست: مطالعهای که در سال ۲۰۲۲ توسط مرکز منطقهای مطالعات توسعه جامعه اطلاعاتی منتشر شد، نشان داد که ۴۲ درصد از برزیلیها هنگام خرید آنلاین «بسیار نگران» اطلاعات خود هستند.
در حالی که برزیل به پنجمین سالگرد مقررات حفاظت از داده های شخصی خود می رسد، مقامی که اجرای این قوانین را به عهده دارد از منابع اضافی و همکاری بیشتر برای مقابله با چالش های اطلاعاتی رو به رشدی که افراد و مشاغل به طور یکسان با آن مواجه هستند، از جمله توسعه فرهنگ حفظ حریم خصوصی داده ها درخواست کرده است. در برزیل و رسیدگی به تهدیدات حریم خصوصی ناشی از خطرات امنیت سایبری و هوش مصنوعی.
اداره ملی حفاظت از داده های برزیل (ANPD) که در سال ۲۰۲۰ دو سال پس از تصویب قانون حفاظت از داده های عمومی (LGPD) راه اندازی شد، تا به امروز در ۲۹ فرآیند نظارت رسمی برای اطمینان از انطباق با قوانین عمل کرده است و اخیراً اولین تحریم آن: جریمه ۱۴,۴۰۰ رئال (۲,۸۷۰ دلار) و هشدار علیه Telekall Infoservice به دلیل ارائه لیست تماس WhatsApp برای مبارزات انتخاباتی برای توزیع مطالب نامزدها.
از زمان شروع عملیات خود، این مرجع بیش از ۶۳۰ گزارش حوادث امنیتی از جمله نقض داده ها و نشت برای تجزیه و تحلیل، و بیش از ۲۳۰۰ درخواست از سوی افشاگران و دادخواست دریافت کرده است.
والدمار گونسالوس، مدیر-رئیس ANPD، در مراسم افتتاحیه خود در مراسمی به مناسبت پنج سالگی قانون، گفت: «این اعداد قابل توجه هستند، با توجه به اینکه ما چنین تیم کوچکی داریم».
>
با منابع محدود – بودجه این مرجع ۳۶ میلیون ریال (۷.۴ میلیون دلار) برای سال ۲۰۲۳ است و قرار است در سال آینده ۳۶ درصد کاهش یابد – ANPD بر روی زمینه هایی مانند تولید مواد آموزشی برای افزایش آگاهی حفاظت از داده ها تمرکز کرده است. اتخاذ استانداردهایی برای خدمات و محصولات به منظور افزایش کنترل افراد بر داده های شخصی آنها و تعامل با سایر نهادهای بخش عمومی.
طبق گفته گونسالوز، رسیدگی به امور حفاظت از داده ها برای جمعیتی بیش از ۲۰۰ میلیون نفر با ۱۵۰ کارمند کنونی ANPD کار سختی است.
او در مقایسه خاطرنشان کرد: «بریتانیا ۷۰ میلیون نفر جمعیت دارد و مرجع حفاظت از دادههای آن [۱۰۴۴] کارمند دارد».
با وجود این نقص، در ردیف بعدی برای مرجع حفاظت از داده برزیل، مشاوره عمومی در مورد استانداردهای بین المللی انتقال داده است که هدف آن تضمین حفاظت از داده ها در سراسر مرزها، تسهیل تجارت جهانی و در عین حال محافظت از حریم خصوصی است.
نشت داده ها و جریمه ها
مقررات حفاظت از داده های برزیل پنج سال است که وجود دارد اما کمتر از سه سال پیش اجرایی شد. نایران فاریاس رابلو، مدیر ANPD در مصاحبه با الجزیره گفت، با این حال، تغییر قابل توجهی در نحوه درک مردم و مشاغل از این قوانین وجود دارد. او گفت: «مردم از حقوق خود آگاهتر میشوند، در حالی که شرکتها و نهادهای عمومی به تدریج روی حریم خصوصی سرمایهگذاری میکنند، که تحت تأثیر رقابت، شهرت یا عواقب ناگوار نادیده گرفتن آن است.

بزرگترین افشای اطلاعات در تاریخ این کشور تا کنون در سال ۲۰۲۰ علنی شد و شامل افشای اطلاعات شخصی ۲۴۳ میلیون برزیلی از جمله نام کامل، آدرس و شماره تلفن بود که به دلیل اعتبارنامههای کدگذاری ضعیفی بود که در کد منبع وزارت کشور نگهداری میشد. وب سایت Health.
رابلو گفت که ANPD باید یک نتیجه اولیه در سال جاری از تحقیقات در مورد پرونده با جزئیات بیشتر در مورد این حادثه و تأثیر نشت داشته باشد.
رابلو گفت:
امنیت سایبری و حریم خصوصی داده ها دو روی یک سکه هستند. پایگاههای اطلاعاتی عظیم، که اغلب با شرکتهای مختلف به اشتراک گذاشته میشوند، به حفاظت کافی نیاز دارند. عدم اطمینان از این امر مستقیماً منجر به به خطر افتادن امنیت و نقض حقوق افراد می شود. در اصل، داده ها را نمی توان بدون اجرای امنیت اطلاعات محافظت کرد.
با توجه به اینکه دادههای برزیلیهای بیشماری قبلاً فاش شده است، سؤال این است که آیا ANPD فقط سایهها را تعقیب میکند.
رناتو اوپیس بلوم، وکیلی که بر حفاظت از دادهها و قانون دیجیتال متمرکز است، گفت: «نقضهای متعدد دادهها اهمیت ادامه تلاشهای حفاظتی را نفی نمیکند. او گفت: «وضعیت [وضعیت امنیت سایبری در برزیل] با ایده آل فاصله زیادی دارد، اما اگر مقررات حفاظت از داده ها را نداشتیم، اوضاع بدتر می شد.
مارکوس اولیویرا، مدیر کشور برزیل در شرکت امنیت سایبری Palo Alto Networks، گفت: به طور کلی، ترکیبی از عوامل قانونی، فناوری، فرهنگی و اقتصادی باعث ایجاد تغییر در تقاطع بین امنیت سایبری و حفاظت از داده ها در برزیل شده است.
او افزود: «اجرای دقیق قوانین حفاظت از دادهها مانند LGPD، با مجازاتهای قابل توجهی برای نقض، شرکتها را وادار میکند تا برای جلوگیری از جریمهها و آسیبهای اعتباری، بیشتر در امنیت سایبری سرمایهگذاری کنند».
براساس شرکت مشاوره PwC، سرمایهگذاریهای پیشبینیشده برزیل در امنیت سایبری برای سال ۲۰۲۳ ۸.۳ میلیارد ریال (۱.۷ میلیارد دلار) تعیین شده است و ممکن است تا سال ۲۰۲۶ به ۱۰.۸ میلیارد ریال (۲.۲ میلیارد دلار) برسد. پیشبینیها نشاندهنده ارتباط این قانون است زیرا جریمههای نقض LGPD میتواند تا دو درصد از درآمد یک شرکت، با سقف ۵۰ میلیون ریال (۱۰ میلیون دلار) برسد.
به گفته وکیل Opice Blum، توانایی جریمه کردن شرکتهایی که از رعایت آنها پیروی نمیکنند، برای جابجایی سوزن در فضای حفاظت از دادههای برزیل بسیار مهم است. او پیشبینی کرد: «همانطور که ANPD تحریمهای بیشتر را آغاز میکند، حمایت بیشتری از مردم و انطباق بیشتری از طرف تجاری وجود خواهد داشت.
رابلو گفت: گفتن این کار آسان تر از انجام آن است زیرا “چالش هایی در شناسایی منبع” نشت داده ها وجود دارد، به خصوص در شرکت های خصوصی. کمبود کارکنان در ANPD کمکی نکرده است.
«دادههای من فروخته شد»
چالشهای دیگر برای ANPD شامل صنعت فروش داده است، جایی که افراد شاغل در مشاغل برزیلی از اشتراکگذاری اطلاعات شخصی بدون رضایت افراد سود میبرند.
برخی از برزیلیها روشهای خود را برای محافظت از خود در برابر این عمل گسترده توسعه دادهاند.
«نمیتوانم بگویم [کدام کسبوکار] دادههای من را فروختهاند، اما مطمئن هستم که این اتفاق میافتد زیرا یک نام جعلی و یک آدرس ایمیل خاص به وبسایتهای خاصی ارائه کردهام. برونو ماگری، تحلیلگر سیستم، گفت: سپس از کسب و کارهایی که هرگز نشنیده بودم از نام جعلی استفاده کنند، رویکردهایی دریافت کردم.
Rabelo از ANPD گفت: مقابله با بازارهای غیرقانونی داده مستلزم اطمینان از این است که اشتراک گذاری داده ها تنها زمانی اتفاق می افتد که توجیه قانونی داشته باشد. هنگامی که حفاظت از داده ها به عنوان بخشی از یک استراتژی ملی در نظر گرفته شود، این موضوع به طور مؤثرتری مورد توجه قرار می گیرد: “همکاری بین ارگان های دولتی مختلف، اعم از فدرال و ایالتی، ضروری است.”
یکی از دستاوردهای اصلی برزیل در حوزه حفاظت از داده ها، به رسمیت شناختن حفاظت از داده ها به عنوان یک حق اساسی بود و در نتیجه آن را به عنوان یک تضمین قانون اساسی تبدیل کرد. علاوه بر این، تبدیل ANPD به یک استبداد ویژه – به این معنی که این نهاد دارای استقلال فنی، تصمیم گیری، اداری و مالی خاص خود است – گام اساسی دیگری بود.
با این حال، پیشرفتهای بیشتری مانند فرمان ریاستجمهوری، همچنان مورد نیاز است تا این مقام بتواند پتانسیل کامل خود را از جمله تغییر این تصور که ANPD تا حدودی از شهروندان عادی جدا شده است، بهکار گیرد.
ماگری، تحلیلگر سیستم، گفت: «من به دلیل حرفه ام سطح آگاهی [در مورد حقوق دیجیتال] بالاتری دارم. “با این حال، در صورتی که حریم خصوصی داده های من به خطر بیفتد، من دقیقا نمی دانم چه کاری باید انجام دهم، چه رسد به افرادی که آسیب پذیر هستند و دانش محدودی در مورد این موارد دارند.”