Minacce in evoluzione: lo stato della protezione dei dati personali in Brasile

Daniele Bianchi

Minacce in evoluzione: lo stato della protezione dei dati personali in Brasile

Celio Vikas, un funzionario pubblico in pensione di San Paolo, ricorda un episodio particolarmente straziante avvenuto a gennaio in cui un impostore, fingendosi un impiegato di banca al telefono, quasi gli ha rubato la password. Vikas è corso fuori di casa per modificare le sue credenziali presso il bancomat come indicato, ma la chiamata è stata interrotta prima che lui rivelasse il suo nuovo PIN al truffatore.

Anche se Vikas ha avuto fortuna, negli ultimi anni una serie di fughe di informazioni personali ha scosso il Brasile, rendendo la protezione dei dati una preoccupazione sempre più complessa per i cittadini.

“So che i criminali hanno i miei dati personali e questo mi fa sentire molto vulnerabile: è quasi come se mi avessero privato della mia identità”, ha detto Vikas, che, temendo un’ulteriore esposizione, evita del tutto le transazioni online.

Non è il solo: uno studio pubblicato nel 2022 dal Centro Regionale di Studi per lo Sviluppo della Società dell’Informazione ha rilevato che il 42% dei brasiliani è “molto preoccupato” per i propri dati quando fa acquisti online.

Mentre il Brasile raggiunge il quinto anniversario delle sue norme sulla protezione dei dati personali, l’autorità incaricata di far rispettare le norme ha chiesto risorse aggiuntive e maggiore cooperazione per affrontare le crescenti sfide relative ai dati affrontate sia dai privati ​​che dalle imprese, compreso lo sviluppo di una cultura della privacy dei dati in Brasile e affrontare le minacce alla privacy poste dai rischi legati alla cibersicurezza e dall’intelligenza artificiale.

Lanciata nel 2020, due anni dopo l’entrata in vigore della Legge generale sulla protezione dei dati (LGPD), l’Autorità nazionale brasiliana per la protezione dei dati (ANPD) ha finora agito in 29 processi formali di controllo per garantire il rispetto delle leggi e ha recentemente emesso la sua prima sanzione : una multa di 14.400 reais (2.870 dollari) e un avvertimento contro Telekall Infoservice per aver offerto una lista di contatti WhatsApp per le campagne elettorali per distribuire materiale sui candidati.

Dall’inizio delle sue operazioni, l’autorità ha ricevuto più di 630 segnalazioni di incidenti di sicurezza, comprese violazioni di dati e fughe di dati per analisi, e oltre 2.300 richieste da informatori e petizioni.

“Questi numeri sono significativi, considerando che abbiamo una squadra così piccola”, ha detto Waldemar Gonçalves, direttore e presidente dell’ANPD, durante il suo discorso di apertura in occasione del quinto anniversario della legge.

Con risorse limitate – il budget dell’autorità è di 36 milioni di reais (7,4 milioni di dollari) per il 2023 e dovrebbe diminuire del 36% l’anno prossimo – l’ANPD si è concentrata su aree come la produzione di materiale educativo per aumentare la consapevolezza sulla protezione dei dati, promuovendo l’adozione di standard per servizi e prodotti volti a migliorare il controllo degli individui sui propri dati personali e il coinvolgimento con altri enti del settore pubblico.

Secondo Gonçalves, trattare questioni relative alla protezione dei dati per una popolazione di oltre 200 milioni di abitanti con l’attuale organico dell’ANPD di 150 dipendenti è un compito arduo.

“Il Regno Unito ha una popolazione di 70 milioni di abitanti e la sua autorità per la protezione dei dati sì [1044] dipendenti”, ha sottolineato in confronto.

Nonostante questo handicap, il prossimo passo per l’autorità brasiliana per la protezione dei dati è una consultazione pubblica sugli standard internazionali di trasferimento dei dati, che mirano a garantire la protezione dei dati oltre i confini, facilitando il business globale salvaguardando al tempo stesso la privacy.

Fughe di dati e sanzioni

Le norme brasiliane sulla protezione dei dati esistono da cinque anni, ma sono entrate in vigore solo meno di tre anni fa. Tuttavia, c’è un notevole cambiamento nel modo in cui il pubblico e le imprese percepiscono queste regole, ha affermato Nairane Farias Rabelo, direttrice dell’ANPD, in un’intervista ad Al Jazeera. “Le persone stanno diventando più consapevoli dei propri diritti, mentre le aziende e gli enti pubblici stanno gradualmente investendo di più nella privacy, influenzati dalla concorrenza, dalla reputazione o dalle terribili conseguenze del trascurarla”, ha affermato.

La più grande fuga di notizie nella storia del Paese finora è diventata pubblica nel 2020 e ha comportato l’esposizione dei dati personali di 243 milioni di brasiliani, inclusi nomi completi, indirizzi e numeri di telefono, a causa delle credenziali debolmente codificate conservate nel codice sorgente del sito web del Ministero della Salute.

Quest’anno l’ANPD dovrebbe trarre una prima conclusione dalle indagini sul caso con maggiori dettagli sull’incidente e sulle conseguenze della fuga di notizie, ha detto Rabelo.

La sicurezza informatica e la privacy dei dati sono due facce della stessa medaglia, ha affermato Rabelo. “Enormi database, spesso condivisi con diverse aziende, necessitano di una protezione adeguata. La mancata garanzia di ciò porta direttamente alla compromissione della sicurezza e alla violazione dei diritti delle persone. In sostanza, i dati non possono essere veramente protetti senza implementare la sicurezza delle informazioni”, ha sottolineato.

Considerando che i dati di innumerevoli brasiliani sono già trapelati, la domanda è se l’ANPD stia solo inseguendo delle ombre.

Le numerose violazioni dei dati non annullano l’importanza di continuare gli sforzi di protezione, ha affermato Renato Opice Blum, un avvocato specializzato in protezione dei dati e diritto digitale. “IL [cybersecurity situation in Brazil] è tutt’altro che ideale, ma le cose sarebbero peggiori se non esistessero norme sulla protezione dei dati”, ha affermato.

Nel complesso, una combinazione di fattori legali, tecnologici, culturali ed economici sta guidando il cambiamento nell’intersezione tra sicurezza informatica e protezione dei dati in Brasile, ha affermato Marcos Oliveira, country manager brasiliano presso la società di sicurezza informatica Palo Alto Networks.

“La rigorosa applicazione di solide leggi sulla protezione dei dati come la LGPD, con sanzioni significative per le violazioni, sta spingendo le aziende a investire di più nella sicurezza informatica per evitare multe e danni alla reputazione”, ha aggiunto.

Secondo la società di consulenza PwC, gli investimenti previsti dal Brasile per la sicurezza informatica sono fissati a 8,3 miliardi di reais (1,7 miliardi di dollari) per il 2023 e potrebbero raggiungere i 10,8 miliardi di reais (2,2 miliardi di dollari) entro il 2026. Le previsioni illustrano l’importanza della conformità poiché le sanzioni per violazione della LGPD possono raggiungere fino al 2% delle entrate di un’azienda, con un tetto massimo di 50 milioni di reais (10 milioni di dollari).

La capacità di penalizzare le aziende che non rispettano le norme sarà cruciale per spostare l’ago della bilancia nel campo della protezione dei dati in Brasile, ha affermato l’avvocato Opice Blum. “Quando l’ANPD comincerà a sanzionare di più, ci sarà più protezione per le persone e più rispetto da parte delle imprese”, ha previsto.

Questo è più facile a dirsi che a farsi poiché ci sono “difficoltà nell’identificare la fonte” delle fughe di dati, soprattutto nelle aziende private, ha affermato Rabelo. La carenza di personale presso l’ANPD non ha aiutato.

“Ho venduto i miei dati”

Altre sfide per l’ANPD includono il settore della vendita di dati, in cui gli individui che lavorano all’interno delle imprese brasiliane traggono profitto dalla condivisione di informazioni personali senza il consenso degli individui.

Alcuni brasiliani hanno sviluppato i propri metodi per proteggersi da questa pratica diffusa.

“Non posso dirlo [which businesses] ho venduto i miei dati, ma sono sicuro che ciò accada perché ho fornito un nome falso e un indirizzo email particolare a determinati siti web. Poi ho iniziato a ricevere approcci da aziende di cui non avevo mai sentito parlare utilizzando un nome falso”, ha affermato Bruno Magri, analista di sistemi.

Per contrastare i mercati illegali di dati è necessario garantire che la condivisione dei dati avvenga solo quando legalmente giustificata, ha affermato Rabelo dell’ANPD. La questione verrà affrontata in modo più efficace quando la protezione dei dati sarà vista come parte di una strategia nazionale: “La collaborazione tra diversi enti governativi, sia federali che statali, è essenziale”, ha affermato.

Uno dei principali risultati ottenuti dal Brasile nel campo della protezione dei dati è stato il riconoscimento della protezione dei dati come un diritto fondamentale, rendendolo così una garanzia costituzionale. Inoltre, la trasformazione dell’ANPD in un’autarchia speciale – ovvero con una propria autonomia tecnica, decisionale, amministrativa e finanziaria – è stato un altro passo fondamentale.

Tuttavia, sono ancora necessari ulteriori sviluppi, come un decreto presidenziale, affinché l’autorità possa realizzare il suo pieno potenziale, compreso il cambiamento della percezione secondo cui l’ANPD è in qualche modo distaccato dal cittadino comune.

“Ho un livello di consapevolezza più elevato [about digital rights] a causa della mia professione”, ha detto Magri, l’analista di sistemi. “Tuttavia, non saprei esattamente cosa fare nel caso in cui la privacy dei miei dati fosse compromessa, per non parlare delle persone vulnerabili e con una conoscenza limitata di queste cose.”

Daniele Bianchi

Daniele Bianchi, nativo di Roma, è il creatore del noto sito di informazione Oltre la Linea. Appassionato di giornalismo e di eventi mondiali, nel 2010 Daniele ha dato vita a questo progetto direttamente da una piccola stanza del suo appartamento con lo scopo di creare uno spazio dedicato alla libera espressione di idee e riflessioni. La sua mission era semplice e diretta: cercare di capire e far comprendere agli altri ciò che sta effettivamente succedendo nel mondo. Oltre alla sua attività di giornalista e scrittore, Daniele investe costantemente nell'arricchimento della sua squadra, coinvolgendo professionisti con le stesse passioni e interessi.