בדרך כלל כשאני מביא סיפורים מהעולם, הם על ארה"ב ואירופה. גם יתר הבלוגים והעיתונאים כותבים על אותן מדינות. אז הפעם חשבתי לגוון וללכת למקום שלא מדברים עליו כמעט – הכלכלה השמינית הכי גדולה בעולם.
ברזיל.
בעבר טענתי שבשנת 2019 הרגולציה על ההייטק תפרח. ובמהלך שנת 2018 ברזיל העבירה חוק מודרני להגנה על מידע ופרטיות. הוא נקרא בקיצור LGPD (בתרגום מילולי לאנגלית: General Data Privacy Law).
בלינק הזה ניתן לקרוא תרגום לא רשמי של החוק לאנגלית. החוק מטיל הרבה חובות והוראות חדשות לגמרי שהשוק יצטרך להסתגל אליהן.
מה הרגולציה?
ה-LGPD מטיל הרבה מאוד חובות על כל מי ששולט או בא במגע (אוסף, מעבד וכו') עם מידע אישי, למשל:
1. קבלת הסכמה לאיסוף המידע (ותיעוד הוכחה לכך).
2. מינוי ממונים על הגנת מידע בכל ארגון, שיהיו אחראיים אישית לעמידה ביתר הדרישות.
3. קביעת נהלים ותכנית אכיפה פנימית בכל ארגון.
4. דיווח לממשלה על כל חשד לדליפה או פגיעה בשלמות המידע בתוך זמן סביר (כפי שהרגולטור יראה לנכון).
5. אימוץ תכנית אבטחת מידע מפורטת (שצריכה גם לעמוד בהוראות של חוקים ברזיאלים אחרים, למשל זה).
6. לבצע הערכת השפעות של מערך הגנת המידע (data protection impact assessments). זה אמור להיות ניתוח מעמיק של התוצאות של אירועים שונים, אבל ממש לא ברור מה אמורים לעשות ואיך נראית הערכה "טובה".
מה שבולט ב-LGPD זה שהוא מאוד מאוד עמום. יש המון אי ודאות לגבי התוכן המפורט של ההוראות, מה בדיוק צריך לעשות ומי כפוף לרגולציה. שחקנים שפועלים בברזיל העלו הרבה קשיים ושאלות לגבי היישום. אבל הבלבול לא מסתיים בתוכן של הרגולציה.
מי ומה כפוף לרגולציה?
החוק מטיל את החובות גם על מי ששמחזיק ושולט במידע וגם על מי שמעבד את המידע עבור מי שמחזיק במידע. החובות מוטלות עליהם במשותף (בשפה משפטית "יחד ולחוד"). זה אומר שגם מי שנותן שירות ורק מעבד את המידע (למשל מטייב נתונים או עושה אנונימיזציה למידע רגיש) נמצא בסיכון לתביעה במקרה של הפרת ההוראות. לא ברור איפה האחריות נגמרת והאם אפשר להעניש את מעבד המידע גם על הפרות שמישהו אחר ביצע.
ה-LGPD חל על הרבה סוגים של מידע. לפי ההגדרות הוא חל על כל מידע אישי ("personal data"). וההגדרה כוללת כל מידע שמתייחס לאדם מזוהה (לא חל על מידע שמתייחס לתאגידים או לקבוצות של מספר בני אדם). החוק מטיל גם חובות יותר מחמירות ביחס למידע אישי רגיש ("sensitive personal data"). גם ההגדרה למידע רגיש די רחבה: כל מידע שמתייחס לגזע, מוצא אתני, אמונות דתיות, דעות פוליטיות, שייכות לקבוצות וארגונים פוליטיים פילוסופיים או דתיים, מידע שקשור בבריאות או במצב רפואי, חיי מין, מידע גנטי או ביומטרי. באופן כללי החוק חל בצורה מאוד רחבה (זו מגמה עולמית, שקיימת גם ב-GDPR האירופי וגם ב-CCPA של קליפורניה). ההגדרות ב-LGPD רחבות ולא לגמרי ברור איפה הן מסתיימות. למשל, מה זה "ארגונים פילוסופיים"? (הבלוג הזה נחשב?)
נקודה מעניינת: בניגוד לחוקים אחרים בעולם (למשל ה-GDPR), החוק הברזילאי קובע שגם מידע שעבר אנונימיזציה ייחשב כמידע אישי שצריך להגן עליו, אם המידע הזה משמש ל-profiling (דיגום ממוקד מבוסס סטטיסטיקה). זאת אומרת, שאם מחליטים לבצע targeting על בסיס מידע כללי – הוא הופך למידע אישי שטעון הגנה, גם אם זה מידע סטטיסטי "מולבן" שלא מתייחס לאינדבידואל אחד
ודאות, בהירות וזמן היערכות
נשיא ברזיל חתם על החוק באוגוסט 2018 והוא צריך להיכנס לתוקף רק לאחר שנה וחצי – בפברואר 2020. בדרך כלל חברות מבקשות זמן היערכות לשינויי רגולציה. למשל במקרה של הרגולציה של משרד הבריאות לסימון מזון לא בריא (אדום/ירוק) – התעשיינים התעקשו על דחיית הכניסה לתוקף כדי שיספיקו למכור את המלאי הקיים ולייצר אריזות חדשות.
גם סביב ה-LGPR הברזיאלי היה דיון על מועד הכניסה לתוקף. אבל זה לא מספיק. עכשיו כשהחוק עבר והחברות רוצות לנצל את הזמן להיערך – מתברר שהן לא ממש יודעות מה הן צריכות לעשות. ראינו לאורך הפוסט שהרגולציה החדשה רוויה בהרבה גמישות, עמימות ואי וודאות.
דוגמה אחת קטנה היא פרק הזמן שבו יש לדווח לממשלה על פריצה למידע. באיחוד האירופי יש לדווח בתוך 72 שעות. בברזיל – בתוך זמן סביר שיקבע הרגולטור. החברות עדיין לא יודות מה מהירות התגובה שנדרשת מהן. לחובה הזו יש משמעויות תפעוליות וטכנולוגיות – והכל עולה כסף. ובנתיים לא יודעים מה הרגולטור רוצה. זמן ההיערכות לא ממש עוזר, אם הציבור לא יודע איך הוא צריך להיערך לרגולציה החדשה.
במקרה הזה, יזמים ברזיאלים וחברות בינ"ל לא יודעים מה לעשות. החברות הבינ"ל כנראה ישלמו את המחיר ויסתדרו בסוף, לא בטוח שהיזמנים הקטנים ישרדו. ההייטק הברזיאלי עלול להינזק מאוד קשה. לא בגלל שהרגולציה עצמה מכבידה, אלא רק בגלל חוסר הוודאות שהיא יוצרת.
הרבה פעמים כשאני נפגש עם בעלי עניין מהציבור הם אומרים לי: "אני רוצה להיות אזרח שומר חוק וגם אם לא הייתי כזה, אני לא רוצה להיענש ולהסתבך. רק תגידו מה אתם רוצים – ואני אעשה את זה". לפעמים אנחנו שוכחים שמישהו צריך ליישם את כל העקרונות והמטרות הגדולות. אם הרגולציה לא ברורה או לא סגורה עד הסוף – היא רגולציה לא טובה.
עזבו יעילות ודיבורים על כלכלה. זו הוגנות בסיסית מול האזרח.
הרגולטור - גיא מור 