Lei Geral de Proteção de Dados Pessoais(LGPD或一般个人数据保护法)是巴西的数据保护和隐私法,密切仿照欧盟的《一般数据保护条例》(GDPR)。LGPD于2018年7月10日由巴西国会通过,旨在将国内40多项数据隐私文书统一并加强为一项单一的立法。LGPD于2020年9月18日开始生效。与GDPR一样,该法律影响到巴西境外的全球组织。
LGPD在多大程度上适用于你的组织,将取决于你的业务的具体性质,所以你应该始终寻求熟练的法律顾问来帮助你了解合规要求。但是,如果你的组织在巴西开展业务或在巴西境内收集/处理任何个人的数据,你应该熟悉LGPD的要求(概述如下),以了解这些法规可能对你产生的影响。
重要信息
以下信息不作为法律建议,读者应向其律师咨询有关合规事宜。
为什么通过LGPD
LGPD的通过是为了证明和保护个人的隐私权。尽管巴西是拉丁美洲的技术领导者,也是世界十大科技市场之一,但其数据保护法却未能跟上这种技术增长的步伐。作为这种快速增长的副作用,巴西最近经历了一些引人注目的数据泄露事件。LGPD明确要求各组织实施保护个人数据的控制措施,其最终目的是减少违规事件对个人的影响。
LGPD建立了国家数据保护局
除了引入隐私法规,LGPD还建立了一个单独的国家机构--国家数据保护局(英文简称ANPD或国家数据保护局),负责执行法律,包括发布处罚和罚款。ANPD的建立最初被总统Jair Bolsonaro否决,但后来在2020年8月通过行政命令恢复了。
LGPD适用于谁
LGPD适用于任何组织(或个人),无论其规模、行业、公共或私人地位,或居住国。
任何法律实体或自然人在处理从巴西人那里收集的数据时("数据控制者"),在以下情况下都要遵守LGPD:
- 收集/处理的数据是关于巴西人的。
- 处理是**在巴西境内进行的;**或
- 处理的目的是向巴西的个人提供和销售商品或服务。
- 处理的是在巴西境内收集的个人数据。
例外情况
LGPD的适用性有一些有限的例外情况。例外情况包括正在收集和/或处理数据的情况:
- 由自然人出于私人和非商业目的。
- 出于新闻、艺术或学术目的,无论谁进行收集。
- 出于国家安全、国防或公共安全的目的。
- 用于调查和起诉刑事犯罪。
- 如果个人数据来源于其他国家,并且只经过巴西而不进行任何处理。
LGPD包括对个人数据的广泛定义
LGPD将个人数据广义地定义为可用于识别个人的任何信息。这包括可与其他信息相结合以识别个人的任何信息。这意味着,根据LGPD,电子邮件、IP地址、电话号码、地理位置和信用卡号码等信息都可被视为个人信息。
敏感的个人数据
巴西拥有不同文化和种族的人口。与欧洲的GDPR一样,LGPD认识到有时需要额外的保护措施来保护个人免受歧视。根据LGPD,这些潜在的高风险属性被定义为 "敏感个人数据",包括:
- 健康信息
- 遗传信息
- 性方面的信息
- 医疗信息
- 生物统计学特征
- 种族或民族血统信息
- 政治派别
- 宗教信仰
LGPD的合规义务
LGPD是对巴西以前的数据隐私法的一个重大改进和整合,这些变化将影响到每个行业的组织。以下是企业需要考虑的一些关键合规问题。
1.定义和记录处理个人数据的合法依据
LGPD要求每个收集或处理个人数据的组织至少有以下一个法律上可接受的理由,并为审计目的记录这些理由:
- 来自个人的同意,以处理其数据:任何年满18岁的个人都可以同意处理其个人数据。
- 要遵循适用的监管要求和公共政策:如果为了遵循适用于他们的法律和法规的要求,组织可以收集和处理数据。
- 为了进行研究或调查:研究是处理个人数据的法律依据,只要组织采取合理的步骤将该数据匿名化。
- 为了履行合同协议:如果你已经与个人签订了提供商品或服务的合同,并需要处理他们的数据以提供给他们,那么处理个人的数据是可以接受的。
- 法律诉讼:为了法庭案件、仲裁或其他法律程序,可以处理个人数据。
- 为了保护个人或第三方的生命或人身安全:例如,国家安全是法律上可接受的处理个人数据的理由。
- 为了在医疗程序中保护个人的健康:例如,处理个人数据是可以接受的,以确保你在手术中不会让病人处于危险之中。
- 为了你的组织或第三方的合法利益:你的组织的利益是处理个人数据的法律依据,只要这些利益不与个人的权利、自由或利益冲突。
- 为了保护一个人的信用:保护个人的信用是处理数据的一个可接受的基础,只要该处理是按照除LGPD外的其他相关法律规定进行的。
2.尊重个人的隐私权
与GDPR一样,LGPD为个人提供了多项权利,他们可以在任何时候要求组织承认和维护这些权利。组织必须有内部程序和流程,以回应行使这些权利的个人的请求,其中包括:
- 确认处理:个人有权确认其个人数据是否已经或正在被处理。
- 查阅个人数据:个人可以要求查阅组织处理的他们的任何个人数据。
- 数据可移植性:个人可以要求将他们的个人数据转移到另一个服务或产品供应商,只要该要求符合其他国家法规,不损害任何商业或工业秘密,并且数据尚未被匿名化。
- 纠正不准确的信息:个人可以要求纠正或更新不准确的、过时的或不完整的个人数据。
- 数据的匿名化、屏蔽或删除:个人可以要求对不必要的或过度的个人数据,或以不符合规定的方式处理的个人数据进行匿名化、阻止或删除。
- 删除数据:如果处理是基于同意,个人可以在任何时候要求删除其个人数据。
- 被告知的权利:个人有权获知第三方获准访问其个人数据的情况。个人也有权利被告知其拒绝同意的权利。
- 撤销同意:个人有权在任何时候撤销他们对处理或收集数据的同意。
- 审查自动决定:个人有权要求审查完全基于影响其利益的自动处理的决定,包括特征分析。
- 提出投诉:如果个人认为上述任何权利受到侵犯,可以向ANPD投诉某个组织。
3.任命一名数据保护官(DPO)
LGPD要求其管辖范围内的每个组织任命一名数据保护官员(DPO),作为其数据保护工作的联络人。DPO不一定是一个人;一个委员会可以提供这种服务,外部顾问也可以。DPO负责确保该组织采取适当的行动来保护个人数据,并与最终用户和政府当局就数据隐私相关事宜进行沟通。DPO的身份和联系信息必须向公众公开(最好是在你的网站上)。
4.准备、清点和进行数据保护影响评估(DPIA)
为遵守LGPD,您必须记录您收集的数据类型、使用的方法以及为保护该数据而采取的步骤。你还必须识别潜在的风险,并记录你为缓解这些风险所采取的措施。每个属于LGPD管辖的组织都应该有这些记录,以便在监管机构要求时向其出示。
5.遵循数据安全要求和数据泄露通知协议
各组织必须实施充分的组织和技术控制,以确保个人数据免遭未经授权的访问、删除、更改、共享或处理。如果发生了对个人造成风险或损害的违规事件,组织必须在合理的时间内通知ANPD和受违规事件影响的个人,并包括以下信息。
- 被暴露的个人数据的类型和受影响的个人
- 与该数据暴露有关的风险
- 为保护个人数据而采取的安全措施(除非分享这些信息会泄露工业或商业机密)。
- 你的组织正在采取哪些措施来减轻信息泄露对受影响个人的影响?
ANPD可能会要求一个组织采取进一步的措施,如提醒媒体注意违规事件,或采取具体措施来减轻违规事件对受影响个人的影响。这些行动将根据个案情况进行评估。
6.实施隐私设计
与GDPR一样,LGPD要求其管辖范围内的组织在设计其数据处理系统和程序时,将隐私作为默认设置(这种方法被称为 "隐私设计"),而不是事后才在这些系统中添加隐私控制。各组织也应准备好向ANPD展示其数据保护措施的有效性,因为审计可能随时进行。
7.遵守跨境数据传输要求
LGPD允许组织将受保护的个人数据转移到巴西境外,如果数据被转移到的国家的法律对该数据提供充分的保护。保护的充分性由ANPD决定。如果接受国提供的保护被ANPD认为是不充分的,在满足某些条件的情况下,仍然可以允许转移。
对不遵守规定的处罚
根据LGPD的规定,对违规行为的处罚由ANPD评估,可包括最高为公司年收入2%的罚款,每次违规最高为5000万巴西雷亚尔(在撰写本报告时约为750万欧元或900万美元)。ANPD还有权阻止对相关数据库的访问或删除个人数据,并在发生违规行为时部分或完全禁止数据处理活动。此外,LGPD规定个人有权就侵犯其隐私的行为寻求民事赔偿,这意味着除了监管机构评估的罚款外,企业还可能面临消费者的法律诉讼。
超越合规
像LGPD和GDPR这样的法规是保护个人隐私权的标志性步骤。但它们的相似之处也应该给各地的组织敲响警钟,即数据隐私在未来需要的不仅仅是为其现有系统插入一套新的控制措施。
相反,企业应该寻求从一开始就在其系统中建立隐私功能,考虑最终用户的福祉,而不仅仅是法律要求。这不仅将帮助他们赢得消费者的信任,而且还可能简化遵守新法规的过程,因为它们出现了。
