巴西通用数据保护法LGPD

巴西通用数据保护法于2018年通过,2020年9月生效,2021年8月行政处罚条款正式施行。LGPD被认为是拉美地区受GDPR影响最深的综合性数据保护法律,也是巴西在数据经济时代构建数字信任的法律基础。LGPD适用于在巴西境内开展的个人数据处理活动,无论数据处理设施是否位于巴西。

LGPD的适用范围具有多层结构。法律适用于在巴西境内进行的任何个人数据处理活动;以向巴西数据主体提供商品或服务为目的的数据处理活动;在巴西境内收集的个人数据;以及在巴西境内实施监控行为的活动中产生的个人数据。境外企业向巴西境内数据主体提供服务或监控其行为时需遵守LGPD。巴西总统令豁免了出于新闻、艺术或学术研究目的以及国家安全和公共安全目的的数据处理活动。

法律基础是LGPD数据处理合规的前提。LGPD承认十项法律基础,包括数据主体的同意、合同履行、法定义务或监管义务的履行、信用保护执行、公共行政管理、保护数据主体或第三方生命或人身安全、健康保护、数据控制者正当利益以及信用保护和研究目的。其中,正当利益法律基础是LGPD的重要设计,允许控制者在平衡数据主体合理预期和数据处理目的后进行数据处理。

数据主体权利在LGPD下覆盖广泛。LGPD赋予数据主体确认处理存在权、数据访问权、更正权、匿名化阻止或删除权、数据可携权、删除权、处理信息知情权、不同意及其后果知情权、自动决策审查请求权和反对权。数据主体可向控制者提交请求,控制者需在不收费的情况下立即或在15日内回应。法律还保障数据主体在自动决策场景下要求审查的权利。

国家数据保护局是LGPD的执法机构。ANPD负责制定数据保护规则、监督LGPD执行、实施行政处罚以及促进数据保护文化。ANPD的执法权限包括发布指导性规范和制裁措施。LGPD规定的行政处罚包括警告、罚款最高可达巴西企业集团在巴西认定的年营业额的2%且每次违规最高5000万雷亚尔、数据封锁、数据删除以及禁止数据处理活动。

数据处理角色在LGPD下有几个明确分类。数据控制者负责处理活动的主要决策,需对数据处理活动承担法律责任。数据处理者按照控制者指示处理个人数据,需与控制者签订合同。数据保护官负责数据保护合规和ANPD沟通。数据主体权利保护的责任主要由数据控制者承担。

个人数据的定义在LGPD下具有广泛内涵。个人数据是指能够识别或可识别自然人的信息。敏感个人数据包括种族或族裔、宗教信仰、政治观点、工会或宗教哲学政治组织成员身份、与健康或性生活相关的数据、基因数据、生物识别数据等。儿童和青少年的个人数据需在数据主体的明确同意下并在未成年人全面保护的前提下处理。

同意是LGPD中重要的法律基础之一。同意需为自由、知情且明确的意愿表示,数据主体同意是为了同意数据处理。如同意用于特定目的,同意需针对该目的做出。敏感个人数据的处理需基于数据主体的专门同意。同意需以书面或其他形式记录,并可随时通过简便程序撤回。撤回同意不影响基于其他法律基础进行的数据处理的合法性。

跨境数据传输在LGPD下受到约束。巴西允许向境外传输个人数据的前提条件包括:目的地国或国际组织被ANPD认定为提供充分保护水平;数据控制者提供符合GDPR标准合同条款规定的合同保证;采用标准合同条款;使用具有约束力的公司规则;使用经ANPD认证的印章、证书和行为准则;根据国际法提供的司法合作;以及保护数据主体生命或人身安全等特定目的。LGPD的充分性认定机制借鉴了GDPR的类似制度。

数据安全治理是LGPD合规的持续性要求。数据控制者和处理者需采取安全、技术和行政措施保护个人数据免遭未经授权的访问和意外或不当的破坏、灭失或变更。ANPD可就技术标准发布具体指南。控制者需记录数据处理活动,编制数据处理记录。发生数据泄露后,控制者需在合理期限内通知ANPD,说明泄露性质和影响范围。如泄露可能对数据主体造成风险或损害,还需通知数据主体。

数据保护影响评估是高风险管理场景下的强制要求。GDPR的数据保护影响评估工具被LGPD继承。DPIA需记录数据处理活动的类型、范围、背景和目的,评估对数据主体自由和权利的潜在风险,以及处理这些风险的措施。DPIA需以ANPD制定的格式进行并提交ANPD。

隐私设计与默认隐私是LGPD倡导的数据保护方法论。隐私设计与默认隐私要求从系统设计阶段就将数据保护嵌入产品和服务的全生命周期。LGPD鼓励采用假名化和匿名化等技术手段减少数据保护风险。隐私设计方法论覆盖数据收集、使用、存储和处置的全部环节。

北京企密安为企业提供LGPD合规服务。方案涵盖合规差距评估、数据处理记录编制、LGPD数据保护影响评估实施、跨境数据传输合同设计、数据保护官培训和ANPD沟通支持。如有需要,欢迎联系北京企密安:010-63711822,或访问baomiwang.com详细了解。

FAQ

问:LGPD的罚款金额上限是多少? 答:每次违规最高罚款为巴西企业集团在巴西认定的年营业额的2%,且单次处罚上限为5000万雷亚尔。此外还可采取数据封锁、删除或暂停数据处理活动等附加处罚措施。

问:LGPD是否要求指定数据保护官? 答:是的。LGPD要求数据控制者任命数据保护官,负责数据保护合规、处理数据主体请求以及与ANPD沟通。数据保护官需具备数据保护法律和实践知识。