《巴西通用数据保护法》(第13709号法律)The General Data Protection Law (Law No. 13,709)(Lei Geral de Proteção de Dados ,简称 "LGPD")是巴西的主要个人数据保护立法。"LGPD"于2018年8月颁布,并于2020年9月18日生效。
Q1
什么是个人数据?
A1
个人数据(Personal Data)是指与已识别或可识别的自然人有关的任何信息("LGPD"第5条第I款规定),例如姓名、地址、电话号码、税号等都是与可识别的人有关的个人数据。匿名数据(Anonymysed Data)不受"LGPD"的约束,在未经匿名化或者通过合理努力可以逆转的情况下,不被视为个人数据。
Q2
"LGPD"中的关键数据保护原则有哪些?
A2
(1)目的限制:目的应合法、特定和明确,并告知数据主体,后续处理不得与目的无关;
(2)处理的合法依据:个人数据操作的每一次处理只有在符合"LGPD"第7条或第11条规定的假设之一的情况下才能发生,这些假设被称为处理的合法依据。
(3)必要性原则:数据的处理必须符合相关性、比例适当且不过度;
(4)自由访问原则:数据主体可免费查询数据处理的方式和时长,以及其个人数据的完整性;
(5)透明度原则:保证数据主体对其个人数据处理及相关处理方的清晰、准确、易于访问的信息,受商业和工业秘密保护;
(6)安全性原则:采取适当的技术和行政措施,保护个人数据免受未经授权的访问、意外或非法的破坏、丢失、更改、通信或传播;
(7)预防性原则:采取预防个人数据处理损害的措施;
(8)非歧视原则:禁止出于非法或滥用的歧视目的。
Q3
负责数据保护的监管机构是什么?
A3
巴西国家数据保护局(The Brazilian National Data Protection Authority,简称"ANPD")于2018年12月28日成立。ANPD由五名专员组成。
在实践中,巴西的其他政府部门也通过行政程序或诉讼来执行保护个人的隐私权,如巴西消费者保护和辩护部(Department of Consumer Protection and Defense)和负责消费者权利的巴西公共检察官办公室。
Q4
数据控制者是否需要向监管机构注册?
A4
根据巴西法律,目前数据的处理活动没有登记要求,无需向国家数据保护局ANPD注册。
Q5
什么情况下需要通知监管机构ANPD(巴西国家数据保护局)?
A5
(i) 对数据主体造成风险或实质性损害;
(ii) 对数据主体的国际数据传输的保障发生变化,包括以下形式:
a. 特定传输的具体合同条款;
b. 标准合同条款;
c. 全球企业规则;
d. 定期发布的证书和行为准则。
Q6
巴西的个人数据主体具有哪些关键权利?
A6
a. 确认数据处理的存在;
b. 访问数据;
c. 更正不完整、不准确或过时的数据;
d. 对无必要或过多处理的数据进行匿名化、屏蔽或删除,或者处理未遵守"LGPD"规定的数据;
e. 在符合商业和工业保密以及 ANPD 进一步规定的前提下,应要求将数据转给另一家服务或产品提供商;
f. 删除经数据主体同意处理的个人数据,但 "LGPD" 规定的情况除外;
g. 数据控制者与之共享数据的公共和私人实体名称的信息;
h. 有权拒绝给予许可以及获得相关后果的信息;
i. 撤销同意。
Q7
什么是数据保护专员data protection officer (DPO)?
A7
LGPD 明确规定,任命数据保护专员data protection officer (DPO)对数据控制者来说是强制性的,无论数据处理活动的数量、类型或相关性如何,数据控制者都必须任命一名DPO。在"LGPD“第5条第8款中,DPO被定义为由控制者和处理者指定的人,作为控制者、数据主体和ANPD之间的沟通渠道。
数据保护专员DPO将负责:
a. 受理数据当事人的投诉,就投诉作出澄清并采取措施;
b. 接收来自 ANPD 的通知;
c. 向公司员工和聘用的代理提供有关数据保护最佳实践的指导;
d. 履行控制者指定或适用法规规定的其他职责。
数据控制者在任命 DPO 时应加以考虑:
a. DPO 可以是公司或个人(组织内部或外部);
b. 数据保护团队可为 DPO 提供支持;
c. 数据保护专员应有自由履行职责的自主权;
d. 应通过正式行为(如签署协议或公司文件)任命 DPO;
e. 数据控制者可确定 DPO 的专业资格要求;
f. 单一 DPO 可代表不同实体行事,前提是该 DPO 能够有效行事。
在法规尚未出台之前,无需向 ANPD 通报或登记 DPO 的身份和详细联系信息。
此外,ANPD发布了决议CD/ANPD第2号,确定小型数据处理代理人(例如微型企业、小型企业、创业公司等)无需任命DPO,但这种实践仍然被ANPD鼓励。该决议还为小型数据处理代理人提供了指南,以帮助他们实施保护个人数据的技术和管理措施。
Q8
不遵守数据保护法(包括营销法)会产生什么后果?
A8
(1)不遵守"LGPD"可能导致以下处罚,由ANPD(巴西国家数据保护局)施加:
a. 警告,并指定采取纠正措施的时间段;
b. 对巴西最近一财年内私人法人、集团或企业集团的营业额最高罚款,罚款额度为营业额的2%,不包括税款,每项违规罚款最高为5000万巴西雷亚尔(BRL);
c. 每日罚款,总额不超过b项中提及的最高金额;
d. 在法定程序结束后,将违规行为公开;
e. 禁止处理与违规行为相关的个人数据,直至纠正为止;
f. 删除受到违规行为影响的个人数据。
(2)如果重复违反"LGPD",可能会施加更严厉的处罚,例如:
a. 部分暂停使用数据库长达6个月;
b. 在同一时期暂停个人数据处理活动;
c. 部分或全部禁止数据处理活动。
此外,ANPD发布了关于检查和执行行政程序的CD/ANPD第1号决议。该决议涵盖了检查过程,并规定了ANPD在行政过程中必须遵守的规则和程序,包括制裁的实施。根据MCI,考虑到犯罪者的经济状况以及犯罪严重性与制裁强度之间的比例,违反记录、个人数据或通信处理规则,服务提供商可能会被处以最高相当于巴西企业集团最近一个财政年度营业额10%的罚款,不包括税收。
对于外国公司,位于该国的子公司、分支机构、办事处或机构将共同承担支付上述罚款的责任。尽管如此,MCI规则很少对公司强制执行。
值得一提的是,"LGPD"和MCI的罚款并不能取代其他法律规定的行政、民事或刑事处罚的适用,例如CDC(巴西消费者保护法)下的处罚:
未经消费者同意不当披露个人数据被视为侵犯消费者权利,可能会面临罚款。与消费者权利违规有关的罚款金额从不到5000巴西雷亚尔到2200万巴西雷亚尔不等。
2015年法令45号规定了计算罚款的公式,考虑以下因素:(a)公司的总营业额;(b)公司的经济规模;(c)违规性质;(d)违规带来的利益。
罚款 = 公司规模 +(总收入/12 x 0.01)x(违规性质)x(利益)
CDC还对某些可能构成刑事犯罪行为的行为施加刑事责任(6到12个月的监禁或支付罚款),例如阻止或阻碍消费者访问其信息或拒绝纠正不准确的消费者信息(CDC第72和73条款)。虽然对违反网络安全和数据保护法律的刑事责任的强制执行非常罕见。
《银行保密法》(补充法105/2001)对违反金融业务保密以及向用户提供金融服务的保密行为的行为实施1至4年的监禁和罚款。
在巴西,只有个人可以受到刑事指控(环境犯罪除外)。
Q9
如果跨国组织或企业在巴西处理个人数据信息,应该了解哪些关键信息?
A9
数据处理过程中,必须始终捍卫消费者利益的权利。在法的适用上,巴西法院通常将巴西法律适用于因B2C关系而引起的任何纠纷。同时,格式合同条款应被视为无效,除非在解决发生于巴西的消费纠纷时,向消费者提供选择巴西法院的可能性。
因此,跨国组织在处理该司法管辖区内个人数据时必须考虑并遵守当地的法律、合规要求和个人数据主体的权益,确保数据处理活动合规且不违反当地的法律法规。
本文提供的法律解读仅供参考,是我司工作人员通过法律检索、整理并翻译的巴西律师专家的建议。然而,这些解读不应被视为正式的法律意见或建议。对于本文所提供的信息或读者对其理解的差异,我司不承担任何责任。鉴于俄罗斯法律的动态变化,本文涉及的法律问题的准确性和适用性可能因特定情况的变化而发生改变。最后,未经我们律师事务所明确授权,任何对本文内容的复制、修改、再发表或其他形式的使用均不被允许。
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7层728
编辑/排版:Elina
关注律意,为您带来更多原创好文!
