巴西《通用数据保护法》(Lei Geral de Proteção de Dados,简称LGPD)于2018年8月14日正式通过,并将于2020年2月15日正式生效。LGPD为巴西的法律框架带来了迫需阐述的说明,被称为巴西版的“欧盟《通用数据保护条例》(GDPR)”。LGPD试图通过替换某些法规和补充其他法规,整合目前管理线上和线下个人数据的40多个不同的法令和法规。这种对以前互不相同、时常互相矛盾的法规的整合,为LGPD与巴西获得启发的GDPR之间的相同点之一。
另一个相同点则是LGPD适用于处理巴西境内自然人的个人数据的任何企业或组织,不管该企业或组织本身可能位于何处。因此,在巴西有任何顾客或客户的公司应该开始着手LGPD合规,如果已经完成GDPR合规,则代表完成了LGPD合规所需的大部分工作。
GDPR与LGPD之间的相同点:
除了其域外管辖效力以外,LGPD和GDPR在数据保护方面,就以下若干基本问题达成一致。
1.个人数据
尽管LGPD对“个人数据”没有唯一定义,但LGPD原文中能看到GDPR对“个人数据”定义的影子。LGPD在不同地方表明,个人数据可以指任何单独或与其他数据相结合的数据,能识别一个自然人或对其进行特定处理。虽然该定义可能会随着巴西即将实施LDPG而得以阐明,但LGPD对哪些数据属于个人数据的理解更为广泛,甚至比GDPR还要广泛。
2.数据主体权利
LGPD第18条是LGPD中对于已做好GDPR合规的企业来说看似熟悉的另一部分,阐明了数据主体所拥有的的九项基本权利,包括:
(1)有权确认存在数据处理;
(2)有权访问数据;
(3)有权纠正不完整、不准确或过时的数据;
(4)有权匿名、拦截或删除不必要或过多的数据或未按照LGPD处理的数据;
(5)有权通过明示请求将数据转移至另一个服务或产品的提供者;
(6)有权删除经数据主体准许处理后的个人数据;
(7)有权知晓数据控制者与之共享数据的公共或私人实体;
(8)有权知晓拒绝准许的可能性及拒绝后果;
(9)有权撤回准许。
虽然GDPR以赋予数据主体八项基本权利而众所周知,但它们本质上与LGPD提到的权利相同。LGPD似乎将“有权知晓数据控制者与之共享数据的公共或私人实体”从GDPR更通用的“知情权”中分离出来,使之更清晰明了。
LGPD与GDPR之间的区别
尽管LGPD和GDPR的目标相似,而且GDPR对巴西立法者有着明显影响,但这两者之间仍有值得注意的关键区别。
1.数据保护官
两项立法都要求企业或组织设立一名数据保护官(DPO)。然而,尽管GDPR概述了何时需要数据保护人员(DPO),而LGPD第41条仅作简要表述:“数据控制者需任命一名人员负责数据处理”,这意味着处理巴西人民数据的任何组织都需要聘用一名数据保护官(DPO)。这是另一个可能会得到进一步阐明的领域,但这是LGPD比GDPR少数更严格的领域之一。
2.数据处理的合法性依据
LGPD和GDPR之间最显著的区别,可能为对满足数据处理的法律依据资格的规定。GDPR规定了六项数据处理的合法性依据,数据控制者必须选择其一作为使用数据主体信息的理由。但是,LGPD在其第7条中列出了十项,分别是:
(1)获得数据主体的同意;
(2)为遵守数据控制者的法律或监管义务;
(3)为执行法律或法规规定的,或以合同、协议或类似法律文件为依据的公开政策;
(4)为在由研究实体开展的研究中,其研究将尽可能确保个人数据的匿名化;
(5)为应数据主体要求,执行与数据主体为其中一方的合同有关的合同或预备程序;
(6)为行使司法、行政或仲裁程序中的权利;
(7)为保护数据主体或第三方的生命或人身安全;
(8)为在由卫生专业人员和卫生实体开展的过程中保护健康;
(9)为实现数据控制者或第三方的合法权益,除了在数据主体的基本权利和自由(需要个人数据保护的)更为重要情况下;
(10)为保护信用(指信用评分)。
3.通报数据泄露
尽管GDPR和LGPD都要求组织(数据控制者)向当地数据保护当局通报数据泄露情况,但两者对具体程度的要求差别很大。GDPR要求更为明确:“组织必须在发现个人数据泄漏后72小时内通报该数据泄露情况(尽管不同组织已经在测试这个截止时间)”。
LGPD并没有规定任何确定的截止时间,其中第48条仅规定“数据控制者必须在国家当局规定的合理时间期限内,向国家当局和数据主体通报可能对数据主体带来风险或相关损害的安全事件的发生。”由于巴西国家数据管理局目前尚未成立,因此对于什么是“合理时间期限”暂无指导。
罚款
与GDPR相比,LGPD规定的罚款则要轻得多。LGPD第52条规定违规的最高罚款是“巴西私有法律实体、团体或企业集团上一财年的税收收入(不含税)的2%,最高不超过5000万雷亚尔”(合算约1100万欧元)。对于不那么严重的违规行为,LGPD的罚款与GDPR相一致,但1100万欧元将不会影响到世界上最大的数据处理方。
本新闻由广东省WTO/TBT通报咨询研究中心摘录/编辑/整理并翻译,转载请注明来源。
更多详情请见:https://gdpr.eu/gdpr-vs-lgpd/
关注“广东技术性贸易措施”,获取更多服务。
| 最新动态 | 专题研究 | 法律法规库 | 通报与召回 | 资料室 | 培训及评议 | 关于我们 |
|---|---|---|---|---|---|---|
| 国外资讯 国内资讯 工作动态 预警信息 消费警示 | 广东省检测认证服务内外贸一体化发展平台 国外计量 产品伤害监测 新冠疫情防护用品 贸易摩擦 一带一路 食品接触产品 机电能效法规 碳标签 欧盟环保指令 REACH法规资讯 | 美国联邦法规 欧盟法律法规 其他法律法规 | TBT通报 SPS通报 召回与扣留 | 技术性贸易措施信息快讯 TBT通报和欧美召回季度简报 贸易技术壁垒参阅 出口指南 翻译资料 | TBT通报评议会专题培训基础知识普及视频培训案例分析一问一答 | 广东省WTO/TBT通报咨询研究中心 意见反馈 |
粤公网安备 44010602010620号