在经历了立法上的不确定性之后,巴西现已正式颁布了该国第一部通用数据保护法,即“ Le Geral deProteçãode Dados”或“ LGPD”。尽管行政制裁要到2021年8月1日才生效,但个人和检察官现在可以提出损失索赔。实际上,至少已经提起了一项公共民事诉讼。LGPD是拉丁美洲第一个全面的通用数据保护法。它以欧盟的GDPR为蓝本。尽管有很多相似之处,但LGPD确实引入了新概念。以下是需要牢记的一些关键要素。
LGPD何时适用?像GDPR一样,LGPD具有域外效力。一家公司无需设在巴西,也无需拥有其他实体即可适用法律。通常,LGPD适用于组织执行以下任何一项操作:
(i)在巴西处理个人数据;
(ii)处理在巴西收集的个人数据;
(iii)在巴西处理个人数据以提供商品或服务。
LGPD是否向个人提供权利?是。尽管许多权利与GDPR中的权利相似,但LGPD还引入了其他权利。除了类似于GDPR的访问,删除,可移植性权利外,LGPD还赋予人们访问与组织共享个人数据的人员有关的信息的权利。它还要求个人访问有关组织是否拥有特定数据的信息。
传输数据有什么要求?组织可以将个人数据转移到提供“足够水平的数据保护”的其他国家。巴西尚未确定其认为提供适当保护水平的国家。所有其他转移都需要有效的合法转移机制。虽然有几种可用的传输方法,但是组织传输数据的两种主要方法包括:
(1)必须事先取得个人明确同意,并与其他目的和请求分开;
(2)通过诸如具有约束力的公司规则和标准条款之类的合同工具,使该组织遵守LGPD原则,个人权利和巴西数据保护制度。尚无特定的模型条款或语言。
还有其他记录保存要求吗?LGPD要求记录处理要求。“影响报告”也有某些要求。
我们必须任命一名数据保护官吗?视情况而定。要求符合“控制人”资格的公司必须任命一名数据保护官。与GDPR不同,对这个人的资格没有特殊要求。
付诸实践。关于该法律的解释和执行,仍然存在许多问题待解决。巴西的国家数据保护局(ANPD)是负责执行LGPD之下的行政制裁和发布法规的行政机构,目前尚未建立。与此同时,各组织可以开始审查他们的全球隐私项目,以评估合规方面的差距。他们可能希望关注当前权利程序和LGPD下预期的权利之间的差异。
*本文出自SCA安全通信联盟,转载请注明出处。
