Lei Geral de Proteção de Dados或英语通用数据保护法（LGPD）是规范个人数据收集和使用的法律框架。该法于2020年8月16日在巴西生效。该法由国家数据保护局（ANPD）通过并将强制执行。

LGPD不是南美洲第一部或唯一一部数据隐私法，但它可能是该地区宣传最好的一部。LGPD受到欧盟《一般数据保护条例》（GDPR）的影响，并根据GDPR的参数扩大了其在某些领域的覆盖范围。ANPD也将有助于其参数的演变。

巴西的一般数据保护法（LGPD）是什么？

《通用数据保护法》（LGPD）（葡萄牙语）是巴西的一项联邦法律，旨在统一40项现有法律，以规范个人个人数据的处理。该法案于2020年9月18日通过，并被追溯，于2020年8月16日生效。处罚于2021 8月1日生效，数据主体和公共机构可以自2020年9.18日起强制执行其权利。

LGPD由65篇文章组成。第17-22条涉及数据主体的权利，即其数据被收集和/或处理的主体，因此主要是个人或自然人。它有10个处理个人数据的法律依据，比GDPR多4个。

第2条列出了个人数据保护的法律基础：

1. 尊重隐私
2. 信息自主
3. 言论、信息、通信和意见自由
4. 亲密、荣誉和形象的不可侵犯性
5. 经济和技术发展与创新
6. 自由企业、自由竞争和消费者保护
7. 人权、人格自由发展、尊严和自然人行使公民权

巴西的一般数据保护法适用于谁？

根据第3条，LGPD适用于在巴西进行的任何数据处理，目的是提供货物和服务或处理数据，或位于巴西的人员。处理手段不相关。

LGPD涵盖任何自然人或公共或私人法律实体（通常是企业或组织）进行的数据处理。进行数据处理的组织不必在巴西有实体存在或总部设在那里。只有当数据主体位于那里并且处理在那里进行时，这才重要。这一治外法权部分在国际隐私法中是常见的。

巴西一般数据保护法范围的例外情况

第4条概述了LGPD不适用的情况。当处理个人数据时会出现这种情况：

1. 由自然人专门为私人和非经济目的执行
2. 仅用于新闻、艺术和/或学术目的
3. 仅出于公共安全、国防、国家安全或刑事犯罪调查和起诉的目的进行
4. 源于巴西境外，不是与巴西数据处理代理通信或共享的对象，也不是与原产国以外的其他国家进行国际传输的对象（前提是原产国提供合理程度的数据保护）

根据巴西的一般数据保护法，消费者的权利是什么？

第18条概述了个人数据主体与控制者相关的权利：

1. 以确认其个人数据正在处理中
2. 为了访问他们的个人数据
3. 更正不完整、不正确或过时的个人数据
4. 匿名化、阻止或删除任何不必要、过多或不合规的个人数据
5. 请求数据控制器将其个人数据移动到另一个服务或产品提供商（数据可移植性）
6. 删除其个人数据（第16条概述的例外情况除外）
7. 获得与谁共享的公共或私人实体的信息，以及他们的个人数据是如何共享的
8. 获得有关其不同意处理其个人数据的权利以及拒绝的后果的信息
9. 撤销对处理其个人数据的同意

巴西通用数据保护法的关键定义

第5条概述了LGPD中的重要定义。这些定义是一些最重要或经常引用的定义。

个人资料

与（从或关于）已识别或可识别自然人相关的信息。

敏感个人数据

可用于识别个人身份的个人数据，以及与“种族或族裔出身、宗教信仰、政治观点、工会隶属关系或宗教、哲学或政治组织、健康或性生活数据、遗传或生物特征数据，如果与自然人相关联”相关的个人数据。（广义上，个人数据如果被滥用，会造成更大的伤害。）

处理

对个人数据执行的任何操作，如“信息的收集、制作、接收、分类、使用、访问、复制、传输、分发、处理、归档、存储、删除、评估或控制、修改、通信、传输、传播或提取”

数据主体

数据正在被处理的自然人或个人。

控制者

一个自然人或法人，无论是公共还是私人（因此可以指公司或其他组织），对个人数据的处理做出决策。

操作者

代表控制人处理个人数据的自然人或法人，公共或私人（因此可以指公司或其他组织）。在一些其他法律中称为“数据处理器”。

数据的共享使用

“公共机构和实体根据其法定权力，或在这些公共实体和私人实体之间，经特定授权，针对这些公共实体允许的一种或多种处理方式，或在私人实体之间进行通信、传播、国际传输、个人数据互联或共享个人数据库处理”。

国际转让一直是一个重要问题，因为各国在数据保护方面缺乏充分的协议。共享使用对于通过销售数据赚钱的公司也很重要，因为数据主体通常必须在与第三方共享数据或将数据出售给第三方之前获得同意。

匿名化

这一过程是指“治疗时合理和可用的技术手段”，以从数据中去除可识别的标记，从而“失去与个人直接或间接联系的可能性”。在隐私法下，要求数据不能也不会被非对称化，即再次被识别也是很常见的。

巴西一般数据保护法下的同意定义

第5条概述了LGPD下的关键定义，同意被定义为“数据主体同意为确定目的处理其个人数据的自由、知情和明确表达”。

“自由、知情和明确”也是其他隐私法中有效同意定义的基础。

第8条概述了获得、重新获得和证明收到同意的条件，以及撤销同意的条件。

选择加入与选择退出

LGPD使用用户同意的“选择加入”模式，这意味着在大多数情况下，在用户同意之前，组织无法收集或处理数据​​– 在线购物者、网站访问者、应用程序用户等——同意。这一要求既包括姓名和电子邮件地址等个人数据，也包括网站cookie收集的细粒度和“幕后”数据。

在国际上，其他法律，如欧盟的通用数据保护条例（GDPR）和南非的POPIA也使用这种同意模式。然而，在美国，迄今为止，在州一级（包括加利福尼亚州、弗吉尼亚州和科罗拉多州）已经实施了用户同意的“选择退出”模式。受这些条例约束的组织在收集数据之前无需获得用户同意，但在某些特定情况下除外。他们只需在出售数据之前获得同意（也有一些特定的例外）。

巴西一般数据保护法的法律基础

第7条概述了进行数据处理的法律依据或情况。如前所述，这一数字比GDPR高出10、4个。首先列出的是同意，我们已经看过了。其他一些有效的法律依据包括控制者的法律或监管义务、合同的履行以及对数据主体生命或安全的保护。

完整列表包括：

1. 经数据主体同意
2. 遵守数据控制员的法律或监管责任
3. 公共管理和执行法律、法规或合同中规定的公共政策
4. 用于研究研究（如有可能，匿名）
5. 履行合同
6. 行使巴西法律
7. 为了保护生命或人身安全
8. 由医疗保健或卫生专业人员提供，以保障个人健康
9. 为了数据控制者或第三方的合法利益，除非这会侵犯数据主体的法定权利
10. 为了保护信用评级

巴西一般数据保护法中的合法权益

合法权益作为数据处理的法律基础在其他隐私法下已经很流行，因为这可能意味着控制人和其他人的工作量减少-例如，无需获得和管理同意。还应注意的是，LGPD下数据处理的10个法律基础并没有按等级列出，最合适的一个应根据具体情况决定。合法利益不应该是第一选择或最后手段。

合法利益是什么意思？

一般而言，合法权益是指以合理预期（通常由数据主体）的方式使用个人数据，有利于控制者和主体，但不是法律要求的。“利益”是一个非常宽泛的术语，可以包括从商业利益到公共利益的任何东西。

LGPD下的合法权益（第10条）将在几个广泛的条件下适用：

1. 数据处理有明显的好处，但不是法律要求的
2. 处理侵犯数据主体隐私的风险很小
3. 数据主体可以合理预期其数据的使用

组织不能仅仅为了自身的便利而要求合法利益作为其法律依据。处理确实需要用于定义的目的，并且需要额外的透明度。使用合法权益需要平衡数据主体的权利与数据控制器（以及可能的第三方）的利益。

合法利益的概念在巴西不如在欧盟成熟，因此正在讨论什么是合法利益以及在什么情况下适用合法利益。自法律起草以来，人们一直担心数据控制器的合法权益是“全权委托”。

在决定将合法权益作为数据处理的法律基础之前，有一个由三部分组成的测试被认为是最佳实践：

1. 目的测试（什么是合法权益）
2. 必要性测试（是否为确定的目的进行必要的处理）
3. 平衡测试（个人/数据主体的兴趣是什么）

合法利益和数据保护影响评估（DPIA）

LGPD使ANPD有能力要求数据控制员在控制员选择的法律依据是合法利益时编制数据保护影响评估/报告（第38条）。这是为了识别和减轻处理的风险。处理的风险可能不高于需要同意的风险。但如果没有必要通知用户获得同意，则不必对用户保持同样的透明度。

在这种情况下，DPIA是否是正确的机制，或者合法利益评估是否更好，存在一些争议。

巴西一般数据保护法规定的公司责任

对于组织来说，隐私法何时生效的关键问题涉及到它适用于谁，以及合规的条件是什么。

第6条规定了LGPD的数据处理原则：

1. 目的：为数据主体的合法、具体、明确和知情目的进行处理，无需额外处理
2. 充分性：根据处理活动的上下文，处理与数据主体已被告知的目的兼容
3. 需求：处理活动限于实现其目的所需的最低限度，相关数据的全面性与所述处理目的成比例
4. 免费访问：保证数据主体就其个人数据的完整性以及处理活动的形式和持续时间进行免费和轻松的咨询
5. 数据质量：根据需要并为实现其处理目的，保证受试者数据的准确性、清晰度、相关性和更新
6. 透明度：只要商业和工业机密得到保护，数据主体就可以获得有关处理和相应处理代理的清晰、准确和易于获取的信息
7. 安全：技术和管理措施用于保护个人数据免受未经授权的访问、意外或非法破坏、丢失、更改、通信或传播
8. 预防：采取措施防止因处理个人数据而造成的损害
9. 不歧视：加工活动不得用于非法或滥用歧视目的
10. 责任和问责：采取有效措施证明遵守和遵守个人数据保护规则，包括此类措施的有效性

总的来说，公司的责任是相当标准的。在收集任何数据之前，确保为数据处理确立明确的法律目的，以及这样做的法律依据。仅收集和处理绝对需要的数据，并且仅用于规定的目的和所需的时间。必须安全地收集、访问和存储数据。数据主体有权知道他们的哪些数据被处理，如何处理，由谁处理，并有权同意或拒绝。他们也有权访问收集的任何数据，确保数据的准确性，或要求删除数据。无论进行数据处理的组织位于何处，位于巴西的数据主体和在巴西进行的数据处理都需要遵守法规。

数据保护干事（DPO）

LGPD要求组织通过设计实现隐私，而数据保护官员是这些活动的关键。每个数据处理控制者（但不是处理者）都必须指定一名DPO，他们负责确保组织的义务得到履行。

第40条规定了对数据保护官员的要求。根据行政命令，DPO不再需要是自然人，因此可以由一个委员会或小组履行，或由组织外包。法律没有规定有关公司规模、业务性质或数据处理的规范，也没有规定DPO的要求。然而，ANPD可能会随着时间的推移对此进行细化。

根据第41条，DPO的身份和联系信息必须公开。他们不必持有任何特定的证书或具有特定的经验，尽管这在未来也可能发生变化，一些证书或经验可能会使他们更容易履行职责。

DPO与数据主体联络，接收他们的通信或投诉，并向他们提供信息或采取影响他们的措施。他们还接收国家当局ANPD的通信并为其采取措施。

DPO确保组织的员工和相关第三方（如承包商）接受数据处理要求和安全措施方面的培训，并对其进行维护。他们通常也执行ANPD要求的其他职责。

数据传输

LGPD下的数据传输要求和责任与GDPR下的类似。第33条概述了何时可以在国际上传输数据。如上所述，LGPD的范围是域外的，因此，如果数据处理时数据主体在巴西境内，即使处理发生在巴西境外，LGPD也适用，并且数据传输被视为已经发生。

组织可以在以下条件下将个人数据转移到巴西境外（例如用于处理）：

1. 对ANPD可接受的个人数据提供适当程度保护的国家或组织
2. 控制人提供并提供符合LGPD原则和数据主体权利的合规保证，包括合同条款
3. 根据国际法，公共情报、调查和起诉机构之间的国际法律合作需要移交时
4. 当需要传输以保护数据主体或第三方的生命或人身安全时
5. 当ANPD授权传输时
6. 当存在允许转移的国际合作协议时
7. 当需要转移以执行公共政策或公共服务的法律归属时
8. 当数据主体事先知情同意转让及其特定目的时
9. 当需要满足第7条第二、五和六项的条件时

在ANPD完全运行并审查了LGPD的许多条件之前，公司可能仅限于数据传输条件（或仅使用两种推荐条件）：具体和知情同意或执行传输的必要性。LGPD下还有其他转让机制，但上面列出的是与经营过程中的公司相关的机制。

报告数据泄露

如果发生数据泄露，如果可能或已经对数据主体造成风险或伤害，则控制者必须在“合理”的时间范围内向ANPD报告。2021的ANPD指南表示，必须在收到事件信息后的两个工作日内传达这些信息。第48条涵盖了个人数据安全事件。

向ANPD发出的通知必须包括：

1. 受影响个人数据的性质说明
2. 有关涉及的数据主体的信息
3. 关于已采取的安全措施的信息
4. 事件造成的风险
5. 通信延迟的原因（如有）
6. 已采取或将要采取的解决违约和防止再次发生的措施

负责数据的人员或公司必须评估事件，并确定受影响数据主体的性质、类别和数量。

ANPD将核实事件的严重性，并可在必要时命令控制员采取措施保护数据主体的权利，包括向媒体广泛披露事件，或采取措施减轻或扭转事件的影响。

ANPD可能会为小企业、初创企业和类似企业的LGPD发布特殊规则和豁免，这将为向ANPD和数据主体传达安全事件，或响应数据主体或ANPD请求的截止日期等事项提供一定的灵活性。

巴西的一般数据保护法与儿童

LGPD与许多隐私法一样，对儿童及其数据有特殊规定（第14条）。这符合巴西其他法律和《宪法》中关于保护儿童的规定。根据LGPD，儿童是18岁以下的任何人。

可以处理儿童的数据，但必须考虑到他们的最大利益，在开始这些活动之前，所有处理活动都需要父母同意（或法定代表人同意）。

控制器必须以清晰和可访问的方式提供有关所请求数据的信息，并说明数据收集和使用的目的。控制人还必须做出合理努力，利用现有技术，验证父母或法定代表人是否提供了同意。

儿童数据处理的父母同意条件与成人相同——自由、知情、明确、具体和出色。在使用在线应用程序、游戏或其他类似活动时，不能要求儿童提供超出严格必要范围的个人信息。

该要求的一个部分例外情况是，需要在同意前收集数据，以便能够联系父母或法律代表，以获得对儿童数据处理的同意。数据只能使用一次，未经同意，不得存储或与第三方共享。

巴西一般数据保护法下的后处理活动

终止数据处理

第15条概述了何时应终止处理个人数据。这包括以下情况：

1. 处理的特定目的已经实现，或者不再需要数据来实现
2. 处理周期结束
3. 数据主体提供通知，以行使其撤销处理许可的权利
4. ANPD确定存在违反LGPD规定的情况

删除个人资料

根据处理的终止，第16条涵盖了删除收集的个人数据。一般而言，个人数据必须在处理结束后删除。当数据未立即删除时，例外情况如下：

1. 遵守控制人的法律或监管义务
2. 对于研究，确保尽可能匿名
3. 转让给第三方，前提是遵守相关法律要求
4. 如果数据是匿名的，并且没有第三方访问，则由控制器独家使用

巴西一般数据保护法下的处罚和执法

ANPD负责评估违反LGPD规定的行为和处罚。这些处罚可包括对该组织在巴西的年收入的2%的罚款，每次违规最高可达5000万巴西雷亚尔（800-900万欧元或900-1000万美元）。

ANPD还可以阻止对数据的访问或进一步的数据处理，或要求删除收集的个人数据。个人确实拥有私人诉讼权，即对侵犯隐私行为提起诉讼并寻求民事赔偿的权利。

修复数据主体的损坏

根据第42条，如果控制人或运营商违反了有关保护个人数据的法律（“财产、道德、个人或集体损害”），他们有义务对其进行修复。如前所述，如果数据相关安全漏洞对个人数据主体造成损害，个人数据主体也可以提起诉讼要求赔偿损失。

如果违规行为损害了数据主体，则控制者是最有可能承担损害赔偿责任的一方。然而，当运营商未能遵守数据保护义务，或未遵守控制者的指示时，他们“与控制者共同承担处理造成的损害的连带责任”。

结论

巴西的一般数据保护法是相当新的，但它在GDPR和巴西现有法律的影响下有着良好的基础。它的权威机构ANPD也将在帮助法律成熟和发展方面发挥重要作用。

当然，技术在不断发展，法律也必须随之发展。第三方cookie的未来、国际贸易、儿童保护和其他考虑因素现在很重要，并将继续受到关注。

组织将需要优先遵守隐私优先设计，同时兼顾收入目标和建立客户关系。违规风险巨大，大多数公司无法承受数百万雷亚尔的罚款。

幸运的是，有同意管理平台等工具可以帮助公司导航LGPD要求并将其传达给用户。

如果您对LGPD如何影响您的业务或网站和应用程序的许可管理有疑问，我们很乐意为您提供帮助。

本文：https://cioctocdo.com/brazils-general-data-protection-law-lei-geral-de-…