与 GDPR 一样,LGPD 要求个人数据只能在以下情况下传输:
-
至 ANPD 认为具有可接受数据保护水平的县;或
-
在存在 ANPD 认可机制(如标准合同条款)的情况下
LGPD 引入了一系列措施,允许跨境转移个人数据。有趣的是,数据转移接收者甚至可以包括那些被认为没有足够保护水平的国家。新法律允许在数据主体明确同意的情况下跨境转移数据,该同意必须事先给出,并与其他目的和同意要求分开。
如果数据控制者通过合同协
议和标准条款保证其将遵守法 whatsapp 号码数据 律规定的原则、数据主体权利和数据保护制度,则数据也可能被转移。
与GDPR类似,巴西的法律允许通过采用ANPD颁发和授权的印章、证书和行为准则进行转移。
不合规行为的执行和处罚
违反 LGPD 的行为可导致罚款,罚款金额最高可达违规公司年营业额的 2%,最高可达 5000 万雷亚尔(1225 万美元或 1100 万欧元)。ANPD 还可以在执 集思广益,打造成就驱动的内容 行通知中包括屏蔽或删除与违规行为相关的数据的命令。在某些情况下,ANPD 可能会发出警告。
通知
与 GDPR 不同,巴西的新法律在通知方面相当模糊。LGPD 第 48 条规定,违规通知必须“在国家当局规定的合理时间内”提交。
通知必须至少包含以下信息:
-
受影响的个人数据的性质描述
-
有关所涉 版权归 手机号码 数据主体的信息。
-
所采用的安全措施说明。
-
事件引发的风险。
-
沟通延迟的原因(如果有)。
-
已经采取或将要采取的措施。
ANDP 将核实违规行为的严重性,如有必要维护数据主体的权利,可命令数据控制者采取措施,扭转或减轻违规行为的影响。
结论
毫无疑问,LGPD 为数据保护提供了一个全新的法律框架,远远超出了巴西之前基于行业的立法。新法律涵盖了影响该国居民的所 有数据收集和处理的规定,并且很可能基于 LGPD 与 GDPR 的相似性与欧盟达成充分性决定。
新的数据保护法必然会给企业带来冲击,企业需要为此付出财务成本和资源才能达到合规要求。不过,也有一些好消息……
已经完成遵守 GDPR 所需工作
的公司和组织很可能已经以符合 LGPD 的方式运营。
也就是说,受影响的公司应在 2020 年 8 月 16 日之前咨询自己的数据隐私从业者和法律顾问,以确保他们遵守巴西的新法律。
注意:本文仅供参考,不构成法律或专业建议。数据隐私小组建议企业在准备遵守数据保护和隐私法时,聘请经验丰富的数据隐私/数据保护从业人员以及法律顾问。