2018年8月,即欧盟《通用数据保护条例》(GDPR)成为法律仅三个月后,另一项管理个人数据使用的新法律框架获得批准。
巴西距布鲁塞尔 6,000 英里,人口超过 2.12 亿,被认为是世界上拥有国家数据保护法的人口最多的国家。
该国的新隐私法《一般数据保护法》(LGPD)于 2010 年开始立法程序。当时,巴西已经有 40 多项具有法律约束力的法规,和个人数据。然而,LGPD 将取代和/或补充行业监管框架,该框架经常被批评为相互冲突且缺乏法律确定性。在一个日益数据驱动的社会中,这阻碍了该国在世界舞台上提高竞争力的努力。
经过 8 年的内部辩论和约 18 次修改
LGPD 取代了巴西之前各行各业的零散法规,为线上线下个人数据的使用建立了新的法律框架。将之前分散的法规统一起来只是 LGPD 与 GDPR 的一个相似之处,它显然从 GDPR 中汲取了灵感。
另一个相似之处是 LGPD 的适用范围。新法律适用于 菲律宾数据 收集和/或处理居住在巴西的个人的个人数据的任何企业或组织,无论该企业或组织位于何处。需要明确的是,任何在巴西拥有客户的组织都必须遵守 LGPD。
具有遵守 GDPR 经验的公司具有优势
因为他们已经完成遵守 LGPD 所需的大部分工作。
虽然新法律于今年 2 月生效,但合规期已延长至 2020 年 8 月 15 日。这为尚未合规的企业在 LGPD 强制执行前提供了急需的“宽限期”。
巴西居民的新权利与大多数 突出任何相关奖项或荣誉 其他隐私法一样,巴西的 LGPD 旨在为该国居民保障新权利。新法律扩大了巴西人的基本权利,必须以易于理解和有效的方式予以保障。
该法案还将通过“明确
全面的个人数据使用规定”来促进技术和经济发展。这项全国性的数据保护法有望使巴西加入 120 多个被认为对个人数据使用具有 版权归 手机号码 适当隐私保护水平的国家行列。
对于已遵守 GDPR 的组织来说,LGPD 第 18 条无疑看起来很熟悉。数据主体享有九项基本权利,包括:
-
知情权(确认数据处理的存在和范围);
-
访问数据的权利;
-
与不完整、不准确或过时的数据相关的数据更正权;
-
匿名化、阻止或删除过多或非法处理的数据的权利;
-
有权要求审查仅基于自动化个人数据处理而做出的对数据主体产生某些影响的决定。
个人数据:概念和定义
LGPD 对与可识别自然人有关的“个人数据”的定义十分宽泛。任何数据,无论是单独的还是与其他数据汇总的,都可用于识别自然人或使其受到特定行为的影响。
我们生活在“大数据”时代,大数据允许大型、结构化和非结构化数据源相互关联。现在几乎任何数据最终都可能被视为个人数据。因此,它受数据隐私法的约束。
敏感个人信息
敏感数据是 LGPD 中个人数据的一个子类别,被定义为可能使数据主体遭受歧视性做法的数据。此类数据包括:
-
种族或民族血统;
-
宗教信仰或政治观点;
-
工会或宗教、哲学或政治组织成员资格
-
有关健康或性生活的数据;或
-
能够明确且持续地识别数据主体的数据,例如:
-
基因数据(包括歧视和识别两个方面);
-
生物特征数据。
此类数据应以差异化的方式处理,并附加额外的安全层,并具有不同的法律基础,例如数据主体的明确同意。
-
匿名数据
匿名数据是指在合理的时间、成本和技术手段下无法识别的个人数据。在这种情况下,匿名数据将被视为超出 LGPD 的范围,除非匿名过程可以逆转,或者数据仅用于行为分析。匿名数据主要用于物联网、机器学习、人工智能、智慧城市发展和大型行为分析等领域的技术。