人数据,已经有很多讨论,例如存储在地方当局管理的数据库、官方出版物和公共记录中的信息,或数据主体自己明确公开的信息,例如社交媒体平台上的个人资料。
LGPD 通过以不同方式处理这些情况并施加限制来处理这些情况,例如将其使用限制在导致披露可公开访问的个人数据的特定目的上。
LGPD 适用于哪些人?
LGPD 第 3 条明确规定该法律适用于:
-
在巴西境内进行数据处理;
-
对位于巴西境内的个人 进行数 据处理,无论数据处理者位于世界何处;以及
-
在巴西收集的数据的数据处理
这意味着 LGPD 不仅为巴西公民提供保护,也为在巴西期间数据被收集或处理的任何个人提供保护。
受监管组织必须记录个人 手机号码数据 数据的所有处理过程,从收集到删除,并提供收集的数据的完整描述,以及收集和处理的目的、数据保留时间以及与谁共享数据。不合规和数据安全事件的责任可能由数据控制者或处理者共同或单独承担。
豁免
以下情况不适用 LGPD:
-
个人信息仅由个人为个人目的而处理;
-
个人信息仅用于新闻、艺术、文学或学术目的;或者
-
个人信息专门用 根据职位要求定制你的摘要或目标陈述 于国家安全、国防、公共安全、犯罪侦查或者处罚活动。
处理的法律依据
在收集和处理个人数据时,相关组织必须建立特定的法律基础。LGPD 列出了十个授权使用个人数据的先例——比欧盟 GDPR 规定的六个多四个。
LGPD(第 7 条)中合法处理个人数据的 10 条法律依据如下:
-
在数据主体同意的情况下,
-
为了遵守控制者的法律或监管义务,
-
为执行法律、法规规定 版权归 手机号码 的公共政策,或根据合同、协议或类似文书规定的公共政策,
-
为了研究机构开展研究,尽可能确保个人数据的匿名化,
-
为了履行数据主体作为一方当事人的合同或与合同有关的初步程序。
同意
值得注意的是,同意是 LGPD 合法处理依据列表中的第一位。对于许多企业来说,这一点尤为重要,因为它影响到网站如何设置 cookie、处理用户数据以及如何与第三方共享这些数据。
LGPD 第 8 条非常明确,同意必须明确,不能通过“通用授权”获得。简而言之,给予的同意必须针对特定目的。
这意味着公司及其运营的网站在允许处理任何个人数据之前必须首先获得数据主体的具体、明确的同意。
此外,数据主体必须能够随时撤回他们的同意,并且必须“以书面或其他方式”来这样做,例如网站上的同意横幅。
公司、组织或网站在处理个人数据时必须提供特定的法律依据。
合法权益
巴西以前的数据保护立法中没有“合法利益”这一法律基础,该法律基础位列榜单第 9 位。该法律基础规定,个人数据可用于数据主体最初授权的目的以外的目的,或数据披露之前的目的。
合法利益在 LGPD 第 10 条中有解释。与 GDPR 规定的合法利益类似,数据控制者必须确定其处理个人数据的具体活动。他们还必须披露保护数据主体权利的方式。
数据控制者必须确保数据主体充分了解其个人数据将被处理,即数据主体必须对数据处理有合理的预期。数据控制者必须展示一定程度的透明度,当数据控制者依赖合法利益时,监管机构可以要求进行隐私影响评估 (PIA)。
ANPD:巴西数据保护局
LGPD 的最终版本于 2019 年 7 月得到巴西总统雅伊尔·博尔索纳罗 (Jair Bolsonaro) 的批准,建立了一个新的数据保护机构,正式名称为 Autoridade Nacional de Proteção de Dados (ANPD)。
ANPD 的核心目标是制定技术标准、宣传 LGPD 及其正确应用、监督和审计、响应数据泄露通知并执行法律的制裁。
ANPD 直接与总统办公室挂钩,下设两个机构 – 董事会,由 5 名具有隐私和数据保护知识和专业知识的成员组成;国家委员会,由 23 名代表政府、民间社会、研究机构和私营部门的成员组成的咨询委员会。