2020 年 9 月,巴西颁布了全面的新数据保** lgpd。这部全面的法律统一并更新了 40 多项个人数据法,明确了在巴西开展业务的公司的合规要求。
在欧盟开展业务的公司发现 lgpd 与欧盟 gdpr(通用数据保护条例)之间存在相似之处。尽管有这些共同点,但仍存在重要差异。在这两个地区运营的公司不得假设其欧盟数据保护实践可以保证 lgpd 合规性。通过了解 lgpd 和 gdpr 之间的细微差别,公司可以确保巴西的合规性,并避免巨额罚款和处罚。
继续阅读,发现 lgpd 和 gdpr 立法之间的八个主要区别和相似之处。
虽然 gdpr 提供了 个人数据的精确定义 ,但 lgpd 的定义 更为广泛。lgpd 将个人数据定义为“有关已识别或 可识别自然人的信息”。这个广泛的定义包括但不限于:
名称。健康、遗传和生物识别数据。
网络数据,包括 ip 和电子邮件地址。
政治观点。性取向。
由于 lgpd 对个人信息的定义很广泛,因此在巴西运营的公司不能依赖与他们使用的相同标准来满足 gdpr 标准。相反,他们的法律团队必须仔细审查 lgpd 对个人数据的定义,以确保其符合规定。
缺乏法律资源来解释 lgpd 技术细节的公司应依赖第三方全球合规专家。通过向专家求助,这些公司可以放心地遵守巴西的新法律,而不会分散团队成员的核心职责。
根据 lgpd 和 gdpr,术语“用户”是指公司收集数据的任何人。这两项法律都要求公司提供证据证明每个用户同意分享其个人信息。这意味着公司必须对其收集数据的每种情况进行彻底记录,包括但不限于:
时事通讯或邮件列表注册。
账户登记表。
联系**提交。
cookie 接受选择加入。
此外,lgpd 要求公司“自由、知情且明确”地提供这些同意书。换句话说,选择加入的语言必须清楚地表明用户选择与公司分享他们的信息。
为了存储数字用户选择加入表单的全面目录,并确保这些表单上的语言清晰易懂,公司必须依靠其 it 和法律团队。与解释个人数据定义一样,没有能力建立和维护此记录保存系统的公司可以聘请第三方国际合规专家。
lgpd 与 gdpr 一样, 保护巴西的每一位用户,即使该用户来自其他国籍,并且仅在暂时居住在巴西期间接受数据收集。此外,如果一家公司收集任何巴西用户的数据,无论该公司位于何处,都将受到 lgpd 监管。
这些 lgpd 要求严格遵循 gdpr 的先例,gdpr 保护任何公司的欧盟用户信息,无论该公司是否位于欧盟。
gdpr 和 lgpd 都允许公司将数据传输到第三方国家——只要接收国拥有提供“足够保护水平”的数据保护系统。
根据 gdpr,欧盟委员会负责确定一个国家的数据保护是否“充分”。同样,巴西创建了 anpd(autoridade nacional de protecao de dados) 来决定一个国家是否提供“足够”的数据保护水平。
尽管并不总是需要 anpd 批准(例如在一般情报机构或执法实体之间传输数据时),但企业几乎总是必须获得同意。因此,将在巴西收集的数据传输到另一个国家的公司必须花费时间来确保新国家符合 anpd 的保护标准。
当第三方攻击损害用户数据时,对于用户和存储其信息的公司来说,结果都是灾难性的。这就是 gdpr 和 lgpd 都要求公司迅速披露数据泄露事件的原因。
gdpr 要求公司在 72 小时内报告违规行为,而 lgpd 则 要求公司“在国家当局规定的合理时间内”通报违规行为。由于“合理的时间段”含糊不清,希望谨慎行事的公司应尽快与巴西 anpd 沟通。
lgpd 和 gdpr 均要求公司 遵守 dpia (数据保护影响评估)。dpia 是当局用来确保公司正确识别风险并保护用户信息的工具。gdpr 和 lgdp 下的数据保护影响评估之间的主要区别在于当局如何发布评估。
gdpr 规定了发布 dpia 的具体情况。这些情况大多数都围绕着异常大规模或对用户具有潜在侵入性的数据处理。另一方面,lpd 赋予 anpd 广泛的权力,可以自行决定发布 dpia。
面临 anpd 的 dpia 请求的公司必须至少提供 以下信息:
收集到的数据摘要。
公司如何收集数据。
公司采用了哪些安全措施来保护数据和用户隐私。
与保存用户同意记录一样,公司必须调整其法律和 it 团队以满足数据保护影响评估的要求。
gdpr 和 lgpd 都要求公司任命一名 dpo(数据保护官)。根据这两项法律, dpo 的职责包括:
充当用户的联络人,接受投诉、回答问题并采取相关措施。
监督公司代表(从全职员工到独立承包商),以确保他们合规地处理用户数据。
与 anpd 保持联系并实施 anpd 建议的安全措施。
尽管有相似之处,但在巴西运营的公司必须满足比在欧盟运营的公司更严格的 dpo 要求。gdpr 要求每家主要关注“需要大规模定期和系统监控的处理操作,或处理大规模特殊类别数据”的公司都必须有 dpo。
简而言之,gdpr 要求公司仅在数据处理是核心功能时才雇用 dpo。然而,根据 lgpd,每家公司都必须任命一名 dpo——无一例外。
好消息?lgpd 允许公司雇用巴西境外的 dpo。因此,资源丰富的公司转向国际市场聘请第三方数据专家,为他们的需求提供正确的价值和专业知识。
有意在巴西开展业务的公司如果不遵守 lgpd 或 gdpr,将面临严厉的处罚。然而,不合规的具体后果根据每项法规而有所不同。
gdpr 的处罚上限为全球年收入的 4% 或 2000 万欧元,以较高者为准。另一方面,lgpd 的罚款上限为巴西实体一个财政年度收入的 2%。lgpd 的罚款将不超过 5000 万雷亚尔,即约 940 万美元。
关于 iPhone 15,一些数据线 充电器 手机壳的使用体验分享!
hello 我是你们的der 得儿 一个爱好数码 喜欢谈论时事热点,挖掘性价比东西的宅,der友们点个关注叭!不知不觉又到了 月,很多小伙伴私信 der 有没有什么好物分享,毕竟最近的折扣力度还是蛮大的。有的小伙伴换了 iphone ,不知道买啥 c 口数据线好 有的小伙伴觉得充电发热,想换个不那么...
数据隐私与数据安全,哪个你更关心?
数据隐私与数据安全 区分数据隐私与数据安全可能具有挑战性。在决定是投资数据隐私还是数据安全之前,业务经理必须能够区分这两者。检查这些原则以及支持它们的策略 流程和技术,以确保你的客户和员工委托给你的企业的数据在其整个生命周期中得到适当的处理和保护。这将有助于防止恶意或无意的误用或丢失数据。这篇文章将...
《战地2042》数据突破新高,关于PS5pro硬件规格的独家爆料
近日,战地 在steam的 玩家人数峰值突破了万,达到了,人。这一数据仅次于战地首发时的 人数记录,人。这个数据可以说是非常的惊人了。然而,考虑到过去两年里战地在steam的数据并不理想,大多数月份的 人数峰值都低于万,特别是在首发番之后,仅仅四个月后 人数就跌了一大半。幸好,游戏发行商ea并没有直...