Undang-Undang Perlindungan Data Umum Brasil

Dalam upaya terbaru mereka untuk ketertiban dan kemajuan, Brasil mengesahkan Lei Geral de Proteção de Dados (LGPD) atau Undang-Undang Umum untuk Perlindungan Data Pribadi. Legislatif ini adalah cara untuk melindungi informasi pribadi dan privasi warga Brasil dengan memberikan pedoman tentang bagaimana data tersebut dapat diproses dan dikumpulkan oleh organisasi. (Petunjuk: Hanya dengan izin.) Ini membantu menstandarisasi dan memperjelas lebih dari 40 undang-undang sebelumnya yang berbeda (kadang-kadang bertentangan) yang mengatur data pribadi, dan berlaku untuk bisnis dan organisasi Brasil maupun internasional.

Istilah yang perlu diketahui untuk LGPD Brasil 

• Data Pribadi: Informasi apa pun yang mengidentifikasi atau spesifik untuk individu, seperti nama, nama belakang, nama panggilan, nomor ID, dll.
• Pemegang Data atau Subjek Data: Individu yang data pribadinya dibahas.
• Pengolahan Data: Setiap operasi yang dilakukan menggunakan data pribadi, seperti mengumpulkan, menyimpan, menggunakan, atau mengungkapkan informasi.
• Pengendali Data: Orang yang bertanggung jawab atas keputusan tentang bagaimana data pribadi digunakan atau diproses. Mereka pada akhirnya bertanggung jawab atas pemenuhan atau kegagalan perusahaan mereka untuk memenuhi standar LGPD.
• Persetujuan: izin atau kesepakatan yang bebas dan diinformasikan. Dalam hal ini, izin pemegang data untuk informasi mereka diproses untuk tujuan tertentu.
• Autoridade Nacional de Proteção de Dados (ANPD) atau Otoritas Perlindungan Data Nasional: Cabang pemerintah federal Brasil yang bertugas mengawasi regulasi, kepatuhan, dan penegakan LGPD.
• Petugas Perlindungan Data: Orang yang mewakili organisasi yang memproses data pribadi, yang bertanggung jawab untuk komunikasi antara bisnis mereka, ANPD, dan pemegang data. Mereka biasanya memiliki latar belakang di bidang hukum atau TI.

Apa yang dilakukan LGPD 

LGPD mengharuskan Pengendali Data untuk mengadopsi praktik teknis dan administratif yang mengatur bagaimana dan mengapa data pribadi dapat diproses (secara elektronik atau fisik), dan untuk melindungi data pribadi yang mereka proses dari akses yang tidak sah, kehilangan, perubahan, dan/atau paparan.

Sepuluh hak subjek data

LGPD Brasil menguraikan sepuluh hak subjek data, yang merupakan dasar untuk semua persyaratan pemrosesan yang dibuat untuk bisnis atau organisasi:

1. Hak untuk mengonfirmasi bahwa data mereka telah diproses;
2. Hak untuk mengakses data mereka;
3. Hak untuk memperbaiki data yang tidak lengkap, tidak akurat, atau sudah usang;
4. Hak untuk menganonimkan, memblokir, atau menghapus data yang tidak perlu atau berlebihan atau data yang tidak diproses sesuai dengan LGPD;
5. Hak untuk memindahkan data mereka ke penyedia layanan atau produk lain;
6. Hak untuk menghapus data pribadi yang diproses dengan persetujuan mereka;
7. Hak untuk informasi tentang pihak ketiga publik dan swasta yang telah dibagikan pengendali dengan data mereka;
8. Hak untuk informasi tentang apa yang terjadi jika mereka menolak persetujuan;
9. Hak untuk mencabut persetujuan mereka.
10. Hak untuk portabilitas data, memungkinkan pemegang untuk meminta salinan lengkap data mereka dalam format yang dapat digunakan oleh pesaing.

Persyaratan untuk pengendali data/organisasi

LGPD mengharuskan pengendali data/organisasi untuk:

• Menunjuk Petugas Perlindungan Data untuk mengelola permintaan atau keluhan dari pelanggan yang identitas dan informasi kontaknya publik dan clear, sebaiknya di situs web mereka;
• Menyimpan catatan operasi pemrosesan yang mereka lakukan;
• Memberitahukan, memperbaiki, menghapus, menganonimkan, atau memindahkan data pribadi sesuai permintaan subjek data;
• Menghapus data setelah hubungan berakhir;
• Menempatkan langkah-langkah administratif dan keamanan untuk melindungi keamanan data dari pencurian, akses yang tidak sah, kecelakaan, atau masalah lainnya;
• Menyampaikan setiap pelanggaran data kepada subjek data, otoritas lokal, dan ANPD.

Ada sepuluh dasar di mana perusahaan dapat secara sah memproses data pribadi. Data dapat diproses:

1. Untuk tujuan yang sah, spesifik, dan eksplisit yang telah disetujui subjek data;
2. Untuk mematuhi kewajiban hukum atau regulasi;
3. Untuk melaksanakan kebijakan publik berdasarkan kontrak hukum, perjanjian, atau yang serupa;
4. Untuk melaksanakan kontrak atas permintaan subjek data (seperti pembelian atau transaksi);
5. Untuk melakukan penelitian, dan memastikan kapan pun memungkinkan bahwa data pribadi telah dianonimkan;
6. Untuk pelaksanaan hak dalam prosedur yudisial, administratif, atau arbitrase;
7. Untuk perlindungan kehidupan atau keselamatan fisik subjek data atau pihak ketiga;
8. Untuk melindungi kesehatan, sebagaimana dilakukan oleh profesional kesehatan atau entitas kesehatan;
9. Ketika diperlukan untuk memenuhi kepentingan sah pengendali atau pihak ketiga;
10. Untuk perlindungan kredit.

Apa yang dilakukan ANPD 

Autoridade Nacional de Proteção de Dados (ANPD) atau Otoritas Perlindungan Data Nasional adalah cabang pemerintah federal Brasil yang akan dibentuk untuk mengawasi regulasi, kepatuhan, dan penegakan LGPD. Sementara di bawah arahan presiden, ANPD memiliki kekuasaan pengambilan keputusan. Ini akan terdiri dari dewan penasihat yang terdiri dari 28 anggota yang dibagi menjadi beberapa kelompok: Dewan Direksi, Dewan Nasional, Kantor Urusan Internal, dan unit khusus lainnya untuk tugas hukum dan penegakan.

Mereka akan bertanggung jawab untuk:

• Memberikan interpretasi dan pedoman praktis tentang cara menerapkan LGPD;
• Menyelidiki dan mengaudit keluhan atau pelanggaran yang dilaporkan dan bekerja dengan Petugas Perlindungan Data untuk mencapai resolusi;
• Mengeluarkan sanksi untuk pelanggaran pemrosesan data;
• Melakukan studi, debat publik, dan dengar pendapat tentang perlindungan data pribadi.

Kapan LGPD mulai berlaku 

Undang-undang ini akan mulai berlaku pada 1 Januari 2021.

Sanksi pelanggaran kepatuhan LGPD telah ditunda hingga 1 Agustus 2021.

Rekomendasi 

• Pertama dan terutama, menunggu hingga menit terakhir untuk mematuhi bisa menjadi kesalahan yang mahal. Ketidakpatuhan dapat mengakibatkan denda lebih dari 2% dari pendapatan mereka di Brasil, untuk tahun fiskal sebelumnya, hingga maksimum 50 juta real Brasil per pelanggaran (sekitar 12,9 juta USD atau 11,2 juta EUR.)
• Menunjuk Petugas Perlindungan Data untuk memantau pemrosesan dan keamanan data, dan secara jelas menerbitkan nama dan informasi kontak mereka di situs web Anda.
• Selalu minta persetujuan. Jadilah clear dan transparan tentang bagaimana dan mengapa data pelanggan diproses, dan buatlah mudah untuk memilih masuk atau keluar.
• Hanya simpan data selama yang diperlukan untuk memproses transaksi, dan tidak lebih lama.
• Pastikan untuk mendokumentasikan seluruh jalur pemrosesan Anda: bagaimana Anda mengumpulkan, menyimpan, menggunakan, dan membagikan data pribadi? Anda mungkin diminta untuk menyajikan dokumentasi itu, jadi lebih baik untuk mempersiapkannya.
• Jadwalkan audit secara teratur. Kebocoran data sangat mahal dalam hal sumber daya dan reputasi. Selalu waspada akan memungkinkan Anda untuk menangkap kesalahan atau predator lebih cepat, dan bersikap proaktif selalu terlihat lebih baik daripada tertangkap.

Info lebih lanjut 

• Situs resmi LGPD

Pertanyaan yang sering diajukan