ブラジルの一般データ保護法

ブラジルは、秩序と進歩を求める最新の試みとして、Lei Geral de Proteção de Dados (LGPD) または一般個人データ保護法を可決しました。この法律は、ブラジル市民の個人情報とプライバシーを保護するためのもので、データがどのように処理され、収集されるかに関するガイドラインを提供します。（ヒント：許可が必要です。）これは、個人データを規制していた40以上の異なる以前の（時には矛盾する）法令を標準化し、明確化するのに役立ち、ブラジル国内および国際的な企業や組織に適用されます。

LGPDブラジルのための用語 

• 個人データ: 個人を特定する、または特定の個人に関連する情報（名前、姓、ニックネーム、ID番号など）。
• データホルダーまたはデータ主体: 個人データに関する個人。
• データ処理: 個人データを使用して行われる任意の操作（収集、保存、使用、開示など）。
• データ管理者: 個人データの使用または処理に関する決定を行う責任者。彼らは、会社がLGPD基準を満たすかどうかに最終的に責任を負います。
• 同意: 自由で、情報に基づいた許可または合意。この場合、データホルダーが特定の目的のために自分の情報を処理されることに対する許可。
• Autoridade Nacional de Proteção de Dados（ANPD）または国家データ保護機関: LGPDの規制、遵守、施行を監督するために設立されたブラジル連邦政府の部門。
• データ保護責任者: 個人データを処理する組織を代表する人物で、ビジネス、ANPD、データホルダー間のコミュニケーションを担当します。通常、法律またはITのバックグラウンドを持っています。

LGPDの機能 

LGPDは、データ管理者に対して、個人データがどのように、なぜ処理されるかを規制する技術的および管理的な実践を採用し、処理する個人データを不正アクセス、喪失、変更、または露出から保護することを要求します。

データ主体の十の権利

ブラジルのLGPDは、ビジネスや組織に求められるすべての処理要件の基礎となるデータ主体の十の権利を概説しています：

1. 自分のデータが処理されたことを確認する権利。
2. 自分のデータにアクセスする権利。
3. 不完全、不正確、または古いデータを修正する権利。
4. 不要または過剰なデータ、またはLGPDに準拠して処理されていないデータを匿名化、ブロック、または削除する権利。
5. 自分のデータを別のサービスまたは製品提供者に移動する権利。
6. 自分の同意で処理された個人データを削除する権利。
7. 管理者が自分のデータを共有した公的および私的な第三者に関する情報を得る権利。
8. 同意を拒否した場合に何が起こるかについての情報を得る権利。
9. 自分の同意を撤回する権利。
10. データのポータビリティの権利、これによりホルダーは競合他社が使用できる形式で自分のデータの完全なコピーを要求できます。

データ管理者/組織の要件

LGPDはデータ管理者/組織に対して以下を要求します：

• 顧客からのリクエストや苦情を管理するためにデータ保護責任者を任命し、その名前と連絡先情報を公にし、clear、できればウェブサイトに掲載すること。
• 実施する処理操作の記録を保持すること。
• データ主体の要求に応じて、個人データを通知、修正、削除、匿名化、または移動すること。
• 関係が終了したらデータを削除すること。
• データのセキュリティを盗難、不正アクセス、事故、またはその他の問題から保護するために、管理的およびセキュリティ対策を講じること。
• データ漏洩をデータ主体、地方当局、およびANPDに通知すること。

企業が合法的に個人データを処理できる十の根拠があります。データは以下の理由で処理できます：

1. データ主体が同意した正当で特定かつ明示的な目的のため。
2. 法的または規制上の義務を遵守するため。
3. 法的契約、合意、または類似のもとでの公共政策を実施するため。
4. データ主体の要求に応じて契約を実行するため（購入や取引など）。
5. 研究を実施し、可能な限り個人データが匿名化されていることを確認するため。
6. 司法、行政、または仲裁手続きにおける権利の行使のため。
7. データ主体または第三者の生命または身体の安全を保護するため。
8. 健康を保護するため、医療専門家または健康機関によって行われる。
9. 管理者または第三者の正当な利益を満たすために必要な場合。
10. 信用を保護するため。

ANPDの機能 

Autoridade Nacional de Proteção de Dados（ANPD）または国家データ保護機関は、LGPDの規制、遵守、施行を監督するために設立されるブラジル連邦政府の部門です。大統領の指導の下で、ANPDは意思決定権を持っています。これは、取締役会、国家評議会、内部事務局、および法的および施行業務のための他の専門ユニットに分かれた28人のメンバーからなる諮問委員会で構成されます。

彼らの責任は以下の通りです：

• LGPDを実施するための解釈と実践的なガイドラインを提供すること。
• 報告された苦情や違反を調査し、監査し、データ保護責任者と協力して解決策を見つけること。
• データ処理違反に対して制裁を発行すること。
• 個人データの保護に関する研究、公開討論、聴聞会を実施すること。

LGPDの施行日 

この法律は2021年1月1日に施行されます。

LGPD遵守違反の制裁は2021年8月1日まで延期されました。

推奨事項 

• まず第一に、最後の瞬間まで遵守を待つことは高くつく間違いになる可能性があります。非遵守は、ブラジルでの前年度の収益の2％以上の罰金をもたらす可能性があり、違反ごとに最大5000万ブラジルレアル（約1290万米ドルまたは1120万ユーロ）に達する可能性があります。
• データ処理とセキュリティを監視するためにデータ保護責任者を任命し、その名前と連絡先情報をウェブサイトに明確に掲載してください。
• 常に同意を求めてください。顧客データがどのように、なぜ処理されているのかについてclearで透明性を持ち、オプトインまたはオプトアウトを簡単に行えるようにしてください。
• トランザクションを処理するために必要な期間だけデータを保存し、それ以上は保存しないでください。
• データの収集、保存、使用、共有の全プロセスを文書化してください。その文書を提示するよう求められる可能性があるため、準備しておく方が良いでしょう。
• 定期的な監査をスケジュールしてください。データ漏洩はリソースと評判にとって非常に高くつきます。常に注意を払うことで、エラーや脅威を早く発見でき、積極的であることは、捕まるよりも常に良い印象を与えます。

さらに詳しい情報 

• 公式LGPDウェブサイト

よくある質問