Общий закон о защите данных Бразилии

В своей последней попытке навести порядок и добиться прогресса Бразилия приняла Закон о защите личных данных (LGPD) или Общий закон о защите личных данных. Это законодательство направлено на защиту личной информации и конфиденциальности граждан Бразилии, предоставляя рекомендации о том, как эти данные могут обрабатываться и собираться организациями. (Подсказка: Только с разрешения.) Оно помогает стандартизировать и прояснить более 40 различных предыдущих (иногда противоречивых) норм, регулирующих личные данные, и применяется как к бразильским, так и к международным компаниям и организациям.

Термины, которые нужно знать для LGPD Бразилия 

• Личные данные: Любая информация, которая идентифицирует или специфична для отдельного лица, такая как имя, фамилия, прозвище, номер удостоверения личности и т. д.
• Владелец данных или Субъект данных: Лицо, к которому относятся личные данные.
• Обработка данных: Любая операция, выполняемая с использованием личных данных, такая как сбор, хранение, использование или раскрытие информации.
• Контролер данных: Лицо, ответственное за решения о том, как используются или обрабатываются личные данные. Они несут конечную ответственность за выполнение или невыполнение стандартов LGPD своей компанией.
• Согласие: свободное, информированное разрешение или согласие. В данном случае, разрешение владельца данных на обработку их информации для определенной цели.
• Национальная служба защиты данных (ANPD) или Национальный орган по защите данных: Подразделение федерального правительства Бразилии, ответственное за надзор за регулированием, соблюдением и принудительным исполнением LGPD.
• Офицеры по защите данных: Лицо, представляющее организацию, обрабатывающую личные данные, которое отвечает за связь между их бизнесом, ANPD и владельцами данных. Обычно они имеют юридическое или ИТ-образование.

Что делает LGPD 

LGPD требует от контролеров данных принятия технических и административных практик, которые регулируют, как и почему личные данные могут обрабатываться (электронно или физически), и защищают личные данные, которые они обрабатывают, от несанкционированного доступа, потери, изменения и/или раскрытия.

Десять прав субъектов данных

LGPD Бразилии определяет десять прав субъектов данных, которые являются основой для всех требований к обработке, предъявляемых к бизнесу или организациям:

1. Право подтвердить, что их данные были обработаны;
2. Право получить доступ к своим данным;
3. Право исправить неполные, неточные или устаревшие данные;
4. Право анонимизировать, блокировать или удалять ненужные или избыточные данные или данные, которые не обрабатываются в соответствии с LGPD;
5. Право перенести свои данные к другому поставщику услуг или продуктов;
6. Право удалить личные данные, обработанные с их согласия;
7. Право на информацию о публичных и частных третьих лицах, с которыми контролер поделился их данными;
8. Право на информацию о том, что произойдет, если они откажутся от согласия;
9. Право отозвать свое согласие.
10. Право на переносимость данных, позволяющее владельцу запросить полную копию своих данных в формате, пригодном для конкурентов.

Требования к контролерам данных/организациям

LGPD требует от контролеров данных/организаций:

• Назначить Офицера по защите данных для управления запросами или жалобами от клиентов, чья личность и контактная информация являются публичными и clear, предпочтительно на их веб-сайте;
• Вести учет операций по обработке, которые они осуществляют;
• Информировать, исправлять, удалять, анонимизировать или перемещать личные данные по запросу субъекта данных;
• Удалять данные после окончания отношений;
• Применять административные и охранные меры для защиты безопасности данных от кражи, несанкционированного доступа, несчастных случаев или других проблем;
• Уведомлять субъектов данных, местные власти и ANPD о любых утечках данных.

Существует десять оснований, на которых компании могут законно обрабатывать личные данные. Данные могут обрабатываться:

1. Для законных, конкретных и явных целей, на которые согласился субъект данных;
2. Для выполнения юридических или регуляторных обязательств;
3. Для выполнения государственных политик на основе юридических контрактов, соглашений или аналогичных документов;
4. Для выполнения контракта по запросу субъекта данных (например, покупки или транзакции);
5. Для проведения исследований и обеспечения, когда это возможно, анонимизации личных данных;
6. Для осуществления прав в судебных, административных или арбитражных процедурах;
7. Для защиты жизни или физической безопасности субъекта данных или третьего лица;
8. Для защиты здоровья, осуществляемой медицинскими работниками или медицинскими учреждениями;
9. Когда это необходимо для выполнения законных интересов контролера или третьего лица;
10. Для защиты кредита.

Что делает ANPD 

Национальная служба защиты данных (ANPD) или Национальный орган по защите данных - это еще не сформированное подразделение федерального правительства Бразилии, ответственное за надзор за регулированием, соблюдением и принудительным исполнением LGPD. Хотя ANPD находится под руководством президента, у нее есть полномочия принимать решения. Она будет состоять из консультативного совета из 28 членов, разделенного на несколько групп: Правление, Национальный совет, Офис внутренних дел и другие специализированные подразделения для юридических и контрольных задач.

Они будут отвечать за:

• Предоставление интерпретации и практических рекомендаций по внедрению LGPD;
• Расследование и аудит жалоб или нарушений, о которых сообщается, и работа с Офицером по защите данных над их разрешением;
• Наложение санкций за нарушения обработки данных;
• Проведение исследований, публичных дебатов и слушаний о защите личных данных.

Когда LGPD вступил в силу 

Закон вступит в силу 1 января 2021 года.

Санкции за нарушение соблюдения LGPD были отложены до 1 августа 2021 года.

Рекомендации 

• Прежде всего, ожидание до последней минуты для достижения соответствия может стать дорогостоящей ошибкой. Несоблюдение может привести к штрафам в размере более 2% их дохода в Бразилии за предыдущий финансовый год, максимум 50 миллионов бразильских реалов за каждое нарушение (примерно 12,9 миллиона долларов США или 11,2 миллиона евро).
• Назначьте Офицера по защите данных для мониторинга обработки данных и безопасности, и четко опубликуйте его имя и контактную информацию на вашем веб-сайте.
• Всегда запрашивайте согласие. Будьте clear и прозрачны в том, как и почему обрабатываются данные клиентов, и сделайте процесс согласия или отказа простым.
• Храните данные только столько, сколько необходимо для обработки транзакции, и не дольше.
• Убедитесь, что вы документируете весь процесс обработки: как вы собираете, храните, используете и делитесь личными данными? Вас могут попросить представить эту документацию, поэтому лучше подготовить ее заранее.
• Проводите регулярные аудиты. Утечки данных чрезвычайно затратны как в ресурсах, так и в репутации. Быть на чеку позволит вам быстрее выявлять ошибки или злоумышленников, а проактивный подход всегда выглядит лучше, чем быть пойманным.

Дополнительная информация 

• Официальный сайт LGPD

Часто задаваемые вопросы