巴西 LGPD 法律适用范围

解读巴西数据法规：理解 LGPD 的范围

自2018 年颁布以来，巴西《一般数据保护法》(LGPD) 就引起广泛关注。 受欧洲联盟 GDPR 启发，尽管它于 2020 年 9 月正式生效，但许多组织仍在努力理解其复杂性和范围。 这篇博客文章旨在阐明 LGPD 的适用性，帮助您了解哪些实体和活动在它的管辖范围内。

LGPD 应用于哪些主体？

LGPD 应用于 任何 无论地点如何的组织，如果：

• 处理巴西公民的个人数据: 这意味着收集、存储、使用、共享或删除与人身份相关的信息，例如姓名、电子邮件地址、电话号码、IP 地址，甚至在线行为。
• 在巴西境内经营: 即使您的公司总部设在国外，如果您在巴西开展业务活动（例如销售产品、提供服务）并且处理巴西公民的个人数据，则 LGPD 也适用于您。

LGPD 的范围涵盖哪些方面？

LGPD 的范围不仅仅局限于数据的收集和存储。它涵盖了多种活动，包括：

• 数据收集: LGPD 要求对收集个人数据进行明确透明的同意。 它要求组织告知个人正在收集什么数据、收集的原因以及将如何使用这些数据。

• 数据处理: LGPD 对个人数据的处理方式进行规定，包括存储、分析、共享和删除。 组织必须实施适当的安全措施以保护数据免受未经授权的访问、使用或披露。

• 数据传输: LGPD 监管个人数据在巴西以外的传输。 组织必须确保任何国际数据传输符合巴西法律并为数据保护提供充分保障措施。

• 数据主体权利: LGPD 赋予个人关于其个人数据的若干权利，包括：

  • 访问其数据的权利
  • 更正不准确数据的权利
  • 删除数据的权利（被遗忘的权利）
  • 限制处理的权利
  • 数据可移植性的权利

• 数据泄露通知: LGPD 要求组织在发生数据泄露后72小时内向巴西数据保护局 (ANPD) 和受影响的个人发出通知。

未遵守 LGPD 的后果：

违反 LGPD 可能导致重大处罚，包括最高可达年度收入 2% 或 5000 万雷亚尔（两者择一）的罚款。 组织还可能面临声誉损害和处理不当个人数据的个人的法律诉讼。

在复杂的 LGPD 法规环境下导航需要积极主动和全面的方法。 通过理解其范围，实施强大的数据保护政策和实践，并保持对不断发展的法规的了解，组织可以成功地在巴西数据领域中航行，并保护所托付的个人信息。

巴西 LGPD 的现实生活例子：

理解 LGPD 的应用范围至关重要，因为它直接影响着巴西境内开展业务的组织。以下是几个真实案例，更好地展现 LGPD 如何在日常生活中发挥作用：

1. 电子商务平台:

假设一家总部设在美国的电商平台在巴西运营，他们收集客户姓名、地址、信用卡信息等个人数据进行交易。根据 LGPD，即使这家公司总部不在巴西，由于他们在巴西经营业务并处理巴西公民的个人数据，LGPD 仍然适用于他们。电商平台必须：

• 透明地告知用户 收集哪些数据、用途及数据共享方式，例如在购物过程中，他们需要明确提示客户如何使用他们的个人信息，以及是否会与第三方分享数据。
• 采取安全措施保护用户数据，防止未经授权的访问和泄露。 例如，他们必须使用加密技术保护敏感信息，并定期进行安全漏洞检测。
• 遵守巴西公民的数据主体权利，例如，允许用户查看、修改或删除他们的个人数据，并处理用户的“被遗忘”请求，即永久删除用户的个人数据。

2. 健身俱乐部:

一家健身俱乐部在巴西收集会员姓名、联系方式、健康状况、训练计划等个人数据。根据 LGPD，健身俱乐部必须：

• 获得会员明确同意才可收集和使用他们的个人数据。 例如，在注册会员时，他们需要明确告知会员将如何使用他们的个人数据，并获得会员书面或电子签名同意。
• 限制个人数据的使用范围，只能用于健身计划制定、服务提供和会员沟通等相关目的。例如，他们不能将会员健康信息用于商业推广或者出售给第三方。
• 建立安全机制保护会员数据的隐私，防止数据泄露和滥用。 例如，他们需要定期备份数据，并使用加密技术保护敏感信息。

3. 医疗机构:

一家医疗机构在巴西处理患者的个人健康信息，根据 LGPD，他们必须严格遵守以下规定：

• 获得患者明确同意收集和使用他们的医疗记录，并且告知患者如何使用他们的医疗信息，以及是否会与第三方共享数据。
• 采取高度安全的措施保护患者隐私，防止未经授权的访问和披露。例如，他们需要使用加密技术保护电子病历，并实施严格的访问控制政策。
• 遵守患者的数据主体权利，例如允许患者查看、修改或删除他们的医疗记录，并处理患者“被遗忘”请求，即永久删除患者的医疗信息。

这些例子表明 LGPD 适用于各种行业和组织，其目标是保护巴西公民的个人数据隐私权。 组织需要认真对待 LGPD 的规定，采取相应的措施来确保合规性，避免潜在的罚款和声誉损害。