《巴西通用数据保护法》(第13709号法律)The General Data Protection Law (Law No. 13,709)(Lei Geral de Proteção de Dados ,简称 "LGPD")是巴西的主要个人数据保护立法。 LGPD于2018年8月颁布,并于2020年9月18日生效(LGPD规定的行政处罚章节将于2021年8月生效)。 LGPD受到《欧盟通用数据保护条例》("GDPR")的启发,对巴西的数据保护框架带来了深刻的变化,颁布了一套在数据处理活动中需要遵守的规则。
特定行业也有关于数据保护的法规,比如银行业和卫生行业。例如,受巴西中央银行("BCB")监管的实体必须遵守《巴西银行保密法》(Banking Secrecy Law (Supplementary Law No. 105/2001))和《巴西网络安全条例》(the Cybersecurity Regulation (Brazilian National Monetary Council Resolution No. 4,893/2021)。根据《巴西银行保密法》,金融实体必须对 "其所有的信贷和借记交易以及提供的服务 "保密。 《巴西银行保密法》 第1条第3款列出了可以披露信息而不被视为违反《银行保密法》的具体情形,例如。(i)金融实体或辅助实体之间为信用保护而进行的信息交流;(ii)法律规定或主管当局命令的披露;(iii)利益相关方(即客户)明确授权的披露。网络安全条例》规定了适用于受监管的金融机构和支付机构的规则,涉及到存储和处理数据的某些当地要求,例如。(i) 内部网络安全治理要求;(ii) 雇用外包云计算服务的要求;以及(iii) 建立网络安全政策。《巴西良好数据法》(Positive Data Law (Law No. 12.414/2011))、政府第9936/19号法令Decree No. 9,936/19和巴西中央银行第4737/19号决议Central Bank Resolution No. 4,737/19都共同规范了包含个人或法人实体支付记录信息的数据库的创建和管理,旨在建立信用记录。
监管主体
巴西国家数据保护局(The Brazilian National Data Protection Authority,简称"ANPD")于2018年12月28日成立。 ANPD由五名专员组成。然而,在实践中,巴西的其他政府部门也通过行政程序或诉讼来执行保护个人的隐私权,如巴西消费者保护和辩护部(Department of Consumer Protection and Defense )和负责消费者权利的巴西公共检察官办公室。
关键定义
Personal Data:Personal Data是指与已识别或可识别的自然人有关的任何信息(LGPD第5条第I款规定), 姓名、地址、电话号码、税号等都是与可识别的人有关的个人数据的例子,通过这些数据你可以很容易地识别它所指的自然人。然而,在数据保护立法中,没有标准来确定什么是 "可识别的自然人 identifiable natural person"。 虽然ANPD没有规定这样的标准,但与可识别的自然人有关的个人数据可以理解为与其他数据一起允许你识别一个自然人的数据。
Controller: 控制者是受法律管辖的自然人或法律实体,负责对个人数据的处理作出决定(LGPD第5条第6款)。控制者负责确定处理的目的,并为每项处理指定适当的法律依据以及其他义务。
Processor:处理者是受法律管辖的自然人或法律实体,它代表控制者并按照控制者的指示处理个人数据(LGPD第5条第7款),处理者和控制者都是处理代理人processing agents(LGPD 第5条第9款)。
Sensitive personal data: LGPD也确定了敏感的个人数据(LGPD第5条第II款)。 这类个人数据包括有关自然人的种族或民族血统、宗教、政治观点、工会或宗教、哲学或政治组织成员、健康、性生活、遗传学或生物测定的任何信息。
Anonymysed Data:匿名数据是指与自然人有关的数据,考虑到使用数据处理时可用的合理技术手段reasonable technical means,而该数据无法被识别(LGPD第5条第III款)。 目前,还没有关于什么是 "合理技术手段reasonable technical means "的指导文件,因此匿名数据不受LGPD的约束。
管辖范围