Loading…
如果您已经遵守GDPR,那么您在通往LGPD的道路上已完成80%。两者共享十项指导原则、相似的数据主体权利,以及大致72小时的泄露报告制度。差异在于罚款计算方式(LGPD将罚款上限设为巴西营收的2%或每次违规5000万雷亚尔)、由ANPD第CD/ANPD No. 2/2022号决议定义的小型控制者豁免,以及缺少可携权或反对自动化决策的权利。本指南将准确告诉您哪些GDPR成果可以复用,以及哪些方面需要补充处理。
| 维度 | 🇪🇺 GDPR | 🇧🇷 LGPD |
|---|---|---|
| 法律文书 | 条例(欧盟)2016/679 | 第13.709/2018号法律 |
| 生效日期 | 2018年5月25日 | 实质性条款:2020年8月;行政制裁:2021年8月 |
| 地域适用范围 | 欧盟+域外适用(第3条) | 在巴西进行的处理,或针对巴西境内个人的处理,或数据在巴西收集的情形(第3条) |
| 合法依据 | 六项(第6条)+特殊类别条件(第9条) | 十项(第7条)——包括合法利益、合同、法律义务、公共卫生、信用保护 |
| 原则 | 六项(第5条) | 十项(第6条)——目的、适当性、必要性、自由访问、数据质量、透明度、安全、预防、非歧视、问责 |
| 数据保护官 | 在特定情形下为强制要求(第37条) | 对所有控制者为强制要求;小型控制者豁免依据ANPD第CD/ANPD No. 2/2022号决议 |
| 最高罚款 | 2000万欧元或全球营业额的4%(第83条第5款) | 最高为巴西上一财年营收的2%,每次违规上限为5000万雷亚尔 |
| 按日罚款 | 非标准结构 | 依据第52条第III款允许——每次违规每日最高5000万雷亚尔 |
| 其他处罚 | 警告、禁止处理(第58条) | 公开违规通告、数据封锁、数据删除、部分/全部暂停(第52条) |
| 泄露通知 | 72小时内通知监管机构(第33条) | 依据第CD/ANPD No. 15/2024号决议,在存在合理风险/损害时3个工作日内通知ANPD |
| 监管机构 | 27个欧盟成员国数据保护机构+EDPB | 国家数据保护局(ANPD) |
| DPO/Encarregado | 数据保护官 | Encarregado de Proteção de Dados |
| 当地代表 | 第27条欧盟代表为强制要求 | 形式上无要求,但ANPD期望设有巴西联络点 |
| 可携权 | 是(第20条) | 是(第18条第V款) |
| 反对自动化决策的权利 | 是(第22条) | 由自然人复审的权利(第20条) |
| 获知数据共享情况的权利 | 隐含(第13至15条) | 明确(第18条第VII款)——个人数据被共享给的公共/私营实体清单 |
| 跨境传输 | SCC/BCR/充分性认定(第五章) | ANPD批准的机制——第CD/ANPD No. 19/2024号决议 |
| 儿童数据 | 默认同意年龄为16岁(成员国之间存在差异) | 12岁以下需父母/法定监护人的特定同意(第14条) |
| 匿名化 | 不可逆时不属于适用范围(第26号鉴于条款) | 不属于适用范围(第12条)——但对不可逆性的标准比GDPR更严格 |
| 制裁开始时间 | 2018年5月 | 2021年8月(ANPD开始发出初步警告并处以小额罚款) |
非常接近——目的相同、结构相似、大量词汇相同——但有10项合法依据而非6项、10项原则而非6项,且罚款计算方式不同。ANPD的执法风格也仍在形成之中。
基本如此。差异在于:任命一名Encarregado de Proteção de Dados,在3个工作日内就重大违规事件向ANPD提交通知文件,确保您的隐私声明体现LGPD的10项原则,并使用ANPD批准的机制(Res. 19/2024)进行跨境传输。
最高行政罚款为每次违规在巴西营收的2%,上限为R$5000万(约1000万美元)。每日罚款可能迅速累加。ANPD还拥有强制令权力(数据封锁、删除令),其破坏性可能超过现金罚款。
是的——第3条第(II)款涵盖了「以向巴西境内个人提供或供应商品或服务为目的的处理活动」,无论您在何处设立。
自2023年以来执法一直在加强。ANPD已发布多项决议,澄清违规通知、监管沙盒、小型控制者豁免等问题。与GDPR相比,处罚水平仍然适中,但发展轨迹显然趋向于更积极的执法。
LGPD并未严格要求,但从运营角度而言是可行的。Encarregado必须以有意义的方式回应ANPD和数据主体的诉求;本地联络点或代表服务(如RegulatoryBridge Brazil)即可满足这一需求。
控制措施映射一次,合规两次。RegulatoryBridge为您提供单一的DSAR流程、单一的DPO、单一的泄露应急手册——同时涵盖两种框架。