巴西通用数据保护法(LGPD)合规性

 

LGPD合规是什么?

巴西通用数据保护法LGPD改变了巴西个人数据的处理和保护方式。LGPD于2020年9月颁布,将巴西与GDPR和CCPA等全球数据保护标准并列。LGPD规定了对个人数据的收集、使用、处理和存储采取严格措施,保护个人和敏感信息。

LGPD的关键方面包括个人和敏感数据的定义、数据控制方和处理者的作用,以及明确同意数据处理的要求。

谁必须遵守LGPD(谁可以豁免)?

LGPD合规性不仅限于巴西公司,而是延伸到任何处理巴西个人个人数据的企业,无论其地理位置如何。这包括向巴西居民提供商品或服务或在巴西境内收集和处理数据的组织。

该法律适用于公共和私营部门,涵盖从医疗保健到电子商务的广泛行业。对于企业来说,评估其数据处理实践并确定它们是否属于LGPD的范围至关重要。忽视这些义务可能会导致重大的法律和声誉后果。

LGPD还包含对某些个人/企业的一些豁免。它不适用于你:

  • 是个人,出于私人和非商业目的处理个人数据。
  • 处理数据:
    • 新闻和艺术表达
    • 学术
    • 公共安全
    • 国防与安全
    • 犯罪的调查和起诉

不遵守LGPD的后果

不遵守LGPD可能会导致严重的处罚,包括经济处罚和声誉损害。处罚范围从警告和罚款(最高可达公司在巴西收入的2%,上限为5000万雷亞尔)到部分或全部暂停与数据处理相关的业务活动。

除了金钱处罚外,不合规还可能损害公司的声誉,导致客户失去信任和潜在的法律诉讼。影响超出了即时处罚的范围,因为企业可能会在客户关系和市场定位方面面临长期挫折。

合规要求

为了遵守巴西的LGPD,组织必须遵守一套关于个人数据处理的要求。关键要求包括:

  • 同意管理:获得明确、明确的同意数据收集和处理,确保个人被告知其数据的使用。
  • 数据权利:维护个人访问、更正和删除其数据以及反对其处理的权利。
  • 数据保护官(DPO):任命一名DPO,负责监督数据保护策略和合规性。
  • 数据映射和记录保存:维护数据处理活动的详细记录,以展示问责制和透明度。
  • 安全措施:建立强有力的安全措施,以防止数据泄露和未经授权的进入。

理解和实施这些要求对于遵守巴西数据保护法并确保个人数据的道德处理至关重要。

实现合规的路线图

实现LGDP合规的路线图要求您遵循以下步骤:

1.了解LGPD要求:

  • 熟悉LGPD的范围、定义和关键原则。
  • 了解数据控制方和处理方的角色和责任。

2.数据映射和库存:

  • 对收集、存储和处理的个人数据进行广泛的审计。
  • 绘制数据流图,以了解整个组织如何管理数据。

3.差距分析:

  • 将当前的数据实践与LGPD要求进行比较。
  • 识别需要增强或更改的差距和领域。

4.制定一个合规计划:

  • 制定一个详细的行动计划,以解决已确定的差距。
  • 分配资源并设定实施更改的时间表。

5.实施隐私治理框架:

  • 制定数据保护的内部政策和程序。
  • 指定LGPD中描述的DPO。

6.同意管理和数据主体权利:

  • 确保获得和管理同意的机制到位。
  • 设置流程来响应数据主体的权利请求。

7.安全措施:

  • 为组织实施适当的技术和安全措施。
  • 设置数据泄露响应和通知计划。

8.培训和意识:

  • 为员工开展关于LGPD合规性的培训计划。
  • 在组织内促进数据保护意识文化。

9.监控和审查:

  • 定期审计LGPD的合规性。
  • 根据法律变化和最佳实践不断更新政策和实践。

10。文件和记录保存:

  • 维护数据处理活动的详细记录。
  • 记录合规工作和问责制决定。

最佳实践:LGPD合规性的明确清单

以下是巴西隐私法官方网页上概述的最佳实践。

1.建立全面的良好实践规则:

  • 制定专注于组织条件、操作制度和数据处理程序的规则。
  • 包括处理数据主体投诉和请求的措施。

2.在规则形成中考虑数据细节:

  • 考虑与数据处理相关的性质、范围、目的和风险。
  • 平衡数据处理所产生的风险和收益。

3.实施隐私治理计划:

  • 确保该计划反映了对数据保护标准的承诺。
  • 将该程序应用于所有个人数据,无论收集方法如何。
  • 定制程序,以适应所处理数据的结构、规模和灵敏度。

4.采取基于风险的政策和保障措施:

  • 对隐私影响和风险进行系统评估。
  • 与数据主体建立透明和参与的关系。

5.将治理整合到整体结构中:

  • 将隐私治理纳入一般治理框架。
  • 建立内部和外部监督机制。

6.准备事件响应和补救计划:

  • 制定解决数据泄露和隐私事件的计划。

7.保持程序更新和有效性:

  • 根据持续的监测和评估,定期更新程序。
  • 展示该计划的有效性,特别是在当局要求时。

8.确保公共可访问性和定期更新:

  • 发布并定期更新最佳实践。
  • 旨在得到国家当局的认可和披露。

9.与技术标准保持一致:

  • 在LGPD的鼓励下,遵循技术标准,以促进数据主体的数据控制。

Thank you for reaching out to us.

We will get back to you shortly.

嗨,

了解如何使用合规管理工具实现流程自动化!
填写下方邮箱,工程师为您个性化演示
  .

点击“安排演示”,即表示您同意根据隐私政策处理个人数据。

LGPD:需要考虑的关键规则

了解和实施关键规则对于遵守LGPD、保护个人数据和维护个人权利至关重要。以下是您应该考虑的LGPD合规的关键规则。

LGPD要求 要求说明
第6条,第VIII项 实施技术和行政保障措施,以保护个人数据免受未经授权的访问,并防止破坏、丢失、更改、通信或传播的非法情况。
第7条,第II项 个人数据处理必须履行控制实体的法律或监管义务。
第7条,第VIII项 个人数据处理仅出于健康保护目的是允许的,并且必须由医疗保健专业人员、卫生服务或卫生当局在其程序内完全进行。
第11条 本条的规定适用于任何暴露敏感信息并可能伤害数据主体的个人数据的处理,但任何相反的具体法律规定除外。
第14条 根据本条和适用法律的规定,处理有关儿童和青少年的个人数据应考虑到他们的最大利益。
第16条 个人数据应在处理结束后,在活动的操作和技术范围内进行处理。
第18条 个人数据持有人有权随时应要求从控制方那里获取其已处理的数据。
第46条 负责处理的代理必须实施保护、技术和行政策略,以保护个人数据免受未经授权的访问以及任何意外或非法的破坏、丢失、更改、通信或任何形式的不当或非法处理事件。
第49条 个人数据处理中使用的系统应设计符合安全措施、最佳实践标准、治理规范和本法中概述的一般原则以及其他监管准则。

使用EventLog Analyzer遵守LGPD

EventLog Analyzer通过高效的日志管理来增强数据保护,帮助您遵守LGPD。其功能包括实时监控数据泄露,确保对任何未经授权的访问做出快速响应,并加强数据隐私。该工具的综合审计能力有助于识别和减轻与数据处理相关的风险,这是LGPD的一项关键要求。此外,EventLog Analyzer的集成合规性管理有助于维护必要的文档和日志,简化了对LGPD严格数据治理和隐私标准的合规性。

前一个 TISAX
使用EventLog Analyzer简化IT合规性报表
请求演示
资源
相关
Back to Top