巴西的《一般数据保护条例》(GDPR)(葡萄牙语简称LGPD)已于2020年9月18日起正式生效。 因此,尚未适应新规的企业需要尽快实施必要的调整。这是因为,自2021年起,将开始对违反该法律的行为实施处罚。.

对于那些还不清楚从何入手的人,我们准备了这份指南,其中涵盖了您需要了解的关于巴西《通用数据保护条例》(GDPR)及其影响的所有内容。这样,贵公司就能在无需担心任何法律制裁的情况下,顺利开启新的一年。请继续关注。.

关于《通用数据保护条例》在巴西的实施情况

《通用数据保护条例》(GDPR——在巴西)由时任总统米歇尔·特梅尔于2018年8月颁布,并于2020年9月正式生效。从批准到生效之间的这两年“缓冲期”,为企业适应新规提供了时间。 因此,那些甚至还不了解GDPR是什么及其影响的企业,在合规方面已略显滞后。好消息是,现在仍有时间“补救”并重组业务运营以符合该法规的要求。首先,让我们简要介绍一下GDPR的背景。.

《通用数据保护条例》规定了收集、处理和共享用户数据的具体条件。目前,针对此类信息的管理已实施了一项更具透明度的标准,从而使公民能够更有把握地确信,其个人数据将仅用于此前与企业商定的用途。.

另请阅读:圣保罗市的电子发票——了解其运作方式

在此之前,我们一直处于完全缺乏监管的状态,用户信息在未经任何同意且没有安全保障的情况下被复制和存储,这为一系列问题埋下了隐患。然而,自《通用数据保护条例》(GDPR)生效以来,已明确规定:

仅在以下情况下方可处理个人数据:

I – 在持有人表示同意的情况下;;

II – 为了数据控制者履行法律或监管义务;;

III – 由公共行政部门为处理和共享数据而进行,该数据系执行法律法规中规定或由合同、协议或类似文件支持的公共政策所必需的,[…]

四、由研究机构开展研究,并在可能的情况下确保个人数据匿名化;;

 

V – 应数据主体的要求,在履行数据主体作为一方当事人的合同或与该合同相关的初步程序所必需时;VI – 为在司法、行政或仲裁程序中正常行使权利,其中仲裁程序应符合1996年11月23日第9.307号法律(《仲裁法》)的规定;;

VII – 为保护所有者或第三方的生命或人身安全;;

VIII – 为保护健康,由卫生领域专业人员或卫生机构实施的程序;;

VIII – 仅出于保护健康的目的,且由卫生专业人员、卫生服务机构或卫生主管部门实施的程序;;

对于不遵守这些规定的企业,巴西的《通用数据保护条例》(GDPR)规定,将由国家数据保护局(ANPD)——这一负责监督该法律实施情况的联邦机构——处以罚款和行政处罚。.

GDPR 应用

《通用数据保护条例》(GDPR)在巴西的实施将对所有经济领域产生影响。简而言之,从现在起,在向客户和潜在客户索取数据时,必须说明索取原因,并懂得如何对这些数据进行正确的分类,具体分类如下:

个人数据 – 能够用于识别个人身份的信息,例如社会保险号(RG和CPF)、姓名和地址。.

敏感数据 – 与个人更具体特征相关的信息,例如族裔/种族背景、政治立场、宗教信仰、性取向等。.

此外,还有另一个重要概念值得明确,即数据处理:

数据处理 – 任何涉及个人数据的行为均被视为“处理”,从数据被收集之时起,直至数据被删除之时止

在厘清了这些区别之后,让我们来看看一些值得关注的关键事件。.

未经同意的数据采集

即使在《通用数据保护条例》(GDPR)生效之前,购买潜在客户名单就已是一种有悖于道德的做法。从现在起,这将构成犯罪。.

因此,在任何情况下,贵公司的商务部门都不得在未获得相关用户适当同意的情况下分享或接收用户数据。.

此外,组织已掌握的信息不得用于收集时所告知目的以外的任何用途。例如,几年前进行的市场调研数据不得以任何其他方式使用。在此情况下,将任何人的个人数据用于简单的商业联系已属违法行为。.

与潜在客户群进行沟通

假设您已经建立了一个由现有客户和潜在客户组成的联系人数据库,并通过电子邮件和WhatsApp等不同沟通渠道与他们保持定期联系。为了维持这种沟通,需要确定在哪些情况下可以再次联系这些人。.

根据巴西的《通用数据保护条例》(GDPR),必须证明此类联系对于公司的运营是必要的,而营销活动不属于此范畴。.

数据收集

与信息交流一样,数据收集也必须有充分的理由。因此,无论所请求的数据被归类为个人数据还是敏感数据,都必须被视为公司运营所严格必需的。.

鉴于此,贵公司所有面向公众的在用表格均须进行审查,以确保符合法律要求。管理人员须与法律顾问共同商定哪些信息可被归类为必要信息。.

同意的类型

除了了解应避免哪些行为外,掌握法律中的一些概念同样重要,这样既能避免触犯法律,也能更全面地了解如何处理客户数据。下面我们就来了解这方面的相关说明。.

根据法律规定,同意被定义为明确且毫无歧义的意愿声明。在实践中,这指的是用户明确表示同意将相关数据用于特定目的。.

从这一角度来看,根据《通用数据保护条例》(GDPR)在巴西的规定,同意必须具备以下特征;;

同意必须是自愿的: 同意的授予不能是“被迫”或被诱导的,而应是一种自主选择。如果一家公司在表单上设置了同意复选框,这意味着用户无法选择接受或拒绝所提出的条款

同意必须明确无误: 这取决于用户通过积极行为所作出的表示。换言之,用户必须采取某种行动来表明其接受意愿,无论是发送电子邮件、签署电子签名,还是点击特定位置。对于是否已给予同意,不应存在任何疑问;;

必须针对特定且明确的目的给予同意: 同意必须针对特定且明确的目的给予。说明使用个人数据的原因是《通用数据保护条例》(GDPR)逻辑中不可或缺的一部分。公司绝不能将收集到的数据用于同意书中未明确指定的目的。.

面对如此多的要求,有些人可能会自问:联系潜在客户是否必须征得同意?

未必如此,因为法律中存在通常所说的“合法利益”和“合同”这一概念。这一机制使以合理方式进行的商业往来具有合法性。.

了解《通用数据保护条例》(GDPR)中规定的用户权利

《通用数据保护条例》(GDPR)还规定了一系列用户权利,这些权利往往意味着企业必须履行相应的义务。.

来看看主要有哪些:

  • 确认数据处理是否存在的权利;;
  • 数据访问权;;
  • 更正不完整、不准确或过时数据的权利;;
  • 有权对不符合《通用数据保护条例》(GDPR)规定的不必要、过量或已处理的数据进行匿名化、封锁或删除;;
  • 根据国家主管部门的规定,在遵守商业和工业秘密的前提下,应明确请求,享有将数据转移至另一服务或产品提供商的权利;;
  • 有权删除经数据主体同意而处理的个人数据;;
  • 数据控制者已与之共享数据的公共和私营实体的知情权;;
  • 了解不给予同意的可能性以及拒绝同意的后果的知情权;;
  • 撤回同意的权利。.

贵公司对《通用数据保护条例》(GDPR)的执行情况值得进行妥善监督。正如我们所强调的,任何违规行为都可能导致不同性质的处罚,使贵公司面临本可完全避免的法律风险。.

4对“GDPR in Brazil. What do I Need to Know?”的想法

  1. online order medicine 说:

    我为此感到欣喜,因为我终于发现了我究竟是谁
    正是我一直在寻找的。你结束了我长达4天的寻找!
    愿上帝保佑你,老兄。祝你今天过得愉快。再见

    • Alex Burim 说:

      愿上帝也保佑你!

      再次感谢……

  2. online order medicine 说:

    大家好,这里大家都在分享这类内容
    知识,所以浏览这个网站真不错,,
    而且我以前每天都会抽空浏览一下这个博客。.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

继续浏览即表示您同意本网站仅将Cookie用于统计目的以及优化您的浏览体验的功能,且不会进行个人追踪。.