LGPD
LGPD (порт. Lei Geral de Proteção de Dados Pessoais, Закон № 13.709/2018) — это бразильский федеральный закон, регулирующий обработку персональных данных физических лиц на территории Бразилии, независимо от места нахождения оператора данных. Вступил в силу 18 сентября 2020 года. Является аналогом Общего регламента по защите данных (GDPR) Европейского союза, но с рядом национальных особенностей.
История принятия
Предпосылки для создания закона возникли на фоне роста цифровой экономики и участившихся утечек данных. Бразилия, будучи крупнейшей экономикой Латинской Америки, стремилась гармонизировать своё законодательство с международными стандартами, в первую очередь с GDPR. Разработка LGPD началась в 2010-х годах. Законопроект был подготовлен Министерством юстиции и прошёл общественные консультации.
В апреле 2018 года закон был принят Национальным конгрессом Бразилии и утверждён президентом Мишелем Темером с правом вето на отдельные положения. Первоначально вступление в силу было запланировано на февраль 2020 года, но затем перенесено на август 2020 года, а окончательно — на 18 сентября 2020 года. Административные штрафы за нарушения начали применяться с 1 августа 2021 года.
Сфера действия и основные понятия
LGPD применяется к любой операции по обработке персональных данных, осуществляемой:
- на территории Бразилии;
- с целью предложения товаров или услуг физическим лицам, находящимся в Бразилии;
- с целью сбора или обработки данных о поведении лиц, находящихся в Бразилии.
Закон вводит ключевые термины:
- Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
- Чувствительные персональные данные — данные о расовом или этническом происхождении, религиозных убеждениях, политических взглядах, членстве в профсоюзах, здоровье, генетические и биометрические данные.
- Обработка — любое действие с данными: сбор, хранение, использование, передача, удаление и т.д.
- Контролёр — лицо, принимающее решения об обработке данных.
- Оператор — лицо, осуществляющее обработку по поручению контролёра.
- Субъект данных — физическое лицо, чьи данные обрабатываются.
Правовые основания обработки
Обработка персональных данных допускается только при наличии одного из десяти законных оснований, перечисленных в ст. 7 LGPD. Основные из них:
- Согласие субъекта — свободное, информированное и однозначное волеизъявление.
- Исполнение договора — обработка необходима для выполнения обязательств по договору с субъектом.
- Законные интересы — контролёра или третьей стороны, за исключением случаев, когда преобладают права и свободы субъекта.
- Защита жизни — физической безопасности субъекта или третьего лица.
- Выполнение публичных обязанностей — государственными органами.
- Кредитная защита — в рамках кредитных историй.
- Научные, исторические или статистические исследования — с соблюдением анонимизации.
Для обработки чувствительных данных требуются дополнительные основания, такие как явное согласие или необходимость для выполнения обязательств в сфере труда.
Права субъектов данных
LGPD предоставляет субъектам данных широкий перечень прав (ст. 18), которые могут быть реализованы через запрос контролёру:
- Подтверждение наличия обработки данных.
- Доступ к обрабатываемым данным.
- Исправление неполных, неточных или устаревших данных.
- Анонимизация, блокирование или удаление избыточных или обработанных с нарушением закона данных.
- Переносимость данных к другому поставщику услуг (при условии коммерческой тайны).
- Отзыв согласия.
- Информация о возможности отказа от согласия и последствиях такого отказа.
- Жалоба в Национальный орган по защите данных (ANPD).
Национальный орган по защите данных (ANPD)
Для надзора за соблюдением LGPD в 2020 году была создана Национальная администрация по защите данных (ANPD, порт. Autoridade Nacional de Proteção de Dados). Это независимый федеральный орган, подотчётный Президенту Бразилии. Основные функции ANPD:
- Разработка нормативных актов и руководств.
- Рассмотрение жалоб и проведение расследований.
- Применение административных санкций.
- Содействие формированию культуры защиты данных.
- Международное сотрудничество.
ANPD также учредила Национальный совет по защите данных и частной жизни (Conselho Nacional de Proteção de Dados Pessoais e da Privacidade) — консультативный орган с участием представителей государства, бизнеса и гражданского общества.
Обязанности контролёров и операторов
Контролёры и операторы обязаны:
- Назначать лицо, ответственное за защиту данных (DPO, порт. Encarregado), которое публично сообщается ANPD.
- Вести реестр операций обработки данных.
- Проводить оценку воздействия на защиту данных (DPIA) для операций с высоким риском.
- Принимать технические и организационные меры безопасности (шифрование, контроль доступа, обучение персонала).
- Уведомлять ANPD и субъектов об утечках данных, которые могут причинить существенный вред, в разумный срок.
- Обеспечивать прозрачность политики обработки данных (публикация политики конфиденциальности).
Ответственность и санкции
За нарушение LGPD предусмотрены административные санкции (ст. 52), которые могут применяться ANPD после процедуры расследования. Виды санкций:
- Предупреждение — с указанием срока устранения нарушений.
- Штраф — до 2% от оборота компании в Бразилии за предыдущий финансовый год, но не более 50 миллионов бразильских реалов (около 10 миллионов долларов США по курсу 2024 года).
- Блокировка или удаление персональных данных, к которым относится нарушение.
- Частичный или полный запрет на обработку данных.
- Публичное оглашение нарушения.
Кроме того, субъекты данных могут подавать гражданские иски о возмещении морального и материального ущерба. Уголовная ответственность за нарушение LGPD не предусмотрена, но может наступать по другим статьям Уголовного кодекса Бразилии (например, за нарушение тайны переписки).
Особенности и отличия от GDPR
Несмотря на общее сходство, LGPD имеет ряд отличий от европейского GDPR:
- Правовые основания: LGPD включает «законные интересы» как основание, но не требует обязательного проведения теста на баланс интересов (LIA) в явном виде, хотя на практике это рекомендуется.
- Согласие: В LGPD согласие может быть отозвано в любой момент, но не имеет обязательного требования «явного согласия» для всех видов обработки (кроме чувствительных данных).
- Переносимость: Право на переносимость данных в LGPD ограничено коммерческой тайной и не распространяется на данные, обработанные на основании законных интересов.
- DPO: Назначение DPO обязательно для всех контролёров, независимо от размера или объёма обработки, хотя ANPD может устанавливать исключения для малых предприятий.
- Штрафы: Максимальный штраф в LGPD (50 млн реалов) значительно ниже, чем в GDPR (20 млн евро или 4% глобального оборота).
- Уведомление об утечках: В LGPD нет строго определённого срока (72 часа, как в GDPR), требуется «разумный срок».
Критика и проблемы
LGPD подвергается критике по нескольким направлениям:
- Неопределённость в сроках уведомления об утечках — отсутствие чёткого временного лимита создаёт риски для субъектов.
- Сложность для малого бизнеса — требования по назначению DPO и ведению реестра могут быть обременительными для небольших компаний.
- Недостаточная эффективность ANPD — в первые годы работы орган столкнулся с нехваткой финансирования и кадров, что замедлило рассмотрение жалоб.
- Конфликт с другими законами — LGPD может вступать в противоречие с бразильским Законом о доступе к информации (Lei de Acesso à Informação) и трудовым законодательством.
Международное значение
LGPD считается одним из наиболее строгих законов о защите данных в Латинской Америке. Он оказал влияние на разработку аналогичных законов в других странах региона, таких как Аргентина, Чили и Колумбия. Бразилия, как член БРИКС, стремится к взаимному признанию стандартов защиты данных с ЕС и другими юрисдикциями.
Источники
- Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais). Diário Oficial da União, Brasília, 2018.
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas de Proteção de Dados Pessoais. Brasília, 2021.
- Bioni, B. R. Proteção de Dados Pessoais: A LGPD Comentada. Rio de Janeiro: Forense, 2020.
- Doneda, D. A Lei Geral de Proteção de Dados Pessoais: Comentários e Análise. São Paulo: Revista dos Tribunais, 2019.
- Comissão Europeia. Adequacy Decision for Brazil under the GDPR. Brussels, 2023 (проект).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →