Открыть сервис

LGPD

LGPD (порт. Lei Geral de Proteção de Dados Pessoais, Закон № 13.709/2018) — это бразильский федеральный закон, регулирующий обработку персональных данных физических лиц на территории Бразилии, независимо от места нахождения оператора данных. Вступил в силу 18 сентября 2020 года. Является аналогом Общего регламента по защите данных (GDPR) Европейского союза, но с рядом национальных особенностей.

История принятия

Предпосылки для создания закона возникли на фоне роста цифровой экономики и участившихся утечек данных. Бразилия, будучи крупнейшей экономикой Латинской Америки, стремилась гармонизировать своё законодательство с международными стандартами, в первую очередь с GDPR. Разработка LGPD началась в 2010-х годах. Законопроект был подготовлен Министерством юстиции и прошёл общественные консультации.

В апреле 2018 года закон был принят Национальным конгрессом Бразилии и утверждён президентом Мишелем Темером с правом вето на отдельные положения. Первоначально вступление в силу было запланировано на февраль 2020 года, но затем перенесено на август 2020 года, а окончательно — на 18 сентября 2020 года. Административные штрафы за нарушения начали применяться с 1 августа 2021 года.

Сфера действия и основные понятия

LGPD применяется к любой операции по обработке персональных данных, осуществляемой:

  • на территории Бразилии;
  • с целью предложения товаров или услуг физическим лицам, находящимся в Бразилии;
  • с целью сбора или обработки данных о поведении лиц, находящихся в Бразилии.

Закон вводит ключевые термины:

Правовые основания обработки

Обработка персональных данных допускается только при наличии одного из десяти законных оснований, перечисленных в ст. 7 LGPD. Основные из них:

  1. Согласие субъекта — свободное, информированное и однозначное волеизъявление.
  2. Исполнение договора — обработка необходима для выполнения обязательств по договору с субъектом.
  3. Законные интересы — контролёра или третьей стороны, за исключением случаев, когда преобладают права и свободы субъекта.
  4. Защита жизни — физической безопасности субъекта или третьего лица.
  5. Выполнение публичных обязанностей — государственными органами.
  6. Кредитная защита — в рамках кредитных историй.
  7. Научные, исторические или статистические исследования — с соблюдением анонимизации.

Для обработки чувствительных данных требуются дополнительные основания, такие как явное согласие или необходимость для выполнения обязательств в сфере труда.

Права субъектов данных

LGPD предоставляет субъектам данных широкий перечень прав (ст. 18), которые могут быть реализованы через запрос контролёру:

  • Подтверждение наличия обработки данных.
  • Доступ к обрабатываемым данным.
  • Исправление неполных, неточных или устаревших данных.
  • Анонимизация, блокирование или удаление избыточных или обработанных с нарушением закона данных.
  • Переносимость данных к другому поставщику услуг (при условии коммерческой тайны).
  • Отзыв согласия.
  • Информация о возможности отказа от согласия и последствиях такого отказа.
  • Жалоба в Национальный орган по защите данных (ANPD).

Национальный орган по защите данных (ANPD)

Для надзора за соблюдением LGPD в 2020 году была создана Национальная администрация по защите данных (ANPD, порт. Autoridade Nacional de Proteção de Dados). Это независимый федеральный орган, подотчётный Президенту Бразилии. Основные функции ANPD:

  • Разработка нормативных актов и руководств.
  • Рассмотрение жалоб и проведение расследований.
  • Применение административных санкций.
  • Содействие формированию культуры защиты данных.
  • Международное сотрудничество.

ANPD также учредила Национальный совет по защите данных и частной жизни (Conselho Nacional de Proteção de Dados Pessoais e da Privacidade) — консультативный орган с участием представителей государства, бизнеса и гражданского общества.

Обязанности контролёров и операторов

Контролёры и операторы обязаны:

  • Назначать лицо, ответственное за защиту данных (DPO, порт. Encarregado), которое публично сообщается ANPD.
  • Вести реестр операций обработки данных.
  • Проводить оценку воздействия на защиту данных (DPIA) для операций с высоким риском.
  • Принимать технические и организационные меры безопасности (шифрование, контроль доступа, обучение персонала).
  • Уведомлять ANPD и субъектов об утечках данных, которые могут причинить существенный вред, в разумный срок.
  • Обеспечивать прозрачность политики обработки данных (публикация политики конфиденциальности).

Ответственность и санкции

За нарушение LGPD предусмотрены административные санкции (ст. 52), которые могут применяться ANPD после процедуры расследования. Виды санкций:

  • Предупреждение — с указанием срока устранения нарушений.
  • Штраф — до 2% от оборота компании в Бразилии за предыдущий финансовый год, но не более 50 миллионов бразильских реалов (около 10 миллионов долларов США по курсу 2024 года).
  • Блокировка или удаление персональных данных, к которым относится нарушение.
  • Частичный или полный запрет на обработку данных.
  • Публичное оглашение нарушения.

Кроме того, субъекты данных могут подавать гражданские иски о возмещении морального и материального ущерба. Уголовная ответственность за нарушение LGPD не предусмотрена, но может наступать по другим статьям Уголовного кодекса Бразилии (например, за нарушение тайны переписки).

Особенности и отличия от GDPR

Несмотря на общее сходство, LGPD имеет ряд отличий от европейского GDPR:

  • Правовые основания: LGPD включает «законные интересы» как основание, но не требует обязательного проведения теста на баланс интересов (LIA) в явном виде, хотя на практике это рекомендуется.
  • Согласие: В LGPD согласие может быть отозвано в любой момент, но не имеет обязательного требования «явного согласия» для всех видов обработки (кроме чувствительных данных).
  • Переносимость: Право на переносимость данных в LGPD ограничено коммерческой тайной и не распространяется на данные, обработанные на основании законных интересов.
  • DPO: Назначение DPO обязательно для всех контролёров, независимо от размера или объёма обработки, хотя ANPD может устанавливать исключения для малых предприятий.
  • Штрафы: Максимальный штраф в LGPD (50 млн реалов) значительно ниже, чем в GDPR (20 млн евро или 4% глобального оборота).
  • Уведомление об утечках: В LGPD нет строго определённого срока (72 часа, как в GDPR), требуется «разумный срок».

Критика и проблемы

LGPD подвергается критике по нескольким направлениям:

  • Неопределённость в сроках уведомления об утечках — отсутствие чёткого временного лимита создаёт риски для субъектов.
  • Сложность для малого бизнеса — требования по назначению DPO и ведению реестра могут быть обременительными для небольших компаний.
  • Недостаточная эффективность ANPD — в первые годы работы орган столкнулся с нехваткой финансирования и кадров, что замедлило рассмотрение жалоб.
  • Конфликт с другими законами — LGPD может вступать в противоречие с бразильским Законом о доступе к информации (Lei de Acesso à Informação) и трудовым законодательством.

Международное значение

LGPD считается одним из наиболее строгих законов о защите данных в Латинской Америке. Он оказал влияние на разработку аналогичных законов в других странах региона, таких как Аргентина, Чили и Колумбия. Бразилия, как член БРИКС, стремится к взаимному признанию стандартов защиты данных с ЕС и другими юрисдикциями.

Источники

  • Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais). Diário Oficial da União, Brasília, 2018.
  • Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas de Proteção de Dados Pessoais. Brasília, 2021.
  • Bioni, B. R. Proteção de Dados Pessoais: A LGPD Comentada. Rio de Janeiro: Forense, 2020.
  • Doneda, D. A Lei Geral de Proteção de Dados Pessoais: Comentários e Análise. São Paulo: Revista dos Tribunais, 2019.
  • Comissão Europeia. Adequacy Decision for Brazil under the GDPR. Brussels, 2023 (проект).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →