हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंब्राज़ील का लेई गेराल डी प्रोटेकाओ डी दादोस पेसोइस (एलजीपीडी - कानून संख्या 13,709/2018) 18 सितंबर, 2020 को लागू हुआ, अगस्त 2021 में ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस (एएनपीडी) द्वारा प्रवर्तन शुरू हुआ। जनसंख्या के हिसाब से ब्राजील दुनिया का पांचवां सबसे बड़ा देश और छठी सबसे बड़ी अर्थव्यवस्था है, जो एलजीपीडी अनुपालन करता है। ब्राज़ीलियाई संचालन, ग्राहकों या कर्मचारियों वाले किसी भी संगठन के लिए आवश्यक।
ईयू के जीडीपीआर पर बारीकी से आधारित, एलजीपीडी प्रसंस्करण के लिए कानूनी आधार, डेटा विषय अधिकार, एक डीपीओ आवश्यकता, सीमा पार हस्तांतरण प्रतिबंध और प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) की सीमा तक वार्षिक ब्राज़ीलियाई राजस्व का 2% तक जुर्माना पेश करता है। एएनपीडी ने अपना पहला महत्वपूर्ण जुर्माना जारी किया है और क्षेत्र-विशिष्ट मार्गदर्शन प्रकाशित किया है - प्रवर्तन अब सैद्धांतिक नहीं है।
मुख्य बातें
- LGPD ब्राज़ील में व्यक्तियों के व्यक्तिगत डेटा को संसाधित करने वाले किसी भी संगठन पर लागू होता है, भले ही संगठन कहीं भी स्थित हो
- प्रसंस्करण के लिए दस कानूनी आधार मौजूद हैं - कोई भी डिफ़ॉल्ट नहीं है; आपको प्रत्येक गतिविधि के लिए आधार का दस्तावेजीकरण करना होगा
- एलजीपीडी के तहत सहमति मुफ़्त, सूचित, स्पष्ट और एक विशिष्ट उद्देश्य के लिए होनी चाहिए - पहले से टिक किए गए बॉक्स योग्य नहीं हैं
- संवेदनशील व्यक्तिगत डेटा (जाति, धर्म, स्वास्थ्य, बायोमेट्रिक्स, राजनीतिक राय, यौन अभिविन्यास) के लिए स्पष्ट सहमति या विशिष्ट अपवाद की आवश्यकता होती है
- अधिकांश नियंत्रकों और प्रोसेसरों के लिए एक डीपीओ (एनकार्रेगाडो) की नियुक्ति अनिवार्य है
- सीमा पार स्थानांतरण प्रतिबंधित हैं - अनुमत तंत्र में पर्याप्तता निर्णय, मानक संविदात्मक खंड और प्रमाणन योजनाएं शामिल हैं
- एएनपीडी जुर्माना ब्राजीलियाई राजस्व के 2% तक पहुंच गया है, जो प्रति उल्लंघन R$50 मिलियन तक सीमित है
- एलजीपीडी को कानून 13,853/2019 द्वारा अद्यतन किया गया, जिसने एएनपीडी की स्वतंत्रता को मजबूत किया और प्रवर्तन प्रावधानों को स्पष्ट किया
एलजीपीडी क्षेत्र और प्रादेशिक अनुप्रयोग
एलजीपीडी व्यक्तिगत डेटा के किसी भी प्रसंस्करण पर लागू होता है:
- ब्राज़ीलियाई क्षेत्र में किया जाता है
- इसका उद्देश्य ब्राज़ील में स्थित व्यक्तियों को सामान या सेवाएँ प्रदान करना है
- ब्राज़ील में एकत्र किया गया व्यक्तिगत डेटा शामिल है
जीडीपीआर के अनुच्छेद 3 की तरह, इस बाह्यक्षेत्रीय दायरे का मतलब है कि ब्राज़ीलियाई ग्राहकों को सेवा प्रदान करने वाला पुर्तगाली भाषा का ईकॉमर्स स्टोर चलाने वाली अमेरिकी कंपनी को उन ग्राहकों के डेटा के लिए एलजीपीडी का अनुपालन करना होगा। ब्राज़ीलियाई कर्मचारियों वाली एक बहुराष्ट्रीय कंपनी को कर्मचारी डेटा प्रोसेसिंग के लिए अनुपालन करना होगा।
एलजीपीडी से छूट में शामिल हैं:
- प्रसंस्करण विशेष रूप से निजी उद्देश्यों के लिए किया जाता है, आर्थिक गतिविधि के लिए नहीं
- पत्रकारिता, कलात्मक या शैक्षणिक उद्देश्यों के लिए प्रसंस्करण
- सार्वजनिक सुरक्षा, राष्ट्रीय रक्षा, या आपराधिक जांच के लिए प्रसंस्करण (विशिष्ट कानून द्वारा कवर)
- ब्राज़ील के बाहर उत्पन्न होने वाला डेटा और ब्राज़ीलियाई एजेंटों के साथ संचार या साझा उपयोग का विषय नहीं
हालाँकि, इन छूटों की संकीर्ण व्याख्या की जाती है। अधिकांश व्यावसायिक प्रसंस्करण योग्य नहीं है।
व्यक्तिगत डेटा के प्रसंस्करण के लिए कानूनी आधार
LGPD का अनुच्छेद 7 व्यक्तिगत डेटा के प्रसंस्करण के लिए दस कानूनी आधार स्थापित करता है। यह जीडीपीआर (जिसमें छह हैं) से भिन्न है और ब्राजील के विशिष्ट विधायी संदर्भ को दर्शाता है। प्रत्येक प्रसंस्करण गतिविधि को इनमें से किसी एक आधार पर प्रलेखित किया जाना चाहिए:
| कानूनी आधार | विवरण |
|---|---|
| सहमति | निःशुल्क, सूचित, स्पष्ट और उद्देश्य-विशिष्ट सहमति |
| कानूनी बाध्यता | कानूनी या नियामक दायित्व का अनुपालन |
| सार्वजनिक नीति क्रियान्वयन | सार्वजनिक नीतियों के लिए सार्वजनिक प्राधिकारियों द्वारा प्रसंस्करण |
| अनुसंधान संस्थाओं द्वारा अनुसंधान | जहां संभव हो गुमनामीकरण के साथ |
| अनुबंध निष्पादन | डेटा विषय के साथ अनुबंध निष्पादित करना या तैयार करना |
| अधिकारों का नियमित प्रयोग | न्यायिक, प्रशासनिक या मध्यस्थता कार्यवाही में |
| वैध हित | जहां डेटा विषय के हित/मौलिक अधिकार प्रबल नहीं होते हैं (आनुपातिकता परीक्षण आवश्यक) |
| जीवन की रक्षा | डेटा विषय या तीसरे पक्ष के जीवन या शारीरिक सुरक्षा की सुरक्षा |
| स्वास्थ्य सुरक्षा | स्वास्थ्य पेशेवरों या स्वास्थ्य देखभाल संस्थाओं द्वारा |
| क्रेडिट सुरक्षा | क्रेडिट विश्लेषण और उपभोक्ता संरक्षण |
एलजीपीडी के तहत वैध हित जीडीपीआर की तुलना में संकीर्ण है: नियंत्रकों को डेटा विषय के मौलिक अधिकारों और स्वतंत्रता के विरुद्ध वैध हित को संतुलित करना होगा। एएनपीडी के मार्गदर्शन से संकेत मिलता है कि इसके लिए जीडीपीआर के समान एक दस्तावेजित तीन-भाग परीक्षण की आवश्यकता है, और केवल वाणिज्यिक उद्देश्य स्वचालित रूप से योग्य नहीं होते हैं।
संवेदनशील व्यक्तिगत डेटा (अनुच्छेद 11) में नस्लीय या जातीय मूल, धार्मिक विश्वास, राजनीतिक राय, ट्रेड यूनियन या धार्मिक संगठन की सदस्यता, स्वास्थ्य डेटा, यौन जीवन, आनुवंशिक या बायोमेट्रिक डेटा पर डेटा शामिल है। संवेदनशील डेटा को संसाधित करने के लिए स्पष्ट सहमति या सात विशिष्ट कानूनी आधारों (कानूनी दायित्व, अनुसंधान, चिकित्सा देखभाल, आदि) में से एक की आवश्यकता होती है। संवेदनशील डेटा के लिए सहमति मानक उच्चतर है - स्पष्ट, अन्य सहमति से अलग, और उद्देश्य-विशिष्ट।
एलजीपीडी के तहत डेटा विषय अधिकार
LGPD का अनुच्छेद 18 डेटा विषयों को नौ अधिकार प्रदान करता है:
| सही है | विवरण | प्रतिक्रिया की आवश्यकता |
|---|---|---|
| पुष्टि | पुष्टि करें कि क्या व्यक्तिगत डेटा संसाधित किया जा रहा है | बिना किसी देरी के |
| पहुंच | व्यक्तिगत डेटा तक पहुंच | बिना किसी देरी के |
| सुधार | अपूर्ण, गलत, या पुराने डेटा को सही करें | बिना किसी देरी के |
| गुमनामीकरण, अवरोधन, या विलोपन | अनावश्यक/अत्यधिक डेटा या गैरकानूनी ढंग से संसाधित डेटा का | बिना किसी देरी के |
| पोर्टेबिलिटी | किसी अन्य सेवा/उत्पाद प्रदाता को स्थानांतरण | प्रति एएनपीडी विनियम |
| सहमति प्राप्त डेटा को हटाना | सहमति के आधार पर संसाधित डेटा हटाएं | बिना किसी देरी के |
| साझा करने के बारे में जानकारी | जानें किसके साथ साझा किया जाता है डेटा | बिना किसी देरी के |
| इनकार के बारे में जानकारी | सहमति से इनकार करने के परिणाम | बिना किसी देरी के |
| सहमति का निरसन | किसी भी समय सहमति रद्द करें, नि:शुल्क | बिना किसी देरी के |
जीडीपीआर से मुख्य अंतर:
- एलजीपीडी में सहमति से इनकार करने के परिणामों को जानने का अधिकार शामिल है - यदि उपयोगकर्ता इनकार करता है तो क्या होगा इसका पूर्व-संग्रह प्रकटीकरण आवश्यक है
- "अनुचित देरी के बिना" जीडीपीआर की 30-दिवसीय समय-सीमा की तुलना में कम निर्देशात्मक है - एएनपीडी नियमों से समय-सीमा निर्दिष्ट करने की अपेक्षा की जाती है
- पोर्टेबिलिटी अधिकार तकनीकी व्यवहार्यता और एएनपीडी नियमों पर आधारित हैं
अधिकारों का प्रयोग: डेटा विषय नियंत्रक को अनुरोध सबमिट करते हैं। नियंत्रक को एएनपीडी रिज़ॉल्यूशन सीडी/एएनपीडी नंबर 4/2023 के तहत 15 दिनों के भीतर (पुष्टि और पहुंच अनुरोधों के लिए) जवाब देना होगा। अन्य अधिकारों के लिए, नियंत्रकों को एएनपीडी नियमों द्वारा परिभाषित अनुचित देरी के बिना जवाब देना होगा।
नियंत्रक और प्रोसेसर दायित्व
डेटा नियंत्रक (नियंत्रक): प्रसंस्करण के उद्देश्यों और साधनों को निर्धारित करता है। कानूनी आधार दस्तावेज़ीकरण, गोपनीयता नोटिस, डेटा विषय अधिकार पूर्ति, डीपीओ नियुक्ति, एएनपीडी रिपोर्टिंग और सुरक्षा उपायों सहित प्राथमिक एलजीपीडी दायित्व हैं।
डेटा प्रोसेसर (ऑपरेटर): एक अनुबंध के तहत नियंत्रक की ओर से डेटा संसाधित करता है। प्रोसेसर उन उल्लंघनों के लिए उत्तरदायित्व साझा करते हैं जहां वे नियंत्रक निर्देशों का पालन नहीं करते हैं या एलजीपीडी के विपरीत कार्य करते हैं। नियंत्रकों को केवल ऐसे प्रोसेसर का उपयोग करना चाहिए जो एलजीपीडी अनुपालन की पर्याप्त गारंटी प्रदान करते हैं।
प्रोसेसर अनुबंध आवश्यकताएँ (अनुच्छेद 39): नियंत्रकों और प्रोसेसर्स के पास निम्नलिखित को शामिल करते हुए एक लिखित अनुबंध होना चाहिए:
- व्यक्तिगत डेटा प्रोसेसिंग निर्देश
- सुरक्षा दायित्व
- गोपनीयता आवश्यकताएँ
- डेटा विषय अधिकार समर्थन
- अनुबंध समाप्ति पर डेटा वापसी या विलोपन दायित्व
संयुक्त नियंत्रक: एलजीपीडी स्पष्ट रूप से संयुक्त नियंत्रक व्यवस्था को संबोधित नहीं करता है (जीडीपीआर के अनुच्छेद 26 के विपरीत), लेकिन एएनपीडी मार्गदर्शन इंगित करता है कि संयुक्त प्रसंस्करण स्थितियों को जिम्मेदारियों के स्पष्ट आवंटन के साथ अनुबंधात्मक रूप से संबोधित किया जाना चाहिए।
डेटा संरक्षण अधिकारी (एनकार्रेगाडो)
अनुच्छेद 41 में डेटा सुरक्षा अधिकारी (एनकार्रेगाडो) नियुक्त करने के लिए नियंत्रकों और प्रोसेसरों की आवश्यकता होती है। जीडीपीआर के विपरीत, एलजीपीडी थ्रेसहोल्ड प्रदान नहीं करता है - आवश्यकता मोटे तौर पर नियंत्रकों और प्रोसेसर पर लागू होती है। एएनपीडी ने संकेत दिया है कि छोटे संगठनों और एकमात्र स्वामित्व के दायित्व कम हो सकते हैं, और एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2022 ने छोटे डेटा प्रोसेसर के लिए सरलीकृत प्रावधान स्थापित किए हैं।
डीपीओ (एनकार्रेगाडो) जिम्मेदारियां:
- नियंत्रक, डेटा विषयों और एएनपीडी के बीच संचार चैनल के रूप में कार्य करें
- डेटा विषय की शिकायतें प्राप्त करें और डेटा विषयों से उनके अधिकारों के संबंध में संवाद करें
- एएनपीडी से संचार प्राप्त करें और उचित कार्रवाई करें
- डेटा सुरक्षा प्रथाओं पर आंतरिक कर्मचारियों को सलाह दें
- नियंत्रक द्वारा परिभाषित या एएनपीडी विनियमों में स्थापित अन्य कर्तव्यों का पालन करें
प्रकाशन आवश्यकता: नियंत्रकों को आम तौर पर गोपनीयता नीति में एनकार्रेगाडो की पहचान और संपर्क जानकारी को सार्वजनिक रूप से प्रकट करना होगा।
आंतरिक या बाहरी हो सकता है: जीडीपीआर के विपरीत, एलजीपीडी डीपीओ भूमिका के लिए हितों के टकराव पर रोक नहीं लगाता है, हालांकि सर्वोत्तम अभ्यास से पता चलता है कि डीपीओ को पर्याप्त स्वतंत्रता होनी चाहिए। योग्य सलाहकारों की बाहरी डीपीओ सेवाओं का व्यापक रूप से उपयोग किया जाता है।
सुरक्षा आवश्यकताएँ
अनुच्छेद 46 में नियंत्रकों और प्रोसेसरों को व्यक्तिगत डेटा को अनधिकृत पहुंच और विनाश, हानि, परिवर्तन, संचार, या किसी भी प्रकार के अनुचित या गैरकानूनी उपचार की आकस्मिक या गैरकानूनी स्थितियों से बचाने के लिए सुरक्षा, तकनीकी और प्रशासनिक उपाय अपनाने की आवश्यकता है।
एएनपीडी संकल्प सीडी/एएनपीडी संख्या 4/2023 और संबंधित मार्गदर्शन न्यूनतम सुरक्षा आवश्यकताओं को निर्दिष्ट करते हैं। प्रमुख तकनीकी उपायों में शामिल हैं:
पहुंच नियंत्रण:
- डेटा की संवेदनशीलता के लिए आनुपातिक प्रमाणीकरण तंत्र
- विशेषाधिकार सीमा (न्यूनतम आवश्यक पहुंच)
- संवेदनशील डेटा तक पहुंच के लिए गतिविधि लॉगिंग
एन्क्रिप्शन:
- भंडारण में संवेदनशील व्यक्तिगत डेटा का एन्क्रिप्शन
- व्यक्तिगत डेटा के प्रसारण के लिए एन्क्रिप्शन
- प्रमुख प्रबंधन प्रक्रियाएं
डेटा जीवनचक्र प्रबंधन:
- प्रलेखित अवधारण अवधि
- अवधारण अवधि के अंत में सुरक्षित विलोपन या गुमनामीकरण
संगठनात्मक उपाय:
- व्यक्तिगत डेटा संभालने वाले सभी कर्मचारियों के लिए एलजीपीडी प्रशिक्षण
- नई प्रणालियों में डिज़ाइन पर विचार करके गोपनीयता
- नियमित सुरक्षा मूल्यांकन और ऑडिट
- घटना प्रतिक्रिया प्रक्रियाएँ
उल्लंघन अधिसूचना
अनुच्छेद 48 में नियंत्रकों को एएनपीडी और प्रभावित डेटा विषयों को सुरक्षा घटनाओं के बारे में सूचित करने की आवश्यकता होती है, जिसके परिणामस्वरूप डेटा विषयों को प्रासंगिक जोखिम या क्षति हो सकती है। एलजीपीडी कोई विशिष्ट अधिसूचना समय-सीमा निर्दिष्ट नहीं करता है - कानून कहता है कि अधिसूचना "उचित समय के भीतर" की जानी चाहिए। घटना अधिसूचना पर एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2023 बड़ी संख्या में डेटा विषयों को प्रभावित करने वाली या संवेदनशील डेटा को शामिल करने वाली घटनाओं के लिए 2-कार्य-दिवस की प्रारंभिक अधिसूचना आवश्यकता स्थापित करती है, जिसमें 5 व्यावसायिक दिनों के भीतर एक विस्तृत अधिसूचना होती है।
एएनपीडी को अधिसूचना सामग्री:
- प्रभावित डेटा की प्रकृति और डेटा विषयों की संख्या
- घटना के संभावित परिणाम
- स्थिति से निपटने के लिए कार्यान्वित या योजनाबद्ध उपाय
- डीपीओ की पहचान (एनकार्रेगाडो)
डेटा विषयों को अधिसूचना: जब घटना डेटा विषयों को महत्वपूर्ण नुकसान पहुंचा सकती है, तो एएनपीडी को प्रभावित व्यक्तियों को अधिसूचना की आवश्यकता हो सकती है, जिसमें घटना की प्रकृति और प्रभावों को कम करने के लिए किए गए उपाय शामिल हैं।
सीमा पार डेटा स्थानांतरण
LGPD का अनुच्छेद 33 व्यक्तिगत डेटा के अंतर्राष्ट्रीय हस्तांतरण को प्रतिबंधित करता है। अनुमत तंत्रों में शामिल हैं:
| तंत्र | विवरण |
|---|---|
| पर्याप्तता निर्णय | पर्याप्त स्तर की डेटा सुरक्षा वाले देश में स्थानांतरण (एएनपीडी निर्णय के अनुसार) |
| मानक संविदात्मक धाराएँ | एएनपीडी-अनुमोदित एससीसी का उपयोग (एएनपीडी इन्हें विकसित कर रहा है) |
| वैश्विक कॉर्पोरेट नीतियां | एएनपीडी द्वारा अनुमोदित बाध्यकारी कॉर्पोरेट नियम |
| विशिष्ट सहमति | सूचित, डेटा विषय की विशिष्ट सहमति |
| अंतर्राष्ट्रीय कानूनी सहयोग | सार्वजनिक निकायों के बीच |
| महत्वपूर्ण रुचियाँ | डेटा विषय या तीसरे पक्ष के जीवन की रक्षा के लिए |
| कानूनी दायित्व या अधिकारों का प्रयोग | कानूनी दायित्वों का अनुपालन या अधिकारों का प्रयोग |
| डेटा सेंटर/क्लाउड | विशिष्ट एएनपीडी शर्तों के अधीन |
पर्याप्तता निर्णयों की वर्तमान स्थिति: 2026 की शुरुआत तक, एएनपीडी ने अभी तक विशिष्ट देशों (ईयू सहित) के लिए पर्याप्तता निर्णय जारी नहीं किए हैं, हालांकि इस पर चर्चा की जा रही है। व्यवहार में, अधिकांश संगठन एएनपीडी के मानक संविदात्मक खंडों की प्रतीक्षा करते समय सहमति या विशिष्ट संविदात्मक खंडों का उपयोग करते हैं।
ईयू स्थानांतरण: एलजीपीडी की जीडीपीआर समानताओं के बावजूद, कोई पारस्परिक पर्याप्तता मान्यता नहीं है। ईयू→ब्राजील हस्तांतरण के लिए जीडीपीआर-संगत तंत्र की आवश्यकता होती है। ब्राज़ील→ईयू हस्तांतरण के लिए एलजीपीडी-संगत तंत्र की आवश्यकता होती है। बहुराष्ट्रीय डेटा प्रवाह के लिए दोनों ढाँचों का संतुष्ट होना आवश्यक है।
एएनपीडी प्रवर्तन और दंड
एएनपीडी (ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस) विधायी संशोधनों के बाद 2023 में संघीय सरकार से परिचालन रूप से स्वतंत्र हो गया। प्रवर्तन शक्तियों में शामिल हैं:
प्रशासनिक प्रतिबंध (अनुच्छेद 52):
- सुधारात्मक कार्रवाई और समय अवधि के संकेत के साथ चेतावनी
- साधारण जुर्माना: पिछले वित्तीय वर्ष में ब्राज़ील में कंपनी के राजस्व का 2% तक, प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) तक सीमित
- चल रहे उल्लंघनों के लिए दैनिक जुर्माना (कुल R$50 मिलियन तक)
- उल्लंघन का प्रकाशन
- व्यक्तिगत डेटा प्रोसेसिंग को अवरुद्ध करना
- व्यक्तिगत डेटा का विलोपन
पहला महत्वपूर्ण जुर्माना: एएनपीडी ने 2023 में अपना पहला जुर्माना लगाया, एक दूरसंचार ऑपरेटर और एक स्वास्थ्य मंच को निशाना बनाते हुए, बड़े निगमों और छोटे संगठनों दोनों के खिलाफ लागू करने की इच्छा प्रदर्शित की। अब तक जुर्माना R$14,400 से R$14.4 मिलियन तक है।
जांच प्रक्रिया: एएनपीडी शिकायतों के आधार पर या अनिवार्य उल्लंघन अधिसूचनाओं के माध्यम से पदेन जांच शुरू कर सकता है। मंजूरी प्रक्रिया में विषय संगठन को नोटिस, बचाव प्रस्तुत करने का अवसर, और सहयोग और उपचार के आधार पर क्रमिक दंड शामिल हैं।
एलजीपीडी अनुपालन चेकलिस्ट
- एलजीपीडी प्रयोज्यता विश्लेषण पूरा हुआ
- सभी प्रसंस्करण गतिविधियों के लिए डेटा मैपिंग/आरओपीए प्रलेखित
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- संवेदनशील व्यक्तिगत डेटा के लिए अलग कानूनी आधार प्रलेखित
- सहमति तंत्र की समीक्षा की गई - उद्देश्य-विशिष्ट, पूर्व-टिक वाले बक्सों को हटा दिया गया
- सभी आवश्यक खुलासों के साथ गोपनीयता नीति/नोटिस पुर्तगाली भाषा में (ब्राजील के उपयोगकर्ताओं के लिए) प्रकाशित किया गया
- डीपीओ (एनकार्रेगाडो) नियुक्त किया गया और संपर्क जानकारी प्रकाशित की गई
- डेटा विषय अधिकार प्रक्रियाओं का दस्तावेजीकरण और परीक्षण किया गया (पहुँच/पुष्टि के लिए 15 दिन की प्रतिक्रिया)
- एलजीपीडी-आवश्यक प्रावधानों के साथ प्रोसेसर अनुबंधों की समीक्षा की गई और उन्हें अद्यतन किया गया
- सभी अंतरराष्ट्रीय डेटा प्रवाह के लिए सीमा पार स्थानांतरण तंत्र का मूल्यांकन किया गया
- सुरक्षा उपायों को डेटा संवेदनशीलता के अनुपात में प्रलेखित और कार्यान्वित किया जाता है
- घटना की प्रतिक्रिया और उल्लंघन अधिसूचना प्रक्रिया (2 दिन की प्रारंभिक, 5 दिन की पूरी) प्रलेखित
- अवधारण कार्यक्रम प्रलेखित और स्वचालित विलोपन कॉन्फ़िगर किया गया
- एलजीपीडी पर कर्मचारी प्रशिक्षण पूरा और दस्तावेजीकरण किया गया
- नए उत्पादों और सुविधाओं के लिए डिज़ाइन समीक्षा द्वारा गोपनीयता
अक्सर पूछे जाने वाले प्रश्न
यदि हम ब्राज़ील में स्थित नहीं हैं तो क्या LGPD मेरी कंपनी पर लागू होता है?
हाँ, यदि आपके प्रसंस्करण में ब्राज़ील में एकत्र किया गया डेटा शामिल है, या यदि आप ब्राज़ील में व्यक्तियों को सामान या सेवाएँ प्रदान करते हैं। एलजीपीडी का बाह्यक्षेत्रीय दायरा जीडीपीआर के दृष्टिकोण के समान है। एक कंपनी जो पूरी तरह से ब्राज़ील के बाहर काम कर रही है, लेकिन ब्राज़ीलियाई ग्राहकों को सेवा प्रदान करने वाली पुर्तगाली भाषा की वेबसाइट चला रही है, या ब्राज़ीलियाई दूरस्थ कर्मचारियों को रोजगार दे रही है, उसे उन व्यक्तियों के डेटा के लिए एलजीपीडी का अनुपालन करना होगा।
जीडीपीआर की तुलना में एलजीपीडी जुर्माना क्या है?
LGPD का अधिकतम जुर्माना ब्राज़ीलियाई वार्षिक राजस्व का 2% है, जो प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) है। जीडीपीआर की अधिकतम सीमा वैश्विक वार्षिक राजस्व का 4% या €20 मिलियन, जो भी अधिक हो, है। बड़ी बहुराष्ट्रीय कंपनियों के लिए, जीडीपीआर जुर्माना एलजीपीडी जुर्माने से काफी अधिक हो सकता है। हालाँकि, एलजीपीडी की "प्रति उल्लंघन" फ़्रेमिंग - जहां प्रभावित प्रत्येक डेटा विषय संभावित रूप से एक अलग उल्लंघन हो सकता है - इसका मतलब है कि बड़े पैमाने पर घटनाओं के लिए समग्र जोखिम बहुत महत्वपूर्ण हो सकता है।
क्या एलजीपीडी सहमति जीडीपीआर सहमति के समान है?
अवधारणा में समान लेकिन कुछ अंतर के साथ। दोनों को स्वतंत्र, सूचित, विशिष्ट और स्पष्ट सहमति की आवश्यकता होती है। एलजीपीडी सहमति लिखित रूप में या समझौते को प्रदर्शित करने वाले अन्य माध्यमों से प्रदान की जानी चाहिए (एएनपीडी ने अभी तक डिजिटल सहमति प्रपत्रों पर मार्गदर्शन को अंतिम रूप नहीं दिया है)। जीडीपीआर के विपरीत, एलजीपीडी के पास रोजगार संदर्भों के लिए एक विशिष्ट "स्वतंत्र रूप से दिया गया" परीक्षण नहीं है - हालांकि रोजगार संबंधों का शक्ति असंतुलन इस बात के लिए प्रासंगिक है कि सहमति वास्तव में स्वतंत्र थी या नहीं। संवेदनशील डेटा के लिए, एलजीपीडी और जीडीपीआर दोनों को एक उन्नत, स्पष्ट सहमति मानक की आवश्यकता होती है।
एलजीपीडी ब्राजील में स्वास्थ्य देखभाल डेटा पर कैसे लागू होता है?
एलजीपीडी के तहत हेल्थकेयर डेटा को संवेदनशील व्यक्तिगत डेटा के रूप में वर्गीकृत किया गया है। प्रसंस्करण के लिए स्पष्ट सहमति की आवश्यकता होती है या यह स्वास्थ्य सुरक्षा (अनुच्छेद 11, II, सी - स्वास्थ्य पेशेवरों या संस्थाओं द्वारा निष्पादित) सहित विशिष्ट कानूनी आधारों के अंतर्गत आता है। ब्राज़ील में स्वास्थ्य देखभाल संगठनों को ब्राज़ीलियाई स्वास्थ्य नियामक एजेंसी (ANVISA) और फ़ेडरल काउंसिल ऑफ़ मेडिसिन (CFM) के क्षेत्र-विशिष्ट नियमों का भी पालन करना होगा। एलजीपीडी और स्वास्थ्य क्षेत्र के नियम समानांतर रूप से संचालित होते हैं।
क्या छोटे व्यवसायों के लिए सरलीकृत अनुपालन दायित्व हैं?
हाँ। एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2022 ने "छोटे डेटा प्रोसेसर" के लिए सरलीकृत अनुपालन दायित्वों की स्थापना की - जिन्हें आर$4 मिलियन तक वार्षिक राजस्व वाले प्राकृतिक व्यक्तियों या निजी कानूनी संस्थाओं के रूप में परिभाषित किया गया है, या कुछ प्रकारों के लिए आर$16 मिलियन तक। सरलीकृत दायित्वों में रिपोर्टिंग आवश्यकताओं को कम करना और डीपीओ आवश्यकताओं में ढील देना शामिल है। हालाँकि, कानूनी आधार दस्तावेज़ीकरण, डेटा विषय अधिकार और सुरक्षा उपायों सहित मुख्य दायित्व लागू रहेंगे।
अगले चरण
ब्राज़ील लैटिन अमेरिका के सबसे बड़े डिजिटल बाज़ारों में से एक है, और ब्राज़ीलियाई उद्यम ग्राहकों और सरकारी खरीद प्रक्रियाओं के लिए LGPD अनुपालन की आवश्यकता बढ़ती जा रही है। चाहे आप पहली बार ब्राज़ील में विस्तार कर रहे हों या मौजूदा अनुपालन कमियों को दूर कर रहे हों, ECOSIRE की टीम LGPD की आवश्यकताओं को पूरा करने में आपकी मदद कर सकती है।
डेटा मैपिंग और कानूनी आधार दस्तावेज़ीकरण से लेकर आपके प्रौद्योगिकी प्लेटफ़ॉर्म में गोपनीयता-दर-डिज़ाइन लागू करने तक, हमारी सेवाएँ पूर्ण अनुपालन जीवनचक्र को कवर करती हैं।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। एएनपीडी विनियमों और प्रवर्तन मार्गदर्शन के माध्यम से एलजीपीडी आवश्यकताएं विकसित होती रहती हैं। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य ब्राज़ीलियाई कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.