ब्राज़ील एलजीपीडी अनुपालन: लैटिन अमेरिकी परिचालन के लिए डेटा सुरक्षा

ब्राज़ील का लेई गेराल डी प्रोटेकाओ डी दादोस पेसोइस (एलजीपीडी - कानून संख्या 13,709/2018) 18 सितंबर, 2020 को लागू हुआ, अगस्त 2021 में ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस (एएनपीडी) द्वारा प्रवर्तन शुरू हुआ। जनसंख्या के हिसाब से ब्राजील दुनिया का पांचवां सबसे बड़ा देश और छठी सबसे बड़ी अर्थव्यवस्था है, जो एलजीपीडी अनुपालन करता है। ब्राज़ीलियाई संचालन, ग्राहकों या कर्मचारियों वाले किसी भी संगठन के लिए आवश्यक।

ईयू के जीडीपीआर पर बारीकी से आधारित, एलजीपीडी प्रसंस्करण के लिए कानूनी आधार, डेटा विषय अधिकार, एक डीपीओ आवश्यकता, सीमा पार हस्तांतरण प्रतिबंध और प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) की सीमा तक वार्षिक ब्राज़ीलियाई राजस्व का 2% तक जुर्माना पेश करता है। एएनपीडी ने अपना पहला महत्वपूर्ण जुर्माना जारी किया है और क्षेत्र-विशिष्ट मार्गदर्शन प्रकाशित किया है - प्रवर्तन अब सैद्धांतिक नहीं है।

मुख्य बातें

• LGPD ब्राज़ील में व्यक्तियों के व्यक्तिगत डेटा को संसाधित करने वाले किसी भी संगठन पर लागू होता है, भले ही संगठन कहीं भी स्थित हो
• प्रसंस्करण के लिए दस कानूनी आधार मौजूद हैं - कोई भी डिफ़ॉल्ट नहीं है; आपको प्रत्येक गतिविधि के लिए आधार का दस्तावेजीकरण करना होगा
• एलजीपीडी के तहत सहमति मुफ़्त, सूचित, स्पष्ट और एक विशिष्ट उद्देश्य के लिए होनी चाहिए - पहले से टिक किए गए बॉक्स योग्य नहीं हैं
• संवेदनशील व्यक्तिगत डेटा (जाति, धर्म, स्वास्थ्य, बायोमेट्रिक्स, राजनीतिक राय, यौन अभिविन्यास) के लिए स्पष्ट सहमति या विशिष्ट अपवाद की आवश्यकता होती है
• अधिकांश नियंत्रकों और प्रोसेसरों के लिए एक डीपीओ (एनकार्रेगाडो) की नियुक्ति अनिवार्य है
• सीमा पार स्थानांतरण प्रतिबंधित हैं - अनुमत तंत्र में पर्याप्तता निर्णय, मानक संविदात्मक खंड और प्रमाणन योजनाएं शामिल हैं
• एएनपीडी जुर्माना ब्राजीलियाई राजस्व के 2% तक पहुंच गया है, जो प्रति उल्लंघन R$50 मिलियन तक सीमित है
• एलजीपीडी को कानून 13,853/2019 द्वारा अद्यतन किया गया, जिसने एएनपीडी की स्वतंत्रता को मजबूत किया और प्रवर्तन प्रावधानों को स्पष्ट किया

---

एलजीपीडी क्षेत्र और प्रादेशिक अनुप्रयोग

एलजीपीडी व्यक्तिगत डेटा के किसी भी प्रसंस्करण पर लागू होता है:

1. ब्राज़ीलियाई क्षेत्र में किया जाता है
2. इसका उद्देश्य ब्राज़ील में स्थित व्यक्तियों को सामान या सेवाएँ प्रदान करना है
3. ब्राज़ील में एकत्र किया गया व्यक्तिगत डेटा शामिल है

जीडीपीआर के अनुच्छेद 3 की तरह, इस बाह्यक्षेत्रीय दायरे का मतलब है कि ब्राज़ीलियाई ग्राहकों को सेवा प्रदान करने वाला पुर्तगाली भाषा का ईकॉमर्स स्टोर चलाने वाली अमेरिकी कंपनी को उन ग्राहकों के डेटा के लिए एलजीपीडी का अनुपालन करना होगा। ब्राज़ीलियाई कर्मचारियों वाली एक बहुराष्ट्रीय कंपनी को कर्मचारी डेटा प्रोसेसिंग के लिए अनुपालन करना होगा।

एलजीपीडी से छूट में शामिल हैं:

• प्रसंस्करण विशेष रूप से निजी उद्देश्यों के लिए किया जाता है, आर्थिक गतिविधि के लिए नहीं
• पत्रकारिता, कलात्मक या शैक्षणिक उद्देश्यों के लिए प्रसंस्करण
• सार्वजनिक सुरक्षा, राष्ट्रीय रक्षा, या आपराधिक जांच के लिए प्रसंस्करण (विशिष्ट कानून द्वारा कवर)
• ब्राज़ील के बाहर उत्पन्न होने वाला डेटा और ब्राज़ीलियाई एजेंटों के साथ संचार या साझा उपयोग का विषय नहीं

हालाँकि, इन छूटों की संकीर्ण व्याख्या की जाती है। अधिकांश व्यावसायिक प्रसंस्करण योग्य नहीं है।

---

व्यक्तिगत डेटा के प्रसंस्करण के लिए कानूनी आधार

LGPD का अनुच्छेद 7 व्यक्तिगत डेटा के प्रसंस्करण के लिए दस कानूनी आधार स्थापित करता है। यह जीडीपीआर (जिसमें छह हैं) से भिन्न है और ब्राजील के विशिष्ट विधायी संदर्भ को दर्शाता है। प्रत्येक प्रसंस्करण गतिविधि को इनमें से किसी एक आधार पर प्रलेखित किया जाना चाहिए:

एलजीपीडी के तहत वैध हित जीडीपीआर की तुलना में संकीर्ण है: नियंत्रकों को डेटा विषय के मौलिक अधिकारों और स्वतंत्रता के विरुद्ध वैध हित को संतुलित करना होगा। एएनपीडी के मार्गदर्शन से संकेत मिलता है कि इसके लिए जीडीपीआर के समान एक दस्तावेजित तीन-भाग परीक्षण की आवश्यकता है, और केवल वाणिज्यिक उद्देश्य स्वचालित रूप से योग्य नहीं होते हैं।

संवेदनशील व्यक्तिगत डेटा (अनुच्छेद 11) में नस्लीय या जातीय मूल, धार्मिक विश्वास, राजनीतिक राय, ट्रेड यूनियन या धार्मिक संगठन की सदस्यता, स्वास्थ्य डेटा, यौन जीवन, आनुवंशिक या बायोमेट्रिक डेटा पर डेटा शामिल है। संवेदनशील डेटा को संसाधित करने के लिए स्पष्ट सहमति या सात विशिष्ट कानूनी आधारों (कानूनी दायित्व, अनुसंधान, चिकित्सा देखभाल, आदि) में से एक की आवश्यकता होती है। संवेदनशील डेटा के लिए सहमति मानक उच्चतर है - स्पष्ट, अन्य सहमति से अलग, और उद्देश्य-विशिष्ट।

---

एलजीपीडी के तहत डेटा विषय अधिकार

LGPD का अनुच्छेद 18 डेटा विषयों को नौ अधिकार प्रदान करता है:

जीडीपीआर से मुख्य अंतर:

• एलजीपीडी में सहमति से इनकार करने के परिणामों को जानने का अधिकार शामिल है - यदि उपयोगकर्ता इनकार करता है तो क्या होगा इसका पूर्व-संग्रह प्रकटीकरण आवश्यक है
• "अनुचित देरी के बिना" जीडीपीआर की 30-दिवसीय समय-सीमा की तुलना में कम निर्देशात्मक है - एएनपीडी नियमों से समय-सीमा निर्दिष्ट करने की अपेक्षा की जाती है
• पोर्टेबिलिटी अधिकार तकनीकी व्यवहार्यता और एएनपीडी नियमों पर आधारित हैं

अधिकारों का प्रयोग: डेटा विषय नियंत्रक को अनुरोध सबमिट करते हैं। नियंत्रक को एएनपीडी रिज़ॉल्यूशन सीडी/एएनपीडी नंबर 4/2023 के तहत 15 दिनों के भीतर (पुष्टि और पहुंच अनुरोधों के लिए) जवाब देना होगा। अन्य अधिकारों के लिए, नियंत्रकों को एएनपीडी नियमों द्वारा परिभाषित अनुचित देरी के बिना जवाब देना होगा।

---

नियंत्रक और प्रोसेसर दायित्व

डेटा नियंत्रक (नियंत्रक): प्रसंस्करण के उद्देश्यों और साधनों को निर्धारित करता है। कानूनी आधार दस्तावेज़ीकरण, गोपनीयता नोटिस, डेटा विषय अधिकार पूर्ति, डीपीओ नियुक्ति, एएनपीडी रिपोर्टिंग और सुरक्षा उपायों सहित प्राथमिक एलजीपीडी दायित्व हैं।

डेटा प्रोसेसर (ऑपरेटर): एक अनुबंध के तहत नियंत्रक की ओर से डेटा संसाधित करता है। प्रोसेसर उन उल्लंघनों के लिए उत्तरदायित्व साझा करते हैं जहां वे नियंत्रक निर्देशों का पालन नहीं करते हैं या एलजीपीडी के विपरीत कार्य करते हैं। नियंत्रकों को केवल ऐसे प्रोसेसर का उपयोग करना चाहिए जो एलजीपीडी अनुपालन की पर्याप्त गारंटी प्रदान करते हैं।

प्रोसेसर अनुबंध आवश्यकताएँ (अनुच्छेद 39): नियंत्रकों और प्रोसेसर्स के पास निम्नलिखित को शामिल करते हुए एक लिखित अनुबंध होना चाहिए:

• व्यक्तिगत डेटा प्रोसेसिंग निर्देश
• सुरक्षा दायित्व
• गोपनीयता आवश्यकताएँ
• डेटा विषय अधिकार समर्थन
• अनुबंध समाप्ति पर डेटा वापसी या विलोपन दायित्व

संयुक्त नियंत्रक: एलजीपीडी स्पष्ट रूप से संयुक्त नियंत्रक व्यवस्था को संबोधित नहीं करता है (जीडीपीआर के अनुच्छेद 26 के विपरीत), लेकिन एएनपीडी मार्गदर्शन इंगित करता है कि संयुक्त प्रसंस्करण स्थितियों को जिम्मेदारियों के स्पष्ट आवंटन के साथ अनुबंधात्मक रूप से संबोधित किया जाना चाहिए।

---

डेटा संरक्षण अधिकारी (एनकार्रेगाडो)

अनुच्छेद 41 में डेटा सुरक्षा अधिकारी (एनकार्रेगाडो) नियुक्त करने के लिए नियंत्रकों और प्रोसेसरों की आवश्यकता होती है। जीडीपीआर के विपरीत, एलजीपीडी थ्रेसहोल्ड प्रदान नहीं करता है - आवश्यकता मोटे तौर पर नियंत्रकों और प्रोसेसर पर लागू होती है। एएनपीडी ने संकेत दिया है कि छोटे संगठनों और एकमात्र स्वामित्व के दायित्व कम हो सकते हैं, और एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2022 ने छोटे डेटा प्रोसेसर के लिए सरलीकृत प्रावधान स्थापित किए हैं।

डीपीओ (एनकार्रेगाडो) जिम्मेदारियां:

• नियंत्रक, डेटा विषयों और एएनपीडी के बीच संचार चैनल के रूप में कार्य करें
• डेटा विषय की शिकायतें प्राप्त करें और डेटा विषयों से उनके अधिकारों के संबंध में संवाद करें
• एएनपीडी से संचार प्राप्त करें और उचित कार्रवाई करें
• डेटा सुरक्षा प्रथाओं पर आंतरिक कर्मचारियों को सलाह दें
• नियंत्रक द्वारा परिभाषित या एएनपीडी विनियमों में स्थापित अन्य कर्तव्यों का पालन करें

प्रकाशन आवश्यकता: नियंत्रकों को आम तौर पर गोपनीयता नीति में एनकार्रेगाडो की पहचान और संपर्क जानकारी को सार्वजनिक रूप से प्रकट करना होगा।

आंतरिक या बाहरी हो सकता है: जीडीपीआर के विपरीत, एलजीपीडी डीपीओ भूमिका के लिए हितों के टकराव पर रोक नहीं लगाता है, हालांकि सर्वोत्तम अभ्यास से पता चलता है कि डीपीओ को पर्याप्त स्वतंत्रता होनी चाहिए। योग्य सलाहकारों की बाहरी डीपीओ सेवाओं का व्यापक रूप से उपयोग किया जाता है।

---

सुरक्षा आवश्यकताएँ

अनुच्छेद 46 में नियंत्रकों और प्रोसेसरों को व्यक्तिगत डेटा को अनधिकृत पहुंच और विनाश, हानि, परिवर्तन, संचार, या किसी भी प्रकार के अनुचित या गैरकानूनी उपचार की आकस्मिक या गैरकानूनी स्थितियों से बचाने के लिए सुरक्षा, तकनीकी और प्रशासनिक उपाय अपनाने की आवश्यकता है।

एएनपीडी संकल्प सीडी/एएनपीडी संख्या 4/2023 और संबंधित मार्गदर्शन न्यूनतम सुरक्षा आवश्यकताओं को निर्दिष्ट करते हैं। प्रमुख तकनीकी उपायों में शामिल हैं:

पहुंच नियंत्रण:

• डेटा की संवेदनशीलता के लिए आनुपातिक प्रमाणीकरण तंत्र
• विशेषाधिकार सीमा (न्यूनतम आवश्यक पहुंच)
• संवेदनशील डेटा तक पहुंच के लिए गतिविधि लॉगिंग

एन्क्रिप्शन:

• भंडारण में संवेदनशील व्यक्तिगत डेटा का एन्क्रिप्शन
• व्यक्तिगत डेटा के प्रसारण के लिए एन्क्रिप्शन
• प्रमुख प्रबंधन प्रक्रियाएं

डेटा जीवनचक्र प्रबंधन:

• प्रलेखित अवधारण अवधि
• अवधारण अवधि के अंत में सुरक्षित विलोपन या गुमनामीकरण

संगठनात्मक उपाय:

• व्यक्तिगत डेटा संभालने वाले सभी कर्मचारियों के लिए एलजीपीडी प्रशिक्षण
• नई प्रणालियों में डिज़ाइन पर विचार करके गोपनीयता
• नियमित सुरक्षा मूल्यांकन और ऑडिट
• घटना प्रतिक्रिया प्रक्रियाएँ

---

उल्लंघन अधिसूचना

अनुच्छेद 48 में नियंत्रकों को एएनपीडी और प्रभावित डेटा विषयों को सुरक्षा घटनाओं के बारे में सूचित करने की आवश्यकता होती है, जिसके परिणामस्वरूप डेटा विषयों को प्रासंगिक जोखिम या क्षति हो सकती है। एलजीपीडी कोई विशिष्ट अधिसूचना समय-सीमा निर्दिष्ट नहीं करता है - कानून कहता है कि अधिसूचना "उचित समय के भीतर" की जानी चाहिए। घटना अधिसूचना पर एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2023 बड़ी संख्या में डेटा विषयों को प्रभावित करने वाली या संवेदनशील डेटा को शामिल करने वाली घटनाओं के लिए 2-कार्य-दिवस की प्रारंभिक अधिसूचना आवश्यकता स्थापित करती है, जिसमें 5 व्यावसायिक दिनों के भीतर एक विस्तृत अधिसूचना होती है।

एएनपीडी को अधिसूचना सामग्री:

• प्रभावित डेटा की प्रकृति और डेटा विषयों की संख्या
• घटना के संभावित परिणाम
• स्थिति से निपटने के लिए कार्यान्वित या योजनाबद्ध उपाय
• डीपीओ की पहचान (एनकार्रेगाडो)

डेटा विषयों को अधिसूचना: जब घटना डेटा विषयों को महत्वपूर्ण नुकसान पहुंचा सकती है, तो एएनपीडी को प्रभावित व्यक्तियों को अधिसूचना की आवश्यकता हो सकती है, जिसमें घटना की प्रकृति और प्रभावों को कम करने के लिए किए गए उपाय शामिल हैं।

---

सीमा पार डेटा स्थानांतरण

LGPD का अनुच्छेद 33 व्यक्तिगत डेटा के अंतर्राष्ट्रीय हस्तांतरण को प्रतिबंधित करता है। अनुमत तंत्रों में शामिल हैं:

पर्याप्तता निर्णयों की वर्तमान स्थिति: 2026 की शुरुआत तक, एएनपीडी ने अभी तक विशिष्ट देशों (ईयू सहित) के लिए पर्याप्तता निर्णय जारी नहीं किए हैं, हालांकि इस पर चर्चा की जा रही है। व्यवहार में, अधिकांश संगठन एएनपीडी के मानक संविदात्मक खंडों की प्रतीक्षा करते समय सहमति या विशिष्ट संविदात्मक खंडों का उपयोग करते हैं।

ईयू स्थानांतरण: एलजीपीडी की जीडीपीआर समानताओं के बावजूद, कोई पारस्परिक पर्याप्तता मान्यता नहीं है। ईयू→ब्राजील हस्तांतरण के लिए जीडीपीआर-संगत तंत्र की आवश्यकता होती है। ब्राज़ील→ईयू हस्तांतरण के लिए एलजीपीडी-संगत तंत्र की आवश्यकता होती है। बहुराष्ट्रीय डेटा प्रवाह के लिए दोनों ढाँचों का संतुष्ट होना आवश्यक है।

---

एएनपीडी प्रवर्तन और दंड

एएनपीडी (ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस) विधायी संशोधनों के बाद 2023 में संघीय सरकार से परिचालन रूप से स्वतंत्र हो गया। प्रवर्तन शक्तियों में शामिल हैं:

प्रशासनिक प्रतिबंध (अनुच्छेद 52):

• सुधारात्मक कार्रवाई और समय अवधि के संकेत के साथ चेतावनी
• साधारण जुर्माना: पिछले वित्तीय वर्ष में ब्राज़ील में कंपनी के राजस्व का 2% तक, प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) तक सीमित
• चल रहे उल्लंघनों के लिए दैनिक जुर्माना (कुल R$50 मिलियन तक)
• उल्लंघन का प्रकाशन
• व्यक्तिगत डेटा प्रोसेसिंग को अवरुद्ध करना
• व्यक्तिगत डेटा का विलोपन

पहला महत्वपूर्ण जुर्माना: एएनपीडी ने 2023 में अपना पहला जुर्माना लगाया, एक दूरसंचार ऑपरेटर और एक स्वास्थ्य मंच को निशाना बनाते हुए, बड़े निगमों और छोटे संगठनों दोनों के खिलाफ लागू करने की इच्छा प्रदर्शित की। अब तक जुर्माना R$14,400 से R$14.4 मिलियन तक है।

जांच प्रक्रिया: एएनपीडी शिकायतों के आधार पर या अनिवार्य उल्लंघन अधिसूचनाओं के माध्यम से पदेन जांच शुरू कर सकता है। मंजूरी प्रक्रिया में विषय संगठन को नोटिस, बचाव प्रस्तुत करने का अवसर, और सहयोग और उपचार के आधार पर क्रमिक दंड शामिल हैं।

---

एलजीपीडी अनुपालन चेकलिस्ट

• एलजीपीडी प्रयोज्यता विश्लेषण पूरा हुआ
• सभी प्रसंस्करण गतिविधियों के लिए डेटा मैपिंग/आरओपीए प्रलेखित
• प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
• संवेदनशील व्यक्तिगत डेटा के लिए अलग कानूनी आधार प्रलेखित
• सहमति तंत्र की समीक्षा की गई - उद्देश्य-विशिष्ट, पूर्व-टिक वाले बक्सों को हटा दिया गया
• सभी आवश्यक खुलासों के साथ गोपनीयता नीति/नोटिस पुर्तगाली भाषा में (ब्राजील के उपयोगकर्ताओं के लिए) प्रकाशित किया गया
• डीपीओ (एनकार्रेगाडो) नियुक्त किया गया और संपर्क जानकारी प्रकाशित की गई
• डेटा विषय अधिकार प्रक्रियाओं का दस्तावेजीकरण और परीक्षण किया गया (पहुँच/पुष्टि के लिए 15 दिन की प्रतिक्रिया)
• एलजीपीडी-आवश्यक प्रावधानों के साथ प्रोसेसर अनुबंधों की समीक्षा की गई और उन्हें अद्यतन किया गया
• सभी अंतरराष्ट्रीय डेटा प्रवाह के लिए सीमा पार स्थानांतरण तंत्र का मूल्यांकन किया गया
• सुरक्षा उपायों को डेटा संवेदनशीलता के अनुपात में प्रलेखित और कार्यान्वित किया जाता है
• घटना की प्रतिक्रिया और उल्लंघन अधिसूचना प्रक्रिया (2 दिन की प्रारंभिक, 5 दिन की पूरी) प्रलेखित
• अवधारण कार्यक्रम प्रलेखित और स्वचालित विलोपन कॉन्फ़िगर किया गया
• एलजीपीडी पर कर्मचारी प्रशिक्षण पूरा और दस्तावेजीकरण किया गया
• नए उत्पादों और सुविधाओं के लिए डिज़ाइन समीक्षा द्वारा गोपनीयता

---

अक्सर पूछे जाने वाले प्रश्न

यदि हम ब्राज़ील में स्थित नहीं हैं तो क्या LGPD मेरी कंपनी पर लागू होता है?

हाँ, यदि आपके प्रसंस्करण में ब्राज़ील में एकत्र किया गया डेटा शामिल है, या यदि आप ब्राज़ील में व्यक्तियों को सामान या सेवाएँ प्रदान करते हैं। एलजीपीडी का बाह्यक्षेत्रीय दायरा जीडीपीआर के दृष्टिकोण के समान है। एक कंपनी जो पूरी तरह से ब्राज़ील के बाहर काम कर रही है, लेकिन ब्राज़ीलियाई ग्राहकों को सेवा प्रदान करने वाली पुर्तगाली भाषा की वेबसाइट चला रही है, या ब्राज़ीलियाई दूरस्थ कर्मचारियों को रोजगार दे रही है, उसे उन व्यक्तियों के डेटा के लिए एलजीपीडी का अनुपालन करना होगा।

जीडीपीआर की तुलना में एलजीपीडी जुर्माना क्या है?

LGPD का अधिकतम जुर्माना ब्राज़ीलियाई वार्षिक राजस्व का 2% है, जो प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) है। जीडीपीआर की अधिकतम सीमा वैश्विक वार्षिक राजस्व का 4% या €20 मिलियन, जो भी अधिक हो, है। बड़ी बहुराष्ट्रीय कंपनियों के लिए, जीडीपीआर जुर्माना एलजीपीडी जुर्माने से काफी अधिक हो सकता है। हालाँकि, एलजीपीडी की "प्रति उल्लंघन" फ़्रेमिंग - जहां प्रभावित प्रत्येक डेटा विषय संभावित रूप से एक अलग उल्लंघन हो सकता है - इसका मतलब है कि बड़े पैमाने पर घटनाओं के लिए समग्र जोखिम बहुत महत्वपूर्ण हो सकता है।

क्या एलजीपीडी सहमति जीडीपीआर सहमति के समान है?

अवधारणा में समान लेकिन कुछ अंतर के साथ। दोनों को स्वतंत्र, सूचित, विशिष्ट और स्पष्ट सहमति की आवश्यकता होती है। एलजीपीडी सहमति लिखित रूप में या समझौते को प्रदर्शित करने वाले अन्य माध्यमों से प्रदान की जानी चाहिए (एएनपीडी ने अभी तक डिजिटल सहमति प्रपत्रों पर मार्गदर्शन को अंतिम रूप नहीं दिया है)। जीडीपीआर के विपरीत, एलजीपीडी के पास रोजगार संदर्भों के लिए एक विशिष्ट "स्वतंत्र रूप से दिया गया" परीक्षण नहीं है - हालांकि रोजगार संबंधों का शक्ति असंतुलन इस बात के लिए प्रासंगिक है कि सहमति वास्तव में स्वतंत्र थी या नहीं। संवेदनशील डेटा के लिए, एलजीपीडी और जीडीपीआर दोनों को एक उन्नत, स्पष्ट सहमति मानक की आवश्यकता होती है।

एलजीपीडी ब्राजील में स्वास्थ्य देखभाल डेटा पर कैसे लागू होता है?

एलजीपीडी के तहत हेल्थकेयर डेटा को संवेदनशील व्यक्तिगत डेटा के रूप में वर्गीकृत किया गया है। प्रसंस्करण के लिए स्पष्ट सहमति की आवश्यकता होती है या यह स्वास्थ्य सुरक्षा (अनुच्छेद 11, II, सी - स्वास्थ्य पेशेवरों या संस्थाओं द्वारा निष्पादित) सहित विशिष्ट कानूनी आधारों के अंतर्गत आता है। ब्राज़ील में स्वास्थ्य देखभाल संगठनों को ब्राज़ीलियाई स्वास्थ्य नियामक एजेंसी (ANVISA) और फ़ेडरल काउंसिल ऑफ़ मेडिसिन (CFM) के क्षेत्र-विशिष्ट नियमों का भी पालन करना होगा। एलजीपीडी और स्वास्थ्य क्षेत्र के नियम समानांतर रूप से संचालित होते हैं।

क्या छोटे व्यवसायों के लिए सरलीकृत अनुपालन दायित्व हैं?

हाँ। एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2022 ने "छोटे डेटा प्रोसेसर" के लिए सरलीकृत अनुपालन दायित्वों की स्थापना की - जिन्हें आर$4 मिलियन तक वार्षिक राजस्व वाले प्राकृतिक व्यक्तियों या निजी कानूनी संस्थाओं के रूप में परिभाषित किया गया है, या कुछ प्रकारों के लिए आर$16 मिलियन तक। सरलीकृत दायित्वों में रिपोर्टिंग आवश्यकताओं को कम करना और डीपीओ आवश्यकताओं में ढील देना शामिल है। हालाँकि, कानूनी आधार दस्तावेज़ीकरण, डेटा विषय अधिकार और सुरक्षा उपायों सहित मुख्य दायित्व लागू रहेंगे।

---

अगले चरण

ब्राज़ील लैटिन अमेरिका के सबसे बड़े डिजिटल बाज़ारों में से एक है, और ब्राज़ीलियाई उद्यम ग्राहकों और सरकारी खरीद प्रक्रियाओं के लिए LGPD अनुपालन की आवश्यकता बढ़ती जा रही है। चाहे आप पहली बार ब्राज़ील में विस्तार कर रहे हों या मौजूदा अनुपालन कमियों को दूर कर रहे हों, ECOSIRE की टीम LGPD की आवश्यकताओं को पूरा करने में आपकी मदद कर सकती है।

डेटा मैपिंग और कानूनी आधार दस्तावेज़ीकरण से लेकर आपके प्रौद्योगिकी प्लेटफ़ॉर्म में गोपनीयता-दर-डिज़ाइन लागू करने तक, हमारी सेवाएँ पूर्ण अनुपालन जीवनचक्र को कवर करती हैं।

और जानें: ECOSIRE सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। एएनपीडी विनियमों और प्रवर्तन मार्गदर्शन के माध्यम से एलजीपीडी आवश्यकताएं विकसित होती रहती हैं। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य ब्राज़ीलियाई कानूनी सलाहकार से परामर्श लें।