हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंब्राज़ील एलजीपीडी अनुपालन: लैटिन अमेरिकी परिचालन के लिए डेटा सुरक्षा
ब्राज़ील का लेई गेराल डी प्रोटेकाओ डी दादोस पेसोइस (एलजीपीडी - कानून संख्या 13,709/2018) 18 सितंबर, 2020 को लागू हुआ, अगस्त 2021 में ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस (एएनपीडी) द्वारा प्रवर्तन शुरू हुआ। जनसंख्या के हिसाब से ब्राजील दुनिया का पांचवां सबसे बड़ा देश और छठी सबसे बड़ी अर्थव्यवस्था है, जो एलजीपीडी अनुपालन करता है। ब्राज़ीलियाई संचालन, ग्राहकों या कर्मचारियों वाले किसी भी संगठन के लिए आवश्यक।
ईयू के जीडीपीआर पर बारीकी से आधारित, एलजीपीडी प्रसंस्करण के लिए कानूनी आधार, डेटा विषय अधिकार, एक डीपीओ आवश्यकता, सीमा पार हस्तांतरण प्रतिबंध और प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) की सीमा तक वार्षिक ब्राज़ीलियाई राजस्व का 2% तक जुर्माना पेश करता है। एएनपीडी ने अपना पहला महत्वपूर्ण जुर्माना जारी किया है और क्षेत्र-विशिष्ट मार्गदर्शन प्रकाशित किया है - प्रवर्तन अब सैद्धांतिक नहीं है।
मुख्य बातें
- LGPD ब्राज़ील में व्यक्तियों के व्यक्तिगत डेटा को संसाधित करने वाले किसी भी संगठन पर लागू होता है, भले ही संगठन कहीं भी स्थित हो
- प्रसंस्करण के लिए दस कानूनी आधार मौजूद हैं - कोई भी डिफ़ॉल्ट नहीं है; आपको प्रत्येक गतिविधि के लिए आधार का दस्तावेजीकरण करना होगा
- एलजीपीडी के तहत सहमति मुफ़्त, सूचित, स्पष्ट और एक विशिष्ट उद्देश्य के लिए होनी चाहिए - पहले से टिक किए गए बॉक्स योग्य नहीं हैं
- संवेदनशील व्यक्तिगत डेटा (जाति, धर्म, स्वास्थ्य, बायोमेट्रिक्स, राजनीतिक राय, यौन अभिविन्यास) के लिए स्पष्ट सहमति या विशिष्ट अपवाद की आवश्यकता होती है
- अधिकांश नियंत्रकों और प्रोसेसरों के लिए एक डीपीओ (एनकार्रेगाडो) की नियुक्ति अनिवार्य है
- सीमा पार स्थानांतरण प्रतिबंधित हैं - अनुमत तंत्र में पर्याप्तता निर्णय, मानक संविदात्मक खंड और प्रमाणन योजनाएं शामिल हैं
- एएनपीडी जुर्माना ब्राजीलियाई राजस्व के 2% तक पहुंच गया है, जो प्रति उल्लंघन R$50 मिलियन तक सीमित है
- एलजीपीडी को कानून 13,853/2019 द्वारा अद्यतन किया गया, जिसने एएनपीडी की स्वतंत्रता को मजबूत किया और प्रवर्तन प्रावधानों को स्पष्ट किया
एलजीपीडी क्षेत्र और प्रादेशिक अनुप्रयोग
एलजीपीडी व्यक्तिगत डेटा के किसी भी प्रसंस्करण पर लागू होता है:
- ब्राज़ीलियाई क्षेत्र में किया जाता है
- इसका उद्देश्य ब्राज़ील में स्थित व्यक्तियों को सामान या सेवाएँ प्रदान करना है
- ब्राज़ील में एकत्र किया गया व्यक्तिगत डेटा शामिल है
जीडीपीआर के अनुच्छेद 3 की तरह, इस बाह्यक्षेत्रीय दायरे का मतलब है कि ब्राज़ीलियाई ग्राहकों को सेवा प्रदान करने वाला पुर्तगाली भाषा का ईकॉमर्स स्टोर चलाने वाली अमेरिकी कंपनी को उन ग्राहकों के डेटा के लिए एलजीपीडी का अनुपालन करना होगा। ब्राज़ीलियाई कर्मचारियों वाली एक बहुराष्ट्रीय कंपनी को कर्मचारी डेटा प्रोसेसिंग के लिए अनुपालन करना होगा।
एलजीपीडी से छूट में शामिल हैं:
- प्रसंस्करण विशेष रूप से निजी उद्देश्यों के लिए किया जाता है, आर्थिक गतिविधि के लिए नहीं
- पत्रकारिता, कलात्मक या शैक्षणिक उद्देश्यों के लिए प्रसंस्करण
- सार्वजनिक सुरक्षा, राष्ट्रीय रक्षा, या आपराधिक जांच के लिए प्रसंस्करण (विशिष्ट कानून द्वारा कवर)
- ब्राज़ील के बाहर उत्पन्न होने वाला डेटा और ब्राज़ीलियाई एजेंटों के साथ संचार या साझा उपयोग का विषय नहीं
हालाँकि, इन छूटों की संकीर्ण व्याख्या की जाती है। अधिकांश व्यावसायिक प्रसंस्करण योग्य नहीं है।
व्यक्तिगत डेटा के प्रसंस्करण के लिए कानूनी आधार
LGPD का अनुच्छेद 7 व्यक्तिगत डेटा के प्रसंस्करण के लिए दस कानूनी आधार स्थापित करता है। यह जीडीपीआर (जिसमें छह हैं) से भिन्न है और ब्राजील के विशिष्ट विधायी संदर्भ को दर्शाता है। प्रत्येक प्रसंस्करण गतिविधि को इनमें से किसी एक आधार पर प्रलेखित किया जाना चाहिए:
| कानूनी आधार | विवरण |
|---|---|
| सहमति | निःशुल्क, सूचित, स्पष्ट और उद्देश्य-विशिष्ट सहमति |
| कानूनी बाध्यता | कानूनी या नियामक दायित्व का अनुपालन |
| सार्वजनिक नीति क्रियान्वयन | सार्वजनिक नीतियों के लिए सार्वजनिक प्राधिकारियों द्वारा प्रसंस्करण |
| अनुसंधान संस्थाओं द्वारा अनुसंधान | जहां संभव हो गुमनामीकरण के साथ |
| अनुबंध निष्पादन | डेटा विषय के साथ अनुबंध निष्पादित करना या तैयार करना |
| अधिकारों का नियमित प्रयोग | न्यायिक, प्रशासनिक या मध्यस्थता कार्यवाही में |
| वैध हित | जहां डेटा विषय के हित/मौलिक अधिकार प्रबल नहीं होते हैं (आनुपातिकता परीक्षण आवश्यक) |
| जीवन की रक्षा | डेटा विषय या तीसरे पक्ष के जीवन या शारीरिक सुरक्षा की सुरक्षा |
| स्वास्थ्य सुरक्षा | स्वास्थ्य पेशेवरों या स्वास्थ्य देखभाल संस्थाओं द्वारा |
| क्रेडिट सुरक्षा | क्रेडिट विश्लेषण और उपभोक्ता संरक्षण |
एलजीपीडी के तहत वैध हित जीडीपीआर की तुलना में संकीर्ण है: नियंत्रकों को डेटा विषय के मौलिक अधिकारों और स्वतंत्रता के विरुद्ध वैध हित को संतुलित करना होगा। एएनपीडी के मार्गदर्शन से संकेत मिलता है कि इसके लिए जीडीपीआर के समान एक दस्तावेजित तीन-भाग परीक्षण की आवश्यकता है, और केवल वाणिज्यिक उद्देश्य स्वचालित रूप से योग्य नहीं होते हैं।
संवेदनशील व्यक्तिगत डेटा (अनुच्छेद 11) में नस्लीय या जातीय मूल, धार्मिक विश्वास, राजनीतिक राय, ट्रेड यूनियन या धार्मिक संगठन की सदस्यता, स्वास्थ्य डेटा, यौन जीवन, आनुवंशिक या बायोमेट्रिक डेटा पर डेटा शामिल है। संवेदनशील डेटा को संसाधित करने के लिए स्पष्ट सहमति या सात विशिष्ट कानूनी आधारों (कानूनी दायित्व, अनुसंधान, चिकित्सा देखभाल, आदि) में से एक की आवश्यकता होती है। संवेदनशील डेटा के लिए सहमति मानक उच्चतर है - स्पष्ट, अन्य सहमति से अलग, और उद्देश्य-विशिष्ट।
एलजीपीडी के तहत डेटा विषय अधिकार
LGPD का अनुच्छेद 18 डेटा विषयों को नौ अधिकार प्रदान करता है:
| सही है | विवरण | प्रतिक्रिया की आवश्यकता |
|---|---|---|
| पुष्टि | पुष्टि करें कि क्या व्यक्तिगत डेटा संसाधित किया जा रहा है | बिना किसी देरी के |
| पहुंच | व्यक्तिगत डेटा तक पहुंच | बिना किसी देरी के |
| सुधार | अपूर्ण, गलत, या पुराने डेटा को सही करें | बिना किसी देरी के |
| गुमनामीकरण, अवरोधन, या विलोपन | अनावश्यक/अत्यधिक डेटा या गैरकानूनी ढंग से संसाधित डेटा का | बिना किसी देरी के |
| पोर्टेबिलिटी | किसी अन्य सेवा/उत्पाद प्रदाता को स्थानांतरण | प्रति एएनपीडी विनियम |
| सहमति प्राप्त डेटा को हटाना | सहमति के आधार पर संसाधित डेटा हटाएं | बिना किसी देरी के |
| साझा करने के बारे में जानकारी | जानें किसके साथ साझा किया जाता है डेटा | बिना किसी देरी के |
| इनकार के बारे में जानकारी | सहमति से इनकार करने के परिणाम | बिना किसी देरी के |
| सहमति का निरसन | किसी भी समय सहमति रद्द करें, नि:शुल्क | बिना किसी देरी के |
जीडीपीआर से मुख्य अंतर:
- एलजीपीडी में सहमति से इनकार करने के परिणामों को जानने का अधिकार शामिल है - यदि उपयोगकर्ता इनकार करता है तो क्या होगा इसका पूर्व-संग्रह प्रकटीकरण आवश्यक है
- "अनुचित देरी के बिना" जीडीपीआर की 30-दिवसीय समय-सीमा की तुलना में कम निर्देशात्मक है - एएनपीडी नियमों से समय-सीमा निर्दिष्ट करने की अपेक्षा की जाती है
- पोर्टेबिलिटी अधिकार तकनीकी व्यवहार्यता और एएनपीडी नियमों पर आधारित हैं
अधिकारों का प्रयोग: डेटा विषय नियंत्रक को अनुरोध सबमिट करते हैं। नियंत्रक को एएनपीडी रिज़ॉल्यूशन सीडी/एएनपीडी नंबर 4/2023 के तहत 15 दिनों के भीतर (पुष्टि और पहुंच अनुरोधों के लिए) जवाब देना होगा। अन्य अधिकारों के लिए, नियंत्रकों को एएनपीडी नियमों द्वारा परिभाषित अनुचित देरी के बिना जवाब देना होगा।
नियंत्रक और प्रोसेसर दायित्व
डेटा नियंत्रक (नियंत्रक): प्रसंस्करण के उद्देश्यों और साधनों को निर्धारित करता है। कानूनी आधार दस्तावेज़ीकरण, गोपनीयता नोटिस, डेटा विषय अधिकार पूर्ति, डीपीओ नियुक्ति, एएनपीडी रिपोर्टिंग और सुरक्षा उपायों सहित प्राथमिक एलजीपीडी दायित्व हैं।
डेटा प्रोसेसर (ऑपरेटर): एक अनुबंध के तहत नियंत्रक की ओर से डेटा संसाधित करता है। प्रोसेसर उन उल्लंघनों के लिए उत्तरदायित्व साझा करते हैं जहां वे नियंत्रक निर्देशों का पालन नहीं करते हैं या एलजीपीडी के विपरीत कार्य करते हैं। नियंत्रकों को केवल ऐसे प्रोसेसर का उपयोग करना चाहिए जो एलजीपीडी अनुपालन की पर्याप्त गारंटी प्रदान करते हैं।
प्रोसेसर अनुबंध आवश्यकताएँ (अनुच्छेद 39): नियंत्रकों और प्रोसेसर्स के पास निम्नलिखित को शामिल करते हुए एक लिखित अनुबंध होना चाहिए:
- व्यक्तिगत डेटा प्रोसेसिंग निर्देश
- सुरक्षा दायित्व
- गोपनीयता आवश्यकताएँ
- डेटा विषय अधिकार समर्थन
- अनुबंध समाप्ति पर डेटा वापसी या विलोपन दायित्व
संयुक्त नियंत्रक: एलजीपीडी स्पष्ट रूप से संयुक्त नियंत्रक व्यवस्था को संबोधित नहीं करता है (जीडीपीआर के अनुच्छेद 26 के विपरीत), लेकिन एएनपीडी मार्गदर्शन इंगित करता है कि संयुक्त प्रसंस्करण स्थितियों को जिम्मेदारियों के स्पष्ट आवंटन के साथ अनुबंधात्मक रूप से संबोधित किया जाना चाहिए।
डेटा संरक्षण अधिकारी (एनकार्रेगाडो)
अनुच्छेद 41 में डेटा सुरक्षा अधिकारी (एनकार्रेगाडो) नियुक्त करने के लिए नियंत्रकों और प्रोसेसरों की आवश्यकता होती है। जीडीपीआर के विपरीत, एलजीपीडी थ्रेसहोल्ड प्रदान नहीं करता है - आवश्यकता मोटे तौर पर नियंत्रकों और प्रोसेसर पर लागू होती है। एएनपीडी ने संकेत दिया है कि छोटे संगठनों और एकमात्र स्वामित्व के दायित्व कम हो सकते हैं, और एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2022 ने छोटे डेटा प्रोसेसर के लिए सरलीकृत प्रावधान स्थापित किए हैं।
डीपीओ (एनकार्रेगाडो) जिम्मेदारियां:
- नियंत्रक, डेटा विषयों और एएनपीडी के बीच संचार चैनल के रूप में कार्य करें
- डेटा विषय की शिकायतें प्राप्त करें और डेटा विषयों से उनके अधिकारों के संबंध में संवाद करें
- एएनपीडी से संचार प्राप्त करें और उचित कार्रवाई करें
- डेटा सुरक्षा प्रथाओं पर आंतरिक कर्मचारियों को सलाह दें
- नियंत्रक द्वारा परिभाषित या एएनपीडी विनियमों में स्थापित अन्य कर्तव्यों का पालन करें
प्रकाशन आवश्यकता: नियंत्रकों को आम तौर पर गोपनीयता नीति में एनकार्रेगाडो की पहचान और संपर्क जानकारी को सार्वजनिक रूप से प्रकट करना होगा।
आंतरिक या बाहरी हो सकता है: जीडीपीआर के विपरीत, एलजीपीडी डीपीओ भूमिका के लिए हितों के टकराव पर रोक नहीं लगाता है, हालांकि सर्वोत्तम अभ्यास से पता चलता है कि डीपीओ को पर्याप्त स्वतंत्रता होनी चाहिए। योग्य सलाहकारों की बाहरी डीपीओ सेवाओं का व्यापक रूप से उपयोग किया जाता है।
सुरक्षा आवश्यकताएँ
अनुच्छेद 46 में नियंत्रकों और प्रोसेसरों को व्यक्तिगत डेटा को अनधिकृत पहुंच और विनाश, हानि, परिवर्तन, संचार, या किसी भी प्रकार के अनुचित या गैरकानूनी उपचार की आकस्मिक या गैरकानूनी स्थितियों से बचाने के लिए सुरक्षा, तकनीकी और प्रशासनिक उपाय अपनाने की आवश्यकता है।
एएनपीडी संकल्प सीडी/एएनपीडी संख्या 4/2023 और संबंधित मार्गदर्शन न्यूनतम सुरक्षा आवश्यकताओं को निर्दिष्ट करते हैं। प्रमुख तकनीकी उपायों में शामिल हैं:
पहुंच नियंत्रण:
- डेटा की संवेदनशीलता के लिए आनुपातिक प्रमाणीकरण तंत्र
- विशेषाधिकार सीमा (न्यूनतम आवश्यक पहुंच)
- संवेदनशील डेटा तक पहुंच के लिए गतिविधि लॉगिंग
एन्क्रिप्शन:
- भंडारण में संवेदनशील व्यक्तिगत डेटा का एन्क्रिप्शन
- व्यक्तिगत डेटा के प्रसारण के लिए एन्क्रिप्शन
- प्रमुख प्रबंधन प्रक्रियाएं
डेटा जीवनचक्र प्रबंधन:
- प्रलेखित अवधारण अवधि
- अवधारण अवधि के अंत में सुरक्षित विलोपन या गुमनामीकरण
संगठनात्मक उपाय:
- व्यक्तिगत डेटा संभालने वाले सभी कर्मचारियों के लिए एलजीपीडी प्रशिक्षण
- नई प्रणालियों में डिज़ाइन पर विचार करके गोपनीयता
- नियमित सुरक्षा मूल्यांकन और ऑडिट
- घटना प्रतिक्रिया प्रक्रियाएँ
उल्लंघन अधिसूचना
अनुच्छेद 48 में नियंत्रकों को एएनपीडी और प्रभावित डेटा विषयों को सुरक्षा घटनाओं के बारे में सूचित करने की आवश्यकता होती है, जिसके परिणामस्वरूप डेटा विषयों को प्रासंगिक जोखिम या क्षति हो सकती है। एलजीपीडी कोई विशिष्ट अधिसूचना समय-सीमा निर्दिष्ट नहीं करता है - कानून कहता है कि अधिसूचना "उचित समय के भीतर" की जानी चाहिए। घटना अधिसूचना पर एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2023 बड़ी संख्या में डेटा विषयों को प्रभावित करने वाली या संवेदनशील डेटा को शामिल करने वाली घटनाओं के लिए 2-कार्य-दिवस की प्रारंभिक अधिसूचना आवश्यकता स्थापित करती है, जिसमें 5 व्यावसायिक दिनों के भीतर एक विस्तृत अधिसूचना होती है।
एएनपीडी को अधिसूचना सामग्री:
- प्रभावित डेटा की प्रकृति और डेटा विषयों की संख्या
- घटना के संभावित परिणाम
- स्थिति से निपटने के लिए कार्यान्वित या योजनाबद्ध उपाय
- डीपीओ की पहचान (एनकार्रेगाडो)
डेटा विषयों को अधिसूचना: जब घटना डेटा विषयों को महत्वपूर्ण नुकसान पहुंचा सकती है, तो एएनपीडी को प्रभावित व्यक्तियों को अधिसूचना की आवश्यकता हो सकती है, जिसमें घटना की प्रकृति और प्रभावों को कम करने के लिए किए गए उपाय शामिल हैं।
सीमा पार डेटा स्थानांतरण
LGPD का अनुच्छेद 33 व्यक्तिगत डेटा के अंतर्राष्ट्रीय हस्तांतरण को प्रतिबंधित करता है। अनुमत तंत्रों में शामिल हैं:
| तंत्र | विवरण |
|---|---|
| पर्याप्तता निर्णय | पर्याप्त स्तर की डेटा सुरक्षा वाले देश में स्थानांतरण (एएनपीडी निर्णय के अनुसार) |
| मानक संविदात्मक धाराएँ | एएनपीडी-अनुमोदित एससीसी का उपयोग (एएनपीडी इन्हें विकसित कर रहा है) |
| वैश्विक कॉर्पोरेट नीतियां | एएनपीडी द्वारा अनुमोदित बाध्यकारी कॉर्पोरेट नियम |
| विशिष्ट सहमति | सूचित, डेटा विषय की विशिष्ट सहमति |
| अंतर्राष्ट्रीय कानूनी सहयोग | सार्वजनिक निकायों के बीच |
| महत्वपूर्ण रुचियाँ | डेटा विषय या तीसरे पक्ष के जीवन की रक्षा के लिए |
| कानूनी दायित्व या अधिकारों का प्रयोग | कानूनी दायित्वों का अनुपालन या अधिकारों का प्रयोग |
| डेटा सेंटर/क्लाउड | विशिष्ट एएनपीडी शर्तों के अधीन |
पर्याप्तता निर्णयों की वर्तमान स्थिति: 2026 की शुरुआत तक, एएनपीडी ने अभी तक विशिष्ट देशों (ईयू सहित) के लिए पर्याप्तता निर्णय जारी नहीं किए हैं, हालांकि इस पर चर्चा की जा रही है। व्यवहार में, अधिकांश संगठन एएनपीडी के मानक संविदात्मक खंडों की प्रतीक्षा करते समय सहमति या विशिष्ट संविदात्मक खंडों का उपयोग करते हैं।
ईयू स्थानांतरण: एलजीपीडी की जीडीपीआर समानताओं के बावजूद, कोई पारस्परिक पर्याप्तता मान्यता नहीं है। ईयू→ब्राजील हस्तांतरण के लिए जीडीपीआर-संगत तंत्र की आवश्यकता होती है। ब्राज़ील→ईयू हस्तांतरण के लिए एलजीपीडी-संगत तंत्र की आवश्यकता होती है। बहुराष्ट्रीय डेटा प्रवाह के लिए दोनों ढाँचों का संतुष्ट होना आवश्यक है।
एएनपीडी प्रवर्तन और दंड
एएनपीडी (ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस) विधायी संशोधनों के बाद 2023 में संघीय सरकार से परिचालन रूप से स्वतंत्र हो गया। प्रवर्तन शक्तियों में शामिल हैं:
प्रशासनिक प्रतिबंध (अनुच्छेद 52):
- सुधारात्मक कार्रवाई और समय अवधि के संकेत के साथ चेतावनी
- साधारण जुर्माना: पिछले वित्तीय वर्ष में ब्राज़ील में कंपनी के राजस्व का 2% तक, प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) तक सीमित
- चल रहे उल्लंघनों के लिए दैनिक जुर्माना (कुल R$50 मिलियन तक)
- उल्लंघन का प्रकाशन
- व्यक्तिगत डेटा प्रोसेसिंग को अवरुद्ध करना
- व्यक्तिगत डेटा का विलोपन
पहला महत्वपूर्ण जुर्माना: एएनपीडी ने 2023 में अपना पहला जुर्माना लगाया, एक दूरसंचार ऑपरेटर और एक स्वास्थ्य मंच को निशाना बनाते हुए, बड़े निगमों और छोटे संगठनों दोनों के खिलाफ लागू करने की इच्छा प्रदर्शित की। अब तक जुर्माना R$14,400 से R$14.4 मिलियन तक है।
जांच प्रक्रिया: एएनपीडी शिकायतों के आधार पर या अनिवार्य उल्लंघन अधिसूचनाओं के माध्यम से पदेन जांच शुरू कर सकता है। मंजूरी प्रक्रिया में विषय संगठन को नोटिस, बचाव प्रस्तुत करने का अवसर, और सहयोग और उपचार के आधार पर क्रमिक दंड शामिल हैं।
एलजीपीडी अनुपालन चेकलिस्ट
- एलजीपीडी प्रयोज्यता विश्लेषण पूरा हुआ
- सभी प्रसंस्करण गतिविधियों के लिए डेटा मैपिंग/आरओपीए प्रलेखित
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- संवेदनशील व्यक्तिगत डेटा के लिए अलग कानूनी आधार प्रलेखित
- सहमति तंत्र की समीक्षा की गई - उद्देश्य-विशिष्ट, पूर्व-टिक वाले बक्सों को हटा दिया गया
- सभी आवश्यक खुलासों के साथ गोपनीयता नीति/नोटिस पुर्तगाली भाषा में (ब्राजील के उपयोगकर्ताओं के लिए) प्रकाशित किया गया
- डीपीओ (एनकार्रेगाडो) नियुक्त किया गया और संपर्क जानकारी प्रकाशित की गई
- डेटा विषय अधिकार प्रक्रियाओं का दस्तावेजीकरण और परीक्षण किया गया (पहुँच/पुष्टि के लिए 15 दिन की प्रतिक्रिया)
- एलजीपीडी-आवश्यक प्रावधानों के साथ प्रोसेसर अनुबंधों की समीक्षा की गई और उन्हें अद्यतन किया गया
- सभी अंतरराष्ट्रीय डेटा प्रवाह के लिए सीमा पार स्थानांतरण तंत्र का मूल्यांकन किया गया
- सुरक्षा उपायों को डेटा संवेदनशीलता के अनुपात में प्रलेखित और कार्यान्वित किया जाता है
- घटना की प्रतिक्रिया और उल्लंघन अधिसूचना प्रक्रिया (2 दिन की प्रारंभिक, 5 दिन की पूरी) प्रलेखित
- अवधारण कार्यक्रम प्रलेखित और स्वचालित विलोपन कॉन्फ़िगर किया गया
- एलजीपीडी पर कर्मचारी प्रशिक्षण पूरा और दस्तावेजीकरण किया गया
- नए उत्पादों और सुविधाओं के लिए डिज़ाइन समीक्षा द्वारा गोपनीयता
अक्सर पूछे जाने वाले प्रश्न
यदि हम ब्राज़ील में स्थित नहीं हैं तो क्या LGPD मेरी कंपनी पर लागू होता है?
हाँ, यदि आपके प्रसंस्करण में ब्राज़ील में एकत्र किया गया डेटा शामिल है, या यदि आप ब्राज़ील में व्यक्तियों को सामान या सेवाएँ प्रदान करते हैं। एलजीपीडी का बाह्यक्षेत्रीय दायरा जीडीपीआर के दृष्टिकोण के समान है। एक कंपनी जो पूरी तरह से ब्राज़ील के बाहर काम कर रही है, लेकिन ब्राज़ीलियाई ग्राहकों को सेवा प्रदान करने वाली पुर्तगाली भाषा की वेबसाइट चला रही है, या ब्राज़ीलियाई दूरस्थ कर्मचारियों को रोजगार दे रही है, उसे उन व्यक्तियों के डेटा के लिए एलजीपीडी का अनुपालन करना होगा।
जीडीपीआर की तुलना में एलजीपीडी जुर्माना क्या है?
LGPD का अधिकतम जुर्माना ब्राज़ीलियाई वार्षिक राजस्व का 2% है, जो प्रति उल्लंघन R$50 मिलियन (~$10 मिलियन USD) है। जीडीपीआर की अधिकतम सीमा वैश्विक वार्षिक राजस्व का 4% या €20 मिलियन, जो भी अधिक हो, है। बड़ी बहुराष्ट्रीय कंपनियों के लिए, जीडीपीआर जुर्माना एलजीपीडी जुर्माने से काफी अधिक हो सकता है। हालाँकि, एलजीपीडी की "प्रति उल्लंघन" फ़्रेमिंग - जहां प्रभावित प्रत्येक डेटा विषय संभावित रूप से एक अलग उल्लंघन हो सकता है - इसका मतलब है कि बड़े पैमाने पर घटनाओं के लिए समग्र जोखिम बहुत महत्वपूर्ण हो सकता है।
क्या एलजीपीडी सहमति जीडीपीआर सहमति के समान है?
अवधारणा में समान लेकिन कुछ अंतर के साथ। दोनों को स्वतंत्र, सूचित, विशिष्ट और स्पष्ट सहमति की आवश्यकता होती है। एलजीपीडी सहमति लिखित रूप में या समझौते को प्रदर्शित करने वाले अन्य माध्यमों से प्रदान की जानी चाहिए (एएनपीडी ने अभी तक डिजिटल सहमति प्रपत्रों पर मार्गदर्शन को अंतिम रूप नहीं दिया है)। जीडीपीआर के विपरीत, एलजीपीडी के पास रोजगार संदर्भों के लिए एक विशिष्ट "स्वतंत्र रूप से दिया गया" परीक्षण नहीं है - हालांकि रोजगार संबंधों का शक्ति असंतुलन इस बात के लिए प्रासंगिक है कि सहमति वास्तव में स्वतंत्र थी या नहीं। संवेदनशील डेटा के लिए, एलजीपीडी और जीडीपीआर दोनों को एक उन्नत, स्पष्ट सहमति मानक की आवश्यकता होती है।
एलजीपीडी ब्राजील में स्वास्थ्य देखभाल डेटा पर कैसे लागू होता है?
एलजीपीडी के तहत हेल्थकेयर डेटा को संवेदनशील व्यक्तिगत डेटा के रूप में वर्गीकृत किया गया है। प्रसंस्करण के लिए स्पष्ट सहमति की आवश्यकता होती है या यह स्वास्थ्य सुरक्षा (अनुच्छेद 11, II, सी - स्वास्थ्य पेशेवरों या संस्थाओं द्वारा निष्पादित) सहित विशिष्ट कानूनी आधारों के अंतर्गत आता है। ब्राज़ील में स्वास्थ्य देखभाल संगठनों को ब्राज़ीलियाई स्वास्थ्य नियामक एजेंसी (ANVISA) और फ़ेडरल काउंसिल ऑफ़ मेडिसिन (CFM) के क्षेत्र-विशिष्ट नियमों का भी पालन करना होगा। एलजीपीडी और स्वास्थ्य क्षेत्र के नियम समानांतर रूप से संचालित होते हैं।
क्या छोटे व्यवसायों के लिए सरलीकृत अनुपालन दायित्व हैं?
हाँ। एएनपीडी संकल्प सीडी/एएनपीडी संख्या 2/2022 ने "छोटे डेटा प्रोसेसर" के लिए सरलीकृत अनुपालन दायित्वों की स्थापना की - जिन्हें आर$4 मिलियन तक वार्षिक राजस्व वाले प्राकृतिक व्यक्तियों या निजी कानूनी संस्थाओं के रूप में परिभाषित किया गया है, या कुछ प्रकारों के लिए आर$16 मिलियन तक। सरलीकृत दायित्वों में रिपोर्टिंग आवश्यकताओं को कम करना और डीपीओ आवश्यकताओं में ढील देना शामिल है। हालाँकि, कानूनी आधार दस्तावेज़ीकरण, डेटा विषय अधिकार और सुरक्षा उपायों सहित मुख्य दायित्व लागू रहेंगे।
अगले चरण
ब्राज़ील लैटिन अमेरिका के सबसे बड़े डिजिटल बाज़ारों में से एक है, और ब्राज़ीलियाई उद्यम ग्राहकों और सरकारी खरीद प्रक्रियाओं के लिए LGPD अनुपालन की आवश्यकता बढ़ती जा रही है। चाहे आप पहली बार ब्राज़ील में विस्तार कर रहे हों या मौजूदा अनुपालन कमियों को दूर कर रहे हों, ECOSIRE की टीम LGPD की आवश्यकताओं को पूरा करने में आपकी मदद कर सकती है।
डेटा मैपिंग और कानूनी आधार दस्तावेज़ीकरण से लेकर आपके प्रौद्योगिकी प्लेटफ़ॉर्म में गोपनीयता-दर-डिज़ाइन लागू करने तक, हमारी सेवाएँ पूर्ण अनुपालन जीवनचक्र को कवर करती हैं।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। एएनपीडी विनियमों और प्रवर्तन मार्गदर्शन के माध्यम से एलजीपीडी आवश्यकताएं विकसित होती रहती हैं। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य ब्राज़ीलियाई कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
Odoo Brazil Localization 2026: NFe, ICMS & PIS/COFINS Setup
Configure Odoo for Brazil compliance: OCA l10n_br NFe/NFSe, ICMS multi-state, IPI, PIS/COFINS, eSocial, Reinf, Tax Reform CBS/IBS path.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
Compliance & Regulation से और अधिक
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.