巴西 LGPD 合规性：拉丁美洲业务的数据保护

巴西的《Lei Geral de Proteção de Dados Pessoais》（LGPD — 法律第 13,709/2018 号）于 2020 年 9 月 18 日生效，并由 Autoridade Nacional de Proteção de Dados (ANPD) 于 2021 年 8 月开始执行。巴西是世界上人口第五大国家和第六大经济体，因此 LGPD 合规性对于任何与巴西合作的组织都至关重要运营、客户或员工。

LGPD 严格仿照欧盟的 GDPR，引入了处理的法律依据、数据主体权利、DPO 要求、跨境传输限制以及每次违规最高可达巴西年收入 2% 的罚款（上限为 5000 万雷亚尔（约合 1000 万美元））。 ANPD 发布了第一笔巨额罚款，并发布了针对具体行业的指南——执法不再是理论上的。

要点

• LGPD 适用于处理巴西个人数据的任何组织，无论该组织位于何处
• 存在十个处理法律依据——没有一个是默认的；您必须记录每项活动的基础
• LGPD 下的同意必须是自由的、知情的、明确的并且出于特定目的——预先勾选的框不符合条件
• 敏感个人数据（种族、宗教、健康、生物识别、政治观点、性取向）需要明确同意或特定例外
• 对于大多数控制者和处理者来说，任命 DPO (Encarregado) 是强制性的
• 跨境转移受到限制——允许的机制包括充分性决定、标准合同条款和认证计划
• ANPD 罚款达到巴西收入的 2%，每次违规最高可达 5000 万雷亚尔
• 第 13,853/2019 号法律更新了 LGPD，该法律加强了 ANPD 的独立性并澄清了执行条款

---

LGPD 范围和领土适用

LGPD 适用于以下个人数据的任何处理：

1. 在巴西境内进行
2. 旨在向巴西境内的个人提供商品或服务
3. 涉及在巴西收集的个人数据

与 GDPR 第 3 条一样，这种域外范围意味着经营葡萄牙语电子商务商店、为巴西客户提供服务的美国公司必须遵守 LGPD 规定的客户数据。拥有巴西员工的跨国公司必须遵守员工数据处理规定。

LGPD 的豁免包括：

• 专门为私人目的而非经济活动进行的处理
• 出于新闻、艺术或学术目的进行处理
• 公共安全、国防或刑事调查的处理（由具体立法涵盖）
• 数据源自巴西境外，不与巴西代理进行通信或共享使用

然而，这些豁免的解释是狭义的。大多数商业加工不符合条件。

---

处理个人数据的法律依据

LGPD 第 7 条规定了处理个人数据的十个法律依据。这与 GDPR（有六项）不同，反映了巴西的具体立法背景。每项处理活动都必须根据以下基础之一进行记录：

LGPD 下的合法利益比 GDPR 更窄：控制者必须平衡合法利益与数据主体的基本权利和自由。 ANPD 的指南表明，这需要类似于 GDPR 的记录的三部分测试，并且仅商业目的并不会自动符合资格。

敏感个人数据（第 11 条）包括有关种族或民族血统、宗教信仰、政治观点、工会或宗教组织成员资格、健康数据、性生活、遗传或生物识别数据的数据。处理敏感数据需要明确同意或七个特定法律依据之一（法律义务、研究、医疗保健等）。敏感数据的同意标准更高——明确、与其他同意分开并且针对特定目的。

---

LGPD 规定的数据主体权利

LGPD 第 18 条授予数据主体九项权利：

与 GDPR 的主要区别：

• LGPD 包括了解拒绝同意的后果的权利 - 要求收集前披露如果用户拒绝会发生什么
• “不得无故拖延”的规定性不如 GDPR 的 30 天时间表 - 预计 ANPD 法规将指定时间表
• 可移植权取决于技术可行性和 ANPD 法规

行使权利：数据主体向控制者提交请求。控制者必须根据 ANPD CD/ANPD No. 4/2023 号决议在 15 天内做出回应（针对确认和访问请求）。对于其他权利，控制者必须按照 ANPD 法规的规定立即做出回应，不得无故拖延。

---

控制者和处理者的义务

数据控制者 (Controlador)：确定处理的目的和方式。承担 LGPD 的主要义务，包括法律依据文件、隐私声明、数据主体权利履行、DPO 任命、ANPD 报告和安全措施。

数据处理器（操作员）：根据合同代表控制者处理数据。如果处理者不遵守控制者的指示或违反 LGPD 的行为，则处理者应承担违规责任。控制器必须仅使用能够充分保证 LGPD 合规性的处理器。

处理者协议要求（第 39 条）：控制者和处理者必须签订书面合同，内容包括：

• 个人数据处理说明
• 安全义务
• 保密要求
• 数据主体权利支持
• 合同终止时的数据归还或删除义务

联合控制者：LGPD 没有明确涉及联合控制者安排（与 GDPR 第 26 条不同），但 ANPD 指南表明联合处理情况应通过合同解决，并明确责任分配。

---

数据保护官 (Encarregado)

第 41 条要求控制者和处理者任命一名数据保护官 (Encarregado)。与 GDPR 不同，LGPD 不提供阈值——该要求似乎广泛适用于控制者和处理者。 ANPD 表示，较小的组织和独资企业可能会减少义务，并且 ANPD CD/ANPD 第 2/2022 号决议为小型数据处理者制定了简化的规定。

DPO (Encarregado) 职责：

• 充当控制者、数据主体和 ANPD 之间的沟通渠道
• 接收数据主体投诉并就其权利与数据主体进行沟通
• 接收来自 ANPD 的信息并采取适当的行动
• 向内部员工提供有关数据保护实践的建议
• 履行控制者规定的或 ANPD 法规中规定的其他职责

公布要求：控制者必须公开披露 Encarregado 的身份和联系信息，通常在隐私政策中公开。

可以是内部的或外部的：与 GDPR 不同，LGPD 不禁止 DPO 角色的利益冲突，尽管最佳实践表明 DPO 应具有足够的独立性。由合格顾问提供的外部 DPO 服务得到广泛使用。

---

安全要求

第 46 条要求控制者和处理者采取安全、技术和管理措施，保护个人数据免遭未经授权的访问以及意外或非法的破坏、丢失、更改、通信或任何形式的不当或非法处理。

ANPD CD/ANPD No. 4/2023 号决议和相关指南规定了最低安全要求。主要技术措施包括：

访问控制：

• 与数据敏感性成比例的身份验证机制
• 权限限制（最低必要访问权限）
• 用于访问敏感数据的活动日志记录

加密：

• 存储中敏感个人数据的加密
• 个人数据传输加密
• 密钥管理程序

数据生命周期管理：

• 记录的保留期限
• 保留期结束时安全删除或匿名化

组织措施：

• 对所有处理个人数据的员工进行 LGPD 培训
• 新系统中设计时考虑的隐私问题
• 定期安全评估和审计
• 事件响应程序

---

违规通知

第 48 条要求控制者将可能给数据主体带来相关风险或损害的安全事件通知 ANPD 和受影响的数据主体。 LGPD 没有规定具体的通知时间表——法律规定必须“在合理的时间内”发出通知。关于事件通知的 ANPD CD/ANPD No. 2/2023 号决议规定，对于影响大量数据主体或涉及敏感数据的事件，需要 2 个工作日进行初步通知，并在 5 个工作日内发出详细通知。

给ANPD的通知内容：

• 受影响数据的性质和数据主体的数量
• 该事件可能产生的后果
• 为解决这一情况而实施或计划采取的措施
• DPO 身份（Encarregado）

通知数据主体：当事件可能对数据主体造成重大伤害时，ANPD 可能要求向受影响的个人发出通知，包括事件的性质以及为减轻影响而采取的措施。

---

跨境数据传输

LGPD 第 33 条限制个人数据的国际传输。允许的机制包括：

充分性决策的现状：截至 2026 年初，ANPD 尚未针对特定国家（包括欧盟）发布充分性决策，尽管这一问题正在讨论中。实际上，大多数组织在等待 ANPD 的标准合同条款时都会使用同意书或特定合同条款。

欧盟转移：尽管 LGPD 与 GDPR 相似，但没有相互充分性认可。欧盟→巴西转移需要 GDPR 兼容机制。巴西→欧盟转移需要与 LGPD 兼容的机制。跨国数据流需要同时满足这两个框架。

---

ANPD 执法和处罚

ANPD（Autoridade Nacional de Proteção de Dados）在立法修正案后于 2023 年在运营上独立于联邦政府。执法权包括：

行政处罚（第五十二条）：

• 警告并指示纠正措施和时间段
• 简单罚款：每次违规最高可达公司上一财年在巴西收入的 2%，上限为 5,000 万雷亚尔（约合 1,000 万美元）
• 对持续违规行为每日罚款（总计高达 5,000 万雷亚尔）
• 公布违规行为
• 阻止个人数据处理
• 删除个人数据

首次巨额罚款：ANPD 于 2023 年针对一家电信运营商和一个健康平台实施了首次罚款，表明了对大公司和小型组织实施执法的意愿。迄今为止，罚款金额从 14,400 雷亚尔到 1,440 万雷亚尔不等。

调查流程：ANPD 可以根据投诉或通过强制违规通知依职权启动调查。制裁过程包括向相关组织发出通知、提出辩护的机会以及基于合作和补救的分级处罚。

---

LGPD 合规检查表

• LGPD适用性分析完成
• 记录所有处理活动的数据映射/RoPA
• 记录每项处理活动的法律依据
• 记录敏感个人数据的单独法律依据
• 审查同意机制 - 取消预先勾选的框，针对特定目的
• 以葡萄牙语发布的隐私政策/通知（针对巴西用户），包含所有必需的披露信息
• 任命 DPO (Encarregado) 并公布联系信息
• 记录并测试数据主体权利程序（15 天响应访问/确认）
• 根据 LGPD 要求的条款审查和更新了加工商合同
• 针对所有国际数据流评估的跨境传输机制
• 记录和实施的安全措施与数据敏感性成比例
• 记录事件响应和违规通知程序（2 天初步，5 天完整）
• 记录保留计划并配置自动删除
• 已完成并记录 LGPD 员工培训
• 新产品和功能的设计隐私审查

---

常见问题

如果我的公司不在巴西，LGPD 是否适用？

是的，如果您的处理涉及在巴西收集的数据，或者您向巴西的个人提供商品或服务。 LGPD 的域外范围与 GDPR 的方法类似。完全在巴西境外运营但运营为巴西客户提供服务的葡萄牙语网站或雇用巴西远程员工的公司必须遵守 LGPD 对这些个人数据的规定。

与 GDPR 相比，LGPD 处罚是多少？

LGPD 对每次违规行为的最高罚款为巴西年收入的 2%，上限为 5000 万雷亚尔（约合 1000 万美元）。 GDPR 的上限为全球年收入的 4% 或 2000 万欧元，以较高者为准。对于大型跨国公司，GDPR 罚款可能远高于 LGPD 罚款。然而，LGPD 的“每次违规”框架（每个受影响的数据主体都可能是单独的违规行为）意味着对于大规模事件来说，总体暴露可能非常重要。

LGPD 同意与 GDPR 同意相同吗？

概念相似但有一些差异。两者都需要自由、知情、具体和明确的同意。 LGPD 同意必须以书面形式或通过其他方式证明同意（ANPD 尚未最终确定数字同意书指南）。与 GDPR 不同，LGPD 没有针对雇佣环境的具体“自由给予”测试——尽管雇佣关系的权力不平衡与同意是否真正自由相关。对于敏感数据，LGPD 和 GDPR 都需要更高的、明确的同意标准。

LGPD 如何应用于巴西的医疗保健数据？

根据 LGPD，医疗保健数据被归类为敏感个人数据。处理需要明确同意或属于特定法律依据，包括健康保护（第 11 条第 II 条 c — 由卫生专业人员或实体执行）。巴西的医疗保健组织还必须遵守巴西卫生监管机构 (ANVISA) 和联邦医学委员会 (CFM) 的行业特定法规。 LGPD 和卫生部门法规并行运作。

小型企业是否有简化的合规义务？

是的。 ANPD CD/ANPD No. 2/2022 号决议规定了“小型数据处理者”的简化合规义务——其定义为年收入不超过 400 万雷亚尔或某些类型不超过 1600 万雷亚尔的自然人或私人法人实体。简化的义务包括减少报告要求和放宽 DPO 要求。然而，包括法律依据文件、数据主体权利和安全措施在内的核心义务仍然适用。

---

后续步骤

巴西是拉丁美洲最大的数字市场之一，巴西企业客户和政府采购流程对 LGPD 合规性的要求越来越高。无论您是首次向巴西扩张还是弥补现有的合规差距，ECOSIRE 的团队都可以帮助您满足 LGPD 的要求。

从数据映射和法律依据文档到在您的技术平台中实施隐私设计，我们的服务涵盖了整个合规生命周期。

了解更多：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。 LGPD 要求通过 ANPD 法规和执行指南不断发展。请咨询合格的巴西法律顾问，获取针对您的组织的具体建议。