2021年8月1日,巴西《通用数据保护法》(Lei Geral de Proteção de Dados 或LGPD)第52至54条将开始生效。对于处理在巴西获得的数据的企业来说,准备LGPD的时间已经不多了,LGPD是巴西版的GDPR,即欧盟的通用数据保护条例。鉴于它规定对数据泄露的罚款高达5000万巴西雷亚尔(约900万美元),在巴西做生意或与巴西做生意的公司不能对LGPD掉以轻心。
为了避免罚款和其他负面影响,企业必须为在巴西获得的个人数据制定和实施全面的数据保护政策。特别是,企业应该
1.制定强有力的数据政策,明确规定他们对数据隐私和正确使用信息的关注,并最终考虑消费者的利益。
2.在巴西获取个人数据时,公司必须就所有信息的使用获得同意,并适当地记录所述同意。
3.如果发生违规或未经授权的使用,公司必须有一个应急计划,迅速通知受影响的各方和巴西有关当局。
4.公司必须认真记录为应对漏洞而采取的每一项行动,如内部会议、与数据所有者的沟通以及缓解措施。
精明的公司会接受这样的事实:尽管他们做出了最大的努力,违规事件仍然可能发生。因此,在事件发生后,他们会准备好解释他们长期以来的预防工作,以及任何补救措施。能够指出一个明确的数据政策,以及针对保护消费者数据的具体协议,将有助于建立公司的真诚努力,以首先避免事件的发生。反过来,当当局决定适当的惩罚时,这肯定会对公司有利。
总之,要做好准备。