2021年8月1日,巴西《通用数据保护法》(Lei Geral de Proteção de Dados,简称LGPD )第52至54条将正式生效。 对于处理巴西境内获取数据的企业而言,为该法案做准备的时间已所剩无几。作为欧盟《通用数据保护条例》(GDPR)的巴西版本,LGPD规定数据泄露最高可处以5000万巴西雷亚尔(约合900万美元)罚款,因此在巴西境内或与巴西开展业务的企业绝不能轻视该法案。
为避免罚款及其他负面影响,企业必须针对在巴西获取的个人数据制定并实施全面的数据保护政策。具体而言,企业应:
1.制定一套强有力的数据政策,明确阐述其对数据隐私的重视、信息使用的规范要求——以及最终保障消费者权益的宗旨。
2.在巴西获取个人数据时,企业必须就所有信息使用用途获得同意,并妥善记录该同意。
3.若发生违规或未经授权的使用行为,企业必须制定应急预案,及时通知受影响方及巴西相关主管部门。
4.企业必须详细记录针对数据泄露采取的每项应对措施,包括内部会议、与数据所有者的沟通以及缓解措施。
精明的公司会承认,尽管已竭尽全力,数据泄露仍可能发生。因此,在事件发生后,他们不仅会说明采取的补救措施,还会详细阐述长期以来的预防工作。 能够明确指出清晰的数据政策,以及专门针对消费者数据保护制定的具体规程,将有助于证明企业为避免事件发生所做的善意努力。反过来,当监管机构决定适当处罚时,这无疑将对企业产生有利影响。
总之,做好准备。
