Персональные данные в Бразилии
Не только Европа старательно заботится о персональных данных своих жителей. Другие страны следуют её примеру и принимают свои законы о персональных данных. При запуске IT продуктов, которые будут доступны по всему миру, надо учитывать положения этих законов чтобы не словить штраф или бан на перспективных рынках.
Например, Бразилия с населением в 215 миллионов человек имеет свой закон о персональных данных, не менее суровый чем GDPR - Lei Geral de Proteção de Dados (LGPD). Собственно европейская регуляция и вдохновляла бразильских законодателей. LGPD вступил в силу 18 сентября 2020 года. Он применяется как к обработке данных осуществляемой в Бразилии, так и к обработке данных людей, находящихся в Бразилии, независимо местоположения организации. Т.е. он охватывает деятельность даже тех юридических лиц у которых нет физического присутствия в Бразилии.
LGPD определяют права субъектов данных. Они включают: право на доступ к данным, исправление, удаление, анонимизацию и возражение против обработки персональных данных, а также право на переносимость данных (portability) и право отозвать согласие на их обработку. LGPD предоставляет 10 правовых оснований для обработки персональных данных (что на четыре больше, чем у GDPR). Организации могут передавать персональные данные за пределы Бразилии при определённых условиях. Например, когда субъект данных предоставил предварительное и информированное согласие на такую передачу.
Ну и самое главное: ответственность. Штрафы за нарушение положений LGPD могут составлять до 2 % годового дохода организации в Бразилии, но не более 50 млн бразильских реалов за одно нарушение (~ 9 млн. евро или ~10 млн долл. США). Местный регулятор также может запретить сбор данных, их обработку или потребовать удаления ранее собранных персональных данных.
В целом бразильский LGPD очень похож на европейский GDPR. Однако Европа не считает, что Бразилия обеспечивает адекватный уровень защиты персональных данных так как пока не приняла в отношении этой страны “решение об адекватности” (Adequacy decision), которое бы позволило свободную передачу данных между юрисдикциями. Хотя, судя по анонсам, работа в этом направлении находится уже в "финальной стадии".