巴西合规

LGPD 规范个人数据的处理（包括数字方式），无论由自然人还是公法或私法法人实施，旨在保护自由与隐私的基本权利以及人格的自由发展（第 1 条）。

在以下情形下适用（第 3 条）：处理在巴西境内进行；活动旨在向位于巴西的个人提供商品或服务、或处理其数据；或数据在巴西境内收集。

关键定义（第 5 条）：

• 个人数据：与已识别或可识别自然人相关的信息。
• 敏感数据：涉及种族/民族出身、宗教信仰、政治观点、工会或宗教/哲学归属、健康或性生活、基因或生物识别的数据。
• 控制者：对处理作出决定的一方；操作者：代表控制者进行处理的一方；数据保护官（DPO）：控制者、数据主体与国家数据保护局（ANPD）之间的沟通渠道。

原则（第 6 条）：目的、适当性、必要性、自由访问、数据质量、透明、安全、预防、不歧视及问责——均须本着诚信。

处理的合法依据（第 7 条）：同意；履行法律/监管义务；执行公共政策；研究；履行合同；在诉讼程序中行使权利；保护生命；健康保护；正当利益；以及信用保护。

敏感数据（第 11 条）仅可在取得特定同意或严格法定情形下处理。儿童与青少年数据（第 14 条）须以其最佳利益处理，并取得父母或法定监护人的特定同意。

数据主体可随时免费请求（第 18 条）：确认是否存在处理；访问数据；更正不完整、不准确或过时的数据；对不必要或不合规的数据进行匿名化、封锁或删除；数据可携带；删除基于同意处理的数据；获知共享情况；以及撤回同意。

数据主体亦有权要求对仅基于自动化处理、且影响其利益的决定进行复核（第 20 条）。

个人数据的国际传输在以下情形下被允许（第 33 条）：传输至具备充分保护水平的国家或组织；控制者通过特定或标准合同条款、全球公司规则或认证与行为准则提供保障；以及明确列举的其他情形，包括数据主体特定且醒目的同意。

控制者与操作者须保存处理活动记录（第 37 条），并采取技术与管理安全措施，保护数据免遭未经授权的访问及意外或非法事件（第 46 条）。

发生可能造成风险或重大损害的安全事件时，须在合理期限内通知 ANPD 及受影响的数据主体（第 48 条）。

控制者须指定数据保护官（DPO），其联系方式须公开披露（第 41 条）。

国家数据保护局（ANPD）负责监督与执行本法。违规可能导致（第 52 条）：警告；最高为营业额 2% 的罚款（每次违规上限为 5000 万雷亚尔）；公开违规行为；以及对相关数据的封锁或删除。