Brasilien: Allgemeines Datenschutzgesetz und Meldepflichten (LGPD)

Da Brasilien in der Vergangenheit keine Datenschutzkultur etabliert hat, gibt es keine bereits vorhandenen Formate, Vorlagen, vorgefertigten Formeln oder Programme, die den Anforderungen des Allgemeinen Datenschutzgesetzes (LGPD) entsprechen. Folglich gibt es keine Schablonenlösungen zur Anpassung eines Unternehmens an das LGPD, wenn dieses 2021 in Kraft tritt. Gleichzeitig legt das LGPD schwere Strafen für Verstöße im Zusammenhang mit Datensicherheitsvorfällen fest, die von einer Verwarnung bis zu einer Geldstrafe von bis zu 2% des Jahresumsatzes des Unternehmens reichen und für einen Verstoß auf 50 Mio. R $ begrenzt sind. Folglich sind Unternehmen gut beraten, ihre Strukturen so vorzubereiten, dass sie bis 2021 vollständig dem LGPD entsprechen.

 

Welche Daten unterliegen dem LGPD?

Das LGPD definiert als personenbezogene Daten alle Informationen, die eine natürliche Person direkt identifizieren oder identifizierbar machen, und beinhaltet damit jede Sammlung, Produktion, Aufnahme, Klassifizierung, Verwendung, Zugriff, Reproduktion, Übertragung, Verteilung, Verarbeitung, Archivierung, Speicherung, Entsorgung, Verarbeitung, Bewertung oder Kontrolle der Information, Änderung, Kommunikation, Übertragung, Verbreitung oder Extraktion dieser Daten.

 

Wer ist gesetzlich zur Einhaltung verpflichtet?

Das Gesetz gilt für Unternehmen, die in irgendeiner Weise personenbezogene Daten von Inhabern im Inland direkt oder über Dritte nutzen, um einen wirtschaftlichen Vorteil zu erzielen. Daher müssen alle Datenverarbeitungsvorgänge ordnungsgemäß in einem Bericht über die Auswirkungen des Schutzes personenbezogener Daten festgehalten und ein Datenschutzbeauftragter benannt werden, der als Schnittstelle des Unternehmens mit der Nationalen Datenschutzbehörde (ANPD) benannt wird. Dies ist besonders relevant für Unternehmen, die sich mit sensiblen personenbezogenen Daten befassen, wie z.B. solche, die sich auf rassische oder ethnische Herkunft, religiöse Überzeugung, politische Meinung, Zugehörigkeit zu einer Gewerkschaft oder Organisation religiöser, philosophischer oder politischer Daten, Gesundheits- oder Sexuallebensdaten und genetische Daten oder biometrische Daten beziehen. Das Unternehmen muss außerdem wirksame Sicherheitsmaßnahmen ergreifen, um zu verhindern, dass personenbezogene Daten nicht ordnungsgemäß abgerufen, zerstört, verloren oder geändert werden. Alle Vorfälle müssen innerhalb einer angemessenen Zeit eindeutig an die ANPD und die Benutzer selbst gemeldet werden.

 

Wie profitieren Verbraucher von dem Gesetz?

Benutzer haben Anspruch auf:

  • Zugang zu personenbezogenen Daten, die verarbeitet werden können, und somit deren Berichtigung und Aktualisierung gewährleisten
  • Behandlung personenbezogener Daten nur mit ausdrücklicher Zustimmung, wobei der Ausschluss von Daten der jeweiligen Bank einfach und kostenlos erfolgt
  • Portabilität, sodass diese Daten an andere Unternehmen weitergeleitet werden können, die ebenfalls ihre Verarbeitung durchführen

 

Welche Verfahren sollte Ihr Unternehmen aus Compliance-Sicht implementieren?

Insgesamt gibt es sechs Schritte, die implementiert werden müssen, um dem neuen Gesetz zu entsprechen:

  1. Ernennen Sie ein LGPD-Komitee mit Schlüsselpersonen, die für die Weitergabe von Wissen an andere verantwortlich sind.
  2. Ordnen Sie die Unternehmensdaten zu. Da das LGPD direkt auf die Manipulation der Daten reagiert, die das Unternehmen über Kunden hat, besteht ein weiterer Schritt darin, genau zu wissen, wo diese Informationen gesammelt werden, wie, warum und auch wo sie aktuell gespeichert sind. Daher ist es erforderlich, diese Daten an einem Ort aufzubewahren, auf den ein einfacher Zugriff möglich ist, um Aktualisierungen oder Löschungen jeglicher Art vorzunehmen. Darüber hinaus ist es auch erforderlich, die Rechtsgrundlage dieser Informationen zu ermitteln, um jede der Datenkategorien verarbeiten zu können.
  3. Implementieren Sie eine Datensicherheitsrichtlinie. Damit die LGPD tatsächlich im Unternehmen funktioniert, damit sie bei Inkrafttreten des Gesetzes keinerlei Sanktionen oder Strafen befürchten müssen, muss auch eine Datenschutzrichtlinie festgelegt werden. Diese Definition hilft bei der Identifizierung und Bearbeitung von Aktivitäten, die Daten beinhalten, wie z. B. eine Anforderung zum Zugriff oder sogar zum Löschen.
  4. Kontaktieren Sie die gesamte Datenbank. Basierend auf den Definitionen der Datensicherheitsrichtlinie wird es notwendig sein, alle Mitglieder der Unternehmensdatenbank zu kontaktieren, ihren Speicher anzupassen und mögliche Anpassungen gemäß der Bestimmung der Dateneigentümer vorzunehmen. Daher ist es auch wichtig, über Methoden zur Übertragung dieser Informationen nachzudenken, da die Portabilität sichergestellt werden muss.
  5. Schulen Sie Ihr Personal. In Verbindung mit der Schaffung des LGPD-Komitees wird auch die Schulung aller Mitarbeiter von wesentlicher Bedeutung sein, um das Verständnis der personenbezogenen Daten und der LGPD in der Praxis insgesamt zu erleichtern.
  6. Aktualisieren Sie die Datenschutzrichtlinie. Eine weitere wichtige Maßnahme betrifft die Datenschutzbestimmungen der Websites. Jedem sollte klar sein, dass beispielsweise das Recht besteht, die Einwilligung zur Nutzung der Daten jederzeit zu widerrufen. Die Verpflichtung zum Datenschutz setzt aktive Anstrengungen voraus (Sorgfalt mit angemessenen Mitteln), damit diejenigen, die dies nicht tun sollten, nicht widerrechtlich auf Daten zugreifen, diese erkennen und nutzen können.

Wie bereits betont, muss die Anpassung an die LGPD von Fall zu Fall geprüft werden. Es unterliegt der Verantwortung jedes in Brasilien ansässigen Unternehmens, seine Daten unter Berücksichtigung seiner Aktivitäten so zu organisieren, dass die Anforderungen der Gesetzgebung erfüllt werden.

 

 

Die entsprechenden regulatorischen Veränderungen könnten auch für Ihr Unternehmen hinsichtlich Customizing oder Wartung ihres ERP / SAP Systems relevant sein. Kontaktieren Sie uns gerne, um herauszufinden, inwiefern die neuen Regelungen Ihrerseits eine Reaktion erfordern – wir beraten Sie kompetent und zeitnah!