拉丁美洲的数据隐私法
数据隐私是全球关注的问题,拉丁美洲国家也开始寻求方法实施新法律,以解决这些问题。
全世界的法规,包括欧盟的《通用数据保护条例》(GDPR)强调各国需要建立和更新现有的数据隐私框架和条例,以适应目前的商业环境。
巴西
在数据隐私方面,巴西是拉丁美洲的领导者,其新数据隐私法糅合了目前在该国生效的40个不同条例。巴西《通用数据保护法》(LGPD)将在2020年8月生效,当中包括部分的GDPR,但也涵盖了处理数据或提供个人服务的巴西公司应遵守的主要合规义务。TMF巴西办事处客户法律合规营运总监Vanessa Mello 表示:“这些法律与GDPR相似,旨在保护所有个人数据,同时也影响了所有涉及数据处理的公司。”除了以往收集的个人资料外,新法律的覆盖范围还包括名称、签名、地址、IP地址和税务编号。
LGPD适用于所有涉及个人资料(无论公开或私人性质)处理的巴西法人实体,无论是在巴西营运或供应个人商品/服务给巴西的公司。公司必须明确地征求数据拥有者的同意,并通知他们被实际收集的资料、原因及保存时间。另外,一旦公司不再需要使用有关数据,就必须将其销毁。
尽管巴西公司有17个月的时间去适应新法律,但他们必须确保所有数据收集系统和技术是合规的。如果违反数据保护条例,公司将被罚款,罚款额是年度收入的2%。
哥伦比亚
哥伦比亚是数据保护法规最发达的拉丁美洲国家,2012年起就有相关法律记录在案。该法律已被更新,目前涵盖范围包括:如何储存个人数据、处理方式、如何使用、修正或删除信息、以及根据业务类型和规模采取不同的措施。同时,使用数据时需要得到用户的同意。
数据隐私法规不断改变,目前国会有一项法案能补充现有的法规,并将引入新概念,例如公司和金融机构需遵守不同的隐私法律。对公司而言,重点将放在个人资料保护;而金融机构的重点则放在财务数据保护上,如信贷。
TMF哥伦比亚办事处法律主管Estefania Arteaga解释:“虽然这些不是新法律,但遵守条例十分重要。监管数据隐私法的哥伦比亚工商监管局(SIC),每一年都会进行审查,确保公司遵守法律。哥伦比亚的公司必须拥有数据政策和数据隐私专员,并且向国家数据库注册处(RNBD)登记他们的数据库。该政策必须向公众公开,以便他们了解数据是如何被使用及储存。”
每个企业都必须确保他们的过程和程序是健全且合规的。Arteaga称:“公司需要向所有员工传达数据隐私政策,确保他们遵守政策。以往,假设员工不知道数据是如何得到保护,公司会被罚款。”
墨西哥
在GDPR推出的前几年,墨西哥就已经拥有数据隐私法规,但由于定义不明确,因此无法执行。针对违规,GDPR的惩罚十分明确,罚款为公司年度收入的4%;而墨西哥之前没有定下违规的后果,因此缺乏真正执行法律的方式。另外,该国也没有特定的数据库法律去规定公司妥善管理数据。
TMF Group美洲区域法律顾问Paola Fonseca解释:“现有法律的另一个缺口是合法权益。您要得到资料必须有原因,不可以单单只为了收集资料而收集。但是,目前合法权益没有一个定义。现有的法律几乎允许所有人收集资料,这意味着没有法规去规范数据该如何转移给其他人。”
然而,墨西哥没有计划为了让法规更具执行性而修订联邦法律。因此,这个任务就落到州属政府的身上,以建立法律去保护数据。拥有几个新法律的墨西哥城是个正面的例子,但该国还在等待联邦政府决定如何去监管数据隐私的责任。
阿根廷
阿根廷国会正持续审议一项新的数据隐私法案,这将取代自2000年起生效的过时法规。该项更动建议与GDPR密切对应, 并解决科技进步带来的新风险。它包括了遗传资料和生物特征辨识资料的新概念。惟法人实体并没有包括在该法案内,意味着只有人类个体能成为数据持有者。该法案也取消了数据控制器和处理器注册数据库的要求,并且创建了自主数据保护机构(DPA)去执行法律。
TMF阿根廷办事处法律与合规经理Luciana Calia表示:“新条例对本地公司来说是个巨大的挑战,因为他们需要提升数据隐私监控。此外,IT工具和合规相关的预算也会增加。公司可能需要聘请一名数据保护专员,负责处理数据以及进行员工培训,让他们保持合规。”
虽然目前仍不清楚法案的最终内容,但这些变化无疑会让阿根廷在数据保护方面成为拉丁美洲的领导者。
TMF Group
合规和数据隐私是影响拉丁美洲多国和全世界的大趋势。公司必须走在最前,并且投入更多时间和金钱去保护旗下用户的数据。TMF Group在巴西、哥伦比亚、墨西哥和阿根廷办事处的专家能为您的公司提供协助。对于想要为评估现有流程的公司,我们可以提供全面的数据保护检查,同时指出需要进行改善的地方,务求遵守新的条例。我们也可以担任公司的合规专员,让您能专注于核心业务。欢迎联系我们,以了解我们如何协助您实现数据隐私合规。