《通用个人数据保护法》于 2020 年生效,改变了公司和组织处理从客户、合作伙伴和员工那里获取的信息的方式。除了针对此类处理制定若干指导方针外,该立法还提出了对披露不充分的情况的一些处罚措施。
在本文中,您可以更好地了解每种情况下适用的处罚。
根据 LGPD,什么是数据泄露?
根据 LGPD 的规定,数据泄露是指公司负责的个人信息(可识别个人所有者的信息,例如姓名或 CPF)被组织外部的人员访问,这与数据事件不同。
一旦发生事故,这些信息就会在内部被不当使用。
例如,如果候选人的简历被用作 whatsapp 号码数据 打印草稿,我们就会面临事故。如果这份文件被发送给公司客户,则被视为泄密。
如果发生泄漏,谁负责?
为了更好地了解在传播此类信息的 实践合作 情况下谁会受到处罚,首先重要的是要记住法律规定的处理代理人是谁以及每个人的职责是什么。
根据 LGPD 的规定,有两个机构负责处理个人数据:
控制者:是负责有关信息使用决策的自然人或法人;
运营商:代表控制者处理个人数据的自然人或法人(例如呼叫中心公司);
在发生不当披露的情况下,一般来说,因未遵守法律规定的安全措施而导致泄漏的人——控制者或操作者——可能会受到处罚。
因此,例如,如果一个组织充当运营者 电报号码 并泄露了控制者的数据,它将受到处罚——通常甚至控制者也可能受到处罚,即使它没有参与运营者的行为。因此,拥有强大的隐私计划来减轻这些常规风险非常重要。
LGPD 和数据泄露:既定的处罚是什么?
LGPD 在数据泄露案件中规定的处罚根据情况的严重程度和公司在案件中的地位而有所不同。它们可以是:
警告,并规定期限解决导致泄漏的违规行为;
数据库锁;
禁止与数据处理相关的活动;
每次违法行为单次或每日罚款最高可达 5000 万雷亚尔。
但是,除了这些财务和行政损失之外,该公司还遭受了巨大的声誉损失,因为数据主体希望他们的信息得到保护。毕马威巴西的一项调查显示,55% 的消费者对组织的主要期望是数据安全。
由于这些因素,不建议将 LGPD 合规性留到以后再考虑。为了避免所有这些问题,预防总是比治疗更好。