巴西已实施《通用数据保护法》，你做好准备了吗？

数字营销公司RD Station日前进行的一项调查显示，在受访的近千家企业中，有93%的公司表示了解或至少听说过已于8月1日开始实施的《通用数据保护法》（LGPD），但只有15%的公司表示已经为此做好了准备。根据该法的规定，对于没有明确规定保护消费者和雇员个人数据安全措施的企业，可能会受到相当于公司营业收入2%的罚款，最高限额为5000万雷亚尔。 

调查发现，超过三分之二的公司甚至还没有实施第一阶段，即建立数据保护政策。公司官网上必须公布这一政策，介绍如何获取用户的信息，所收集数据的用途，以及法律要求的其他基本问题。另外，未设置专门“数据保护官（DPO）”的企业，也会面临行政处罚和罚款，数据保护官的职责是代表公司同负责监督法律执行的国家数据保护局（ANPD）保持联系，公司无论规模大小，均应为此任命一位专职人员。数据保护官尽管没有决策权，但应该拥有独立监察权，监督执行适当的数据获取和处理制度，相应内审报告应直接向公司最高层领导汇报。 

个人数据 

专家指出，个人数据的概念非常广泛，任何能够直接识别一个人，或者方便对一个人进行识别的数据，都应该被视为个人数据。除了最明显的一些信息，如姓名、地址、身份证件以外，还包括安全摄像头拍摄的图像，或是打卡机收集的生物识别数据等，都在数据保护的范畴之内。此外，还有一类信息被称为是敏感数据，即生物识别信息，以及与宗教信仰、私人生活和性生活有关的数据，泄露敏感数据会面临更重的罚款。 

合规调整 

据介绍，影响企业合规调整的主要因素有：缺乏建立新流程的资金；缺乏合格的专业人员；对需要得到特殊关照的领域感到困惑。专家称，数据保护官并不一定需要另外雇用，而是可以从公司内部选择具有法律知识，技术能力和管理项目能力的人员，尤其是对业务本身和内部流程极其熟悉的员工。根据法律规定，数据保护官既可以是自然人，也可以是法人，可以是公司雇员，或是进行外包。负责这项工作的雇员也可以兼任其他职务，而外包人员或公司在提供服务时，也不具有排他性。