Loading…
إذا كنت ملتزمًا بالفعل بـ GDPR، فأنت قطعت 80% من الطريق نحو LGPD. كلاهما يشترك في عشرة مبادئ توجيهية، وحقوق متشابهة لأصحاب البيانات، ونظام إخطار بالاختراق يقارب 72 ساعة. ويكمن التباين في حسابات العقوبات (يحدّ LGPD الغرامات بنسبة 2% من الإيرادات في البرازيل أو 50 مليون ريال برازيلي لكل مخالفة)، وإعفاء صغار المتحكمين المحدد بقرار ANPD رقم CD/ANPD No. 2/2022، وغياب حق قابلية النقل أو الاعتراض على القرارات الآلية. يخبرك هذا الدليل بالضبط أين يمكنك إعادة استخدام عمل GDPR وأين تحتاج إلى فارق.
| البُعد | 🇪🇺 GDPR | 🇧🇷 LGPD |
|---|---|---|
| الأداة القانونية | اللائحة (الاتحاد الأوروبي) 2016/679 | القانون رقم 13.709/2018 |
| تاريخ النفاذ | 25 مايو 2018 | الأحكام الموضوعية: أغسطس 2020؛ العقوبات الإدارية: أغسطس 2021 |
| النطاق الإقليمي | الاتحاد الأوروبي + خارج الإقليم (المادة 3) | المعالجة في البرازيل، أو الموجَّهة لأفراد في البرازيل، أو حيث جُمعت البيانات في البرازيل (المادة 3) |
| الأسس القانونية | ستة (المادة 6) + شروط الفئات الخاصة (المادة 9) | عشرة (المادة 7) — بما في ذلك المصالح المشروعة، والعقد، والالتزام القانوني، والصحة العامة، وحماية الائتمان |
| المبادئ | ستة (المادة 5) | عشرة (المادة 6) — الغرض، الملاءمة، الضرورة، حرية الوصول، جودة البيانات، الشفافية، الأمن، الوقاية، عدم التمييز، المساءلة |
| مسؤول حماية البيانات | إلزامي في حالات محددة (المادة 37) | إلزامي لجميع المتحكمين؛ مع إعفاء للمتحكمين الصغار بموجب قرار ANPD رقم CD/ANPD No. 2/2022 |
| الغرامة القصوى | 20 مليون يورو أو 4% من حجم الأعمال العالمي (المادة 83(5)) | حتى 2% من الإيرادات في البرازيل عن السنة المالية السابقة، بحد أقصى 50 مليون ريال برازيلي لكل مخالفة |
| الغرامات اليومية | ليست بنية معيارية | مسموح بها بموجب المادة 52(III) — حتى 50 مليون ريال برازيلي لكل مخالفة في اليوم |
| عقوبات أخرى | تحذير، حظر المعالجة (المادة 58) | إشعار علني بالمخالفة، حجب البيانات، حذف البيانات، تعليق جزئي/كامل (المادة 52) |
| الإخطار بالاختراق | 72 ساعة للسلطة الإشرافية (المادة 33) | 3 أيام عمل إلى ANPD بموجب القرار CD/ANPD No. 15/2024 عند وجود خطر/ضرر معقول |
| الجهة المنظِّمة | 27 سلطة حماية بيانات في الدول الأعضاء بالاتحاد الأوروبي + EDPB | Autoridade Nacional de Proteção de Dados (ANPD) |
| DPO/Encarregado | مسؤول حماية البيانات | Encarregado de Proteção de Dados |
| الممثل المحلي | ممثل الاتحاد الأوروبي بموجب Article 27 إلزامي | غير مطلوب رسميًا، لكن ANPD تتوقع وجود نقطة اتصال في البرازيل |
| الحق في قابلية النقل | نعم (المادة 20) | نعم (المادة 18، V) |
| الحق في الاعتراض على القرارات الآلية | نعم (المادة 22) | الحق في المراجعة من قِبل شخص طبيعي (المادة 20) |
| الحق في المعلومات حول المشاركة | ضمني (المواد 13–15) | صريح (المادة 18، VII) — قائمة بالكيانات العامة/الخاصة التي تمت مشاركة البيانات الشخصية معها |
| النقل عبر الحدود | SCC/BCR/قرار الكفاية (الفصل الخامس) | آليات معتمدة من ANPD — القرار CD/ANPD No. 19/2024 |
| بيانات الأطفال | السن الافتراضي للموافقة 16 (مع تباين بين الدول الأعضاء) | موافقة محددة من الوالد/الوصي القانوني لمن هم دون 12 عامًا (المادة 14) |
| إخفاء الهوية | خارج النطاق إذا كان لا رجعة فيه (الحيثية 26) | خارج النطاق (المادة 12) — لكن بمعيار أكثر صرامة من GDPR فيما يتعلق بعدم قابلية الرجوع |
| بدء العقوبات | مايو 2018 | أغسطس 2021 (بدأت التحذيرات الأولية والغرامات الصغيرة من ANPD) |
قريب — نفس الغرض، وبنية متشابهة، والكثير من المفردات ذاتها — لكن مع 10 أسس قانونية بدلًا من 6، و10 مبادئ بدلًا من 6، وحسابات عقوبات مختلفة. كما أن أسلوب الإنفاذ لدى ANPD لا يزال قيد التطور.
في الغالب. الفارق هو: تعيين Encarregado de Proteção de Dados، وتقديم بلاغ ANPD للاختراقات الجوهرية خلال 3 أيام عمل، والتأكد من أن إشعار الخصوصية لديك يعكس مبادئ LGPD العشرة، واستخدام الآليات المعتمدة من ANPD (القرار 19/2024) للنقل عبر الحدود.
الغرامة الإدارية القصوى هي 2% من الإيرادات في البرازيل لكل مخالفة، بحد أقصى 50 مليون ريال برازيلي (~10 ملايين دولار أمريكي). ويمكن أن تتراكم الغرامات اليومية بسرعة. كما تمتلك ANPD صلاحيات زجرية (حجب البيانات، أمر الحذف) قد تكون أكثر إرباكًا من العقوبة النقدية.
نعم — تشمل المادة 3(II) "نشاط المعالجة الذي يهدف إلى عرض أو تقديم سلع أو خدمات" للأفراد في البرازيل، بغض النظر عن مكان تأسيسك.
كان الإنفاذ يتصاعد منذ عام 2023. أصدرت ANPD عدة قرارات توضح الإخطار بالاختراق، والبيئات التجريبية، وإعفاءات المتحكمين الصغار. وتظل مستويات العقوبات متواضعة مقارنة بـ GDPR، لكن المسار يتجه بوضوح نحو إنفاذ أكثر نشاطًا.
ليس مطلوبًا بشكل صارم بموجب LGPD، لكنه عملي. يجب أن يستجيب Encarregado لـ ANPD وأصحاب البيانات بطريقة فعّالة؛ وتغطي نقطة اتصال محلية أو خدمة تمثيل (مثل RegulatoryBridge Brazil) هذه الحاجة.
خطّط الضوابط مرة واحدة، والتزم مرتين. يمنحك RegulatoryBridge مسار DSAR واحدًا، ومسؤول حماية بيانات (DPO) واحدًا، ودليل إجراءات واحدًا للخروقات — يغطي كلا الإطارين.