Loading…
すでにGDPRに準拠している場合、LGPDの80%は達成できています。両者は10の指導原則、類似のデータ主体の権利、そしておおむね72時間の漏えい報告体制を共有しています。相違点は罰則の計算方法(LGPDはブラジルでの売上高の2%または違反ごとに5,000万レアルを上限とする)、ANPD決議CD/ANPD第2/2022号で定義される小規模管理者の適用除外、そしてポータビリティや自動意思決定への異議の権利がない点です。本ガイドは、GDPRの作業を再利用できる箇所と、差分が必要な箇所を正確にお伝えします。
| 項目 | 🇪🇺 GDPR | 🇧🇷 LGPD |
|---|---|---|
| 法的根拠 | 規則(EU)2016/679 | 法律第13.709/2018号 |
| 施行日 | 2018年5月25日 | 実体規定:2020年8月。行政制裁:2021年8月 |
| 地理的適用範囲 | EU + 域外適用(第3条) | ブラジル国内での取扱い、ブラジル国内の個人を対象とする取扱い、またはブラジルで収集されたデータの取扱い(第3条) |
| 適法根拠 | 6つ(第6条)+ 特別カテゴリーの条件(第9条) | 10(第7条)— 正当な利益、契約、法的義務、公衆衛生、信用保護を含む |
| 原則 | 6つ(第5条) | 10個(第6条)— 目的、適切性、必要性、自由なアクセス、データ品質、透明性、セキュリティ、予防、無差別、説明責任 |
| データ保護責任者 | 定められた場合に必須(第37条) | すべての管理者に必須。ただし小規模管理者はANPD決議CD/ANPD No. 2/2022により免除 |
| 最高制裁金 | 2,000万ユーロまたは全世界売上高の4%(第83条(5)) | 前会計年度のブラジル国内売上高の最大2%、違反1件あたりR$5,000万を上限 |
| 日次制裁金 | 標準的な制度ではありません | 第52条(III)に基づき認められる — 違反1件につき1日あたり最大R$5,000万 |
| その他の制裁 | 警告、処理の禁止(第58条) | 違反の公表、データのブロック、データの削除、一部または全部の停止(第52条) |
| 侵害通知 | 監督機関へ72時間以内(第33条) | 合理的なリスク/損害が認められる場合、決議CD/ANPD No. 15/2024に基づきANPDへ営業日3日以内 |
| 規制当局 | EU加盟国27か国のDPA + EDPB | Autoridade Nacional de Proteção de Dados(ANPD) |
| DPO/Encarregado | データ保護責任者 | Encarregado de Proteção de Dados |
| 現地代理人 | Article 27 EU代理人が必須 | 正式には不要ですが、ANPDはブラジル国内の連絡窓口を期待します |
| データポータビリティの権利 | あり(第20条) | あり(第18条 V) |
| 自動化された意思決定に異議を唱える権利 | あり(第22条) | 自然人による再審査の権利(第20条) |
| 共有に関する情報を得る権利 | 黙示的(第13〜15条) | 明示的(第18条 VII)— 個人データが共有された公的/民間団体の一覧 |
| 越境移転 | SCC/BCR/十分性(第5章) | ANPDが承認した仕組み — 決議CD/ANPD No. 19/2024 |
| 子どものデータ | 同意可能年齢は標準16歳(加盟国により異なる) | 12歳未満は親権者/法定後見人の個別同意が必要(第14条) |
| 匿名化 | 不可逆であれば適用対象外(前文26) | 適用対象外(第12条)— ただし不可逆性についてGDPRより厳格な基準 |
| 制裁の開始時期 | 2018年5月 | 2021年8月(ANPDによる初期の警告と少額の制裁金が開始) |
近いものです。目的は同じで、構造も類似しており、用語の多くも共通しています。ただし適法な根拠は6つではなく10、原則は6つではなく10あり、制裁金の算出方法も異なります。ANPDの執行スタイルもなお発展途上です。
おおむねそうです。差分は次のとおりです。Encarregado de Proteção de Dadosを任命すること、重大な侵害について営業日3日以内にANPDへの通知文書を提出すること、プライバシー通知がLGPDの10原則を反映していることを確認すること、そして越境移転にはANPDが承認した仕組み(決議19/2024)を用いることです。
行政制裁金の上限は、違反1件あたりブラジル国内売上高の2%で、R$5,000万(約1,000万米ドル)を上限とします。日次の制裁金は急速に積み上がる可能性があります。ANPDはまた、データのブロックや削除命令といった差止め権限を有しており、これらは金銭的な制裁よりも大きな混乱をもたらすことがあります。
はい。第3条(II)は、設立地を問わず、ブラジル国内の個人に対する「商品またはサービスの提供を目的とする処理活動」を対象としています。
執行は2023年以降強化されています。ANPDは侵害通知、サンドボックス、小規模管理者の免除を明確化する複数の決議を発出してきました。制裁金の水準はGDPRと比べると依然として控えめですが、その方向性は明らかにより積極的な執行へと向かっています。
LGPD上、厳密には必須ではありませんが、運用上は有用です。Encarregadoは、ANPDおよびデータ主体に対して実効的に対応できなければなりません。現地の連絡窓口や代理サービス(RegulatoryBridge Brazilなど)がそのニーズを満たします。
コントロールを一度マッピングすれば、2つの規制に準拠できます。RegulatoryBridgeは、単一のDSARパイプライン、単一のDPO、単一の侵害対応ランブックを提供し、両方のフレームワークをカバーします。