Loading…
이미 GDPR을 준수하고 있다면 LGPD까지 80%는 온 셈입니다. 두 법은 10가지 지도 원칙, 유사한 정보주체 권리, 약 72시간의 침해 보고 체계를 공유합니다. 차이는 과징금 산정 방식(LGPD는 과징금을 브라질 매출의 2% 또는 위반당 5,000만 헤알로 제한), ANPD 결의 CD/ANPD No. 2/2022로 정의된 소규모 컨트롤러 면제, 그리고 이동권이나 자동화된 의사결정에 대한 이의 제기권의 부재에 있습니다. 이 가이드는 GDPR 작업을 어디에서 재사용할 수 있고 어디에 차이 보완이 필요한지 정확히 알려줍니다.
| 항목 | 🇪🇺 GDPR | 🇧🇷 LGPD |
|---|---|---|
| 법적 문서 | 규정(EU) 2016/679 | 법률 제13.709/2018호 |
| 시행일 | 2018년 5월 25일 | 실체적 규정: 2020년 8월; 행정 제재: 2021년 8월 |
| 적용 지역 범위 | EU + 역외 적용(제3조) | 브라질 내 처리, 또는 브라질 내 개인을 대상으로 한 처리, 또는 데이터가 브라질에서 수집된 경우(제3조) |
| 적법 근거 | 6가지(제6조) + 특수 범주 조건(제9조) | 10가지(제7조) — 정당한 이익, 계약, 법적 의무, 공중보건, 신용 보호 포함 |
| 원칙 | 6가지(제5조) | 10가지(제6조) — 목적, 적절성, 필요성, 자유로운 접근, 데이터 품질, 투명성, 보안, 예방, 비차별, 책임성 |
| 데이터 보호 책임자 | 특정 경우 의무(제37조) | 모든 컨트롤러에 대해 의무; 소규모 컨트롤러 면제는 ANPD 결의 CD/ANPD No. 2/2022를 통해 |
| 최대 과징금 | 2,000만 유로 또는 전 세계 매출의 4%(제83조 제5항) | 직전 회계연도 브라질 매출의 최대 2%, 위반당 5,000만 헤알로 제한 |
| 일일 과징금 | 표준 구조 아님 | 제52조(III)에 따라 허용 — 위반당 하루 최대 5,000만 헤알 |
| 기타 제재 | 경고, 처리 금지(제58조) | 공개 위반 고지, 데이터 차단, 데이터 삭제, 부분/전면 정지(제52조) |
| 침해 통지 | 72시간 내 감독기관에 통지(제33조) | 합리적 위험/손해가 있을 경우 결의 CD/ANPD No. 15/2024에 따라 3영업일 내 ANPD에 통지 |
| 규제기관 | 27개 EU 회원국 DPA + EDPB | 국가 데이터 보호청(ANPD) |
| DPO/Encarregado | 데이터 보호 책임자 | Encarregado de Proteção de Dados |
| 현지 대리인 | 제27조 EU 대리인 의무 | 공식적으로 요구되지는 않으나 ANPD는 브라질 내 연락 창구를 기대 |
| 이동권 | 예(제20조) | 예(제18조 V) |
| 자동화된 의사결정에 대한 이의 제기권 | 예(제22조) | 자연인에 의한 재심사권(제20조) |
| 공유에 관한 정보를 알 권리 | 암묵적(제13~15조) | 명시적(제18조 VII) — 개인정보가 공유된 공공/민간 기관 목록 |
| 국경 간 이전 | SCC/BCR/적정성(제5장) | ANPD 승인 메커니즘 — 결의 CD/ANPD No. 19/2024 |
| 아동 데이터 | 기본 동의 연령 16세(회원국별 차이) | 12세 미만은 부모/법정 후견인의 특정 동의 필요(제14조) |
| 익명화 | 복원이 불가능할 경우 적용 범위 밖(전문 제26항) | 적용 범위 밖(제12조) — 다만 복원 불가능성에 대해 GDPR보다 더 엄격한 기준 |
| 제재 개시 | 2018년 5월 | 2021년 8월(ANPD의 초기 경고와 소액 과징금 시작) |
매우 유사합니다 — 동일한 목적, 유사한 구조, 상당 부분 동일한 용어 — 그러나 적법 근거가 6가지가 아닌 10가지이고, 원칙이 6가지가 아닌 10가지이며, 과징금 산정 방식이 다릅니다. ANPD의 집행 방식 또한 아직 형성 중입니다.
대체로 그렇습니다. 차이점은 다음과 같습니다. Encarregado de Proteção de Dados를 임명하고, 중대한 침해에 대해 3영업일 이내에 ANPD 통지 문서를 제출하며, 개인정보 처리방침이 LGPD의 10가지 원칙을 반영하도록 하고, 국경 간 이전에는 ANPD가 승인한 메커니즘(Res. 19/2024)을 사용해야 합니다.
최대 행정 과징금은 위반당 브라질 내 매출의 2%이며, R$5천만(약 미화 1천만 달러)을 상한으로 합니다. 일일 과징금은 빠르게 누적될 수 있습니다. ANPD는 또한 금지명령 권한(데이터 차단, 삭제 명령)을 보유하고 있으며, 이는 금전적 과징금보다 더 큰 지장을 초래할 수 있습니다.
예 — 제3조(II)는 설립 위치와 관계없이 브라질 내 개인에게 "상품 또는 서비스를 제공하거나 공급하는 것을 목적으로 하는 처리 활동"을 포섭합니다.
집행은 2023년 이후 강화되고 있습니다. ANPD는 침해 통지, 샌드박스, 소규모 컨트롤러 면제를 명확히 하는 여러 결의안을 발표했습니다. 과징금 수준은 GDPR에 비해 여전히 완만하지만, 그 추세는 분명히 더 적극적인 집행 쪽을 향하고 있습니다.
LGPD가 엄격히 요구하는 것은 아니지만 운영상 필요합니다. Encarregado는 ANPD 및 정보주체에 대해 실질적인 방식으로 대응해야 하며, 현지 연락처 또는 대리 서비스(예: RegulatoryBridge Brazil)가 이러한 필요를 충족합니다.
통제 항목을 한 번 매핑하면 두 번 준수합니다. RegulatoryBridge는 단일 DSAR 파이프라인, 단일 DPO, 단일 침해 대응 매뉴얼을 제공하여 — 두 프레임워크를 모두 커버합니다.