LGPD（Lei Geral de Proteção de Dados，第13.709/2018号法律）是巴西的通用数据保护法，类似于欧盟的GDPR。自2020年9月全面生效以来，所有在巴西处理个人数据的企业——无论规模大小——都必须遵守。对于中国企业家来说，LGPD合规既是法律义务，也是赢得巴西客户信任的重要途径。

LGPD的适用范围

LGPD适用于：

• 在巴西境内处理个人数据的任何组织
• 处理巴西境内个人数据的组织（即使企业在境外）
• 向巴西境内个人提供商品或服务的组织

这意味着即使您的公司通过虚拟办公室远程管理，只要处理巴西客户或员工的数据，就必须遵守LGPD。

核心概念

术语	葡语	定义
个人数据	Dados Pessoais	可识别自然人的任何信息
敏感数据	Dados Sensíveis	种族、宗教、健康、生物识别等
数据控制者	Controlador	决定数据处理目的和方式的主体
数据处理者	Operador	代表控制者处理数据的主体
数据主体	Titular	个人数据所属的自然人
DPO	Encarregado	数据保护负责人

数据处理的法律依据

LGPD规定了10种合法的数据处理依据：

1. 数据主体同意：明确、自由的同意
2. 法律义务：法律要求的数据处理
3. 公共政策执行：政府机构的公共利益
4. 研究目的：学术和统计研究
5. 合同履行：履行与数据主体的合同
6. 司法程序：法律诉讼中的证据
7. 生命安全保护：紧急情况下的生命保护
8. 健康保护：医疗保健场景
9. 合法利益：控制者或第三方的合法利益
10. 信用保护：信用评估和保护

小企业最常用的依据

• 同意：营销邮件、Cookie追踪
• 合同履行：提供已购买的服务
• 法律义务：税务记录保存
• 合法利益：客户关系管理

数据主体的权利

巴西公民和居民享有以下数据权利：

• 知情权：了解其数据如何被处理
• 访问权：获取其被处理的数据副本
• 更正权：要求更正不准确的数据
• 删除权：要求删除不再必要的数据
• 可携权：将数据转移给其他服务商
• 撤回同意权：随时撤回先前的同意
• 反对权：反对基于合法利益的处理

小企业的合规步骤

第一步：数据映射

问题	需要明确
收集哪些数据？	姓名、CPF、邮箱、地址等
为什么收集？	合同、营销、法律义务等
数据存储在哪里？	本地服务器、云端、第三方系统
谁可以访问？	员工、会计师、IT服务商
保存多长时间？	根据法律要求和业务需要

第二步：制定隐私政策

必须在公司网站和服务条款中明确公布：

• 数据收集的目的和法律依据
• 数据共享的范围和对象
• 数据存储期限
• 数据主体行使权利的方式
• DPO（数据保护负责人）的联系方式

第三步：实施安全措施

• 使用加密技术保护敏感数据
• 实施访问控制（最小权限原则）
• 定期备份和灾难恢复计划
• 员工数据保护培训

第四步：指定DPO

LGPD要求企业指定一名数据保护负责人（Encarregado/DPO），但对小企业有灵活规定：

• 小微企业可简化DPO要求
• 可外包给专业服务公司
• DPO信息必须公开发布

违规处罚

ANPD（国家数据保护局）可施加以下处罚：

处罚类型	说明
警告	附带整改期限
简单罚款	每次违规最高营业额的2%，上限R$ 50.000.000（约￥7.000万）
每日罚款	持续违规按日计算
数据处理暂停	暂停违规的数据处理活动
数据删除	要求删除违规收集的数据
公开违规	在媒体上公开违规事实

小企业的实际风险

虽然最高罚款金额很高，ANPD通常对小企业采取教育优先的态度。但客户投诉和声誉损失的影响同样不可忽视。

小企业实用合规建议

1. 从基础做起：先完成数据映射和隐私政策
2. 获取有效同意：营销通信必须获得明确同意
3. 最少数据原则：只收集业务真正需要的数据
4. 安全存储：使用加密和访问控制
5. 响应机制：建立处理数据主体请求的流程
6. 文档记录：保留数据处理活动的记录

SedeFiscal的建议

LGPD合规是在巴西经营企业的基本要求。即使是通过虚拟办公室远程运营的小企业，只要处理巴西客户的个人数据，就必须遵守LGPD。

SedeFiscal承诺保护所有客户的个人数据，并遵循LGPD的各项要求。我们的虚拟办公室服务（从R$ 29,90/月起，约￥42）不仅为您提供合规的商业地址，还确保您收到的所有信件和文件得到安全保管。

数据保护不仅是法律义务，更是在巴西市场建立信任和专业形象的重要基础。建议在公司注册之初就将LGPD合规纳入业务规划中。

← 返回博客