ACFACF ComplianceAI Governance
ProduitCouvertureACF StandardTarifsDiagnostic FlashContactSe connecter
Démarrer gratuitement
Retour à la couverture
Lei n° 13.709/2018 (Brésil)

LGPD

Lei Geral de Proteção de Dados Pessoais

BRVoir la régulation officielle
articles documentés
10
obligations actionnables
10
niveaux de sanction
3
En vigueur depuis
2021-08-01

Périmètre d'application

Entités concernées

  • controlador
  • operador
  • encarregado

Seuils d'application

  • Traitement réalisé sur le territoire brésilien (art. 3, I)
  • Traitement dont l'objet est l'offre ou la fourniture de biens / services au Brésil (art. 3, II)
  • Données collectées au Brésil (art. 3, III)

Exemptions

  • Traitement par personne physique à des fins exclusivement particulières et non économiques (art. 4, I)
  • Traitement journalistique, artistique, académique (art. 4, II)
  • Sécurité publique, défense nationale, sécurité de l'État (art. 4, III) - régime distinct
Articles clés

10 articles documentés

Articles structurants documentés dans la cartographie ACF.

Art. 6

Principes du traitement

Dix principes : finalité, adéquation, nécessité, libre accès, qualité des données, transparence, sécurité, prévention, non-discrimination, responsabilité et reddition de comptes.

Obligations
  • Documenter la finalité légitime, spécifique et explicite de chaque traitement
  • Limiter le traitement aux données pertinentes et proportionnées
  • Garantir l'accès facile et gratuit du titulaire à ses données
Art. 7

Bases légales du traitement (données personnelles)

Dix bases légales (plus que le RGPD) : consentement, obligation légale, politiques publiques, études, exécution contractuelle, exercice de droits, protection de la vie, protection de la santé, intérêt légitime, protection du crédit.

Obligations
  • Identifier et documenter la base légale avant le traitement
  • Recueillir un consentement libre, informé et univoque si applicable (art. 8)
  • Réaliser le test de balance pour la base 'intérêt légitime' (art. 10)
Art. 11

Traitement des données sensibles

Origine raciale, opinions, santé, vie sexuelle, données génétiques ou biométriques : régime renforcé. Consentement spécifique et mis en évidence (« destaque ») ou hypothèses limitatives.

Obligations
  • Recueillir un consentement spécifique et mis en évidence ou justifier une exception
  • Renforcer les mesures de sécurité techniques et organisationnelles
Art. 18

Droits du titulaire

Neuf droits : confirmation, accès, rectification, anonymisation/suppression/blocage, portabilité, suppression des données traitées avec consentement, information sur partage, information sur conséquences du refus, révocation du consentement.

Obligations
  • Répondre aux demandes du titulaire dans les délais fixés par l'ANPD (15 jours en général)
  • Documenter les décisions et exceptions invoquées
Art. 20

Décisions automatisées

Droit de demander la révision de décisions prises exclusivement sur la base d'un traitement automatisé affectant les intérêts du titulaire (profil, crédit, personnalité, etc.).

Obligations
  • Permettre la demande de révision (humaine ou non, selon décision ANPD)
  • Fournir des informations claires sur les critères et procédures utilisées
Art. 33

Transferts internationaux

Transferts hors Brésil autorisés uniquement vers des pays adéquats, sous garanties contractuelles approuvées par l'ANPD, BCR, ou bases spécifiques (consentement, contrat, obligation légale, etc.).

Obligations
  • Vérifier le statut d'adéquation du pays destinataire (décisions ANPD)
  • Mettre en place des standard contractual clauses ANPD ou BCR
  • Documenter les garanties supplémentaires (chiffrement, contrôle d'accès)
Art. 37

Registre des opérations de traitement

Obligation de tenir un registre des opérations de traitement, notamment lorsqu'il existe une politique formelle ou par détermination de l'ANPD.

Obligations
  • Tenir un registre à jour (responsable du traitement « controlador » et sous-traitant « operador »)
  • Le mettre à disposition de l'ANPD sur demande
Art. 38

Rapport d'impact à la protection des données (RIPD)

L'ANPD peut exiger un Rapport d'Impact relatif à la Protection des Données personnelles (RIPD - équivalent brésilien de l'AIPD/DPIA) décrivant les processus, risques et mesures de mitigation.

Obligations
  • Être prêt à produire un RIPD à la demande de l'ANPD
  • Documenter description, finalités, risques, mesures, garanties
Art. 41

DPO (« Encarregado »)

Désignation obligatoire d'un DPO (« Encarregado » selon la LGPD), point de contact entre responsable du traitement, personnes concernées et ANPD. Identité et coordonnées publiées publiquement.

Obligations
  • Désigner un DPO (« Encarregado ») et publier ses coordonnées
  • Permettre la réception et le traitement des réclamations / communications de l'ANPD
Art. 46 / 48

Sécurité et notification de violation

Mesures techniques et administratives de sécurité. Communication à l'ANPD et au titulaire des incidents de sécurité présentant un risque ou un dommage pertinent, dans un délai raisonnable.

Obligations
  • Mettre en place des mesures de sécurité adaptées au risque
  • Notifier l'ANPD et les titulaires en cas d'incident significatif (art. 48)
  • Documenter chaque incident (nature, données affectées, mesures correctives)
Obligations transverses

10 obligations actionnables

Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.

  • DocumentationArt. 37

    Tenir un registre des opérations de traitement (art. 37)

  • GouvernanceArt. 41

    Désigner un DPO (« Encarregado » selon LGPD) et publier ses coordonnées (art. 41)

  • ProcessArt. 38

    Produire un rapport d'impact à la protection des données (RIPD, équivalent brésilien de l'AIPD) sur demande ANPD (art. 38)

  • ProcessArt. 18 · Art. 19

    Répondre aux droits des titulaires dans les délais (art. 18-19)

  • TechniqueArt. 46 · Art. 47

    Mettre en place des mesures de sécurité techniques et organisationnelles (art. 46)

  • NotificationArt. 48

    Notifier l'ANPD et les titulaires en cas d'incident significatif (art. 48)

  • GouvernanceArt. 33 · Art. 34 · Art. 35 · Art. 36

    Encadrer les transferts internationaux (art. 33-36)

  • ProcessArt. 20

    Permettre la révision des décisions automatisées affectant le titulaire (art. 20)

  • DocumentationArt. 9

    Informer le titulaire des finalités, base légale et partage (art. 9)

  • ProcessArt. 8

    Recueillir un consentement libre, informé et univoque pour les bases applicables (art. 8)

    Si : base légale = consentement

Sanctions

Montants maximaux applicables selon les articles fixés par le texte.

Base légale · Art. 52, II
Jusqu'à 2 % du CA réalisé au Brésil par le groupe au cours du dernier exercice, plafonnée à 50 millions BRL par infraction

Amende simple par infraction

Base légale · Art. 52, III
Plafonnée à 50 millions BRL par infraction

Amende quotidienne

Base légale · Art. 52, I et IV à X
Mesure non pécuniaire, mais pouvant aller jusqu'à 6 mois de suspension renouvelable une fois

Autres sanctions accessoires (avertissement, publication, blocage, élimination des données, suspension partielle/totale de l'exploitation)

Articulation avec l'AI Act

Pour un acteur européen opérant au Brésil ou ciblant des utilisateurs brésiliens, l'AI Act et la LGPD se cumulent. Articulation pratique : (1) le RIPD (art. 38 LGPD) peut être étendu en analyse équivalente à la FRIA AI Act pour les systèmes haut-risque ; (2) le droit de révision des décisions automatisées (art. 20 LGPD) recouvre une partie des obligations de transparence AI Act (art. 13, 26, 86) mais l'ANPD insiste sur la documentation des critères ; (3) la désignation du DPO (« Encarregado » selon LGPD) est compatible avec la fonction de oversight humain AI Act art. 14.

Retour à /coverageLancer le Diagnostic FlashDiscuter de votre périmètre
LGPD (Lei n° 13.709/2018 (Brésil)) — ACF Compliance | ACF Compliance