一文纵览拉丁美洲数据保护立法情况

随着数据安全和个人信息保护成为全球性问题，拉丁美洲国家也在不断的完善本国的相关立法。总体来讲，大部分国家都对数据保护进行了专门立法，尤其是阿根廷在近两年有着新的进展。但是，也有如委内瑞拉、玻利维亚和巴拉圭等国家缺乏针对数据保护的法律规范。（各国数据立法概况如下图）

说明：绿色区域表示无专门数据保护立法，黄色和橘色均为已制定专门数据保护立法的国家，其中橘色区域为近期相关立法有新动态。（来源：DLA PIPER）

01

巴西

2018年8月14日巴西《通用个人数据保护法》（LGPD）通过，并于2020年9月18日生效，其中包括GDPR的部分内容，但也对在巴西处理数据或向个人提供服务的公司规定了重要的合规义务。LGPD 是一项全面的数据保护法，涵盖数据控制者和处理者的活动，并对处理数据主体的信息提出了要求。它包括关于各方面的规定，例如数据保护官（“DPO”）任命，数据保护影响评估（“DPIA”），数据传输，数据泄露以及巴西数据保护机构（“ANPD”）的建立。此外，2021年10月20日，巴西参议院一致通过了第17/2019号宪法拟议修正案（“PEC”），该修正案在联邦宪法中规定，保护包括数字媒体在内的个人数据是一项基本权利。

02

哥伦比亚

哥伦比亚与数据保护相关的主要立法有：（1）2008年第1266号成文法，对哥伦比亚境内外收集的金融数据、信用记录和商业信息的处理做出了规定。该法定义了一般术语，并规定了数据处理基本原则、数据主体权利、数据控制者义务以及金融数据的具体规则。（2）2012年10月17日颁布的第1581号法律《个人数据保护法》，旨在保障个人了解、更新和更正数据库中收集的个人信息的宪法权利，并确保个人数据的处理符合其隐私权。该法适用于所有从事任何涉及个人数据处理活动的公共或私营主体，无论数据是否在哥伦比亚境内收集的。此外，还有其他特定行业或数据类型的法律法规，如《健康信息保护法》和《金融信息保护法》。

03

墨西哥

数据保护的法律框架载于《墨西哥宪法》第6条和第16条，以及2010年7月发布的《保护私人持有的个人数据联邦法》（《联邦法》）和2011年12月发布的《联邦法》配套的《条例》。《联邦法》对任何联邦、州或地方当局所拥有的个人信息的处理进行了规范。值得一提的是，墨西哥数据保护法律与GDPR具有类似的原则、监管范围和规定。此外，《刑法典》、《信贷信息公司监管法》、《融资技术机构监管法》、《版权法》和《联邦消费者保护法》，以及《民法典》和《商法典》中的一些具体规定，也与数据保护有关。

04

阿根廷

阿根廷个人数据保护法于2000年11月2日生效，其修订草案于2022年9月公布并于同年11月通过。修订草案在许多方面遵循了欧盟GDPR的规定。该法案的关键条款包括但不限于：

(1) 新设的域外效力原则；

(2) 个人数据处理的合法性、公平性与透明度原则；

(3) 个人数据处理的目的明确、数据最小化、准确性和问责制原则；

(4) 数据主体的同意以及同意的特征、要求；

(5) 公共部门的数据处理；

(6) 新设的允许个人信息自由跨境传输的机制；

(7) 对儿童和青少年个人数据的特别保护；以及

(8) 数据主体所享有的查阅、纠正、限制和删除的权利等；

(9) 数据控制者应当履行的义务，包括与隐私影响评估相关的义务。

另外，阿根廷加入了《关于在自动处理个人数据方面保护个人的第108号公约》和《关于在自动处理个人数据方面保护个人的公约》的修订议定书，但国会批准尚未完成。

05

古巴

古巴议会于2022年8月25日通过并公布第149号法律《个人数据保护法》。这是古巴首次专门就个人信息保护立法，以加强对公民个人信息的全方位保护。该法由总则、数据主体权利及其行使、个人数据处理三章及特别规定和最后条款组成。

06

秘鲁

秘鲁第29733号《个人数据保护法》（PDPL）于2011年6月颁布。2013年3月，其发布了第003-2013-JUS号最高法令--《个人数据保护法条例》，以发展、澄清和扩展《个人数据保护法》的要求，并规定了有关数据保护的具体规则、条款和规定。需要指出的是，国家数据处理局已经表示，在2023年，该局打算对《条例》进行修改，并发布指导方针，使数据库所有者在数字经济中能够正确使用个人信息。

07

智利

智利《个人数据保护法》。对公共和私人数据库中的个人数据处理进行了总体定义和规范。《个人数据保护法》规定，只有在法律（如劳动法、医疗保健法等）允许或基于数据主体事先知情的书面同意的情况下，才能处理个人数据。这一原则只有少数例外（例如，某些可公开访问的数据，或出于某些目的的纯粹内部数据处理）。此外，《个人数据保护法》包含关于处理与经济、银行和金融义务有关的个人数据的特殊规定。

08

乌拉圭

乌拉圭的数据保护受2008年8月颁布的《个人数据和人身数据保护法》第18331号法律及其第414/009号监管法令（DPA）的监管。乌拉圭长期以来一直倾向于借鉴欧盟的相关法律。由此，2012年8月欧盟委员会决定乌拉圭达到了GDPR第25（6）条所指的“充分保护水平”。此外，乌拉圭是第一个加入欧洲理事会第108号公约的非欧洲国家。

09

厄瓜多尔

自2021年5月26日起，厄瓜多尔通过了《个人数据保护组织法》（Personal Data Protection Organic Law），其主要目的是保障个人数据的保护权，包括对信息和个人数据的访问和决定，以及相应的保护。

声明：本文来自享法互联网JoyLegal，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。