個人資料（巴西）

「Dados Pessoais」是葡萄牙語，意為「個人資料」，為巴西《一般資料保護法》（Lei Geral de Proteção de Dados, LGPD, Lei n.º 13.709/2018）的核心法律概念。根據LGPD第5條第I款的定義，它是指與已識別或可識別的自然人相關的任何資訊，例如姓名、身分證號碼、地址、電子郵件、IP位址、生物特徵或基因數據等。此定義與歐盟GDPR第4條第(1)款對「個人資料」的界定高度相似。在風險管理體系中，企業必須將「Dados Pessoais」視為關鍵資訊資產進行保護。ISO/IEC 27701（隱私資訊管理系統）提供了一套完整的管理框架與控制措施，可協助企業建立處理這類資料的治理機制，以符合LGPD的要求。它與「匿名化資料」（dado anonimizado）相對，後者因無法追溯至特定個人，故不在LGPD的規範範圍內。

在企業風險管理中，管理「Dados Pessoais」需採取系統性方法，以確保對巴西LGPD的合規性。具體導入步驟如下：第一步，執行「資料盤點與流程對應」，依據ISO/IEC 27701附錄A的要求，全面識別企業內部處理個人資料的所有活動，建立詳細的資料清冊（ROPA），明確資料類型、處理目的、法律依據及儲存地點。第二步，實施「資料保護衝擊評估」（DPIA），此為LGPD第38條的要求，針對高風險的資料處理活動（如大規模監控或處理敏感個資），評估其對資料主體權利與自由的潛在衝擊，並規劃風險緩解措施。第三步，導入並維運「技術與組織控制措施」，根據DPIA的結果，部署ISO/IEC 27001/27701所建議的控制項，如加密、存取控制、假名化與人員資安意識訓練。一家跨國零售企業透過此流程，將其對巴西客戶資料的處理合規率提升至98%，與資料外洩相關的潛在罰款風險降低了70%，並順利通過年度合規審計。

台灣企業在遵循巴西LGPD關於「Dados Pessoais」的規範時，主要面臨三大挑戰。首先是「法規的境外適用性認知不足」，許多企業誤認僅需遵守台灣《個資法》，忽略了LGPD的長臂管轄權，只要向巴西境內個人提供商品或服務即適用。對策是建立全球法規監控機制，將LGPD要求整合至企業的隱私管理框架（PIMS）。其次是「專業資源與預算限制」，中小企業普遍缺乏專職的資料保護長（DPO）及建置預算。解決方案是採用外部顧問服務，進行差距分析與體系建置，優先行動項目是在30天內完成資料盤點。最後是「既有系統的技術差距」，許多舊系統缺乏『設計即隱私』（Privacy by Design）概念，難以執行資料可攜權或被遺忘權等要求。對策是將隱私保護納入系統開發生命週期（SDLC）與採購標準，並為核心系統開發API以應對當事人權利請求，預計時程為90天。

積穗科研股份有限公司專注台灣企業dados pessoais相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact