2020.10.26

남미 진출 기업을 위한 '브라질판' GDPR의 이해

Jonathan Keane | IDG Connect
2018년 EU 일반 개인정보보호법(GDPR)이 발효됐을 때, 유럽 외 지역에서는 어떻게 작동할지, 그리고 이와 비슷한 법이 만들어질지 주목받았다. 이런 가운데 지난 9월 브라질의 일반 정보보호법(Lei Geral de Proteção de Dados, LGPD)이 발표됐다. 데이터 수집과 저장, 공유 방법에 대한 체계를 설립하고 약 40가지 법규를 하나로 통합했다. 기존의 법체계는 명료성이 떨어져서 브라질의 경쟁력을 저해한 측면이 있었다. LGPD는 불확실성을 제거하고 그에 다른 경제적인 혜택을 목표로 한다.
 
ⓒ Getty Images Bank

2018년에 승인된 LGPD는 많은 부분을 GDPR에서 차용했고 기업과 공공 기관에 2년 동안의 적응 기간을 제공했다. 이 법은 동의 없는 개인 데이터의 수집 및 사용과 데이터의 차별적 사용을 제한한다. 개인이 보유한 데이터에 액세스하고, 수정 및 삭제하고, 동의를 철회할 수 있는 권한 등 몇 가지 개인의 권리를 보장한다. 또한 개인이 서비스 제공업체 간에 데이터를 옮기도록 요청할 수 있는 데이터 이동성을 규정했다.

마케팅 업체 줌드(Zoomd)의 중남미 신규 사업 책임자 길 밀다르에 따르면, LGPD는 기업이 내부에서 준용할 수 있는 명확한 법적 근거를 제공할 뿐 아니라, 규정 준수 및 벌금 부과 가능성에 대한 많은 새로운 책임을 부여한다. 그는 “새로운 브라질의 정보보호법은 개인정보 취급에 대한 전략적 접근이 필요하고 동시에 소비자의 신뢰를 얻고자 하는 기업에 좋은 기회가 될 것이다. 기업은 새로운 규제를 활용해 적절한 개인정보보호 관행을 계획 및 적용해 데이터 사용에서 경쟁 우위를 확보할 수 있다”라고 말했다.
 

규정 준수와 차이점

법률 기업 폭스 로스차일드(Fox Rothschild)의 GDPR 준수 및 국제 개인정보보호 부문 파트너이자 의장인 오디아 케이건에 따르면, 글로벌 운영에서 GDPR 표준을 구현한 기업은 대부분 LGPD를 준수하는 기반을 마련한 것과 마찬가지다. 그러나 그렇다고 해서 단순히 문자 그대로 GDPR을 따라 했다는 의미는 아니다.

GDPR에는 데이터 처리를 허용하는 6가지 법적 기준이 있다. 이 중 많은 부분이 LGPD와 겹치지만 브라질의 규제는 총 10가지의 기준이 있어 더 구체적인 지침을 제공한다. 한가지 주요 차이점은 법률이 신용 점수 데이터 보호를 구체적으로 규정하고 있다는 것이다. 또한 개인의 데이터 요청을 처리하는 방법에 차이가 있어 문제를 야기할 수 있다. 케이건은 “LGPD는 개인의 요청을 인증할 필요는 없지만, 개인이 제출한 요청에 응하려면 본인이 맞는지 확인해야 한다. 이 경우 명확한 지침이 없으면, 개인의 데이터를 요청하는 사람이 본인이 맞는지 여부에 대한 결정이 대부분 회사의 몫이 된다"라고 말했다.

또 다른 주요 차이점은 위반 또는 사고에 대해 당국에 보고하는 기간이다. 기업은 GDPR에 따라 72시간 이내에 당국에 보고해야 한다. 반면 LGPD는 그만큼 구체적이지 않고, 단지 ‘합리적인 기간’이라고 명시했다. 이는 해석의 여지를 남긴다.

데이터 인텔리전스 기업 콜리브라(Collibra)의 비즈니스 개발부 SVP 스티브 월든은 “기업은 예상되는 작업 범위에 대해 높은 수준의 불확실성을 다루고 있다. LGPD 관련된 많은 세부 기준은 최근 신설된 데이터 보호청(Data Protection Authority, ANPD) 결정에 크게 의존할 것으로 보인다. 이렇게 되면 규정 준수 세부 사항에 지키는 방법에 대해 여러 업계에서 혼선이 발생할 수도 있다"라고 말했다.

LGPD는 기업과 조직에 2년의 준비 기간을 허용했지만, 월든은 이후로도 약간의 혼란과 오해가 있을 것으로 전망했다. 그는 “(당국에 보고하는) '합리적인 시간’을 놓고 당분간 사례별로 차이가 있을 수 있다. 가장 좋은 대안은 72시간 내로 제한한 GDPR과 매우 가깝게 규정하는 것이다. LGPD에서 반드시 같을 필요는 없지만 데이터 유출을 보고하는 데는 수개월이 아니라 몇 시간 혹은 며칠이 적당하다”라고 말했다.
 

벌금

어떤 규제든 초기에는 사소한 문제가 있지만, 결국 합리적인 해결도 나오기 마련이다. GDPR이 발표됐을 때, 이 제도의 지지자는 잘못된 데이터 관리를 방지하는 주요 억제 수단이 될 것으로 기대했다. 그러나 구글이 프랑스에 5,000만 유로를 벌금으로 낸 것을 제외하면, 거대 IT 기업에 GDPR 위반으로 낸 벌금은 당초 예상만큼 크지 않았다.

마찬가지로 브라질에서도 이전보다 강력한 벌금 시스템이 있지만, 총액은 GDPR만큼 높지 않다. 회사는 위반 시 수익의 최대 2%까지 벌금이 부과될 수 있으며, 5,000만 루피(현재 약 750만 유로에 해당)라는 상한선이 있다. 이는 GDPR이 규정한 2,000만 유로 또는 수익의 최대 4%의 벌금보다 현저히 낮은 것이다.

한편 LGPD는 브라질 밖에서도 영향을 미친다. 브라질에서 사업을 하고 브라질 시민의 데이터를 다루는 모든 기업이 주의해야 한다. 케이건은 “본사나 소재한 국가에 상관없이, 기본적으로 브라질에서 데이터를 수집하거나 다루는 기업에 적용된다. 예를 들어, 전자상거래 업체이고 브라질 시민에게 서비스한다면, 브라질 밖에 소재했더라도 적용된다”라고 말했다.

LGPD가 약속된 혁신적 효과를 가져올지는 아직 확실치 않다. 그러나 케이건에 따르면 데이터 보호에 대한 일관된 글로벌 표준을 향한 확고한 일 보 전진인 것은 분명하다. 그는 "GDPR이 다른 관할권의 규제를 측정하고 시행하는 기준이 됐다"라고 말했다.

이는 CCAP(California Consumer Privacy Act)의 통과 및 시행뿐만 아니라, EU와 기타 관할권 간에 체결된 적정성 합의에서도 확인할 수 있다.  데이터 전송과 관련해 EU와 비즈니스를 하기 위해 EU는 적정성 합의를 요구한다. 이는 사실상 제3 국에게는 동등한 규제가 높은 기준이라는 뜻이다. 합의를 결정한 국가는 캐나다와 뉴질랜드, 일본 등이 있지만 남미에서는 지금까지 아르헨티나와 우루과이뿐이다.

케이건은 “LGPD는 GDPR이 강력한 표준이 됐다는 또 다른 증거다. GDPR를 벤치마크로 사용하는 경우, 완전히 똑같지 않고 해당 관할에 맞게 적용이 되더라도, 핵심 원칙은 공유된다. 결국 기업이 개인정보보호 체계에 대한 GDPR 기반이 있다면, 이는 규정 준수를 향한 목표에 상당히 접근한 것이다”라고 말했다. editor@itworld.co.kr


2020.10.26

남미 진출 기업을 위한 '브라질판' GDPR의 이해

Jonathan Keane | IDG Connect
2018년 EU 일반 개인정보보호법(GDPR)이 발효됐을 때, 유럽 외 지역에서는 어떻게 작동할지, 그리고 이와 비슷한 법이 만들어질지 주목받았다. 이런 가운데 지난 9월 브라질의 일반 정보보호법(Lei Geral de Proteção de Dados, LGPD)이 발표됐다. 데이터 수집과 저장, 공유 방법에 대한 체계를 설립하고 약 40가지 법규를 하나로 통합했다. 기존의 법체계는 명료성이 떨어져서 브라질의 경쟁력을 저해한 측면이 있었다. LGPD는 불확실성을 제거하고 그에 다른 경제적인 혜택을 목표로 한다.
 
ⓒ Getty Images Bank

2018년에 승인된 LGPD는 많은 부분을 GDPR에서 차용했고 기업과 공공 기관에 2년 동안의 적응 기간을 제공했다. 이 법은 동의 없는 개인 데이터의 수집 및 사용과 데이터의 차별적 사용을 제한한다. 개인이 보유한 데이터에 액세스하고, 수정 및 삭제하고, 동의를 철회할 수 있는 권한 등 몇 가지 개인의 권리를 보장한다. 또한 개인이 서비스 제공업체 간에 데이터를 옮기도록 요청할 수 있는 데이터 이동성을 규정했다.

마케팅 업체 줌드(Zoomd)의 중남미 신규 사업 책임자 길 밀다르에 따르면, LGPD는 기업이 내부에서 준용할 수 있는 명확한 법적 근거를 제공할 뿐 아니라, 규정 준수 및 벌금 부과 가능성에 대한 많은 새로운 책임을 부여한다. 그는 “새로운 브라질의 정보보호법은 개인정보 취급에 대한 전략적 접근이 필요하고 동시에 소비자의 신뢰를 얻고자 하는 기업에 좋은 기회가 될 것이다. 기업은 새로운 규제를 활용해 적절한 개인정보보호 관행을 계획 및 적용해 데이터 사용에서 경쟁 우위를 확보할 수 있다”라고 말했다.
 

규정 준수와 차이점

법률 기업 폭스 로스차일드(Fox Rothschild)의 GDPR 준수 및 국제 개인정보보호 부문 파트너이자 의장인 오디아 케이건에 따르면, 글로벌 운영에서 GDPR 표준을 구현한 기업은 대부분 LGPD를 준수하는 기반을 마련한 것과 마찬가지다. 그러나 그렇다고 해서 단순히 문자 그대로 GDPR을 따라 했다는 의미는 아니다.

GDPR에는 데이터 처리를 허용하는 6가지 법적 기준이 있다. 이 중 많은 부분이 LGPD와 겹치지만 브라질의 규제는 총 10가지의 기준이 있어 더 구체적인 지침을 제공한다. 한가지 주요 차이점은 법률이 신용 점수 데이터 보호를 구체적으로 규정하고 있다는 것이다. 또한 개인의 데이터 요청을 처리하는 방법에 차이가 있어 문제를 야기할 수 있다. 케이건은 “LGPD는 개인의 요청을 인증할 필요는 없지만, 개인이 제출한 요청에 응하려면 본인이 맞는지 확인해야 한다. 이 경우 명확한 지침이 없으면, 개인의 데이터를 요청하는 사람이 본인이 맞는지 여부에 대한 결정이 대부분 회사의 몫이 된다"라고 말했다.

또 다른 주요 차이점은 위반 또는 사고에 대해 당국에 보고하는 기간이다. 기업은 GDPR에 따라 72시간 이내에 당국에 보고해야 한다. 반면 LGPD는 그만큼 구체적이지 않고, 단지 ‘합리적인 기간’이라고 명시했다. 이는 해석의 여지를 남긴다.

데이터 인텔리전스 기업 콜리브라(Collibra)의 비즈니스 개발부 SVP 스티브 월든은 “기업은 예상되는 작업 범위에 대해 높은 수준의 불확실성을 다루고 있다. LGPD 관련된 많은 세부 기준은 최근 신설된 데이터 보호청(Data Protection Authority, ANPD) 결정에 크게 의존할 것으로 보인다. 이렇게 되면 규정 준수 세부 사항에 지키는 방법에 대해 여러 업계에서 혼선이 발생할 수도 있다"라고 말했다.

LGPD는 기업과 조직에 2년의 준비 기간을 허용했지만, 월든은 이후로도 약간의 혼란과 오해가 있을 것으로 전망했다. 그는 “(당국에 보고하는) '합리적인 시간’을 놓고 당분간 사례별로 차이가 있을 수 있다. 가장 좋은 대안은 72시간 내로 제한한 GDPR과 매우 가깝게 규정하는 것이다. LGPD에서 반드시 같을 필요는 없지만 데이터 유출을 보고하는 데는 수개월이 아니라 몇 시간 혹은 며칠이 적당하다”라고 말했다.
 

벌금

어떤 규제든 초기에는 사소한 문제가 있지만, 결국 합리적인 해결도 나오기 마련이다. GDPR이 발표됐을 때, 이 제도의 지지자는 잘못된 데이터 관리를 방지하는 주요 억제 수단이 될 것으로 기대했다. 그러나 구글이 프랑스에 5,000만 유로를 벌금으로 낸 것을 제외하면, 거대 IT 기업에 GDPR 위반으로 낸 벌금은 당초 예상만큼 크지 않았다.

마찬가지로 브라질에서도 이전보다 강력한 벌금 시스템이 있지만, 총액은 GDPR만큼 높지 않다. 회사는 위반 시 수익의 최대 2%까지 벌금이 부과될 수 있으며, 5,000만 루피(현재 약 750만 유로에 해당)라는 상한선이 있다. 이는 GDPR이 규정한 2,000만 유로 또는 수익의 최대 4%의 벌금보다 현저히 낮은 것이다.

한편 LGPD는 브라질 밖에서도 영향을 미친다. 브라질에서 사업을 하고 브라질 시민의 데이터를 다루는 모든 기업이 주의해야 한다. 케이건은 “본사나 소재한 국가에 상관없이, 기본적으로 브라질에서 데이터를 수집하거나 다루는 기업에 적용된다. 예를 들어, 전자상거래 업체이고 브라질 시민에게 서비스한다면, 브라질 밖에 소재했더라도 적용된다”라고 말했다.

LGPD가 약속된 혁신적 효과를 가져올지는 아직 확실치 않다. 그러나 케이건에 따르면 데이터 보호에 대한 일관된 글로벌 표준을 향한 확고한 일 보 전진인 것은 분명하다. 그는 "GDPR이 다른 관할권의 규제를 측정하고 시행하는 기준이 됐다"라고 말했다.

이는 CCAP(California Consumer Privacy Act)의 통과 및 시행뿐만 아니라, EU와 기타 관할권 간에 체결된 적정성 합의에서도 확인할 수 있다.  데이터 전송과 관련해 EU와 비즈니스를 하기 위해 EU는 적정성 합의를 요구한다. 이는 사실상 제3 국에게는 동등한 규제가 높은 기준이라는 뜻이다. 합의를 결정한 국가는 캐나다와 뉴질랜드, 일본 등이 있지만 남미에서는 지금까지 아르헨티나와 우루과이뿐이다.

케이건은 “LGPD는 GDPR이 강력한 표준이 됐다는 또 다른 증거다. GDPR를 벤치마크로 사용하는 경우, 완전히 똑같지 않고 해당 관할에 맞게 적용이 되더라도, 핵심 원칙은 공유된다. 결국 기업이 개인정보보호 체계에 대한 GDPR 기반이 있다면, 이는 규정 준수를 향한 목표에 상당히 접근한 것이다”라고 말했다. editor@itworld.co.kr


X