Brasiliens Lei Geral de Proteção de Dados Pessoais (LGPD) er en omfattende databeskyttelseslov vedtaget i august 2020 og håndhævet fra august 2021, påvirket af Den Europæiske Unions GDPR.
LGPD har til hensigt at forenkle Brasiliens komplekse net af databeskyttelsesregler ved at tilbyde en samlet lovgivningsmæssig ramme. det tildeler specifikke rettigheder til brasilianske borgere over deres personlige data og pålægger strenge overholdelseskrav til organisationer, der behandler disse data. Loven introducerer ni grundlæggende rettigheder for registrerede og skitserer ti lovlige grundlag for lovlig databehandling.
LGPD opretter yderligere den Nationale Databeskyttelsesmyndighed (ANPD) og kræver, at organisationer udpeger databeskyttelsesofficerer (DPOs). På trods af sine ligheder med GDPR har LGPD særskilte funktioner, definitioner og håndhævelsesforanstaltninger, herunder mindre strenge sanktioner.
Få et gratis cookie-banner nu
Det er ligegyldigt, om du er i USA, Europa eller et andet sted.
Vigtige punkter
- Samlet lovgivningsmæssig ramme:
- LGPD erstatter over 40 eksisterende føderale regler med en enkelt omfattende databeskyttelseslov, der forenkler Brasiliens lovgivningsmæssige landskab.
- Ni registrerede rettigheder:
- LGPD introducerer ni rettigheder for registrerede, herunder retten til at få adgang til, rette, slette og overføre deres data. Disse rettigheder ligner dem i GDPR, men er forskellige.
- Ekstraterritorialt anvendelsesområde:
- LGPD gælder ikke kun for databehandling indenfor Brasilien, men også for data om personer i Brasilien, uanset hvor databehandleren er placeret.
- Retlige grundlag for behandling:
- Der er ti retlige grundlag for behandling af personoplysninger under LGPD, herunder samtykke, overholdelse af juridiske forpligtelser, gennemførelse af offentlige politikker og beskyttelse af sundhed og liv.
- Håndhævelse og sanktioner:
- Den Nationale Databeskyttelsesmyndighed (ANPD) fører tilsyn med håndhævelsen af LGPD. Sanktioner for manglende overholdelse kan omfatte advarsler, daglige bøder og bøder op til 2 % af den årlige omsætning eller 50 millioner brasilianske reais (~ €11 millioner), hvilket er mindre alvorligt sammenlignet med GDPR’s sanktioner.
Introduktion til Brasiliens LGPD
Virkende siden august 2020, havde LGPD en frist på 12 måneder, og håndhævelsen begyndte i august 2021.Den nationale databeskyttelsesmyndighed (ANPD) er ansvarlig for implementeringen.
Enhver organisation, der indsamler eller behandler personoplysninger fra brasilianske individer, skal overholde LGPD.
Den 31. august 2021 godkendte det brasilianske senat PEC 17/19 og ændrede den føderale forfatning. Dette skridt cementerede beskyttelsen af personoplysninger som en grundlæggende rettighed og muliggjorde føderal eksklusivitet i lovgivning om databeskyttelse.
Målet er at forhindre stater og kommuner i at blande sig i håndhævelsen af LGPD.
Denne ændring konsoliderede forskellige regler og love, herunder databeskyttelsesloven, hvilket sikrer robuste forsvar mod overtrædelser og svindel, især under forbrugerlovgivningen.
LGPD – Brasiliens databeskyttelseslov
Brasilien har over 140 millioner internetbrugere, hvilket gør det til det største internetmarked i Latinamerika og det fjerde størst i verden. Før LGPD styrede over 40 føderale forskrifter databeskyttelse, hvilket skabte et kompliceret juridisk miljø.
Disse love var sektorspecifikke—dækkede områder som bankvæsen og forbrugerbeskyttelse—men manglede en omfattende tilgang.
LGPD forenklede dette med en samlet reguleringsramme. Alle data, der behandles inden for Brasilien, falder ind under LGPD’s anvendelsesområde, selvom de håndteres af udenlandske enheder.
Påvirket af GDPR, giver databeskyttelsesloven enkeltpersoner flere rettigheder.GDPR-overholdende virksomheder har en fordel, men skal stadig håndtere forskelle mellem de to love.
Hvad er databeskyttelsesloven i Brasilien?
Bestående af 65 artikler, beskriver hvordan personlige data skal behandles i Brasilien.
LGPD Oversigt
Artikel 18 opregner ni rettigheder for registrerede personer:
- Bekræftelse af databehandling
- Adgang til deres data
- Korrigering af ufuldstændige, unøjagtige eller forældede data
- Anonymisering, blokering eller sletning af unødvendige eller ikke-overensstemmende data
- Dataflytbarhed til andre tjenester eller databehandlere på anmodning
- Sletning af personlige data
- Information om datadeling med offentlige og private enheder
- Information om konsekvenserne af at nægte samtykke
- Tilbagetrækning af samtykke
Disse rettigheder ligner dem i GDPR, hvilket gør dem relevante for globale virksomheder, der håndterer brasilianske data.
LGPD og Personlige Data
Artikel 5 af LGPD definerer nøglebetingelser og begreber:
- Personal Data: Broadly, this includes any information about an identifiable individual.
- Sensitive Personal Data: Requires additional safeguards and includes racial, ethnic, religious, political, health-related, genetic, and biometric data.
Artikel 11 specificerer begrænsede scenarier for behandling af følsomme data, såsom eksplicit samtykke, offentlige politikker eller forskning, der anonymiserer data.
Databeskyttelseslov og Anonymiserede Data
Anonymiserede data refererer til information, der ikke kan identificere en person gennem tekniske midler på tidspunktet for behandlingen.Hvis data kan genidentificeres, betragtes de som personoplysninger.
Yderligere definitioner (Artikel 5)
- Behandling: Enhver operation udført med personoplysninger.
- Samtykke: Skal være frit, informeret og utvetydigt vedrørende databehandling for et specifikt formål.
- Database: Et struktureret sæt af personoplysninger.
- Dataansvarlig: Enhed, der bestemmer formålet med og brugen af personoplysninger.
- Databehandler: Enhed, der behandler data på vegne af den dataansvarlige.
- Dataansvarlig: Udnævnt af dataansvarlige for at lette kommunikationen med registrerede og ANPD.
LGPD-overholdelse i Brasilien
LGPD giver registrerede ni rettigheder, definerer personoplysninger og skitserer ti retsgrundlag for lovlig behandling. Det kræver udnævnelse af en databeskyttelsesansvarlig (DPO) og etablerer ANPD til at overvåge overholdelse.
LGPD Rækkevidde
Databeskyttelsesloven gælder for den offentlige og private sektor, både online og offline, inden for og uden for Brasilien, hvis den behandler brasilianske data.
Artikel 3 angiver dens anvendelse i:
- Databehandling i Brasilien.
- Behandling af brasilianske personers data af globale enheder.
- Behandling af data indsamlet i Brasilien.
LGPD beskytter alle i Brasilien, ikke kun borgere.
LGPD og EU’s tilstrækkelighed
Modelleret efter GDPR ønsker Brasilien en tilstrækkelighedsaftale med EU, der tillader fri dataflow ved at opfylde europæiske standarder.
Conzent CMP for LGPD-overholdelse
Conzent CMP administrerer samtykke til cookies og sporingsteknologier, hvilket sikrer LGPD-overholdelse.Den identificerer cookies og blokerer dem, indtil brugerne giver specifikt samtykke.
LGPD and Samtykke
Samtykke er den første og afgørende juridiske grundlag for lovlig behandling under databeskyttelsesloven. Artikel 8 specificerer, at samtykke skal være eksplicit, specifikt og tilbagekaldeligt og skal være i overensstemmelse med GDPR-standarderne.
LGPD’s Legal Bases for Processing
Artikel 7 opregner ti juridiske grundlag:
- Consent
- Juridisk eller lovgivningsmæssig forpligtelse
- Offentlige politikker
- Forskning, med anonymisering når det er muligt
- Kontrakter
- Udøvelse af juridiske rettigheder
- Beskyttelse af liv eller sikkerhed
- Sundhedsbeskyttelse af fagfolk eller enheder
- Legitime interesser, medmindre de er underlagt registreredes rettigheder
- Kreditbeskyttelse
Overholdelse kræver dokumentation af alle datahåndteringsprocesser.
Data Protection Authorities and Officers
ANPD, oprettet ved præsidentielt dekret den 26. august 2020, sikrer håndhævelsen af LGPD.Den fastsætter standarder, overvåger, reviderer, uddanner, håndterer databrudsmeddelelser og håndhæver sanktioner.
Virksomheder skal udpege en DPO til at overvåge LGPD-overholdelse.
LGPD Bøder og Sanktioner
Manglende overholdelse kan resultere i:
- Advarsler og korrigerende foranstaltninger
- Daglige bøder
- Bøder op til 2% af den årlige omsætning i Brasilien eller R50 millioner (~ €11 millioner) pr. overtrædelse
LGPD vs GDPR
- Rettigheder: Tilbyder ni rettigheder sammenlignet med GDPR’s otte.
- Juridiske Grundlag: Angiver ti juridiske grundlag, mens GDPR har seks.
- Persondata: LGPD har en bredere definition.
- Sensitive Data: Begge love behandler følsomme data ens, men LGPD har strengere restriktioner.
- Samtykke og Juridiske Grundlag: Kræver specifikt samtykke og har unikke juridiske grundlag som kreditbeskyttelse.
- DPO og DPIA: Kræver en DPO, mens GDPR kræver det under visse betingelser. LGPD kræver også Data Protection Impact Assessments, men er mindre specifik.
- Databrud: GDPR kræver rapportering inden for 72 timer, LGPD foreslår “rimelig tid.”
- Bøder: GDPR har højere maksimale bøder sammenlignet med databeskyttelsesloven.