Brazilië zal op 15 augustus 2020 officieel zijn raamwerk voor gegevensbescherming, genaamd LGPD, handhaven. Hier volgt een overzicht van wat dit inhoudt.
Op 15 augustus 2020 zal Brazilië zijn gegevensbeschermingsbeleid met de titel handhaven Algemene wet op de bescherming van persoonlijke gegevens gewoonlijk LGPD genoemd. De wet werd op 14 augustus 2018 aangenomen, gevolgd door officiële sancties door president Bolsonaro in juli 2019.
LGPD is nauw gemodelleerd naar de AVG van de Europese Unie, zij het met enkele duidelijke verschillen. De officiële handhaving van de LGPD zal organisaties verantwoordelijk maken voor het aanstellen van een Data Protection Officer (DPO) die alle vragen over gegevensverwerking zal beheren.
In dit bericht leggen we uit wat LGPD is en wat de overeenkomsten zijn met de GDPR.
Een inzicht in de penetratie van internetgebruikers in Brazilië
Ongeveer 66% van Brazilië de hele bevolking heeft toegang tot internet en brengt ongeveer 26 uur per week online door. In feite wordt de penetratie van internetgebruikers in Brazilië voorspeld op 169 miljoen tegen eind 2023. Het land is ook het vierde grootste ter wereld wat betreft het aantal internetgebruikers.
Met zo'n grote internetgebruikersbasis kent Brazilië al ongeveer 40 wettelijke normen op federaal niveau die de privacy van gebruikers online reguleren. Dit zijn echter sectorale wetten die individuen slechts gedeeltelijk beschermen. Een alomvattend raamwerk zoals de LGPD zal gebruikers in alle sectoren van de economie helpen, zowel privé als persoonlijk.
Wat is een gegevenssubject?
Voordat we ingaan op de belangrijkste kenmerken van LGPD, is het belangrijk om te begrijpen wat betrokkenen zijn. Hoewel de betrokkenen al uitgebreid zijn gedefinieerd in de AVG, vermeldt de LGPD ook expliciet hun definitie.
Elke persoon wiens gegevens worden verzameld en/of verwerkt, is een betrokkene.
Op grond van artikel 18 van de LGPD zijn betrokkenen bevoegd om negen verschillende rechten over hun persoonlijke gegevens, waaronder:
- Toegang tot hun gegevens
- Bevestiging van de verwerking van hun gegevens
- Rectificatie van verouderde of onjuiste gegevens
- Anonimiseer of verwijder gegevens die niet LGPD-compatibel zijn of uit hun context zijn gebruikt
- Overdraagbaarheid: Toestemming om hun gegevens over te dragen aan een andere verwerker
- Verwijdering van persoonsgegevens
- Openbaarmaking van informatie over andere verwerkers met wie persoonsgegevens zijn gedeeld
- Intrekken van toestemming voor persoonsgegevens
- Informatie over het weigeren van toestemming en de gevolgen ervan
Belangrijkste kenmerken van de LGPD
Op wie is de LGPD van toepassing?
Net als de AVG heeft LGPD dat ook extraterritoriale toepassing. Hiermee bedoelen we bedrijven en websites die gegevens verwerken van individuen in Brazilië, ongeacht waar zij actief zijn. Deze bedrijven moeten LGPD-compliant zijn.
Op grond van artikel 3 wordt extraterritoriale toepassing verder gedefinieerd als:
- Gegevensverwerking van gegevens verzameld in Brazilië.
- Gegevensverwerking van individuen in Brazilië, ongeacht de locatie van de gegevensverwerker. Ze kunnen zich overal ter wereld bevinden.
- Gegevensverwerking op het grondgebied van Brazilië.
Het is ook belangrijk op te merken dat LGPD dat ook is transversaal en multisectoraal. Dit betekent dat het zal worden toegepast op zowel private als persoonlijke sectoren, online en offline.
Hoe worden gegevens gedefinieerd onder LGPD
LGPD definieert gegevens grofweg in drie categorieën. Zij zijn:
| Type | Definitie | Aanvullende Opmerkingen |
| persoonlijke | “Persoonsgegevens zijn gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon.” | LGPD definieert niet expliciet criteria onder persoonlijke gegevens. Het kan echter wel naam, geslacht, adres, ID-nummers, enz. zijn. |
| gevoelig | “Gevoelige gegevens zijn persoonsgegevens over ras of etnische afkomst, religieuze overtuiging, politieke overtuiging, lidmaatschap van een vakbond of religieuze, filosofische of politieke organisatie, gegevens over gezondheid of seksleven, genetische of biometrische gegevens, indien gerelateerd aan een natuurlijk persoon.” | Dit is in wezen een subcategorie van persoonsgegevens. Op grond van artikel 11 LGPD wordt afzonderlijke toestemming nader gedefinieerd. |
| Geanonimiseerd | “Gegevens met betrekking tot een betrokkene die niet kan worden geïdentificeerd.” | Het is belangrijk op te merken dat als geanonimiseerde gegevens op enigerlei wijze kunnen worden gebruikt voor gedragsprofilering, deze omkeerbaar zijn en niet onder deze categorie vallen. |
Aanvullende definities onder LGPD
Enkele van de andere belangrijke definities onder LGPD om meer duidelijkheid te krijgen zijn:
- Processor:
Verwerkingsverantwoordelijke (kan een persoon of een rechtspersoon zijn) die handelingen uitvoert met behulp van persoonsgegevens.
- Verwerking:
Elke handeling die wordt uitgevoerd met persoonsgegevens. Deze bewerkingen kunnen verzameling, productie, ontvangst, classificatie, gebruik, toegang, reproductie, verzending, distributie en andere omvatten.
- controller:
Iedere persoon of rechtspersoon die de bevoegdheid heeft om beslissingen te nemen over de verwerking van persoonsgegevens.
- Toestemming:
Toestemming wordt gedefinieerd als 'een vrije, geïnformeerde en ondubbelzinnige uiting waarbij de betrokkene instemt met zijn/haar verwerking van persoonsgegevens voor een bepaald doel.'
Overeenkomsten tussen LGPD en AVG
Zoals hierboven vermeld, is LGPD nauw gemodelleerd naar de GDPR, en wordt daarom ook wel de AVG van Brazilië genoemd. Beide raamwerken hebben verschillende overeenkomsten, waaronder:
| Onderwerp | Overeenkomsten |
| Territoriale reikwijdte | Ongeacht waar de gegevensverwerking plaatsvindt, moet elk bedrijf of individu dat zijn persoonsgegevens binnen zijn respectievelijke rechtsgebied verwerkt, LGPD- of AVG-compatibel zijn, afhankelijk van zijn regio. |
| Toegangsverzoeken van betrokkenen | Betrokkenen hebben het volledige recht om toegang tot hun gegevens te vragen of het recht om vergeten te worden. |
| Aanstelling van een functionaris voor gegevensbescherming (DPO) | Zowel de LGPD als de AVG vereisen dat organisaties een DPO aanstellen als het bedrijf: *Is een openbaar lichaam. * Maakt gebruik van grootschalige gegevensverwerking en monitoring van personen. * Kernactiviteiten vereisen gegevensverwerking van unieke individuen die verband houden met strafbare feiten. Ondanks de noodzakelijke criteria dringen beide raamwerken er nog steeds bij organisaties die niet onder de bovengenoemde categorieën vallen op aan om een DPO aan te stellen. |
Verschillen tussen LGPD en AVG
| Onderwerp | GDPR | AVG |
| Juridische grondslagen voor gegevensverwerking | Bedrijven zijn onderworpen aan zes rechtsgrondslag op grond waarvan persoonsgegevens worden verwerkt. Dit zijn: Toestemming, ContractJuridisch, Verplichting, Vitale belangen, Publieke taak, Gerechtvaardigde belangen | Bedrijven zijn onderworpen aan tien rechtsgrondslag op grond waarvan persoonsgegevens worden verwerkt. Dit zijn: Toestemming, Contract, Wettelijke verplichting, Levensbescherming, Gezondheidsbescherming, Gerechtvaardigd belang, Publieke taak, Bescherming van krediet, Uitoefening van rechten in gerechtelijke procedures, Onderzoek door openbare onderzoeksinstanties |
| Straffen opgelegd | Boetes kunnen oplopen tot 4% van de jaarlijkse omzet of 20 miljoen euro, welke hoger is. | Boetes kunnen oplopen tot 2% van de jaarlijkse omzet of 50 miljoen Braziliaanse Reals, welke hoger is. |
| Gegevenslek | Het melden van datalekken is verplicht en bedrijven moeten een streng beleid volgen om een datalek binnen de EU te melden 72 uur. | Het melden van een datalek is verplicht en bedrijven moeten inbreuken binnen een termijn melden 'redelijk' tijdsspanne. |
Belangrijke links
Voor uitgevers die actief zijn in Brazilië of gegevens van Braziliaanse individuen gebruiken, kunnen de volgende links meer duidelijkheid verschaffen:
- LGPD in het Portugees voor Braziliaanse uitgevers.
- Officieel document van LGPD vertaald in het Engels.
- Officiële vergelijking van de EU tussen GDPR en LGPD.
Veelgestelde vragen
In mei 2018 is de Algemene Verordening Gegevensbescherming van kracht geworden, die bedrijven verplicht om robuuste processen te implementeren voor het verwerken en opslaan van persoonlijke informatie.
De LGPD (Lei Geral de Proteção de Dados) is door Brazilië opgesteld in overeenstemming met de AVG van de EU. De LGPD is wereldwijd van toepassing, dus elke website die persoonlijke gegevens van Braziliaanse burgers verzamelt, moet hieraan voldoen.
Betrokkenen zijn eindgebruikers van wie persoonsgegevens kunnen worden verzameld.
Shubham is een digitale marketeer met rijke ervaring in de advertentietechnologie-industrie. Hij heeft ruime ervaring in de programmatische industrie, waar hij de bedrijfsstrategie en schaalfuncties aanstuurt, inclusief maar niet beperkt tot groei en marketing, operations, procesoptimalisatie en verkoop.
