LGPD er den brasilianske generelle databeskyttelseslov (Lei Geral de Proteção de Dados Pessoais). Den blev vedtaget som lov af Brasiliens nationalkongres den 14. august 2018 og trådte i kraft i september 2020.
Ligesom andre databeskyttelseslove skaber LGPD en retlig ramme for styringen af indsamling og brug af personoplysninger. Det er dog ikke blot en kopi af GDPR – det adskiller sig på flere væsentlige måder.
Nedenfor diskuterer vi det grundlæggende i LGPD og konsekvenserne for virksomheder, der opererer i og uden for Brasilien.
Hvad er LGPD?
Tidligere havde Brasilien mere end 40 føderale love om personoplysninger. Det primære mål med LGPD var at konsolidere disse forskellige love i en enkelt overordnet retlig ramme for databeskyttelse.
Ved at gøre det sigtede brasilianske lovgivere mod at forbedre brasilianske borgeres kontrol og rettigheder over deres personlige data. Men også for at forenkle det komplekse net af tidligere vedtægter og lette de lovgivningsmæssige rammer for internationale og indenlandske virksomheder.
De, der allerede er GDPR-kompatible, vil også være i overensstemmelse med LGPD. Der er dog vigtige forskelle. LGPD er organiseret omkring ni centrale rettigheder, som tilsammen definerer personoplysninger og skaber ti retsgrundlag for lovlig behandling af personoplysninger.
Hvad er de ni rettigheder i LGPD?
De ni rettigheder er beskrevet i artikel 18 i LGPD. Den skitserer brasilianske borgeres ret til at:
- Bekræft eksistensen af behandlingen af deres data
- Få adgang til deres data
- Rette ufuldstændige, unøjagtige eller forældede data
- Anonymisering, blokering eller sletning af unødvendige eller overdrevne data eller data, der behandles i strid med bestemmelserne i LGPD
- Dataportabilitet til en anden tjenesteudbyder eller produktudbyder – efter anmodning fra den registrerede
- Slet deres personlige data
- Blive informeret om de offentlige og private enheder, som den dataansvarlige har delt personoplysninger med
- Blive informeret om muligheden for at nægte samtykke og konsekvenserne
- Tilbagekald samtykke
Disse rettigheder svarer stort set til dem, der er beskrevet i GDPR.
Hvem gælder LGPD for?
GDPR er kendt for sine “ekstraterritoriale virkninger”, som forpligter alle virksomheder globalt, der henvender sig til EU-borgere, til at overholde reglerne. Der er lignende virkninger på plads i LGPD.
I artikel 3 beskriver LGPD de organisationer, som LGPD finder anvendelse på:
– Enhver databehandling inden for Brasiliens territorium
– Databehandling af personer, der befinder sig inden for Brasiliens territorium, uanset hvor i verden databehandleren er placeret
– Databehandling af data indsamlet i Brasilien
For dem, der er bekendt med EU’s GDPR, er der nogle bemærkelsesværdige forskelle. LGPD dækker primært ikke kun brasilianske borgeres personlige data, men alle enkeltpersoner, der befinder sig inden for brasiliansk territorium.
Desuden har LGPD ligesom GDPR et territorialt anvendelsesområde ud over de brasilianske grænser. Enhver organisation, der tilbyder levering af varer eller tjenesteydelser til en person i Brasilien, skal handle i overensstemmelse med LGPD.
Hvad er undtagelserne fra LGPD?
Ikke alle er reguleret af LGPD. Forordningen finder ikke anvendelse, hvis:
– Data behandles udelukkende af personlige årsager (refererer udelukkende til fysiske personer)
– Data behandles til journalistiske, kunstneriske, litterære eller akademiske formål
– Data behandles af hensyn til national sikkerhed, nationalt forsvar, offentlig sikkerhed, kriminelle efterforskninger eller straffeaktiviteter
Hvad er de ti retsgrundlag for lovlig behandling af personoplysninger?
Som nævnt er der i henhold til artikel 7 i LGPD ti retsgrundlag for lovlig databehandling:
- Med den registreredes samtykke
- For at overholde en juridisk eller regulatorisk forpligtelse fra den dataansvarlige
- Af den offentlige forvaltning med henblik på behandling og fælles anvendelse af data, der er nødvendige for gennemførelsen af offentlige politikker, der er fastsat i love eller forskrifter, eller baseret på kontrakter, aftaler eller lignende instrumenter, der er omfattet af kapitel IV i LGPD
- Til gennemførelse af undersøgelser foretaget af forskningsenheder, der så vidt muligt sikrer anonymisering af personoplysninger
- Når det er nødvendigt for opfyldelsen af en kontrakt eller indledende procedurer i forbindelse med en kontrakt, som den registrerede er part i, efter anmodning fra den registrerede
- For regelmæssig udøvelse af rettigheder i retslige, administrative eller voldgiftsprocedurer, den sidste i henhold til den brasilianske voldgiftslov
- Til beskyttelse af den registreredes eller tredjemands liv eller fysiske liv
- Udelukkende at beskytte sundheden i en procedure udført af sundhedsprofessionelle, sundhedstjenester eller sundhedsmyndigheder
- Når det er nødvendigt for at opfylde den dataansvarliges eller en tredjeparts legitime interesser, undtagen når den registreredes grundlæggende rettigheder og frihedsrettigheder, som kræver beskyttelse af personoplysninger, har forrang
- Til beskyttelse af kredit
I stedet for at tillade den brede behandling af personoplysninger i henhold til forordningen, tillader de brasilianske myndigheder kun lovlig behandling af personoplysninger under ovenstående omstændigheder.
Hvad er sanktionerne for manglende overholdelse af LGPD?
Manglende overholdelse af LGPD’s bogstav kan resultere i en maksimal bøde på op til 50 millioner real (ca. 8 mio. euro) eller 2 % af en enheds omsætning i Brasilien. Det er væsentligt lavere end sanktionerne i henhold til GDPR, som kan nå op på 20 millioner euro eller 4 % af den årlige globale omsætning – alt efter hvad der er højest.
Konklusion
Med over 138 millioner internetbrugere i Brasilien er det det fjerdestørste internetmarked i verden. Derfor kræves der ofte overholdelse af LGPD af organisationer med international rækkevidde.
Heldigvis skyggede den brasilianske regering GDPR, hvilket betyder, at det ekstra arbejde for de fleste organisationer er minimalt. Alligevel er det vigtigt at være opmærksom på de vigtigste forskelle mellem disse skelsættende regler. Ellers kan du få betydelige bøder på begge sider af Atlanten.