Gids over de Braziliaanse wetgeving inzake gegevensbescherming (LGPD)
Wat is de LGPD, welke invloed heeft de LGPD op jou en hoe kun je eraan voldoen? In de onderdelen hieronder zetten we het uiteen in eenvoudige, begrijpelijke termen.
De Braziliaanse wet inzake gegevensbescherming, de “Lei Geral de Proteção de Dados Pessoais” (LGPD), is in zekere zin de Braziliaanse versie van de AGV. Er zijn veel overeenkomsten met de Europese wetgeving, maar ook belangrijke verschillen. De wet is bedoeld om het huidige versnipperde juridische landschap (van meer dan 40 federale sector-georiënteerde normen) te vervangen door of aan te vullen met één belangrijk regelgevend kader.
De LGPD beoogt een nieuw rechtskader te scheppen voor het gebruik van persoonsgegevens in Brazilië, zowel online als offline, in de particuliere en publieke sector.
In het algemeen vereist de LGPD dat je alleen persoonsgegevens verwerkt voor gerechtvaardigde, specifieke, expliciete en duidelijk gecommuniceerde doeleinden. Net als bij de AVG zijn bij de LGPD ook de beginselen van transparantie en gegevensminimalisering (gebruik alleen de gegevens die je nodig hebt) van toepassing.
Ondanks een eerder voorstel om de datum van de inwerkingtreding van de LGPD uit te stellen tot december, is het voorstel tot uitstel, na een stemming in de Senaat, geschrapt uit het wetsontwerp inzake de conversie (PLV) 34/2020. De president van Brazilië heeft de wet bekrachtigd en de LGPD is op 18 september 2020 in werking getreden. In dit verband is een besluit uitgevaardigd om een Nationale Autoriteit voor Gegevensbescherming in het leven te roepen, de Autoridad Nacional de Protección de Datos (ANPD).
Bijvoorbeeld, een internetbedrijf kan gebruikersinformatie verzamelen via hun website en deze opslaan met behulp van een clouddienst van een derde. In dit scenario is het internetbedrijf de verwerkingsverantwoordelijke en de organisatie die de clouddienst exploiteert de gegevensverwerker.
Net als de AVG heeft ook de LGPD een territoriale werkingssfeer die zich tot buiten Brazilië uitstrekt. Dit betekent dat je wellicht aan de voorschriften moet voldoen, zelfs als jij of je bedrijf niet in Brazilië zijn gevestigd. In de praktijk betekent dit dat de LGPD op jou van toepassing is wanneer:
Over het algemeen kun je ervan uitgaan dat de LGPD op jou van toepassing is als je de persoonsgegevens verwerkt van mensen die zich in Brazilië bevinden of van iedereen, ongeacht nationaliteit, binnen het grondgebied van Brazilië.
Er bestaan enkele uitzonderingen op de toepasselijkheid van de LGPD, zelfs wanneer de verwerkingsverantwoordelijke binnen de territoriale werkingssfeer van de wet valt. Deze uitzonderingen worden hieronder opgesomd. De LGPD is niet van toepassing als:
De LGPD hanteert een ruime definitie van persoonsgegevens. Net als bij de AVG zijn persoonsgegevens volgens de LGPD alle gegevens die kunnen worden gekoppeld aan een geïdentificeerde of identificeerbare persoon. In wezen worden alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon als persoonsgegevens beschouwd. Hiertoe behoren ook gegevens die met andere informatie kunnen worden gecombineerd om deze tot een persoon te herleiden.
Daadwerkelijk geanonimiseerde gegevens (gegevens die redelijkerwijs niet direct of indirect tot de identificatie van een persoon kunnen leiden) vallen buiten het toepassingsgebied van de LGPD. Als het anonimiseringsproces echter kan worden teruggedraaid of als de gegevens voor gedragsprofilering worden gebruikt, blijft de LGPD van toepassing.
Voorbeelden van persoonsgegevens zijn onder andere (maar niet uitsluitend) basisidentiteitsgegevens, zoals namen, gezondheids-, genetische en biometrische gegevens, internetgegevens, zoals IP-adressen, persoonlijke e-mailadressen, politieke opvattingen, en gegevens over seksuele geaardheid.
Bij voorbeelden van niet-persoonsgebonden gegevens kun je denken aan registratienummers van bedrijven, algemene e-mailadressen van bedrijven, zoals info@company.com en geanonimiseerde gegevens.
De LGPD onderscheidt “gevoelige” gegevens van “gewone” persoonsgegevens en past op deze categorie van persoonsgegevens speciale regels toe. Gevoelige gegevens zijn gegevens met betrekking tot etnische afkomst, geloofsovertuiging, politieke opvattingen, gezondheid of seksleven; of gegevens die de eenduidige en blijvende identificatie van de gebruiker mogelijk maken, zoals genetische en biometrische gegevens.
Omdat bij de verwerking van gevoelige gegevens de kans groter is dat de gebruiker het risico loopt op discriminatie, moeten gevoelige gegevens met extra beveiligingslagen worden verwerkt en moeten er zeer specifieke rechtsgronden voor de verwerking aanwezig zijn.
In het algemeen kun je alleen gevoelige gegevens verwerken als de gebruiker (of, wanneer de gebruiker minderjarig is, een ouder of wettelijke voogd) toestemming heeft gegeven voor die specifieke verwerking. Er zijn echter enkele uitzonderingen.
💡 Tip: je kunt het zwevende menu aan de linkerkant gebruiken om naar de onderdelen te gaan die je vervolgens wilt lezen (bv. “hoe je aan de voorschriften voldoet”)
Kernbegrippen van de LGPD
De principes voor het verwerken van gegevens zijn in grote lijnen dezelfde als die van de AVG. In het bijzonder:
Overeenkomstig de LGPD mogen gegevens alleen worden verwerkt als daar ten minste één rechtsgrond voor is.
De rechtsgronden zijn:
*Niet als rechtsgrond opgenomen in de AVG.
Omdat toestemming zo’n essentieel onderwerp is en vaak heel belangrijk is als het gaat om online verwerking, bekijken we hieronder de specifieke vereisten voor toestemming overeenkomstig de LGPD.
De LGPD bepaalt dat de toestemming “vrij, geïnformeerd en ondubbelzinnig” moet zijn. Dit betekent dat de toestemming niet mag worden afgedwongen, dat duidelijk moet zijn welke handelingen gebruikers moeten ondernemen voor de toestemming en dat gebruikers naar behoren moeten worden geïnformeerd voordat zij toestemming geven. Ook voor een specifiek doel moet toestemming worden gegeven en het moet voor gebruikers altijd mogelijk zijn om hun toestemming in te trekken.
De LGPD bepaalt dat de toestemming vrij, geïnformeerd en ondubbelzinnig moet zijn.
Voor kinderen jonger dan 12 jaar ben je verplicht om specifieke en duidelijke toestemming van een ouder of voogd te krijgen. Kinderen van 13 tot 18* jaar kunnen zelf toestemming geven, op voorwaarde dat de verwerking van hun persoonsgegevens in hun belang gebeurt. Je moet redelijkerwijs al het mogelijke doen (door gebruik te maken van de beschikbare technologie) om na te gaan of de persoon die toestemming geeft daadwerkelijk de ouderlijke verantwoordelijkheid voor het kind draagt.
*Let op: In Brazilië is de erkende leeftijd voor volledige handelingsbekwaamheid 18 jaar.
Openbaar beschikbare gegevens
Op grond van de wetgeving van vóór de LGPD mochten bedrijven om welke reden dan ook persoonsgegevens verzamelen en verwerken die via het internet of een andere openbare bron openbaar waren gemaakt; onder de LGPD is dit echter niet langer toegestaan.
Volgens de richtlijnen van de LGPD mogen openbare persoonsgegevens slechts op twee manieren worden verzameld en gebruikt:
Opmerking: Als gevolg van het bovenstaande zal “scraping” of het op andere wijze verzamelen van openbaar beschikbare gegevens voor marketing enz. onder de LGPD waarschijnlijk worden beperkt.
Gevoelige gegevens
Als het gaat om de verwerking van gevoelige gegevens kan toestemming alleen worden vermeden als de verwerking absoluut noodzakelijk is voor:
Gegevens van kinderen
De uitzonderingen die overeenkomstig de LGPD van toepassing zijn op het toestemmingsvereiste voor de verwerking van gegevens van kinderen gelden alleen als de verwerking nodig is om contact op te nemen met de ouders of wettelijke voogden of om het kind te beschermen. De gegevens mogen slechts eenmaal worden gebruikt en mogen niet worden opgeslagen of met derden worden gedeeld zonder de juiste toestemming.
Volgens de LGPD hebben gebruikers (“betrokkenen”) de volgende rechten:
Als je door de LGPD beschermde gegevens buiten Brazilië wilt doorgeven, zijn er enkele richtlijnen die je in gedachten moet houden. De LGPD staat de grensoverschrijdende doorgifte van persoonsgegevens toe, indien er een adequaat beschermingsniveau wordt geboden.
In de praktijk betekent dit dat de doorgifte wordt toegestaan als het ontvangende land wordt geacht over wetgeving te beschikking die een adequaat beschermingsniveau biedt. De beoordeling van het adequaatheidsniveau van het ontvangende land of de internationale organisatie wordt uitgevoerd door de Gegevensbeschermingsautoriteit.
Als het adequaatheidsniveau onvoldoende is, kunnen de gegevens toch naar het buitenland worden doorgegeven, wanneer aan een van de volgende voorwaarden is voldaan:
De LGPD verplicht zowel verwerkingsverantwoordelijken als gegevensverwerkers hun verwerkingsactiviteiten van persoonsgegevens te registreren – met name wanneer de verwerking is gebaseerd op gerechtvaardigde belangen. Alle verwerkingsverantwoordelijken en gegevensverwerkers moeten – ongeacht de omvang en de frequentie van de verwerking of het soort gegevens dat wordt verwerkt – aan deze registratieplicht voldoen. De Gegevensbeschermingsautoriteit kan echter vrijstellingen verlenen.
Alle verwerkingsverantwoordelijken en gegevensverwerkers moeten aan deze registratieplicht voldoen.
Een gegevensbeschermingseffectbeoordeling is in essentie een proces dat wordt gebruikt om de verwerkingsverantwoordelijke te helpen zich aan de regels inzake gegevensbescherming te houden – en ervoor te zorgen dat de belangrijkste beginselen daadwerkelijk worden nageleefd.
Overeenkomstig de LGPD bevat de documentatie met betrekking tot gegevensbeschermingseffectbeoordelingen doorgaans een beschrijving van de verwerkingsactiviteiten van persoonsgegevens die risico’s voor de burgerrechten en de burgerlijke vrijheden kunnen opleveren, evenals maatregelen, waarborgen en mechanismen om dat risico te beperken.
De gegevensbeschermingseffectbeoordeling moet in ieder geval het volgende bevatten:
De wet vermeldt niet uitdrukkelijk wanneer een gegevensbeschermingseffectbeoordeling is vereist, maar de Gegevensbeschermingsautoriteit kan te allen tijde verzoeken dat een dergelijke beoordeling wordt uitgevoerd en door de verwerkingsverantwoordelijke wordt verstrekt.
De LGPD schrijft voor dat jij, de verwerkingsverantwoordelijke, een functionaris voor gegevensbescherming moet aanstellen. Er zijn geen uitzonderingen op deze regel. Functionarissen voor gegevensbescherming zijn personen die verantwoordelijk zijn voor:
Overeenkomstig de LGPD moeten verwerkingsverantwoordelijken en gegevensverwerkers of elke andere agent die betrokken is bij de verwerking van persoonsgegevens beveiligings-, technische en administratieve maatregelen treffen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, wijziging, mededeling of enige andere vorm van onrechtmatige verwerking.
Elk veiligheidsincident dat risico’s of schade voor de gebruikers kan veroorzaken, moet binnen een redelijke termijn aan de Gegevensbeschermingsautoriteit worden gemeld.
De kennisgeving moet ten minste het volgende bevatten:
Na kennisgeving van het datalek kan de Gegevensbeschermingsautoriteit de verwerkingsverantwoordelijke opdracht geven de media te waarschuwen of andere stappen te ondernemen om de schadelijke gevolgen van het incident te beperken.
Net als bij de AVG is transparantie ook een kernbeginsel van de LGPD. Volgens de LGPD hebben gebruikers het recht gemakkelijk toegang te krijgen tot informatie over de verwerking van hun persoonsgegevens – en deze moet op een duidelijke, adequate en leesbare manier beschikbaar worden gesteld.
Deze informatie moet het volgende bevatten:
De LGPD bepaalt dat zowel de verwerkingsverantwoordelijken als de gegevensverwerkers interne processen en beleidsmaatregelen kunnen invoeren om naleving van de wet te waarborgen. Dit omvat een programma voor privacybeheer en maatregelen die de doeltreffendheid ervan aantonen.
Het beheerprogramma dient minimaal:
De verwerkingsverantwoordelijke moet, indien nodig, de doeltreffendheid van hun programma voor privacybeheer kunnen aantonen – in het bijzonder wanneer de nationale autoriteit daarom verzoekt.
Als je de LGPD niet naleeft, kan dat leiden tot een boete die kan oplopen tot 2% van de jaaromzet van je bedrijf, met een maximum van 50 miljoen BRL (momenteel zo’n 8 miljoen EUR) – per inbreuk. Maar misschien net zo verontrustend zijn de mogelijke andere corrigerende maatregelen die genomen kunnen worden tegen overtreders.
Wanneer de LGPD niet wordt nageleefd, kan dit leiden tot boetes van 2% van de jaaromzet van je bedrijf, die kunnen oplopen tot 50 miljoen BRL (8 miljoen EUR).
De LGPD geeft de Braziliaanse Gegevensbeschermingsautoriteit corrigerende bevoegdheden, waaronder het uitdelen van waarschuwingen en boetes, het openbaar maken van de inbreuk en het blokkeren of verwijderen van de verwerkingsactiviteiten of persoonsgegevens waarop de inbreuk betrekking heeft. Dit betekent dat wanneer de inbreuk plaatsvond met betrekking tot het verzamelen van e-mailadressen, de inbreukmakende verwerkingsverantwoordelijke het risico loopt de gehele bijbehorende e-maillijst te verliezen. De Braziliaanse Gegevensbeschermingsautoriteit kan ook eisen dat de database waarmee het incident verband houdt gedeeltelijk voor maximaal 6 maanden wordt geschorst, waardoor alle andere activiteiten die van deze database gebruik zouden kunnen maken mogelijk worden gestopt.
Bovendien biedt de LGPD, net als de AVG, gebruikers de mogelijkheid om een civielrechtelijke schadevergoeding (voor geldelijke of morele schade) te eisen wegens schending van de privacywetgeving.
Bepaal je rechtsgronden voor de verwerking van persoonsgegevens en leg deze vast. Verwerkingsverantwoordelijken moeten voor elke verwerkingsactiviteit een rechtsgrond definiëren en deze rechtsgrond vastleggen in hun verwerkingsregister.
Houd een register van de verwerkingsactiviteiten bij (vereist krachtens artikel 37). Hoewel de LGPD geen specifieke eisen bevat voor de vorm of inhoud van deze registers, zijn ze waarschijnlijk vergelijkbaar met het verwerkingsregister dat is vereist op grond van artikel 30 van de AVG. iubenda maakt het creëren en onderhouden van gegevensverwerkingsregisters gemakkelijk. Meer informatie vind je hier.
Neem de vereiste kennisgevingen op in je privacybeleid. Je bent verplicht (artikel 9) om te voldoen aan de LGPD-transparantievereisten. Lees hier over de LGPD-instelling voor informatievoorziening met één klik in onze Privacybeleid-generator.
Verzamel en beheer geldige bewijzen van toestemming (vereist in artikel 8). De LGPD legt, net als de AVG, de bewijslast van een geldige toestemming op jouw schouders, de verwerkingsverantwoordelijke. iubenda maakt het creëren en onderhouden van een toestemmingenregister ongelofelijk eenvoudig. Meer informatie vind je hier.
Stel een functionaris voor gegevensbescherming aan – vereist in artikel 41. De LGPD verplicht alle verwerkingsverantwoordelijken om een functionaris voor gegevensbescherming aan te stellen, die vervolgens wordt belast met de hier vermelde activiteiten. Momenteel vereist de wet niet dat de functionaris voor gegevensbescherming fysiek in Brazilië gevestigd moet zijn en laat verwerkingsverantwoordelijken de mogelijkheid om individuele externe adviseurs als hun functionaris voor gegevensbescherming aan te stellen.
Ontwikkel intern beleid en procedures met betrekking tot het honoreren van de rechten van gebruikers en het reageren op daarmee samenhangende verzoeken van gebruikers. Verwerkingsverantwoordelijken dienen in redelijkheid te reageren op verzoeken van betrokkenen, die op grond van de LGPD hun rechten willen uitoefenen, met inbegrip van de rechten van inzage, wijziging, anonimisering, verwijdering en overdraagbaarheid.
Implementeer een beveiligingsprotocol. Zowel verwerkingsverantwoordelijken als gegevensverwerkers moeten beveiligingsmaatregelen treffen om de bescherming van persoonsgegevens te waarborgen. De Gegevensbeschermingsautoriteit kan in de toekomst richtlijnen voor technische minimumnormen verstrekken. Andere Braziliaanse rechtskaders bieden aanvullende richtlijnen met betrekking tot bestaande normen, zoals het Braziliaanse rechtskader voor burgerrechten met betrekking tot internet, ook bekend als Marco Civil da Internet (waarin beginselen, garanties, rechten en plichten voor de gebruikers van internet in Brazilië zijn vastgelegd).
Stel een respons- en herstelplan voor incidenten op (overeenkomstig artikel 50). Verwerkingsverantwoordelijken en gegevensverwerkers moeten een respons- en herstelplan voor incidenten opstellen, om ervoor te zorgen dat de verwerkingsverantwoordelijke kan voldoen aan de voorschriften voor het verplicht melden van incidenten (zie hieronder).
Als een datalek een aanzienlijk risico of aanzienlijke schade voor gebruikers oplevert, moet je de Gegevensbeschermingsautoriteit en de gebruikers daarvan in kennis stellen (overeenkomstig artikel 50).
Voer gegevensbeschermingseffectbeoordelingen uit. Gegevensbeschermingseffectbeoordelingen kunnen verplicht zijn in situaties die als risicovol worden aangemerkt of, op verzoek van de autoriteit, wanneer de verwerking van gegevens op een gerechtvaardigd belang is gebaseerd.
Voer gegevensbescherming door standaardinstellingen en door ontwerp in. De LGPD schrijft voor dat je standaardmaatregelen treft, die de bescherming van persoonsgegevens waarborgen. Dit houdt in de praktijk in dat de standaardinstellingen het hoogste beschermingsniveau moeten garanderen.
Voldoe aan de vereisten voor grensoverschrijdende doorgifte van gegevens Zorg ervoor dat je op de hoogte bent van alle beperkingen die gelden voor grensoverschrijdende doorgifte van gegevens en voldoe aan de relevante voorschriften. Meer informatie.
Een van de essentiële stappen ten aanzien van naleving is ervoor te zorgen dat je documenten in overeenstemming zijn met de wettelijke vereisten. Bij iubenda hanteren wij een allesomvattende aanpak met betrekking tot de naleving van de gegevensbeschermingswetgeving. Wij bouwen oplossingen die uitgaan van de strengste voorschriften en bieden je de mogelijkheid om alles aan jouw wensen aan te passen. We helpen je te voldoen aan je wettelijke verplichtingen, je risico op juridische procedures te beperken en je klanten te beschermen – en zo vertrouwen en geloofwaardigheid op te bouwen.
Dit heb je nodig om aan de slag te gaan voor volledige compliance:
Elk privacybeleid dat met iubenda wordt gegenereerd stelt je in staat om aan de LGPD te voldoen. Het bevat de mogelijkheid om de wettelijke normen van de LGPD gemakkelijk toe te passen op Braziliaanse gebruikers.
Met onze Privacybeleid- en Cookiebeleid-generator kun je privacybeleid maken dat er goed uitziet en juridisch klopt, en naadloos met je website of app is te integreren.. Met één klik op de knop kun je eenvoudig een van de vele vooraf opgestelde bepalingen toevoegen of je eigen aangepaste bepalingen schrijven met behulp van het ingebouwde formulier.
Met onze oplossing kun je zonder zorgen aan de LGPD-voorschriften voldoen, via activering met één klik voor:
Je kunt in het privacybeleid een cookiebeleid opnemen (dat is noodzakelijk als je website of app gebruik maakt van cookies en EU-gebruikers heeft). Het privacybeleid kan aan je wensen worden aangepast en wordt op afstand beheerd door een internationaal juridisch team.
Meer informatie over privacybeleid.
Het voldoen aan de LGPD-voorschriften kan in de praktijk technische uitdagingen opleveren. Dit geldt in het bijzonder voor het register van de gegevensverwerkingsactiviteiten.
Onze oplossing helpt je om op een gemakkelijke manier al je gegevensverwerkingsactiviteiten te beheren, zodat je eenvoudig aan de LGPD-voorschriften en je wettelijke verplichtingen kunt voldoen. Je kunt hiermee een register van je verwerkingsactiviteiten opstellen: voeg verwerkingsactiviteiten toe uit meer dan 1700 kant-en-klare opties, deel ze op per gebied (deelsectoren waarin de activiteiten inzake gegevensverwerking hetzelfde zijn), wijs gegevensverwerkers en andere deelnemers toe, en leg de rechtsgronden en andere gegevens vast die door de LGPD verplicht worden gesteld.
Klik hier of lees de gids voor een overzicht van alle functies van het Register van de gegevensverwerkingsactiviteiten.
Om te kunnen voldoen aan de privacywetgeving, zoals de LGPD en de AVG, moet je bewijsstukken bijhouden waarmee je kunt aantonen dat de toestemming op de juiste manier is verkregen.
Onze Consent Database vereenvoudigt dit proces door je te helpen bewijzen van toestemming op te slaan en toestemmingen en privacyvoorkeuren van elk van je gebruikers te beheren. Hiermee kun je elk aspect van de toestemming volgen (waaronder de juridische kennisgeving of privacyverklaring en het toestemmingsformulier dat de gebruiker te zien kreeg toen de toestemming werd verkregen) en de daaraan gerelateerde voorkeuren van de gebruiker.
Om deze te gebruiken, activeer je de Consent Database in je dashboard en krijg je de API-sleutel. Dan installeer je het programma via HTTP API of de JS-widget en je bent klaar; je kunt op elk moment toestemmingen opvragen en up-to-date houden.
Klik hier of lees de gids voor een overzicht van alle kenmerken van de Consent Database.
Privacy Controls and Cookie Solution
💡 Als je in Brazilië actief bent of gebruikers in Brazilië hebt, is het raadzaam een cookiebanner te tonen en je gebruikers toestemming te vragen, voordat je niet-technische cookies installeert.
Onze Privacy Controls and Cookie Solution is makkelijk te genereren! Maak een volledig aanpasbare cookiebanner, verzamel zonder omwegen toestemming, en pas voorafgaande blokkering met asynchrone heractivering toe.
Houd er rekening mee dat wetgeving af en toe verandert. Het is dan belangrijk dat je beleid aan deze nieuwe voorschriften voldoet. Daarom sluiten we teksten in, in plaats van ze te kopiëren en te plakken. Alleen zo kun je er zeker van zijn dat je beleid bijgewerkt blijft en op afstand wordt bijgehouden door ons juridische team.