De Lei Geral de Protecao de Dados Pessoais (LGPD), Wet nr. 13.709/2018, is het uitgebreide gegevensbeschermingskader van Brazilie. Sinds september 2020 van kracht, met administratieve sancties toepasbaar sinds augustus 2021, stelt de LGPD duidelijke regels vast over hoe organisaties persoonsgegevens moeten verzamelen, opslaan, verwerken en delen. Nu de Autoridade Nacional de Protecao de Dados (ANPD) actief reguleert en handhaaft, is het begrijpen van uw verplichtingen niet langer optioneel — het is een operationele en juridische noodzaak. Voor Nederlandse bedrijven die in Brazilie opereren of gegevens van Braziliaanse inwoners verwerken, komt de LGPD bovenop de bestaande verplichtingen uit de AVG (Algemene Verordening Gegevensbescherming), die worden gehandhaafd door de Autoriteit Persoonsgegevens (AP).
Principes van de LGPD
Artikel 6 van de LGPD stelt tien principes vast die alle verwerkingsactiviteiten van persoonsgegevens moeten sturen:
1. Doelbinding (Finalidade). Verwerking moet plaatsvinden voor legitieme, specifieke en uitdrukkelijke doeleinden die aan de betrokkene zijn meegedeeld. Geen gegevensverzameling zonder een gedocumenteerd doel.
2. Geschiktheid (Adequacao). De verwerking moet verenigbaar zijn met de aan de betrokkene meegedeelde doeleinden. De verzamelde gegevens moeten relevant en evenredig zijn.
3. Noodzakelijkheid (Necessidade). De verwerking moet beperkt blijven tot het minimum dat nodig is om de doeleinden te bereiken. Dit principe, equivalent aan de gegevensminimalisatie in de AVG (artikel 5(1)(c)), bestrijdt buitensporige gegevensverzameling.
4. Vrije toegang (Livre acesso). Betrokkenen moeten gemakkelijke en gratis toegang hebben tot informatie over de vorm en duur van de verwerking, evenals tot het geheel van hun persoonsgegevens.
5. Gegevenskwaliteit (Qualidade dos dados). Nauwkeurigheid, duidelijkheid, relevantie en actualiteit van gegevens moeten worden gewaarborgd in overeenstemming met het doel van de verwerking.
6. Transparantie (Transparencia). Duidelijke, nauwkeurige en gemakkelijk toegankelijke informatie over de verwerking en de respectieve verwerkingsagenten moet worden verstrekt. Dit principe weerspiegelt de transparantieverplichting van de AVG (artikelen 12-14).
7. Beveiliging (Seguranca). Technische en organisatorische maatregelen moeten worden gebruikt om persoonsgegevens te beschermen tegen ongeautoriseerde toegang en accidentele of onrechtmatige situaties.
8. Preventie (Prevencao). Maatregelen moeten worden genomen om schade als gevolg van de verwerking van persoonsgegevens te voorkomen.
9. Non-discriminatie (Nao discriminacao). Verwerking mag niet worden uitgevoerd voor onrechtmatige of misbruikende discriminerende doeleinden.
10. Verantwoording (Responsabilizacao e prestacao de contas). De verwerkingsagent moet de invoering van doeltreffende maatregelen aantonen die de naleving van de regels kunnen bewijzen.
Wie moet de LGPD naleven
De LGPD heeft een brede extraterritoriale toepassing (artikel 3). Zij is van toepassing op elke verwerkingsactiviteit van persoonsgegevens die:
- Op Braziliaans grondgebied wordt uitgevoerd
- Tot doel heeft goederen of diensten aan te bieden of te leveren aan personen in Brazilie
- Persoonsgegevens betreft die op Braziliaans grondgebied zijn verzameld
Extraterritoriale reikwijdte. Een bedrijf gevestigd in Nederland, Duitsland of de VS dat producten of diensten aanbiedt aan Braziliaanse consumenten of gegevens verzamelt van personen in Brazilie, valt onder de LGPD. Deze reikwijdte is vergelijkbaar met die van de AVG (artikel 3 AVG), die de Autoriteit Persoonsgegevens (AP) handhaaft voor Nederlandse bedrijven.
Uitzonderingen. De LGPD is niet van toepassing op verwerking door een natuurlijk persoon voor uitsluitend prive- en niet-economische doeleinden, voor uitsluitend journalistieke, artistieke of academische doeleinden, of door de staat voor doeleinden van openbare veiligheid, landsverdediging en strafrechtelijk onderzoek (artikel 4).
Rechtsgronden voor verwerking
De LGPD stelt in artikel 7 tien rechtsgronden vast die de verwerking van persoonsgegevens toestaan. Elke verwerkingsactiviteit moet op ten minste een ervan zijn gebaseerd:
1. Toestemming van de betrokkene. Moet vrij, geinformeerd, ondubbelzinnig en voor een specifiek doel worden gegeven. Toestemming kan te allen tijde worden ingetrokken.
2. Nakoming van een wettelijke of regelgevende verplichting.
3. Uitvoering van openbaar beleid door de overheid.
4. Onderzoeksstudies door onderzoeksinstellingen.
5. Uitvoering van een overeenkomst of precontractuele maatregelen met betrekking tot een overeenkomst waarbij de betrokkene partij is.
6. Regelmatige uitoefening van rechten in gerechtelijke, bestuursrechtelijke of arbitrageprocedures.
7. Bescherming van het leven of de fysieke veiligheid van de betrokkene of een derde.
8. Bescherming van de gezondheid in procedures uitgevoerd door gezondheidswerkers of gezondheidsinstellingen.
9. Gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde. Vereist een evenredigheidstoets (artikel 10) die de belangen van de verantwoordelijke afweegt tegen de rechten en verwachtingen van de betrokkene. Dit concept is vergelijkbaar met het gerechtvaardigd belang in de AVG (artikel 6(1)(f)), waarover de AP gedetailleerde richtlijnen heeft gepubliceerd.
10. Kredietbescherming.
Voor gevoelige gegevens (artikel 11) zijn de rechtsgronden beperkter: specifieke toestemming of noodzakelijkheid voor de nakoming van een wettelijke verplichting, de uitvoering van openbaar beleid, onderzoek, rechtsuitoefening, bescherming van het leven of bescherming van de gezondheid.
Rechten van betrokkenen
Artikel 18 van de LGPD garandeert betrokkenen een uitgebreid pakket rechten:
Bevestiging en toegang. De betrokkene kan verzoeken om bevestiging van het bestaan van een verwerking en toegang tot zijn of haar persoonsgegevens.
Correctie. Recht om correctie te verzoeken van onvolledige, onjuiste of verouderde gegevens.
Anonimisering, blokkering of verwijdering. Recht om anonimisering, blokkering of verwijdering te verzoeken van onnodige, buitensporige of niet-conforme gegevens.
Overdraagbaarheid. Recht om overdracht van gegevens naar een andere dienst- of productaanbieder te verzoeken, op uitdrukkelijk verzoek.
Verwijdering. Recht om verwijdering te verzoeken van persoonsgegevens die op basis van toestemming zijn verwerkt.
Informatie over het delen. Recht om informatie te verkrijgen over de publieke en private entiteiten waarmee de verantwoordelijke gegevens heeft gedeeld.
Intrekking van toestemming. Recht om toestemming te allen tijde in te trekken, door middel van een uitdrukkelijke verklaring.
Deze rechten zijn grotendeels gelijkwaardig aan die van de AVG (artikelen 15-22), die in Nederland door de AP worden gehandhaafd.
Functionaris voor gegevensbescherming (Encarregado)
Artikel 41 van de LGPD verplicht de verwerkingsverantwoordelijke om een functionaris voor gegevensbescherming (encarregado) aan te wijzen. De taken omvatten:
- Het aannemen van klachten en communicaties van betrokkenen en het verstrekken van uitleg
- Het ontvangen van communicaties van de ANPD en het nemen van passende maatregelen
- Het adviseren van werknemers en contractanten over gegevensbeschermingspraktijken
- Het uitvoeren van andere taken die door de verantwoordelijke zijn opgedragen of door aanvullende regelgeving zijn vastgesteld
De ANPD kan aanvullende regels vaststellen over vrijstelling van FG-aanwijzing voor kleinschalige verwerkingsagenten. In Nederland houdt de AP toezicht op de gelijkwaardige rol van de FG zoals gedefinieerd door de AVG (artikel 37).
Gegevensbeschermingseffectbeoordeling
Artikel 38 van de LGPD voorziet erin dat de ANPD van de verantwoordelijke kan eisen dat hij een gegevensbeschermingseffectbeoordeling (RIPD) opstelt. Dit rapport moet bevatten:
- Een beschrijving van de soorten verzamelde gegevens
- De voor de verzameling gebruikte methodologie
- Informatiebeveiligingsmaatregelen
- De analyse van de verantwoordelijke met betrekking tot maatregelen, waarborgen en risicobeperking
Hoewel de ANPD de criteria voor verplichte RIPD-opstelling nog niet volledig heeft gereguleerd, wordt bedrijven die gegevens op grote schaal verwerken of gevoelige gegevens verwerken, ten zeerste aangeraden dit document proactief op te stellen. Dit is vergelijkbaar met de gegevensbeschermingseffectbeoordeling (DPIA) die de AVG vereist (artikel 35) en die de AP aanbeveelt voor verwerkingen met een hoog risico.
Internationale doorgifte van gegevens
De LGPD reguleert internationale doorgifte van persoonsgegevens in artikel 33. Doorgifte is toegestaan wanneer:
- Naar landen of internationale organisaties die een passend beschermingsniveau bieden
- Wanneer de verantwoordelijke garanties biedt voor naleving van de LGPD-principes (specifieke contractuele bepalingen, standaardbepalingen, bindende bedrijfsvoorschriften)
- Door middel van specifieke toestemming van de betrokkene
- Voor de nakoming van een wettelijke of regelgevende verplichting
- Voor internationale juridische samenwerking
De ANPD werkt aan de regulering van doorgiftemechanismen, waaronder standaardcontractbepalingen en adequaatheidscriteria, in lijn met de Europese AVG-mechanismen. Nederlandse bedrijven die gegevens doorgeven tussen Nederland, de EU en Brazilie moeten daarom conformiteit onder beide regimes waarborgen.
Sancties en boetes
Artikel 52 van de LGPD stelt een sanctieregime vast dat door de ANPD kan worden toegepast:
Waarschuwing. Met vermelding van de termijn voor het nemen van corrigerende maatregelen.
Enkelvoudige boete. Tot 2% van de omzet van de particuliere rechtspersoon, groep of conglomeraat in Brazilie in het laatste boekjaar, exclusief belastingen, beperkt tot een totaal van 50 miljoen BRL per overtreding.
Dagelijkse boete. Onderworpen aan hetzelfde totale maximum van 50 miljoen BRL.
Publicatie van de overtreding. Na behoorlijk onderzoek en bevestiging.
Blokkering van de persoonsgegevens die verband houden met de overtreding tot regularisatie.
Verwijdering van de persoonsgegevens die verband houden met de overtreding.
Gedeeltelijke opschorting van de databasewerking voor maximaal 6 maanden, verlengbaar met een gelijke periode.
Opschorting van de gegevensverwerkingsactiviteit voor maximaal 6 maanden, verlengbaar met een gelijke periode.
Gedeeltelijk of volledig verbod van activiteiten met betrekking tot gegevensverwerking.
De ANPD heeft al sancties opgelegd aan Braziliaanse bedrijven, waaronder waarschuwingen en nalevingsopdrachten. Ter vergelijking: de AP in Nederland kan op grond van de AVG boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Vier benaderingen voor LGPD-naleving
Een gespecialiseerde advocaat inhuren
Kosten: 15.000 tot 50.000 BRL voor een uitgebreid nalevingsprogramma. Tijdlijn: 4 tot 8 weken.
Een advocaat gespecialiseerd in gegevensbescherming kan een volledige inventarisatie van gegevensstromen uitvoeren, intern beleid opstellen, teams trainen en incidentrespons structureren. Aanbevolen voor bedrijven met grote gegevensvolumes of gevoelige gegevens.
Een generiek AI-hulpmiddel gebruiken
Schijnbare kosten: 0 BRL. Werkelijke kosten: de nalevingslacunes die het creert.
Generieke AI-hulpmiddelen kunnen tekst genereren die op een privacybeleid lijkt, maar kunnen uw werkelijke gegevensstromen niet controleren of de dekking van de tien rechtsgronden en LGPD-principes garanderen.
Een gratis sjabloon kopieren
Kosten: 0 BRL. Risico: hoog.
Gratis sjablonen zijn generiek, vaak verouderd en nooit aangepast aan uw specifieke activiteit. De ANPD verwacht dat uw privacybeleid uw werkelijke verwerkingspraktijken weerspiegelt.
Een gespecialiseerde generator voor juridische documenten gebruiken
Kosten: 19,90 € tot 49,90 €. Tijdlijn: minder dan 10 minuten.
Een gespecialiseerde generator stelt gerichte vragen over uw bedrijf en produceert een privacybeleid dat voldoet aan de LGPD-vereisten, inclusief rechtsgronden, rechten van betrokkenen en transparantieverplichtingen.
Om de conformiteit van uw site snel te controleren, gebruik onze gratis conformiteitsscanner. Raadpleeg ook onze vergelijking LGPD vs AVG voor de belangrijkste verschillen, en onze gids over het LGPD-privacybeleid.
Conclusie
De LGPD heeft het gegevensbeschermingslandschap in Brazilie getransformeerd. Met duidelijke principes, gedefinieerde rechtsgronden, uitgebreide rechten voor betrokkenen en sancties tot 50 miljoen BRL is naleving niet langer een optie — het is een wettelijke verplichting met reele gevolgen. Voor Nederlandse bedrijven die in Brazilie opereren of gegevens van Braziliaanse inwoners verwerken, komt de LGPD bovenop de AVG-verplichtingen die door de AP worden gehandhaafd. De ANPD is actief in handhaving en regulering, en het regelgevend kader blijft zich ontwikkelen. Elke dag zonder naleving is een dag van onnodige blootstelling aan regelgevende en reputatierisico’s. Handel nu om uw bedrijf en het vertrouwen van uw klanten te beschermen.