Als uw bedrijf klanten bedient in zowel Brazilie als de Europese Unie, valt u onder twee van de belangrijkste gegevensbeschermingskaders ter wereld: de Braziliaanse Lei Geral de Protecao de Dados Pessoais (LGPD, Wet nr. 13.709/2018) en de Europese Algemene Verordening Gegevensbescherming (AVG). Hoewel beide wetten vergelijkbare doelen nastreven en de LGPD werd beinvloed door de AVG, zijn er significante verschillen die uw nalevingsstrategie direct beinvloeden. Deze gids vergelijkt de twee kaders om u te helpen een geintegreerde aanpak op te bouwen, met bijzondere aandacht voor het Nederlandse perspectief en de rol van de Autoriteit Persoonsgegevens (AP).
Oorsprong en grondslagen
AVG. Aangenomen in 2016 en van kracht sinds mei 2018, is de AVG een verordening die rechtstreeks van toepassing is in alle 27 EU-lidstaten. Zij is gebaseerd op het beginsel dat gegevensbescherming een grondrecht is (artikel 8 van het Handvest van de grondrechten van de EU). Zij is prescriptief, gedetailleerd en vergezeld van een uitgebreid corpus van jurisprudentie en richtsnoeren van nationale autoriteiten. In Nederland is de AP de toezichthoudende autoriteit, aangevuld door de Uitvoeringswet AVG (UAVG).
LGPD. Uitgevaardigd in 2018 en van kracht sinds september 2020, is de LGPD grotendeels geinspireerd door de AVG maar aangepast aan de Braziliaanse juridische context. Zij bevat elementen uit het Consumentenbeschermingswetboek, het Marco Civil da Internet en de Federale Grondwet (artikel 5, items X en XII). De ANPD, opgericht in 2020, is nog bezig het volledige regelgevend kader op te bouwen.
Toepassingsgebied
Wie wordt beschermd
AVG: Iedere natuurlijke persoon (betrokkene) in de Europese Unie, ongeacht nationaliteit of verblijfplaats.
LGPD: Iedere natuurlijke persoon wiens persoonsgegevens worden verwerkt in verwerkingen die worden uitgevoerd op Braziliaans grondgebied, gericht op het aanbieden van goederen of diensten aan personen in Brazilie, of die betrekking hebben op in Brazilie verzamelde gegevens (artikel 3).
Welke bedrijven moeten voldoen
AVG: Iedere organisatie, waar ook ter wereld, die persoonsgegevens verwerkt van personen in de EU, mits zij goederen of diensten aanbiedt aan EU-ingezetenen of hun gedrag monitort (artikel 3). Geen omzetdrempel of minimaal gegevensvolume.
LGPD: Iedere organisatie, waar ook ter wereld, die verwerkingen uitvoert onder de voorwaarden van artikel 3. Eveneens zonder omzetdrempel.
Beide wetten hebben extraterritoriaal bereik, wat betekent dat bedrijven buiten Brazilie of de EU verplicht kunnen zijn om eraan te voldoen. De AP heeft al zaken behandeld met niet-Europese bedrijven.
Rechtsgronden voor verwerking
Dit is een van de gebieden waar de twee wetten het meest op elkaar lijken, maar met belangrijke verschillen.
AVG: Zes rechtsgronden (artikel 6) — toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitale belangen, taak van algemeen belang en gerechtvaardigde belangen.
LGPD: Tien rechtsgronden (artikel 7) — de zes van de AVG plus kredietbescherming, gezondheidsbescherming, onderzoeksstudies door onderzoeksinstellingen en regelmatige rechtsuitoefening.
| Rechtsgrond | AVG | LGPD |
|---|---|---|
| Toestemming | Artikel 6(1)(a) | Artikel 7, I |
| Wettelijke verplichting | Artikel 6(1)(c) | Artikel 7, II |
| Uitvoering overeenkomst | Artikel 6(1)(b) | Artikel 7, V |
| Gerechtvaardigd belang | Artikel 6(1)(f) | Artikel 7, IX |
| Bescherming vitale belangen | Artikel 6(1)(d) | Artikel 7, VII |
| Taak van algemeen belang | Artikel 6(1)(e) | Artikel 7, III |
| Kredietbescherming | Niet voorzien | Artikel 7, X |
| Gezondheidsbescherming | Opgenomen in vitale belangen | Artikel 7, VIII (zelfstandige grond) |
| Onderzoek | Opgenomen in algemeen belang | Artikel 7, IV (zelfstandige grond) |
| Uitoefening van rechten | Opgenomen in wettelijke verplichting | Artikel 7, VI (zelfstandige grond) |
De LGPD is gedetailleerder in haar rechtsgronden en creert zelfstandige gronden voor situaties die de AVG als subcategorieen van bredere gronden behandelt.
Toestemming
AVG: Moet vrij, specifiek, geinformeerd en ondubbelzinnig zijn (artikel 7). De bewijslast ligt bij de verwerkingsverantwoordelijke. Toestemming voor bijzondere persoonsgegevens moet uitdrukkelijk zijn (artikel 9).
LGPD: Moet vrij, geinformeerd en ondubbelzinnig zijn, schriftelijk of op andere wijze verleend die de wilsuiting van de betrokkene aantoont (artikel 8). Voor gevoelige gegevens moet de toestemming specifiek en gemarkeerd zijn (artikel 11).
De praktische verschillen zijn subtiel maar relevant. De AVG vereist dat toestemming “specifiek” is voor elk doel, terwijl de LGPD het vereist “voor bepaalde doeleinden”. De LGPD bepaalt ook dat schriftelijke toestemming moet verschijnen in een clausule die is gescheiden van andere contractuele bepalingen. De AP heeft gedetailleerde richtlijnen gepubliceerd over toestemming in het kader van de AVG.
Rechten van betrokkenen
Beide wetten verlenen een robuust pakket rechten, maar met opmerkelijke verschillen:
| Recht | AVG | LGPD |
|---|---|---|
| Inzage | Artikel 15 | Artikel 18, I en II |
| Rectificatie | Artikel 16 | Artikel 18, III |
| Wissing | Artikel 17 (recht op vergetelheid) | Artikel 18, IV (anonimisering, blokkering of verwijdering) |
| Overdraagbaarheid | Artikel 20 | Artikel 18, V |
| Bezwaar | Artikel 21 | Artikel 18, IV (gedeeltelijk) |
| Herziening geautomatiseerde besluiten | Artikel 22 | Artikel 20 |
| Informatie over delen | Impliciet in artikelen 13-14 | Artikel 18, VII (expliciet recht) |
| Reactietermijn | 1 maand (verlengbaar tot 3) | 15 dagen voor bevestiging; redelijke termijn voor overige |
Opmerkelijk verschil: de LGPD garandeert expliciet het recht op informatie over entiteiten waarmee gegevens zijn gedeeld (artikel 18, VII), terwijl de AVG dit behandelt als onderdeel van de transparantieverplichtingen. De LGPD voorziet ook in herziening van geautomatiseerde besluiten (artikel 20) maar zonder de vereiste van menselijke interventie die de AVG in artikel 22 vastlegt.
Bijzondere persoonsgegevens
AVG: Bijzondere categorieen van persoonsgegevens (artikel 9) — ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens, seksueel gedrag of seksuele orientatie. Verwerking is verboden behoudens specifieke uitzonderingen.
LGPD: Gevoelige gegevens (artikel 5, II) — ras of etnische afkomst, religieuze overtuiging, politieke opvatting, vakbondslidmaatschap of lidmaatschap van een religieuze, levensbeschouwelijke of politieke organisatie, gezondheidsgegevens, seksueel leven, genetische of biometrische gegevens.
De categorieen zijn vergelijkbaar maar niet identiek. De LGPD omvat “levensbeschouwelijke overtuiging” en “lidmaatschap van levensbeschouwelijke of politieke organisaties”, die geen direct equivalent hebben in de AVG. De AVG omvat expliciet “politieke opvattingen”, terwijl de LGPD “politieke opvatting” gebruikt.
Internationale doorgifte van gegevens
AVG: Doorgiften buiten de EER vereisen een adequaatheidsbesluit, Standaardcontractbepalingen (SCB), Bindende Bedrijfsvoorschriften (BCR) of een ander goedgekeurd mechanisme (hoofdstuk V). Het proces is rigoureus en goed gereguleerd. De AP houdt toezicht op de naleving van deze mechanismen door Nederlandse bedrijven, met bijzondere aandacht na het Schrems II-arrest.
LGPD: Artikel 33 noemt meerdere voorwaarden voor internationale doorgifte, waaronder landen met een passend beschermingsniveau, specifieke contractuele bepalingen, standaardbepalingen, bindende bedrijfsvoorschriften en specifieke toestemming. De ANPD is nog bezig de mechanismen te reguleren, en het kader is niet zo ontwikkeld als het Europese.
In de praktijk kunnen bedrijven die al beschikken over AVG-SCB deze aanpassen voor de LGPD, maar zij moeten de definitieve regelgeving van de ANPD afwachten om volledige naleving te garanderen.
Sancties en handhaving
| Aspect | AVG | LGPD |
|---|---|---|
| Maximale boete | 20 M EUR of 4 % van de wereldwijde omzet | 50 miljoen BRL of 2 % van de omzet in Brazilie |
| Berekeningsgrondslag | Wereldwijde omzet | Omzet in Brazilie (niet wereldwijd) |
| Autoriteit | Nationale DPA’s (AP, enz.) | ANPD |
| Directe sanctiebevoegdheid | Ja | Ja |
| Niet-geldelijke sancties | Verwerkingsverbod | Blokkering, verwijdering, opschorting, verbod |
| Civiele vordering | Ja (artikel 82) | Ja (Burgerlijk Wetboek + Consumentenwetboek) |
De AVG voorziet in potentieel veel hogere geldboetes (wereldwijde vs. alleen Braziliaanse berekeningsgrondslag). De AP heeft al aanzienlijke boetes opgelegd aan Nederlandse en internationale bedrijven. De LGPD biedt echter zware niet-geldelijke sancties — opschorting of verbod van verwerkingsactiviteiten kan voor een bedrijf verwoestender zijn dan een financiele boete.
FG / Encarregado
AVG: Verplicht voor overheidsinstanties, grootschalige stelselmatige monitoring of grootschalige verwerking van bijzondere persoonsgegevens (artikel 37).
LGPD: Verplicht voor alle verwerkingsverantwoordelijken (artikel 41). De ANPD kan vrijstellingen vaststellen voor kleinschalige verwerkingsagenten.
De LGPD is breder in dit vereiste: terwijl de AVG de verplichting beperkt tot specifieke situaties, legt de LGPD het op als algemene regel.
Nalevingsstrategie voor bedrijven in beide rechtsgebieden
1. Begin met AVG-naleving. De Europese vereisten zijn over het algemeen strenger. Solide AVG-naleving dekt het merendeel van de LGPD-verplichtingen. Nederlandse bedrijven die al voldoen aan de richtlijnen van de AP en de UAVG hebben een significant voordeel.
2. Voeg LGPD-specifieke elementen toe. De vier aanvullende rechtsgronden, de reactietermijn van 15 dagen voor bevestiging, het expliciete recht op informatie over het delen en de niet-geldelijke sancties vereisen specifieke aandacht.
3. Pas de berekeningsgrondslag voor sancties aan. De AVG berekent op basis van de wereldwijde omzet; de LGPD op basis van de omzet in Brazilie. Dit kan uw risicoanalyse beinvloeden.
4. Volg de ANPD. De Braziliaanse autoriteit is nog bezig haar regelgevend kader op te bouwen. Regelgeving inzake internationale doorgiften, effectbeoordelingen en adequaatheidscriteria is in ontwikkeling.
5. Documenteer alles. Verwerkingsregisters (artikel 30 AVG), incidentregisters (beide) en registers van verzoeken van betrokkenen (beide) zijn essentieel om naleving aan te tonen.
Om de conformiteit van uw site in seconden te controleren, gebruik onze gratis conformiteitsscanner. Voor meer details, raadpleeg onze volledige LGPD-gids en onze gids over het LGPD-privacybeleid.
Conclusie
De LGPD en de AVG delen oorsprong en doelstellingen maar verschillen in details die er in de praktijk toe doen. De LGPD heeft meer rechtsgronden, een breder bereik voor FG-vereisten en potentieel zwaardere niet-geldelijke sancties. De AVG voorziet in hogere financiele sancties, meer gedetailleerde rechten van betrokkenen en een volwassener regelgevend kader, met de expertise van autoriteiten zoals de AP. Voor bedrijven die in beide rechtsgebieden opereren, is de meest effectieve aanpak om voort te bouwen op AVG-naleving en deze aan te vullen met LGPD-specificiteiten. Stilzitten is geen optie: de regelgevende risico’s aan beide zijden van de Atlantische Oceaan blijven groeien.