Lei Geral de Protecao de Dados Pessoais (LGPD), lag nr 13.709/2018, ar Brasiliens overgripande dataskyddslagstiftning. I kraft sedan september 2020, med administrativa sanktioner tillamliga sedan augusti 2021, faststaller LGPD tydliga regler for hur organisationer maste samla in, lagra, behandla och dela personuppgifter. Med Autoridade Nacional de Protecao de Dados (ANPD) som aktivt reglerar och verkstaller, ar forstaelsen av dina skyldigheter inte langre valfri — det ar en operativ och rattslig nodvandighet. For svenska foretag som verkar i Brasilien eller behandlar uppgifter om brasilianska invonare tilkommer LGPD utover de befintliga skyldigheterna enligt GDPR, som overvakas av Integritetsskyddsmyndigheten (IMY).
LGPD:s principer
Artikel 6 i LGPD faststaller tio principer som maste vagleda all behandling av personuppgifter:
1. Andamalsbegransning (Finalidade). Behandling maste utforas for berattiade, specifika och uttryckliga andamal som meddelats den registrerade. Ingen insamling av uppgifter utan ett dokumenterat syfte.
2. Lamplighet (Adequacao). Behandlingen maste vara fortrenlig med de andamal som meddelats den registrerade. De insamlade uppgifterna maste vara relevanta och proportionerliga.
3. Nodvandighet (Necessidade). Behandlingen maste begransas till det minimum som ar nodvandigt for att uppna andamalen. Denna princip, som motsvarar uppgiftsminimering i GDPR (artikel 5(1)(c)), motverkar overdriven uppgiftsinsamling.
4. Fri tillgang (Livre acesso). Registrerade maste ha enkel och avgiftsfri tillgang till information om behandlingens form och varaktighet, liksom till alla sina personuppgifter.
5. Uppgiftskvalitet (Qualidade dos dados). Noggrannhet, tydlighet, relevans och aktualitet for uppgifterna maste sakerstalas i enlighet med behandlingens syfte.
6. Transparens (Transparencia). Tydlig, precis och lattillganglig information om behandlingen och respektive behandlingsombud maste tillhandahallas. Denna princip avspeglar transparenskravet i GDPR (artiklarna 12-14).
7. Sakerhet (Seguranca). Tekniska och administrativa atgarder maste anvandas for att skydda personuppgifter mot obehrig atkomst och oavsiktliga eller olagliga handelser.
8. Prevention (Prevencao). Atgarder maste vidtas for att forhindra skada till foljd av behandling av personuppgifter.
9. Icke-diskriminering (Nao discriminacao). Behandling far inte utforas for olagliga eller missbrukande diskriminerande andamal.
10. Ansvarsskyldighet (Responsabilizacao e prestacao de contas). Behandlingsombudet maste pavisa att effektiva atgarder har vidtagits som kan bevisa efterlevnad av reglerna.
Vem maste folja LGPD
LGPD har brett extraterritoriellt tillamningsomrade (artikel 3). Den galler for varje behandling av personuppgifter som:
- Utfors pa brasilianskt territorium
- Syftar till att erbjuda eller tillhandahalla varor eller tjanster till personer i Brasilien
- Inbegriper personuppgifter som samlats in pa brasilianskt territorium
Extraterritoriell rackvidd. Ett foretag med sate i Sverige, Tyskland eller USA som erbjuder produkter eller tjanster till brasilianska konsumenter eller samlar in uppgifter fran personer i Brasilien omfattas av LGPD. Denna rackvidd ar jamforbar med GDPR (artikel 3 GDPR), som IMY verkstaller for svenska foretag.
Undantag. LGPD galler inte for behandling som utfors av en fysisk person for uteslutande privata och icke-ekonomiska andamal, for uteslutande journalistiska, konstnorliga eller akademiska andamal, eller av staten for andamal rorande allman sakerhet, nationellt forsvar och brottsutredning (artikel 4).
Rattsliga grunder for behandling
LGPD faststaller i artikel 7 tio rattsliga grunder som berattigar behandling av personuppgifter. Varje behandling maste grunda sig pa minst en av dem:
1. Samtycke fran den registrerade. Maste vara fritt, informerat, otvetydigt och givet for ett specifikt andamal. Samtycket kan aterkalas nar som helst.
2. Fullgorande av en rattslig eller regulatorisk skyldighet.
3. Genomforande av offentlig politik av den offentliga forvaltningen.
4. Forskningsstudier av forskningsorgan.
5. Avtalsfullgorelse eller avorvertragliga atgarder i samband med ett avtal dar den registrerade ar part.
6. Regelmassig utovning av rattigheter i rattsliga, administrativa eller skiljeforfaranden.
7. Skydd av liv eller fysisk sakerhet for den registrerade eller en tredje part.
8. Halsoskydd i forfaranden som utfors av halso- och sjukvardspersonal eller halsoinstitutioner.
9. Berattigat intresse for den personuppgiftsansvarige eller en tredje part. Kraver ett proportionalitetstest (artikel 10) som vager den ansvariges intressen mot den registrerades rattigheter och forvantningar. Begreppet liknar berattigat intresse i GDPR (artikel 6(1)(f)), for vilket IMY har publicerat detaljerade riktlinjer.
10. Kreditskydd.
For kansliga uppgifter (artikel 11) ar de rattsliga grunderna mer begransade: specifikt samtycke eller nodvandighet for fullgorande av rattslig skyldighet, genomforande av offentlig politik, forskning, rattsutovning, livsskydd eller halsoskydd.
Registrerades rattigheter
Artikel 18 i LGPD garanterar registrerade ett omfattande ramverk av rattigheter:
Bekraftelse och tillgang. Den registrerade kan begara bekraftelse av att behandling foreligger och tillgang till sina personuppgifter.
Rattelse. Ratt att begara rattelse av ofullstandiga, felaktiga eller inaktuella uppgifter.
Anonymisering, blockering eller radering. Ratt att begara anonymisering, blockering eller radering av onnodiga, overdrivna eller icke-konforma uppgifter.
Dataportabilitet. Ratt att begara overforing av uppgifter till en annan tjanste- eller produktleverantor, pa uttrycklig begaran.
Radering. Ratt att begara radering av personuppgifter som behandlats pa grundval av samtycke.
Information om delning. Ratt att erhalla information om offentliga och privata enheter som den ansvarige delat uppgifter med.
Aterkallelse av samtycke. Ratt att aterkalla samtycke nar som helst, genom uttrycklig forklaring.
Dessa rattigheter ar i stort sett likvardiga med dem i GDPR (artiklarna 15-22), som i Sverige overvakas av IMY.
Dataskyddsombud (Encarregado)
Artikel 41 i LGPD kraver att den personuppgiftsansvarige utser ett dataskyddsombud (encarregado). Ombudets uppgifter omfattar:
- Ta emot klagomal och kommunikation fran registrerade och ge klargoranden
- Ta emot kommunikation fran ANPD och vidta lamliga atgarder
- Radge anstallda och uppdragstagare om dataskyddspraxis
- Utfora ovriga uppgifter som tilldelats av den ansvarige eller faststalls i kompletterande foreskrifter
ANPD kan faststalla kompletterande regler om undantag fran DPO-utnomning for smoskaliga behandlingsombud. I Sverige overvakar IMY den likavardiga rollen for dataskyddsombud enligt GDPR (artikel 37).
Konsekvensbedoming for dataskydd
Artikel 38 i LGPD foreskriver att ANPD kan krava att den ansvarige uppratter en konsekvensbedoming for dataskydd (RIPD). Denna rapport maste innehalla:
- En beskrivning av de typer av uppgifter som samlas in
- Den metod som anvands for insamlingen
- Informationssakerhetsatgarder
- Den ansvariges analys av atgarder, garantier och riskminimeringsmekanismer
Aven om ANPD annu inte har fullstandigt reglerat kriterierna for obligatorisk RIPD-upprattande, rekommenderas det starkt att foretag som behandlar uppgifter i stor skala eller hanterar kansliga uppgifter uppratter detta dokument proaktivt. Detta liknar konsekvensbedoming for dataskydd (DPIA) som kraves av GDPR (artikel 35) och rekommenderas av IMY for behandlingar med hog risk.
Internationella overfiringar av uppgifter
LGPD reglerar internationella overfiringar av personuppgifter i artikel 33. Overfiringar ar tillatna nar:
- Till lander eller internationella organisationer som erbjuder en adekvat skyddsniva
- Nar den ansvarige erbjuder garantier for efterlevnad av LGPD:s principer (specifika avtalsklausuler, standardklausuler, bindande foretagsregler)
- Genom specifikt samtycke fran den registrerade
- For fullgorande av en rattslig eller regulatorisk skyldighet
- For internationellt rattsligt samarbete
ANPD arbetar med att reglera overfiringsmekanismer, inklusive standardavtalsklausuler och adekvataskriterier, i linje med europeiska GDPR-mekanismer. Svenska foretag som overfir uppgifter mellan Sverige, EU och Brasilien maste darfor sakerstalla efterlevnad under bada regelverken.
Sanktioner och boter
Artikel 52 i LGPD inrattar ett system av administrativa sanktioner som tilampas av ANPD:
Varning. Med angivande av tidsfrist for vidtagande av korrigerande atgarder.
Enkel bot. Upp till 2 % av omsattningen for den privata juridiska personen, gruppen eller konglomeratet i Brasilien under det senaste rakenskapsaret, exklusive skatter, begransad till totalt 50 miljoner BRL per overtradelse.
Daglig bot. Omfattas av samma totala tak pa 50 miljoner BRL.
Offentliggorande av overtradelsen. Efter vederbürlig utredning och bekraftelse.
Blockering av personuppgifter kopplade till overtradelsen tills regularisering skett.
Radering av personuppgifter kopplade till overtradelsen.
Delvis uppehavande av databasverksamheten i hogst 6 manader, med mojlighet till forlangning med lika lang period.
Uppehavande av databehandlingsverksamheten i hogst 6 manader, med mojlighet till forlangning med lika lang period.
Delvist eller totalt forbud mot verksamhet kopplad till databehandling.
ANPD har redan tilampat sanktioner mot brasilianska foretag, inklusive varningar och efterlevnadsbeslut. Som jamforelse kan IMY i Sverige med stod av GDPR paforma boter pa upp till 20 miljoner euro eller 4 % av den globala arsomsattningen.
Fyra strategier for LGPD-efterlevnad
Anlita en specialiserad jurist
Kostnad: 15 000 till 50 000 BRL for ett heltackande efterlevnadsprogram. Tidsram: 4 till 8 veckor.
En jurist specialiserad pa dataskydd kan genomfora en fullstandig kartlaggning av datakfloden, utarbeta interna policyer, utbilda team och strukturera incidenthantering. Rekommenderas for foretag med stora datavolymer eller kansliga uppgifter.
Anvanda ett generiskt AI-verktyg
Skenbar kostnad: 0 BRL. Verklig kostnad: de efterlevnadsluckor det skapar.
Generiska AI-verktyg kan generera text som liknar en integritetspolicy men kan inte granska dina faktiska datakfloden eller sakerstalla tackning av de tio rattsliga grunderna och LGPD:s principer.
Kopiera en gratis mall
Kostnad: 0 BRL. Risk: hog.
Gratismallar ar generiska, ofta foraldrade och aldrig anpassade till din specifika verksamhet. ANPD forvantar sig att din integritetspolicy avspeglar dina faktiska behandlingsrutiner.
Anvanda en specialiserad generator for juridiska dokument
Kostnad: 19,90 € till 49,90 €. Tidsram: under 10 minuter.
En specialiserad generator staller riktade fragor om din verksamhet och producerar en integritetspolicy som uppfyller LGPD:s krav, inklusive rattsliga grunder, registrerades rattigheter och transparensskyldigheter.
For att snabbt kontrollera din webbplats efterlevnad, anvand var gratis efterlevnadsskanner. Se aven var jamforelse LGPD vs GDPR for de viktigaste skillnaderna, och var guide om LGPD integritetspolicy.
Slutsats
LGPD har forvandlat dataskyddslandskapet i Brasilien. Med tydliga principer, definierade rattsliga grunder, omfattande rattigheter for registrerade och sanktioner pa upp till 50 miljoner BRL ar efterlevnad inte langre valfri — det ar en rattslig skyldighet med verkliga konsekvenser. For svenska foretag som verkar i Brasilien eller behandlar uppgifter om brasilianska invonare tilkommer LGPD utover skyldigheterna enligt GDPR, som overvakas av IMY. ANPD ar aktiv i tillsyn och reglering, och det regulatoriska ramverket fortsatter att utvecklas. Varje dag utan efterlevnad ar en dag av onodvondig exponering for regulatoriska och ryktesrelaterade risker. Agera nu for att skydda ditt foretag och dina kunders fortroende.