Om ditt foretag betjanar kunder i bade Brasilien och Europeiska unionen omfattas du av tva av varldens mest betydelsefulla dataskyddsregelverk: Brasiliens Lei Geral de Protecao de Dados Pessoais (LGPD, lag nr 13.709/2018) och den europeiska dataskyddsforordningen (GDPR). Aven om bada lagarna delar liknande mal och LGPD paverkades av GDPR, finns det vasentliga skillnader som direkt paverkar din efterlevnadsstrategi. Denna guide jamfor de tva regelverken for att hjalpa dig bygga ett integrerat tillvagagangssatt, med sarskilt fokus pa det svenska perspektivet och Integritetsskyddsmyndighetens (IMY) roll.
Ursprung och grunder
GDPR. Antagen 2016 och i kraft sedan maj 2018, ar GDPR en forordning som ar direkt tillamplig i alla 27 EU-medlemsstater. Den bygger pa principen att dataskydd ar en grundlaggande rattighet (artikel 8 i EU:s stadga om de grundlaggande rattigheterna). Den ar detaljerad, foreskrivande och atfoljs av ett omfattande corpus av rattspraxis och vagledning fran nationella myndigheter. I Sverige ar IMY tillsynsmyndighet, och forordningen kompletteras av den svenska dataskyddslagen.
LGPD. Antagen 2018 och i kraft sedan september 2020, inspirerades LGPD i stor utstracking av GDPR men anpassades till den brasilianska juridiska kontexten. Den innehaller element fran konsumentskyddslagen, Marco Civil da Internet och den federala konstitutionen (artikel 5, punkterna X och XII). ANPD, grundad 2020, bygger fortfarande upp det fullstandiga regelverket.
Tillamningsomrade
Vem skyddas
GDPR: Varje fysisk person (registrerad) i Europeiska unionen, oavsett medborgarskap eller bosattning.
LGPD: Varje fysisk person vars personuppgifter behandlas i operationer som utfors pa brasilianskt territorium, syftar till att erbjuda varor eller tjanster till personer i Brasilien, eller inbegriper uppgifter som samlats in i Brasilien (artikel 3).
Vilka foretag maste folja reglerna
GDPR: Varje organisation, var som helst i varlden, som behandlar personuppgifter om personer i EU, forutsatt att den erbjuder varor eller tjanster till EU-invonare eller overvakar deras beteende (artikel 3). Ingen omsattningstroskol eller minsta datavolym.
LGPD: Varje organisation, var som helst i varlden, som utfor behandlingsoperationer enligt villkoren i artikel 3. Aven utan omsattningstroskol.
Bada lagarna har extraterritoriell rackvidd, vilket innebar att foretag utanfor Brasilien eller EU kan vara skyldiga att folja dem. IMY har redan hanterat arenden som involverar icke-europeiska foretag.
Rattsliga grunder for behandling
Detta ar ett av de omraden dar de tva lagarna ar mest lika, men med viktiga skillnader.
GDPR: Sex rattsliga grunder (artikel 6) — samtycke, avtalsfullgorelse, rattslig forpliktelse, skydd av vitala intressen, uppgift av allmant intresse och berattigade intressen.
LGPD: Tio rattsliga grunder (artikel 7) — de sex fran GDPR plus kreditskydd, halsoskydd, forskningsstudier av forskningsorgan och regelmassig utovning av rattigheter.
| Rattslig grund | GDPR | LGPD |
|---|---|---|
| Samtycke | Artikel 6(1)(a) | Artikel 7, I |
| Rattslig forpliktelse | Artikel 6(1)(c) | Artikel 7, II |
| Avtalsfullgorelse | Artikel 6(1)(b) | Artikel 7, V |
| Berattigat intresse | Artikel 6(1)(f) | Artikel 7, IX |
| Skydd av vitala intressen | Artikel 6(1)(d) | Artikel 7, VII |
| Uppgift av allmant intresse | Artikel 6(1)(e) | Artikel 7, III |
| Kreditskydd | Ej foreskrevet | Artikel 7, X |
| Halsoskydd | Inkluderat i vitala intressen | Artikel 7, VIII (sjalvstandig grund) |
| Forskning | Inkluderat i allmant intresse | Artikel 7, IV (sjalvstandig grund) |
| Utovning av rattigheter | Inkluderat i rattslig forpliktelse | Artikel 7, VI (sjalvstandig grund) |
LGPD ar mer detaljerad i sina rattsliga grunder och skapar sjalvstandiga grunder for situationer som GDPR behandlar som underkategorier av bredare grunder.
Samtycke
GDPR: Maste vara frivilligt, specifikt, informerat och otvetydigt (artikel 7). Bevisbyrdan ligger pa den personuppgiftsansvarige. Samtycke for kansliga uppgifter maste vara uttryckligt (artikel 9).
LGPD: Maste vara fritt, informerat och otvetydigt, givet skriftligen eller pa annat satt som visar den registrerades viljeuttryck (artikel 8). For kansliga uppgifter maste samtycket vara specifikt och framhavt (artikel 11).
De praktiska skillnaderna ar subtila men relevanta. GDPR kraver att samtycket ar “specifikt” for varje andamal, medan LGPD kraver det “for bestamda andamal”. LGPD specificerar ocksa att skriftligt samtycke maste framga i en klausul som ar atskild fran ovriga avtalsvillkor. IMY har publicerat detaljerade riktlinjer om samtycke inom ramen for GDPR.
Registrerades rattigheter
Bada lagarna ger ett robust ramverk av rattigheter, men med anmarkningsvarda skillnader:
| Rattighet | GDPR | LGPD |
|---|---|---|
| Tillgang | Artikel 15 | Artikel 18, I och II |
| Rattelse | Artikel 16 | Artikel 18, III |
| Radering | Artikel 17 (ratten att bli glomd) | Artikel 18, IV (anonymisering, blockering eller radering) |
| Dataportabilitet | Artikel 20 | Artikel 18, V |
| Invandning | Artikel 21 | Artikel 18, IV (delvis) |
| Granskning av automatiserade beslut | Artikel 22 | Artikel 20 |
| Information om delning | Implicit i artiklarna 13-14 | Artikel 18, VII (uttrycklig rattighet) |
| Svarstid | 1 manad (forlangbar till 3) | 15 dagar for bekraftelse; rimlig tid for ovriga |
Anmarkningsvard skillnad: LGPD garanterar uttryckligen ratten till information om enheter som uppgifter delats med (artikel 18, VII), medan GDPR behandlar detta som en del av transparensskyldigheterna. LGPD foreskriver ocksa granskning av automatiserade beslut (artikel 20) men utan kravet pa mansklig intervention som GDPR fastlagger i artikel 22.
Kansliga uppgifter
GDPR: Sarskilda kategorier av personuppgifter (artikel 9) — ras eller etniskt ursprung, politiska asikter, religios eller filosofisk overt ygelse, fackforeningsmedlemskap, genetiska uppgifter, biometriska uppgifter, halsouppgifter, sexualliv eller sexuell laggning. Behandling ar forbjuden utom under specifika undantag.
LGPD: Kansliga uppgifter (artikel 5, II) — ras eller etniskt ursprung, religios overtygelse, politisk asikt, fackforeningsmedlemskap eller medlemskap i religios, filosofisk eller politisk organisation, halsouppgifter, sexualliv, genetiska eller biometriska uppgifter.
Kategorierna ar liknande men inte identiska. LGPD inkluderar “filosofisk overtygelse” och “medlemskap i filosofiska eller politiska organisationer”, som inte har nagot direkt motsvarighet i GDPR. GDPR inkluderar uttryckligen “politiska asikter”, medan LGPD anvander “politisk asikt”.
Internationella dataoverfiringar
GDPR: Overfiringar utanfor EES kraver ett adekvatensbeslut, standardavtalsklausuler (SCCs), bindande foretagsregler (BCRs) eller en annan godkand mekanism (kapitel V). Processen ar rigoris och val reglerad. IMY overvakar efterlevnaden av dessa mekanismer for svenska foretag, med sarskild uppmorksamhet efter Schrems II-domen.
LGPD: Artikel 33 listar flera villkor for internationella overfiringar, inklusive lander med adekvat skyddsniva, specifika avtalsklausuler, standardklausuler, bindande foretagsregler och specifikt samtycke. ANPD reglerar fortfarande mekanismerna, och ramverket ar inte lika utvecklat som det europeiska.
I praktiken kan foretag som redan har GDPR-SCCs anpassa dem for LGPD, men bor avvakta ANPD:s slutgiltiga foreskrifter for att sakerstalla full efterlevnad.
Sanktioner och tillsyn
| Aspekt | GDPR | LGPD |
|---|---|---|
| Maximal bot | 20 M EUR eller 4 % av global omsattning | 50 miljoner BRL eller 2 % av intokterna i Brasilien |
| Berakningsgrund | Global omsattning | Intakter i Brasilien (inte globala) |
| Myndighet | Nationella DPA:er (IMY osv.) | ANPD |
| Direkt sanktionsbefogenhet | Ja | Ja |
| Icke-monetara sanktioner | Behandlingsforrbud | Blockering, radering, uppehavande, forbud |
| Enskilt skadestandsansprak | Ja (artikel 82) | Ja (Civillag + Konsumentlag) |
GDPR foreskriver potentiellt mycket hogre ekonomiska sanktioner (global vs. enbart brasiliansk berakningsgrund). IMY har redan utfradat betydande sanktionsavgifter mot svenska och internationella foretag. LGPD erbjuder dock allvarliga icke-monetara sanktioner — uppehavande eller forbud av behandlingsverksamhet kan vara mer forordande for ett foretag an ekonomiska boter.
DPO / Encarregado
GDPR: Obligatoriskt for offentliga myndigheter, storskalig systematisk overvakning eller storskalig behandling av kansliga uppgifter (artikel 37).
LGPD: Obligatoriskt for alla personuppgiftsansvariga (artikel 41). ANPD kan faststalla undantag for smoskaliga behandlingsombud.
LGPD ar bredare i detta krav: medan GDPR begransar skyldigheten till specifika situationer, gor LGPD det till en allman regel.
Efterlevnadsstrategi for foretag i bada jurisdiktionerna
1. Borja med GDPR-efterlevnad. De europeiska kraven ar i allmanhet striktare. Solid GDPR-efterlevnad tacker majoriteten av LGPD-skyldigheterna. Svenska foretag som redan foljer IMY:s riktlinjer och den svenska dataskyddslagen har en betydande fordel.
2. Komplettera med LGPD-specifika element. De fyra ytterligare rattsliga grunderna, 15-dagars svarstid for bekraftelse, den uttryckliga ratten till information om delning och de icke-monetara sanktionerna kraver sarskild uppmorksamhet.
3. Anpassa berakningsgrunden for sanktioner. GDPR beraknar pa global omsattning; LGPD pa intakter i Brasilien. Detta kan paverka din riskanalys.
4. Folja ANPD. Den brasilianska myndigheten bygger fortfarande sitt regelverk. Foreskrifter om internationella overfiringar, konsekvensbedoming ar och adekvatenskriterier ar under utveckling.
5. Dokumentera allt. Behandlingsregister (artikel 30 GDPR), incidentregister (bada) och register over begaran fran registrerade (bada) ar avgordande for att pavisa efterlevnad.
For att kontrollera din webbplats efterlevnad pa nagra sekunder, anvand var gratis efterlevnadsskanner. For fordjupning, las var fullstandiga LGPD-guide och var guide om LGPD integritetspolicy.
Slutsats
LGPD och GDPR delar ursprung och mal men skiljer sig i detaljer som spelar roll i praktiken. LGPD har fler rattsliga grunder, ett bredare tillamningsomrade for DPO-krav och potentiellt allvarligare icke-monetara sanktioner. GDPR foreskriver hogre ekonomiska sanktioner, mer detaljerade rattigheter for registrerade och ett mognare regelverk, med expertis fran myndigheter som IMY. For foretag verksamma i bada jurisdiktionerna ar det mest effektiva tillvagagangssattet att bygga pa GDPR-efterlevnad och komplettera med LGPD-specifika krav. Passivitet ar inte ett alternativ: de regulatoriska riskerna pa bada sidor av Atlanten fortsatter att vaxa.