Integritetspolicyn ar det centrala dokumentet for LGPD-efterlevnad (lag nr 13.709/2018). Den forverkligar transparensprincipen (artikel 6, VI) och ar det primara instrumentet genom vilket ditt foretag informerar registrerade om hur deras personuppgifter samlas in, anvands, lagras och delas. En otillracklig integritetspolicy ar inte bara en dokumentationsbrist — det ar en lagovertradelse som kan resultera i administrativa sanktioner, rattsliga forfaranden och ryktsskada. Denna guide beskriver de obligatoriska elementen, vanliga misstag och basta praxis for att skapa en LGPD-konform integritetspolicy, med hanvisningar till GDPR och Integritetsskyddsmyndighetens (IMY) riktlinjer.
Varfor en integritetspolicy ar obligatorisk
LGPD anvander inte bokstavligen uttrycket “integritetspolicy”, men artiklarna 6 (principer), 9 (ratt till information) och 18 (registrerades rattigheter) gor detta dokument implicit obligatoriskt. Artikel 9 faststaller att registrerade har ratt till underlattad tillgang till information om behandlingen av deras uppgifter, vilken maste tillhandahallas pa ett tydligt, adekvat och synligt satt.
I praktiken forvantar sig ANPD och brasilianska domstolar att varje organisation som behandlar personuppgifter gor en integritetspolicy tillganglig pa sin webbplats. Avsaknaden av detta dokument eller dess otillracklighet utgir en overtradelse av principerna om transparens och fri tillgang, vilket utsatter foretaget for sanktionerna i artikel 52. Detta krav ar jamforbart med GDPR (artiklarna 12-14), som IMY tillompar i Sverige.
Obligatoriska element i en LGPD-integritetspolicy
Baserat pa artiklarna 6, 9, 10 och 18 i LGPD maste din integritetspolicy innehalla foljande element:
1. Identifiering av den ansvarige och DPO
Ange fullstandigt namn och kontaktuppgifter for den personuppgiftsansvarige (ditt foretag) och dataskyddsombudet (encarregado). Artikel 41 kraver utnomning av ett DPO, och artikel 41, stycke 1, kraver att dennas identitet och kontaktuppgifter offentliggiors, foretradesvis pa den ansvariges webbplats.
2. Insamlade personuppgifter
Ange tydligt och specifikt vilka typer av personuppgifter du samlar in. Anvand inte vaga termer som “diverse personlig information”. Var explicit:
- Identifieringsuppgifter: namn, CPF (skattenummer), id-nummer, fodelsedatum
- Kontaktuppgifter: e-post, telefon, adress
- Finansiella uppgifter: kreditkortsuppgifter, transaktionshistorik
- Navigeringsuppgifter: IP-adress, cookies, surfhistorik, enhetsinformation
- Kansliga uppgifter (om tillampiligt): halsouppgifter, biometriska uppgifter, ras eller etniskt ursprung
3. Andamal med behandlingen
For varje kategori av insamlade uppgifter, beskriv det specifika andamalet med behandlingen (artikel 6, I). Exempel:
- “Kontaktuppgifter samlas in for att skicka orderbekraftelser och servicekommunikation”
- “Navigeringsuppgifter samlas in for analys av webbplatsens prestanda och forbattring av anvandarupplevelsen”
- “Finansiella uppgifter samlas in for betalningshantering”
Generiska andamal som “for att forbattra vara tjanster” ar otillrackliga. IMY har aven betonat detta specificitetskrav inom ramen for GDPR.
4. Anvanda rattsliga grunder
Ange den rattsliga grunden (artikel 7) som stodjer varje behandlingsaktivitet:
- Samtycke (artikel 7, I) — for marknadsforing, nyhetsbrev, icke-nodvandiga cookies
- Avtalsfullgorelse (artikel 7, V) — for orderhantering, tjansteutforande
- Rattslig forpliktelse (artikel 7, II) — for skattemassig datalagring, arbetsrattslig efterlevnad
- Berattigat intresse (artikel 7, IX) — for bedrageriprevention, sakerhet
5. Delning med tredje parter
Identifiera de kategorier av tredje parter med vilka du delar personuppgifter och andamalen med denna delning:
- Betalningsleverantorer
- Hosting- och infrastrukturleverantorer
- Analys- och marknadsforingsverktyg
- Offentliga myndigheter (nar lag sa kraver)
6. Internationella overfiringar
Om du overfir personuppgifter utanfor Brasilien, upplysa om:
- Landerna eller organisationerna till vilka uppgifter overfirs
- Den rattsliga grunden for overfiringen (artikel 33)
- De skyddsatgarder som vidtagits for att skydda uppgifterna
7. Lagringsperioder
Ange hur lange varje kategori av uppgifter kommer att lagras och de kriterier som bestammer denna period (artikel 15). Exempel: “Transaktionsuppgifter lagras i 5 ar efter avslutat tjansteutforande, i enlighet med skattekrav.”
8. Registrerades rattigheter
Beskriv de rattigheter som registrerade kan utova enligt artikel 18:
- Bekraftelse och tillgang
- Rattelse
- Anonymisering, blockering eller radering
- Dataportabilitet
- Radering av uppgifter som behandlats pa grundval av samtycke
- Information om delning
- Aterkallelse av samtycke
Ange tydligt hur dessa rattigheter kan utivas: kontaktkanal (e-post, formular), svarstid och forfarande.
9. Sakerhetsatgarder
Beskriv i allmonina termer de tekniska och organisatoriska atgarder som vidtagits for att skydda personuppgifter (artikel 46). Avsloja inte detaljer som kan aventyra sakerheten, men visa att rimliga atgarder ar pa plats: kryptering, atkomstkontroll, overvakning, saker hetskopiering.
10. Cookies och sparningstekniker
Om din webbplats anvander cookies, sparningspixlar eller liknande tekniker, beskriv:
- De typer av cookies som anvands (nodvandiga, analytiska, marknadsforings-)
- Andamalen for varje typ
- Hur anvandare kan hantera sina cookieinstallningar
For att hantera cookiesamtycke pa ett lagenligt satt kan du anvanda en gratis GDPR-konform cookiebanner.
Vanliga misstag i integritetspolicyer
1. Kopiera fran en annan webbplats. En integritetspolicy som inte avspeglar dina faktiska behandlingsrutiner bryter mot transparensprincipen. ANPD forvantar sig att din policy ar specifik for din organisation. Aven IMY har sanktionerat foretag i Sverige for generiska integritetspolicyer.
2. Anvanda samtycke som enda rattsliga grund. Manga foretag forklarar att all behandling baseras pa samtycke nar de i verkligheten stodjer sig pa avtalsfullgorelse eller rattslig forpliktelse. Detta skapar problem nar en registrerad aterkallar samtycke for behandling som inte var beroende av det.
3. Utlamna DPO. LGPD kraver utnomning av ett DPO (artikel 41). Att utlamna denna information fran din integritetspolicy ar en tydlig overtradelse.
4. Inte namna internationella overfiringar. Om du anvander tjanster som Google Analytics, AWS, Stripe eller Mailchimp overfirs dina uppgifter utanfor Brasilien. Dessa overfiringar maste redovisas.
5. Otillgangligt sprak. LGPD kraver att information tillhandahalls pa ett tydligt och adekvat satt (artikel 9). Overdriven juridisk jargong bryter mot detta krav. IMY rekommenderar ocksa ett tydligt och begripligt sprak.
6. Inte uppdatera regelbundet. Dina behandlingsrutiner utvecklas: nya leverantorer, nya funktioner, nya typer av uppgifter. Din policy maste hainga med dessa forandringar.
Skillnad mellan integritetspolicy och anvandarvillkor
Det ar olika dokument med olika syften:
Integritetspolicy: Forklarar hur du samlar in, anvander och skyddar personuppgifter. Grundad pa LGPD. Obligatorisk for varje webbplats som samlar in uppgifter.
Anvandarvillkor: Faststaller reglerna for anvandning av din webbplats eller tjanst. Grundade pa civillagen och konsumentskyddslagen. Definierar ansvar, anvandningsbegransningar och immaterialratt.
Bada dokumenten ar nodvandiga och bor vara kompletterande, med korshonvisningar dar sa ar lampligt.
Fyra strategier for att skapa din integritetspolicy
Anlita en specialiserad jurist
Kostnad: 5 000 till 15 000 BRL. Tidsram: 2 till 4 veckor.
En jurist specialiserad pa dataskydd analyserar dina datakfloden, identifierar tillamlig rattsliga grunder och uppratter en skraddarsydd policy. Rekommenderas for foretag med komplex behandling av kansliga uppgifter eller betydande internationella overfiringar.
Anvanda ett generiskt AI-verktyg
Skenbar kostnad: 0 BRL. Verklig kostnad: en policy som verkar fullstandig men utelamnar obligatoriska element.
Generiska AI-verktyg granskar inte dina faktiska datakfloden och producerar ofta policyer som blandar GDPR- och LGPD-krav utan lamplig anpassning till den brasilianska kontexten.
Kopiera en gratis mall
Kostnad: 0 BRL. Risk: hog.
Gratismallar ar generiska och aldrig anpassade till din specifika verksamhet. ANPD forvantar sig att varje policy avspeglar organisationens faktiska rutiner, inte en standardtext.
Anvanda en specialiserad generator for juridiska dokument
Kostnad: 19,90 € till 49,90 €. Tidsram: under 10 minuter.
En specialiserad generator staller fragor om ditt foretag, dina uppgifter, dina leverantorer och dina rutiner, och producerar en integritetspolicy som ar anpassad till LGPD:s krav. Den inkluderar rattsliga grunder, registrerades rattigheter, DPO-information och uppgifter om internationella overfiringar.
For att snabbt kontrollera din webbplats efterlevnad, anvand var gratis efterlevnadsskanner. Se aven var fullstandiga LGPD-guide och var jamforelse LGPD vs GDPR.
Slutsats
En integritetspolicy ar mer an ett juridiskt dokument — det ar det konkreta uttrycket for ditt foretags engagemang for skyddet av dina kunders och anvandares personuppgifter. Enligt LGPD maste den vara specifik, transparent, tillganglig och aktuell. Med ANPD som aktivt verkstaller och brasilianska domstolar som blir allt mer kansliga for integritetsfragor, ar investeringen i en adekvat integritetspolicy en av de efterlevnadsatgarder med hogst avkastning du kan vidta. For svenska foretag som aven lyder under GDPR och IMY:s tillsyn, sakerstaller ett samordnat tillvagagangssatt efterlevnad i bada jurisdiktionerna. Vanta inte pa ett forelaggande eller en stamning for att agera — skydda dina kunder och ditt foretag nu.