De Algemene Gegevensbeschermingswet van Brazilië

In hun laatste poging tot orde en vooruitgang heeft Brazilië de Lei Geral de Proteção de Dados (LGPD) of de Algemene Wet voor de Bescherming van Persoonlijke Gegevens aangenomen. De wetgeving is een manier om de persoonlijke informatie en privacy van Braziliaanse burgers te beschermen door richtlijnen te bieden over hoe die gegevens door organisaties kunnen worden verwerkt en verzameld. (Tip: Alleen met toestemming.) Het helpt om meer dan 40 verschillende eerdere, (soms conflicterende) statuten die persoonlijke gegevens reguleerden, te standaardiseren en te verduidelijken, en is van toepassing op zowel Braziliaanse als internationale bedrijven en organisaties.

Termen om te kennen voor LGPD Brazilië 

• Persoonlijke Gegevens: Elke informatie die een individu identificeert of specifiek is voor een individu, zoals hun naam, achternaam, bijnaam, ID-nummer, enz.
• Gegevenshouder of Betrokkene: De persoon over wie de persoonlijke gegevens gaan.
• Gegevensverwerking: Elke handeling die wordt uitgevoerd met behulp van persoonlijke gegevens, zoals verzamelen, opslaan, gebruiken of openbaar maken van informatie.
• Gegevensbeheerder: De persoon die verantwoordelijk is voor beslissingen over hoe persoonlijke gegevens worden gebruikt of verwerkt. Zij zijn uiteindelijk aansprakelijk voor de naleving van de LGPD-normen door hun bedrijf.
• Toestemming: vrije, geïnformeerde toestemming of overeenkomst. In dit geval de toestemming van de gegevenshouder voor de verwerking van hun informatie voor een bepaald doel.
• Autoridade Nacional de Proteção de Dados (ANPD) of Nationale Gegevensbeschermingsautoriteit: Tak van de Braziliaanse federale overheid die verantwoordelijk is voor het toezicht op de regulering, naleving en handhaving van de LGPD.
• Functionarissen voor Gegevensbescherming: Persoon die de organisatie vertegenwoordigt die persoonlijke gegevens verwerkt, en die verantwoordelijk is voor de communicatie tussen hun bedrijf, de ANPD en gegevenshouders. Ze hebben doorgaans een achtergrond in recht of IT.

Wat de LGPD doet 

De LGPD vereist dat Gegevensbeheerders technische en administratieve praktijken aannemen die reguleren hoe en waarom persoonlijke gegevens kunnen worden verwerkt (elektronisch of fysiek), en om de persoonlijke gegevens die ze verwerken te beschermen tegen ongeautoriseerde toegang, verlies, wijziging en/of blootstelling.

Tien rechten van betrokkenen

De LGPD van Brazilië schetst tien rechten van betrokkenen, die de basis vormen voor alle verwerkingsvereisten die aan bedrijven of organisaties worden gesteld:

1. Het recht om te bevestigen dat hun gegevens zijn verwerkt;
2. Het recht om toegang te krijgen tot hun gegevens;
3. Het recht om onvolledige, onnauwkeurige of verouderde gegevens te corrigeren;
4. Het recht om onnodige of buitensporige gegevens of gegevens die niet in overeenstemming met de LGPD worden verwerkt, te anonimiseren, blokkeren of verwijderen;
5. Het recht om hun gegevens over te dragen naar een andere dienst- of productaanbieder;
6. Het recht om persoonlijke gegevens die met hun toestemming zijn verwerkt, te verwijderen;
7. Het recht op informatie over publieke en private derden met wie de beheerder hun gegevens heeft gedeeld;
8. Het recht op informatie over wat er gebeurt als ze toestemming weigeren;
9. Het recht om hun toestemming in te trekken.
10. Het recht op gegevensoverdraagbaarheid, waardoor de houder een volledige kopie van hun gegevens in een door concurrenten bruikbaar formaat kan aanvragen.

Vereisten voor gegevensbeheerders/organisaties

De LGPD vereist van gegevensbeheerders/organisaties dat zij:

• Een Functionaris voor Gegevensbescherming aanstellen om verzoeken of klachten van klanten wiens identiteit en contactinformatie openbaar en clear is, bij voorkeur op hun website, te beheren;
• Een register bijhouden van de verwerkingsoperaties die zij uitvoeren;
• Persoonlijke gegevens informeren, corrigeren, verwijderen, anonimiseren of verplaatsen zoals de betrokkene verzoekt;
• Gegevens verwijderen zodra de relatie eindigt;
• Administratieve en beveiligingsmaatregelen treffen om de gegevensbeveiliging te beschermen tegen diefstal, ongeautoriseerde toegang, ongevallen of andere problemen;
• Eventuele datalekken melden aan betrokkenen, lokale autoriteiten en de ANPD.

Er zijn tien gronden waarop bedrijven legaal persoonlijke gegevens kunnen verwerken. Gegevens kunnen worden verwerkt:

1. Voor legitieme, specifieke en expliciete doeleinden waarvoor de betrokkene heeft ingestemd;
2. Om te voldoen aan een wettelijke of regelgevende verplichting;
3. Voor het uitvoeren van publieke beleidsmaatregelen op basis van wettelijke contracten, overeenkomsten of soortgelijke;
4. Voor het uitvoeren van een contract op verzoek van de betrokkene (zoals een aankoop of transactie);
5. Voor het uitvoeren van onderzoek, en ervoor zorgen dat persoonlijke gegevens waar mogelijk zijn geanonimiseerd;
6. Voor de uitoefening van rechten in juridische, administratieve of arbitrageprocedures;
7. Voor de bescherming van het leven of de fysieke veiligheid van de betrokkene of een derde partij;
8. Om de gezondheid te beschermen, zoals uitgevoerd door gezondheidsprofessionals of gezondheidsinstellingen;
9. Wanneer nodig om de legitieme belangen van de beheerder of een derde partij te vervullen;
10. Voor de bescherming van krediet.

Wat de ANPD doet 

De Autoridade Nacional de Proteção de Dados (ANPD) of Nationale Gegevensbeschermingsautoriteit is de op te richten tak van de Braziliaanse federale overheid die verantwoordelijk is voor het toezicht op de regulering, naleving en handhaving van de LGPD. Terwijl het onder leiding van de president staat, heeft de ANPD wel beslissingsbevoegdheden. Het zal bestaan uit een adviesraad van 28 leden, verdeeld in verschillende groepen: de Raad van Bestuur, de Nationale Raad, een Bureau voor Interne Zaken en andere gespecialiseerde eenheden voor juridische en handhavingstaken.

Zij zullen verantwoordelijk zijn voor:

• Het bieden van interpretatie en praktische richtlijnen voor de implementatie van de LGPD;
• Het onderzoeken en auditen van klachten of schendingen die zijn gerapporteerd en samenwerken met de Functionaris voor Gegevensbescherming aan een oplossing;
• Het opleggen van sancties voor schendingen van de gegevensverwerking;
• Het uitvoeren van studies, openbare debatten en hoorzittingen over de bescherming van persoonlijke gegevens.

Wanneer de LGPD van kracht werd 

De wet zal op 1 januari 2021 van kracht worden.

Sancties voor schending van de naleving van de LGPD zijn uitgesteld tot 1 augustus 2021.

Aanbevelingen 

• Ten eerste, wachten tot het laatste moment om compliant te worden kan een kostbare fout zijn. Niet-naleving kan resulteren in boetes van meer dan 2% van hun omzet in Brazilië, voor het voorgaande fiscale jaar, tot een maximum van 50 miljoen Braziliaanse reais per overtreding (ongeveer 12,9 miljoen USD of 11,2 miljoen EUR.)
• Stel een Functionaris voor Gegevensbescherming aan om de gegevensverwerking en -beveiliging te monitoren, en publiceer duidelijk hun naam en contactinformatie op uw website.
• Vraag altijd om toestemming. Wees clear en transparant over hoe en waarom klantgegevens worden verwerkt, en maak het gemakkelijk om in of uit te schrijven.
• Bewaar gegevens alleen zo lang als nodig is om een transactie te verwerken, en niet langer.
• Zorg ervoor dat u uw gehele verwerkingspipeline documenteert: hoe verzamelt, slaat, gebruikt en deelt u persoonlijke gegevens? U kunt worden gevraagd om die documentatie te presenteren, dus het is beter om deze voorbereid te hebben.
• Plan regelmatige audits. Gegevenslekken zijn enorm kostbaar in middelen en reputatie. Alert zijn stelt u in staat om sneller fouten of bedreigingen op te sporen, en proactief zijn ziet er altijd beter uit dan betrapt worden.

Meer info 

• Officiële LGPD-website

Veelgestelde vragen