Termer att känna till för LGPD Brasilien
- Personuppgifter: All information som identifierar eller är specifik för en individ, som deras namn, efternamn, smeknamn, ID-nummer, etc.
- Dataägare eller Registrerad: Den individ som de personuppgifter handlar om.
- Databehandling: Alla operationer som utförs med hjälp av personuppgifter, som att samla in, lagra, använda eller avslöja information.
- Dataansvarig: Den person som ansvarar för beslut om hur personuppgifter används eller behandlas. De är ytterst ansvariga för sitt företags uppfyllande eller misslyckande att uppfylla LGPD-standarder.
- Samtycke: fri, informerad tillåtelse eller överenskommelse. I detta fall, dataägarens tillstånd för att deras information ska behandlas för ett givet syfte.
- Autoridade Nacional de Proteção de Dados (ANPD) eller Nationell dataskyddsmyndighet: Gren av den brasilianska federala regeringen som ansvarar för att övervaka regleringen, efterlevnaden och verkställigheten av LGPD.
- Dataskyddsombud: Person som representerar organisationen som behandlar personuppgifter, som är ansvarig för kommunikationen mellan deras företag, ANPD och dataägare. De har vanligtvis en bakgrund inom juridik eller IT.
Vad LGPD gör
LGPD kräver att dataansvariga antar tekniska och administrativa metoder som reglerar hur och varför personuppgifter kan behandlas (elektroniskt eller fysiskt) och skyddar de personuppgifter de behandlar från obehörig åtkomst, förlust, förändring och/eller exponering.
Tio rättigheter för registrerade
Brasiliens LGPD beskriver tio rättigheter för registrerade, som är grunden för alla behandlingskrav som ställs på företag eller organisationer:
- Rätten att bekräfta att deras data har behandlats;
- Rätten att få tillgång till sina data;
- Rätten att korrigera ofullständiga, felaktiga eller föråldrade data;
- Rätten att anonymisera, blockera eller radera onödiga eller överflödiga data eller data som inte behandlas i enlighet med LGPD;
- Rätten att flytta sina data till en annan tjänst eller produktleverantör;
- Rätten att radera personuppgifter som behandlats med deras samtycke;
- Rätten till information om offentliga och privata tredje parter som dataansvarig har delat sina data med;
- Rätten till information om vad som händer om de nekar samtycke;
- Rätten att återkalla sitt samtycke.
- Rätten till dataportabilitet, vilket gör att ägaren kan begära en komplett kopia av sina data i ett format som kan användas av konkurrenter.
Krav för dataansvariga/organisationer
LGPD kräver att dataansvariga/organisationer:
- Utnämna ett dataskyddsombud för att hantera förfrågningar eller klagomål från kunder vars identitet och kontaktinformation är offentlig och clear, helst på deras webbplats;
- Hålla en register över de behandlingsoperationer de utför;
- Informera, korrigera, radera, anonymisera eller flytta personuppgifter enligt den registrerades begäran;
- Ta bort data när relationen avslutas;
- Införa administrativa och säkerhetsåtgärder för att skydda dataskyddet från stöld, obehörig åtkomst, olyckor eller andra problem;
- Meddela eventuella dataintrång till registrerade, lokala myndigheter och ANPD.
Det finns tio grunder under vilka företag lagligt kan behandla personuppgifter. Data kan behandlas:
- För legitima, specifika och explicita syften som den registrerade har samtyckt till;
- För att uppfylla en juridisk eller reglerande skyldighet;
- För att genomföra offentliga policyer baserade på juridiska kontrakt, avtal eller liknande;
- För att genomföra ett kontrakt på begäran av den registrerade (som ett köp eller en transaktion);
- För att genomföra forskning, och säkerställa att personuppgifter anonymiseras när det är möjligt;
- För utövande av rättigheter i rättsliga, administrativa eller skiljeförfaranden;
- För skydd av liv eller fysisk säkerhet för den registrerade eller en tredje part;
- För att skydda hälsan, som utförs av hälsoyrken eller hälsoorganisationer;
- När det är nödvändigt för att uppfylla de legitima intressena hos den ansvariga eller en tredje part;
- För skydd av kredit.
Vad ANPD gör
Autoridade Nacional de Proteção de Dados (ANPD) eller Nationell dataskyddsmyndighet är den kommande grenen av den brasilianska federala regeringen som ansvarar för att övervaka regleringen, efterlevnaden och verkställigheten av LGPD. Under presidentens ledning har ANPD beslutanderätt. Den kommer att bestå av en rådgivande styrelse med 28 medlemmar uppdelad i flera grupper: styrelsen, det nationella rådet, en internavdelning och andra specialiserade enheter för juridiska och verkställande uppgifter.
De kommer att vara ansvariga för:
- Att ge tolkningar och praktiska riktlinjer för hur man implementerar LGPD;
- Utreda och granska klagomål eller intrång som rapporterats och arbeta med dataskyddsombudet för en lösning;
- Utfärda sanktioner för överträdelser av databehandling;
- Genomföra studier, offentliga debatter och utfrågningar om skydd av personuppgifter.
När LGPD trädde i kraft
Lagen träder i kraft den 1 januari 2021.
Sanktioner för överträdelser av LGPD:s efterlevnad har skjutits upp till den 1 augusti 2021.
Rekommendationer
- Först och främst kan det vara ett kostsamt misstag att vänta till sista minuten för att bli efterlevande. Bristande efterlevnad kan resultera i böter på upp till 2% av deras intäkter i Brasilien, för det föregående räkenskapsåret, med ett maxbelopp på 50 miljoner brasilianska reais per överträdelse (ungefär 12,9 miljoner USD eller 11,2 miljoner EUR.)
- Utnämna ett dataskyddsombud för att övervaka databehandling och säkerhet, och tydligt publicera deras namn och kontaktinformation på din webbplats.
- Be alltid om samtycke. Var clear och transparent med hur och varför kunddata behandlas, och gör det enkelt att välja in eller ut.
- Lagra endast data så länge som behövs för att behandla en transaktion, och inte längre.
- Se till att dokumentera hela din behandlingskedja: hur samlar du in, lagrar, använder och delar personuppgifter? Du kan bli ombedd att presentera den dokumentationen, så det är bättre att ha den förberedd.
- Schemalägg regelbundna revisioner. Dataintrång är enormt kostsamma i resurser och rykte. Att vara på utkik gör att du snabbare kan fånga fel eller hot, och att vara proaktiv ser alltid bättre ut än att bli påkommen.
Mer information
Vanliga frågor
Hur skiljer sig Brasiliens LGPD från EU:s GDPR?
- GDPR tillämpas på fysiska personer oavsett deras bostadsort eller nationalitet; LGPD specificerar inte.
- Dataskyddsombud: LGPD:s breda riktlinje anger att alla organisationer som behandlar data från brasilianska medborgare behöver ett DPO. Å sin sida har GDPR specifika krav för när ett DPO behövs.
- Juridisk grund för databehandling: I båda lagarna måste en datakontrollant ha en juridisk motivering för att behandla en registrerad persons information. Medan GDPR har sex kriterier, har LGPD tio.
Brasiliens allmänna dataskyddslag
Lär dig om Brasiliens allmänna dataskyddslag (LGPD).I sitt senaste försök till ordning och framsteg antog Brasilien Lei Geral de Proteção de Dados (LGPD) eller den allmänna lagen för skydd av personuppgifter. Lagstiftningen är ett sätt att skydda brasilianska medborgares personliga information och integritet genom att ge riktlinjer för hur dessa uppgifter kan behandlas och samlas in av organisationer. (Tips: Endast med tillstånd.) Den hjälper till att standardisera och klargöra över 40 olika tidigare, (ibland motstridiga) lagar som reglerade personuppgifter, och gäller både brasilianska och internationella företag och organisationer.