CCPA vs LGPD: Californische en Braziliaanse privacywetten vergeleken
De CCPA en LGPD vertegenwoordigen fundamenteel verschillende benaderingen van privacyregelgeving. De CCPA is een opt-out wet die gegevensverzameling standaard toestaat en consumenten het recht geeft om nee te zeggen. De LGPD volgt een toestemming-eerst model dat meer lijkt op de GDPR, waarbij een rechtsgrondslag vereist is voordat persoonlijke gegevens worden verwerkt. Ze verschillen ook in reikwijdte, boetes en de rechten die aan individuen worden verleend.
| Kenmerk | CCPA | LGPD |
|---|---|---|
| Geografisch bereik | Californië, Verenigde Staten | Brazilië (van toepassing op de verwerking van gegevens van personen in Brazilië) |
| Op wie van toepassing | Bedrijven met winstoogmerk die voldoen aan drempels voor omzet, gegevensvolume of gegevensverkoop | Elke organisatie die persoonlijke gegevens van personen in Brazilië verwerkt, geen minimumdrempels |
| Toestemmingsvereisten | Opt-out: gegevensverzameling standaard met recht om af te melden voor verkoop | Toestemming-eerst: een van 10 rechtsgrondslagen vereist, toestemming meest voorkomend |
| Cookie- en trackingregels | Geen specifieke cookiewet; verkoop via tracking activeert opt-out rechten | Geen specifieke cookiewet; toestemmingsprincipes zijn van toepassing op cookies en tracking |
| Individuele rechten | Inzage, verwijdering, afmelding voor verkoop, non-discriminatie | Toegang, correctie, anonimisering, verwijdering, overdraagbaarheid, informatie over delen, herziening van geautomatiseerde beslissingen |
| Maximale boetes | $7.500 per opzettelijke overtreding, $2.500 per onopzettelijke overtreding | Tot 2% van de omzet in Brazilië, met een maximum van BRL 50 miljoen per overtreding |
| Handhavingsinstantie | Procureur-generaal van Californië en CPPA | ANPD (Autoridade Nacional de Protecao de Dados) |
Belangrijkste verschillen
Het toestemmingsmodel is het meest fundamentele verschil. De CCPA staat bedrijven toe om standaard persoonlijke gegevens te verzamelen en te gebruiken, waarbij consumenten het recht hebben om zich af te melden voor de verkoop van die informatie. De LGPD vereist een van de 10 rechtsgrondslagen voordat persoonlijke gegevens worden verwerkt, waarbij toestemming de meest voorkomende is. Dit betekent dat de LGPD in veel gevallen bevestigende toestemming vereist waar de CCPA dat niet zou doen.
Boetestructuren verschillen aanzienlijk. CCPA-boetes zijn per overtreding ($7.500 voor opzettelijk, $2.500 voor onopzettelijk), die kunnen oplopen maar doorgaans voorspelbaar zijn. LGPD-boetes zijn op percentagebasis, tot 2% van de omzet van het bedrijf in Brazilië, met een maximum van BRL 50 miljoen per overtreding. Voor bedrijven met grote Braziliaanse activiteiten kunnen LGPD-boetes aanzienlijk zijn.
De reikwijdte verschilt ook. De CCPA is alleen van toepassing op bedrijven met winstoogmerk die aan specifieke drempels voldoen en beschermt alleen Californische inwoners. De LGPD is van toepassing op elke organisatie die persoonlijke gegevens verwerkt van personen in Brazilië, ongeacht waar de organisatie is gevestigd en zonder drempels voor omzet of gegevensvolume. Dit extraterritoriale bereik is vergelijkbaar met de GDPR.
Hoe Pryvii helpt
Pryvii scant uw website in één keer op zowel CCPA- als LGPD-vereisten. Het controleert op opt-out mechanismen die nodig zijn onder de CCPA, toestemmingsmechanismen vereist door de LGPD, en zorgt ervoor dat uw privacybeleid beide kaders adresseert. Het multi-regelgevingsrapport geeft duidelijk aan waar uw site tekortschiet voor elke wet.
Veelgestelde vragen
Als ik aan de CCPA voldoe, ben ik dan ook LGPD-conform?
Nee. Het opt-out model van de CCPA is fundamenteel anders dan de toestemming-eerst benadering van de LGPD. CCPA-naleving alleen voldoet niet aan de LGPD-vereisten. U zou toestemmingsmechanismen moeten implementeren, een rechtsgrondslag voor verwerking moeten vaststellen en mogelijk een DPO (encarregado) moeten aanwijzen om aan de LGPD te voldoen.
Is de LGPD van toepassing op mijn bedrijf als ik in de Verenigde Staten ben gevestigd?
Ja, als u persoonlijke gegevens verwerkt van personen in Brazilië. De LGPD heeft een extraterritoriaal bereik vergelijkbaar met de GDPR, en is van toepassing ongeacht waar de verwerkende organisatie is gevestigd. Als uw website gegevens verzamelt van Braziliaanse bezoekers, kan de LGPD van toepassing zijn.
Welke wet geeft consumenten meer rechten?
De LGPD biedt een bredere set individuele rechten, waaronder toegang, correctie, anonimisering, verwijdering, overdraagbaarheid, informatie over het delen met derden en het recht op herziening van geautomatiseerde beslissingen. De CCPA biedt de rechten op inzage, verwijdering, afmelding voor verkoop en non-discriminatie. Het rechtenkader van de LGPD is uitgebreider.
Gerelateerde vergelijkingen
Controleer uw naleving
Scan uw website tegen meerdere regelgevingen in enkele minuten.