GDPR vs LGPD: EU- en Braziliaanse privacywetten vergeleken
De Braziliaanse LGPD (Lei Geral de Protecao de Dados) is nauw gemodelleerd naar de GDPR en trad in werking in 2020. Hoewel beide wetten vergelijkbare principes rond gegevensbescherming delen, definieert de LGPD 10 rechtsgrondslagen voor verwerking (vergeleken met 6 bij de GDPR) en heeft een andere boetestructuur. De ANPD (Autoridade Nacional de Protecao de Dados) fungeert als de Braziliaanse handhavingsautoriteit.
| Kenmerk | GDPR | LGPD |
|---|---|---|
| Geografisch bereik | Europese Unie en EER-lidstaten | Brazilië (van toepassing op de verwerking van gegevens van personen in Brazilië) |
| Op wie van toepassing | Elke organisatie die gegevens van EU-ingezetenen verwerkt | Elke organisatie die persoonlijke gegevens van personen in Brazilië verwerkt, ongeacht locatie |
| Toestemmingsvereisten | Opt-in toestemming vereist; 6 rechtsgrondslagen voor verwerking | Opt-in toestemming vereist; 10 rechtsgrondslagen voor verwerking |
| Cookie- en trackingregels | Niet-essentiële cookies vereisen uitdrukkelijke voorafgaande toestemming onder de ePrivacy-richtlijn | Geen specifieke cookiewet, maar toestemmingsprincipes zijn van toepassing op online tracking |
| Individuele rechten | Toegang, rectificatie, verwijdering, overdraagbaarheid, beperking, bezwaar | Toegang, correctie, anonimisering, verwijdering, overdraagbaarheid, informatie over delen, herziening van geautomatiseerde beslissingen |
| Maximale boetes | Tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet | Tot 2% van de omzet in Brazilië, met een maximum van BRL 50 miljoen per overtreding |
| Handhavingsinstantie | Nationale gegevensbeschermingsautoriteiten in elke EU-lidstaat | ANPD (Autoridade Nacional de Protecao de Dados) |
Belangrijkste verschillen
De LGPD biedt 10 rechtsgrondslagen voor de verwerking van persoonlijke gegevens, vergeleken met de 6 van de GDPR. Naast de bekende toestemming, contract, wettelijke verplichting, vitale belangen, algemeen belang en gerechtvaardigde belangen, omvat de LGPD ook kredietbescherming, gezondheidsbescherming, onderzoek door onderzoeksinstanties en de regelmatige uitoefening van rechten in gerechtelijke of administratieve procedures.
Boetes verschillen aanzienlijk in omvang. GDPR-boetes kunnen oplopen tot EUR 20 miljoen of 4% van de wereldwijde jaaromzet. LGPD-boetes zijn beperkt tot 2% van de omzet van het bedrijf in Brazilië (niet wereldwijd), met een maximum van BRL 50 miljoen per overtreding. Hoewel dit aanzienlijk is, wordt het over het algemeen als minder streng beschouwd dan de GDPR-berekening op basis van de wereldwijde omzet.
Beide wetten verlenen vergelijkbare individuele rechten, maar de LGPD bevat een specifiek recht op informatie over publieke en private entiteiten waarmee gegevens zijn gedeeld, en een recht op herziening van geautomatiseerde beslissingen. De GDPR heeft een breder recht op gegevensoverdraagbaarheid en meer gedetailleerde bepalingen rond geautomatiseerde besluitvorming, inclusief profilering.
Hoe Pryvii helpt
Pryvii ondersteunt het scannen op zowel GDPR- als LGPD-vereisten. Het controleert uw website op Portugeestalige privacymededelingen, passende toestemmingsmechanismen en vereiste vermeldingen over het delen van gegevens met derden. De multi-regelgevingsscan belicht hiaten die specifiek zijn voor elke wet.
Veelgestelde vragen
Is de LGPD in feite een kopie van de GDPR?
De LGPD is sterk beïnvloed door de GDPR en deelt veel principes, maar is niet identiek. Belangrijke verschillen zijn meer rechtsgrondslagen voor verwerking (10 vs 6), een andere boetestructuur (beperkt tot 2% van de Braziliaanse omzet) en enkele unieke bepalingen rond kredietbescherming en gezondheidgegevensverwerking.
Heb ik onder beide wetten een DPO nodig?
De GDPR vereist een Data Protection Officer in specifieke omstandigheden, zoals wanneer verwerking wordt uitgevoerd door een overheidsinstantie of grootschalige systematische monitoring omvat. De LGPD vereist dat alle verwerkingsverantwoordelijken een DPO (encarregado) aanwijzen, hoewel de ANPD dit voor kleine bedrijven heeft versoepeld.
Kan ik gegevens overdragen tussen de EU en Brazilië?
Gegevensoverdrachten vereisen passende waarborgen onder beide wetten. Brazilië heeft nog geen GDPR-adequaatheidsbesluit van de EU. Overdrachten zijn doorgaans gebaseerd op standaard contractbepalingen of andere goedgekeurde mechanismen. De LGPD beperkt ook internationale overdrachten en vereist adequate bescherming in het ontvangende land.
Gerelateerde vergelijkingen
Controleer uw naleving
Scan uw website tegen meerdere regelgevingen in enkele minuten.