Wat u moet weten over lgpd

Wat u moet weten over LGPD

bruno martinez-avatar
De Senaat besloot de LGPD niet te verlengen, die een reeks verplichtingen met zich meebrengt voor bedrijven en rechten voor individuen met betrekking tot hun gegevens. Bekijk wat u moet weten om de LGPD te begrijpen

Op 26 augustus verwierp de Federale Senaat in een historische en verrassende stemming de verlenging van de Algemene wet gegevensbescherming (“LGPD”) eerder goedgekeurd door de Kamer van Afgevaardigden.

Op 25 augustus had de Kamer van Afgevaardigden gestemd over voorlopige maatregel nr. 959/2020 (“MP 959”) om vast te stellen dat de AVG zou pas op 31 december 2020 in werking moeten treden.

Om deze nieuwe datum te bevestigen, was echter de goedkeuring door de federale senaat in afwachting. Na een onverwachte wetgevende ommekeer begreep de Senaat dat de discussie over de inwerkingtreding van de LGPD zou worden belemmerd omdat deze al was behandeld door wet nr. 14.010/2020. Zo werd het voorstel van de Kamer van Volksvertegenwoordigers om de LGPD op 31 december 2020 in werking te laten treden door de Eerste Kamer afgewezen, waardoor de LGPD vanaf heden in werking zou treden.

In een toelichting op haar officiële website verklaarde de federale senaat echter dat de LGPD niet onmiddellijk van kracht zal worden, maar pas na presidentiële goedkeuring of vetorecht, wat uiterlijk op 17 september 2020 moet plaatsvinden.

Ondanks de verlenging van de ingangsdatum van de AVG niet is goedgekeurd, zullen de wetsartikelen met betrekking tot straffen en boetes pas op 1 augustus 2021 in werking treden, overeenkomstig wet nr. 14.010/2020.

Maar waarom hebben we het tenslotte over het wetgevingsproces op een technologiesite? Wat is LGPD? En waarom wordt er de laatste tijd zoveel over haar gepraat?

Wat is de Algemene Wet Gegevensbescherming (LGPD)?

Lgpd zoekt balans tussen bedrijven en consumenten op het gebied van datagebruik
LGPD zoekt balans tussen bedrijven en consumenten over datagebruik

A Algemene wet gegevensbescherming was oorspronkelijk bewerkt op 14 augustus 2018, en heeft sindsdien verschillende wijzigingen ondergaan, voornamelijk met betrekking tot de ingangsdatum. Het is de eerste Braziliaanse wet die specifiek gaat over de bescherming van persoonsgegevens, en is sterk geïnspireerd door de regelgeving van de Europese Unie die momenteel van kracht is (de zo bekende “GDPR” – Algemene Verordening Gegevensbescherming).

Tot dan toe had Brazilië specifieke bepalingen in verschillende wetten (zoals de Consumer Defence Code, de Federale Grondwet en het Civil Rights Framework for the Internet) die tot op zekere hoogte kwesties behandelden die verband hielden met privacy en de verwerking van persoonsgegevens. Er was echter geen specifieke algemene wet om deze uiterst belangrijke kwestie aan te pakken, vooral gezien de fundamentele rol die persoonsgegevens spelen in verschillende bedrijven en in onze samenleving.

De LGPD komt daarom om deze kwestie te reguleren en de bescherming van de persoonlijke gegevens van individuen te garanderen. Het is vermeldenswaard dat de wet alleen betrekking heeft op gegevens/informatie die natuurlijke personen (individuen) kunnen identificeren. Dat wil zeggen dat bedrijfsinformatie, ook al is deze vertrouwelijk (zoals bijvoorbeeld bedrijfsgeheimen), geen deel uitmaakt van het toepassingsgebied van de LGPD.

Wanneer we het hebben over persoonsgegevens die worden beschermd door de LGPD, is het gebruikelijk om te denken aan de typische relatie van een consument die zijn gegevens laat verzamelen door een e-commerce, of anders door een applicatie, sociaal netwerk of van de. De waarheid is dat de wet niet alleen van toepassing is op persoonsgegevens die in de digitale omgeving worden verzameld, maar ook op andere soorten relaties, zoals bijvoorbeeld een dienstverband. De gegevens die een bedrijf verzamelt en bijhoudt met betrekking tot zijn werknemers vallen ook onder de bepalingen van de LGPD.

De LGPD brengt een reeks principes met zich mee die moeten worden nageleefd door bedrijven en overheidsinstanties die persoonsgegevens gebruiken, zoals transparantie, veiligheid, non-discriminatie, vrije toegang, adequaatheid en doel.

Als u, de lezer, een oplettend persoon bent, moet het u zijn opgevallen dat verschillende bedrijven hun gebruiksvoorwaarden en privacybeleid updaten en zelfs nieuwe functionaliteiten in diensten opnemen met betrekking tot controles en meldingen over privacy. Deze veranderingen zijn een weerspiegeling van en komen precies voort uit de aanpassingsbehoefte waaraan deze bedrijven zijn onderworpen door de LGPD.

Een van de grote innovaties die de wet heeft gebracht, is de duidelijke definitie van de hypothesen die de verwerking van persoonsgegevens mogelijk maken, de zogenaamde "rechtsgrondslagen". Dit betekent dat, om gebruik te kunnen maken van persoonsgegevens, het noodzakelijk is om te passen in een van de volgende tien mogelijkheden:

  1. Met toestemming van de betrokkene;
  2. Voor het nakomen van een wettelijke verplichting;
  3. Door het openbaar bestuur, voor de behandeling en gedeeld gebruik van gegevens die nodig zijn voor de uitvoering van het overheidsbeleid;
  4. Om studies uit te voeren door onderzoeksinstantie;
  5. Om een ​​overeenkomst uit te voeren waarbij de betrokkene partij is;
  6. Voor de regelmatige uitoefening van rechten in gerechtelijke, administratieve of arbitrageprocedures;
  7. Ter bescherming van het leven van de houder of van een derde;
  8. Uitsluitend voor de bescherming van de gezondheid in een procedure die wordt uitgevoerd door gezondheidswerkers, gezondheidsdiensten of gezondheidsautoriteiten;
  9. Om te voldoen aan de legitieme belangen van de verwerkingsverantwoordelijke of een derde partij; of
  10. Voor kredietbescherming.

Het is vermeldenswaard dat niet al deze mogelijkheden hierboven van toepassing zijn als we het hebben over de verwerking van bijzondere persoonsgegevens. Gevoelige persoonsgegevens zijn gegevens over ras of etnische afkomst, religieuze overtuiging, politieke mening, vakbondslidmaatschap of organisatie van religieuze, levensbeschouwelijke of politieke aard, gezondheid of seksleven, genetische of biometrische gegevens. Specifiek met betrekking tot deze gegevens, evenals met betrekking tot gegevens van kinderen en adolescenten, is de wet beperkter en strenger met betrekking tot de mogelijkheden voor hun behandeling.

Over behandeling gesproken, het is belangrijk om duidelijk te maken wat deze term betekent. Volgens de LGPD is "verwerking" elke bewerking die wordt uitgevoerd met persoonsgegevens, zoals het verzamelen, produceren, ontvangen, classificeren, gebruiken, openen, reproduceren, verzenden, verspreiden, verwerken, archiveren, opslaan, verwijderen, evalueren of controleren van informatie, wijziging, communicatie, overdracht, verspreiding of extractie. Dat wil zeggen, in principe wordt alles wat met persoonlijke gegevens wordt gedaan, beschouwd als behandeling, en niet alleen als het daadwerkelijke gebruik ervan.

Verplichtingen van bedrijven onder de LGPD

A AVG het legt ook enkele verplichtingen op die door bedrijven in de praktijk moeten worden gebracht met betrekking tot de verwerking van persoonsgegevens. Hieronder staan ​​enkele van deze hoofdverplichtingen:

  • Houd een register bij van de verwerkingen van persoonsgegevens – dit betekent dat bedrijven een controle (een soort inventaris) moeten bijhouden van hun activiteiten met betrekking tot persoonsgegevens.
  • Wijs een verantwoordelijke persoon aan (beter bekend als "DPO" - functionaris voor gegevensbescherming) die verantwoordelijk zal zijn voor het optreden als communicatiekanaal met betrokkenen en de nationale gegevensbeschermingsautoriteit ("ANPD").
  • Veiligheidsmaatregelen nemen die persoonsgegevens kunnen beschermen tegen ongeoorloofde toegang en onbedoelde of onwettige situaties van vernietiging, verlies, wijziging, communicatie of enige vorm van ongepaste of onwettige behandeling.
  • De ANPD en de betrokkene op de hoogte stellen van het optreden van een beveiligingsincident dat een aanzienlijk risico of aanzienlijke schade kan inhouden.

Gebruikersrechten met betrekking tot persoonsgegevens

Vanuit het oogpunt van de rechten die de wet aan betrokkenen garandeert, kunnen we het volgende vermelden:

  • Bevestiging van het bestaan ​​van behandeling;
  • Toegang tot de gegevens;
  • Correctie van onvolledige, onjuiste of verouderde gegevens;
  • Anonimisering, blokkering of verwijdering van gegevens die onnodig, buitensporig of in strijd met de wet behandeld zijn;
  • Gegevensoverdraagbaarheid naar een andere service- of productaanbieder;
  • Verwijdering van persoonsgegevens verwerkt met toestemming van de houder;
  • Informatie van openbare en particuliere entiteiten waarmee de controller gedeeld gebruik van gegevens heeft uitgevoerd;
  • Informatie over de mogelijkheid om geen toestemming te geven en de gevolgen van de weigering;
  • Intrekking van toestemming.

De wet voorziet in sancties bij overtreding van haar bepalingen, die kunnen variëren van een waarschuwing tot een boete die kan oplopen tot BRL 50.000.000,00, of zelfs een geheel of gedeeltelijk verbod op het uitvoeren van activiteiten die verband houden met gegevensverwerking. Zoals hierboven vermeld, gaan deze boetes pas in vanaf 1 augustus 2021.

De rol van de Autoriteit Persoonsgegevens

Met betrekking tot de Nationale Gegevensbeschermingsautoriteit (“ANPD”), die nog niet is vastgesteld, de Decreet nr. 10.474 van 26 augustus, die zijn regimentsstructuur goedkeurt (als een integraal orgaan van het presidentschap van de Republiek) en de demonstratieve tabel van zijn posities in commissie en vertrouwensfuncties, herschikking van posities in commissie van de Hogere Directie en Adviesgroep (DAS) en Functies in opdracht van de uitvoerende macht (FCPE), van het directiesecretariaat van het speciaal secretariaat voor ontbureaucratisering, beheer en digitale overheid van het ministerie van Economische Zaken voor de ANPD. Dit besluit treedt in werking op de datum van publicatie van de benoeming van de directeur-voorzitter van de ANPD in het Staatsblad van de Vakbond, die nog moet plaatsvinden.

A ANPD het is essentieel dat de LGPD op de beste manier "werkt", aangezien een dergelijke autoriteit onder meer verantwoordelijk zal zijn voor het waarborgen van de bescherming van persoonsgegevens, het opstellen van richtlijnen voor het nationale beleid voor de bescherming van persoonsgegevens en privacy, het inspecteren en sancties toe te passen, de bevolking bewust te maken van normen en overheidsbeleid inzake de bescherming van persoonsgegevens en veiligheidsmaatregelen.

Ongeacht de volledige geldigheid van de LGPD en de effectieve werking van de ANPD, is het belangrijk om te benadrukken dat verschillende autoriteiten, zoals het Openbaar Ministerie, SENACON, Procons en zelfs rechters, de LGPD al als basis gebruiken om hun onderzoeken en beslissingen. Daarom is het belangrijk dat bedrijven oplettend en bereid zijn om de bepalingen van de wet na te leven.

Advocaat Carla do Couto Hellu Battilana vertelt over de LGPD
Wat u moet weten over LGPD

Dit artikel is geschreven door Carla do Couto Hellu Battilana, partner op het gebied van technologie, cyberbeveiliging en gegevensprivacy van TozziniFreire Advogados.

Meld u aan om ons nieuws te ontvangen:

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Gerelateerde berichten