Ny lov om personvern i Brasil

Den 14. august signerte Brasils president en ny generell lov om personvern, Lei Geral de Proteção de Dados Pessoais ("LGPD"). LGPD speiler i stor grad EUs nye personvernforordning, GDPR.

LGPDs geografiske virkeområde er, på samme måte som GDPR, vidtrekkende. For det første gjelder LGPD naturligvis for all behandling av personopplysninger som skjer innenfor Brasils territorium. LGPD får videre anvendelse på all behandling av personopplysninger som skjer utenfor Brasils territorium, så lenge behandlingen er relatert til (i) tilbud av varer og tjenester i territoriet eller (ii) involverer personopplysninger tilhørende personer som er lokalisert i territoriet. I tillegg gjelder LGPD for all behandling av personopplysninger som er samlet inn i territoriet.

På samme måte som GDPR, oppstiller LGPD ulike behandlingsgrunnlag som legitimerer behandling av personopplysninger. LGPD oppstiller imidlertid enkelte mer spesifikke behandlingsgrunnlag som ikke gjenfinnes i GDPR. Blant annet åpner LGPD for behandling av personopplysninger for helsevern i en prosedyre utført av helsepersonell og for beskyttelse av kreditt. I tillegg slår loven fast at kravet om samtykke kan fravikes dersom den registrerte åpenbart har offentliggjort egne personopplysninger.

Før signering av det nye loven besluttet presidenten å legge ned veto mot tre av bestemmelsene som opprinnelig var inkludert i lovforslaget som ble akseptert av senatet. De tre bestemmelsene som ble forkastet omhandlet henholdsvis (i) etablering av en uavhengig tilsynsmyndighet, (ii) mulighet for å suspendere eller forby behandling som en reaksjon på handlinger i strid med loven, og (iii) krav om at offentlige aktører må opplys om overføringen mellom offentlige etater. Presidentens kontor har antydet at forkastelsen av disse bestemmelsene ikke er ment å redusere effektiviteten av loven.

Gjennom dette nye regelverket har Brasil forsterket og forbedret sitt personvernregime betydelig. Regelverket vil kunne medføre at Brasil blir gjenstand for en avgjørelse av EU-kommisjonen om "tilstrekkelig beskyttelsesnivå" etter GDPR, noe som vil gjøre det enklere å utveksle personopplysninger mellom Europa og Brasil. Det gjenstår å se hvordan EU-kommisjonen vurderer det nye regelverket.