Nu in de EU de GDPR langzaamaan volledig ingebed raakt en ondernemingen in alle lidstaten volop werken aan compliance met de nieuwe regels, zien we recentelijk ook in andere rechtsgebieden nieuwe databeschermingswetgeving opduiken, die vaak op dezelfde principes gebaseerd is als de GDPR.
Zopas nog maakte Californië bekend dat ze een data protection act voorbereiden en ook in bvb Australië wordt er gewerkt aan nieuwe privacywetgeving. Afgelopen zomer heeft daarnaast ook Brazilië een eigen Algemene Wet betreffende Gegevensbescherming gekregen. De nieuwe wet treedt in februari 2020 in werking.
Braziliaanse GDPR?
Opmerkelijk is dat de Braziliaanse wet erg gelijkaardige principes en definities hanteert als de Europese GDPR.
Zo is de definitie van wat als persoonsgegevens beschouwd moet worden quasi identiek. Volgens de wet worden ‘persoonsgegevens’ gedefinieerd als gegevens met betrekking tot een geïdentificeerd of identificeerbaar individu. Met andere woorden, alle gegevens die kunnen worden gebruikt, alleen of in combinatie met andere informatie, om een persoon te identificeren. Ook het begrip verwerking loopt gelijk met de EU: elke daad van verzamelen, gebruiken, openen, reproduceren, archiveren, opslaan, verwijderen en overdragen van persoonlijke gegevens in online of offline omgevingen.
Personen wordt de eigendom en controle over hun persoonsgegevens teruggegeven en zij moeten nu, net als in de EU in principe voorafgaande toestemming geven voordat hun gegevens kunnen worden verwerkt of gedeeld. Ook de “doelgebondenheid” uit de GDPR heeft zijn weg gevonden in de Braziliaanse wet: elke verwerking van gegevens moet beperkt zijn tot het specifieke doel dat aan de gebruiker wordt medegedeeld op het ogenblik dat hij of zij toestemming geeft.
De wet geeft, net als de GDPR, bijzondere bescherming aan bepaalde gegevens die als “gevoelig” zijn gedefinieerd en ook hier is de opsomming dezelfde als onder GDPR: raciale en etnische achtergrond, religie, politieke meningen en voorkeuren, gegevens over gezondheid en seksuele geaardheid en genetische of biometrische gegevens.
Net als in Europa worden de rechten van de betrokkenen versterkt en zullen individuen toegang moeten krijgen tot hun persoonsgegevens.
Belangrijk voor wie zaken doet met Brazilië
Belangrijk voor wie actief is in Brazilië is het feit dat de wet voorziet dat ook buitenlandse bedrijven die data verwerken van Brazilianen onderworpen zijn aan de Braziliaanse wet. Bovendien bevat de wet een aantal specifieke verplichtingen of beperkingen voor buitenlandse bedrijven.
Aangezien de Braziliaanse wet, net als de GDPR, in bijzonder hoge boetes voorziet (in het geval van Brazilië tot 2% van de groepsomzet in het afgelopen fiscale jaar met een maximum van omgerekend 10 miljoen euro) doen buitenlandse bedrijven die in Brazilië actief (willen) zijn er best aan zich tijdig te informeren en waar nodig, net als onder GDPR in Europa, de nodige voorbereidende maatregelen te nemen.
Vragen over databescherming of over zakendoen in Brazilië?
Sirius Legal heeft een team van specialisten in databescherming én in internationale handel en kan bovendien terugvallen op een bijzonder uitgebreid netwerk aan internationale contacten, inclusief in Brazilië.
Neem gerust vrijblijvend contact op via info@siriuslegal.be of op 0032 2 721 13 00.