Ähnlichkeiten und Unterschiede zwischen GDPR und LGPD

Beeinflusst von der allgemeinen Datenschutzverordnung der EU versucht der brasilianische Lei Geral de Proteção de Dados (oder LGPD) die über 40 verschiedenen Statuten, die derzeit für persönliche Daten, sowohl online als auch offline, gelten, zu vereinheitlichen, indem er bestimmte Vorschriften ersetzt und andere ergänzt.

Ein sehr wichtiger Aspekt der LGPD ist, dass sie für jedes Unternehmen oder jede Organisation gilt, die personenbezogene Daten von Personen in Brasilien verarbeitet, unabhängig davon, wo sich dieses Unternehmen oder diese Organisation selbst befindet. Bevor das Gesetz in Kraft tritt, sollten Sie sich also auf die Einhaltung der LGPD vorbereiten, falls Ihr Unternehmen Kunden oder Klienten in Brasilien hat. Im Zusammenhang mit diesem Thema ist unsere GDPR-Erweiterung derzeit in Vorbereitung und wird in Kürze online gehen.

Was ist ähnlich zwischen dem GDPR und dem LGPD?

Die LGPD und das GDPR weisen im Sinne des Datenschutzes zwei wesentliche Gemeinsamkeiten auf: die personenbezogenen Daten und die Rechte der Betroffenen, die über die extraterritoriale Anwendung hinausgehen.

In Artikel 4 des GDPR wird der Begriff „personenbezogene Daten“ wie folgt genau definiert:

Personenbezogene Daten“ sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren spezifischen Elementen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Im Vergleich dazu hat die LGPD keine einheitliche Definition, sondern stellt an verschiedenen Stellen fest, dass personenbezogene Daten alle Daten sein können, die für sich allein oder in Kombination mit anderen Daten eine natürliche Person identifizieren oder einer bestimmten Behandlung unterziehen könnten.

Eine weitere Ähnlichkeit, die das LGPD mit dem GDPR hat, ist die Erläuterung der grundlegenden Rechte, die die betroffene Person hat.

Neun Rechte der betroffenen Person

  • das Recht auf Bestätigung der Existenz der Verarbeitung;
  • das Recht auf Zugang zu den Daten;
  • das Recht auf Berichtigung unvollständiger, unrichtiger oder veralteter Daten;
  • das Recht auf Anonymisierung, Sperrung oder Löschung unnötiger oder überzähliger Daten oder Daten, die nicht in Übereinstimmung mit der LGPD verarbeitet werden;
  • das Recht auf die Übertragbarkeit von Daten auf einen anderen Dienstleistungs- oder Produktanbieter mittels eines ausdrücklichen Antrags.
  • das Recht, personenbezogene Daten, die mit Zustimmung der betroffenen Person verarbeitet wurden, zu löschen;
  • das Recht auf Information über öffentliche und private Stellen, mit denen der für die Verarbeitung Verantwortliche Daten ausgetauscht hat;
  • das Recht auf Information über die Möglichkeit der Verweigerung der Zustimmung und die Folgen einer solchen Verweigerung; und
  • das Recht, die Zustimmung zu widerrufen.

Es scheint, dass dieser Abschnitt der LGPD (Artikel 18) sehr eng an die acht Grundrechte des GDPR angelehnt ist, aber er trennt das „Recht auf Information über öffentliche und private Stellen, mit denen der für die Verarbeitung Verantwortliche Daten ausgetauscht hat“ vom allgemeineren „Recht auf Information“ des GDPR, um es deutlicher zu machen.

LGPD – Brasil‘s version of GDPR

Similarities and differences between the GDPR and the LGPD

Impacted from the EU’s General Data Protection Regulation, the Brazil’s Lei Geral de Proteção de Dados (or LGPD) attempts to unify the over 40 different statutes that currently govern personal data, both online and offline, by replacing certain regulations and supplementing others.

Very important aspect of the LGPD is that it applies to any business or organization that processes the personal data of people in Brazil, regardless of where that business or organization itself might be located. So, before the law comes into effect, you should begin preparing for LGPD compliance, if your company has any customers or clients in Brazil. Related to this topic, our GDPR extension is currently being prepared and will go online in a short time.

What is similar between the GDPR and the LGPD?

The LGPD and the GDPR have two main basic similarities according to the data protection: personal data and data subject rights, which are in addition to the extraterritorial application.

GDPR Article 4, the GDPR gives the following exact definition for “personal data”:

‘Personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Compared with that, the LGPD does not have a single definition, but states in various places that personal data can mean any data that, by itself or combined with other data, could identify a natural person or subject them to a specific treatment.

Another similarity that the LGPD has with the GDPR is the explanation of the fundamental rights that data subject have.

Nine data subject rights

  • The right to confirmation of the existence of the processing;
  • The right to access the data;
  • The right to correct incomplete, inaccurate or out-of-date data;
  • The right to anonymize, block, or delete unnecessary or excessive data or data that is not being processed in compliance with the LGPD;
  • The right to the portability of data to another service or product provider, by means of an express request
  • The right to delete personal data processed with the consent of the data subject;
  • The right to information about public and private entities with which the controller has shared data;
  • The right to information about the possibility of denying consent and the consequences of such denial; and
  • The right to revoke consent. 

It seems that this section of LGPD (Article 18) is based very closely on the eight fundamental rights of the GDPR, but it splits “The right to information about public and private entities with which the controller has shared data” out of the GDPR’s more general “Right to be informed” to make it more explicit.