Strukturen af LGPD i 2026

LGPD er den primære databeskyttelseslov i Brasilien, og dens kernetekst har været bemærkelsesværdigt stabil siden vedtagelsen. Det, der har ændret sig, er den regulatoriske infrastruktur omkring den.

ANPD som en moden regulator

ANPD blev fuldt operationel i 2021 og brugte de første tre år på at opbygge proceduremæssig kapacitet, udstede vejledning og afholde høringer. I 2024 var det gået over til aktiv håndhævelse, og i 2025 havde det udstedt nogle af sine første betydelige administrative bøder, herunder mod udenlandske platforme. Agenturets holdning i 2026 er tættere på dens europæiske modstykker end på dets tidligere bløde periode.

2026-forordningen om grænseoverskridende overførsel

Den vigtigste regulatoriske udvikling for udenlandske udgivere var ANPD's internationale overførselsforordning, som blev afsluttet i slutningen af 2025 og trådte i kraft i 2026. Forordningen indfører en tilstrækkelighedsramme, standardkontraktklausuler godkendt af ANPD, bindende virksomhedsregler og certificeringer, der alle fungerer analogt med GDPR's mekanismer i Kapitel V. Før denne forordning opererede grænseoverskridende overførsler under et meget mere vagt sæt regler, som udgivere og ad-tech-leverandører typisk navigerede gennem bilaterale kommercielle aftaler. 2026-regimet er betydeligt mere anvendeligt, men betydeligt mere krævende med hensyn til dokumentation.

Hvem er reguleret

LGPD gælder ekstraterritorialt. Enhver dataansvarlig, der behandler personoplysninger om personer, der befinder sig i Brasilien på tidspunktet for indsamlingen, eller som behandler data indsamlet fra Brasilien, uanset hvor behandlingen finder sted, er inden for omfanget. Udenlandske udgivere, der betjener brasilianske brugere gennem lokaliserede websteder eller programmatisk inventar købt mod brasilianske IP'er, er klart inden for rækkevidde, og ANPD har påberåbt sig den ekstraterritoriale bestemmelse i flere sager i 2025.

Hvad tæller som personoplysninger under LGPD

LGPD's definition af personoplysninger er bred og følger GDPR tæt. Personoplysninger er oplysninger relateret til en identificeret eller identificerbar fysisk person, og ANPD har konsekvent behandlet cookies, reklameidentifikatorer, IP-adresser, enhedsfingeraftryk og adfærdsprofiler som personoplysninger, når de kan knyttes til en person direkte eller med rimelige midler.

Følsomme personoplysninger

LGPD udpeger en bred liste af følsomme kategorier: race eller etnisk oprindelse, religiøs overbevisning, politisk holdning, medlemskab af fagforening eller politisk organisation, filosofisk eller religiøs overbevisning, sundhed, seksualliv, genetiske data og biometriske data, når de bruges til unik identifikation. Behandling af følsomme personoplysninger udløser strengere samtykkekrav og yderligere forpligtelser for den dataansvarlige.

Hvorfor dette betyder noget for cookies

En cookie, der gemmer en rutinemæssig sessionsidentifikator, er almindelige personoplysninger. En cookie, der fodrer et målgruppesegment, der berører LGPD's følsomme liste — sundhedsinteresser, religiøse tilhørsforhold, politiske tilbøjeligheder — er behandling af følsomme personoplysninger og kræver det forstærkede samtykkeflow, ikke det generelle reklamesamtykke. Udgivere, der driver målgruppesegmenter, der overlapper med den følsomme liste, bør auditere deres samtykkeflows specifikt mod denne grænse.

Cookie-samtykke under LGPD i 2026

LGPD tillader flere lovlige grundlag for behandling, men for cookies og lignende teknologier, der ikke er strengt nødvendige for levering af tjenesten, er ANPD's vejledning og håndhævelse konvergeret mod samtykke som det praktiske udgangspunkt.

De fem elementer i gyldigt samtykke

Samtykke under LGPD skal være:

• Frit — givet uden tvang og ikke bundtet med levering af en tjeneste, brugeren ellers er berettiget til
• Informeret — den registrerede forstår, hvilke data der behandles, af hvem, til hvilket formål og med hvilke konsekvenser
• Utvetydigt — udtrykt gennem en klar bekræftende handling, ikke udledt af tavshed, forudkrydsede felter eller scroll-som-samtykke
• Specifikt — knyttet til klart identificerede formål snarere end et generelt paraplysamtykke
• Fremhævet i sager, der involverer følsomme data, med udtrykkeligt og separat samtykke til den specifikke følsomme behandling

Hvordan en compliant CMP ser ud

En CMP konfigureret til brasiliansk trafik i 2026 bør præsentere:

• Et synligt banner, før nogen ikke-essentiel cookie eller tracker fyres af, på portugisisk (Português) som standard for brasilianske brugere
• Lige visuel prominens for Aceitar (Acceptér), Recusar (Afvis) og Personalizar (Tilpas) — ANPD har specifikt påpeget bannerdesign, hvor Recusar-handlingen er mindre synlig
• Granulære skift pr. formål: analyse, reklame, personalisering, grænseoverskridende overførsel og enhver behandling af følsomme kategorier
• Et separat, klart mærket flow til behandling af følsomme personoplysninger, gated bag dets egen handling
• En vedvarende, let at finde mekanisme til at trække samtykke tilbage efter det indledende valg
• Et portugisisk Aviso de Privacidade med fuld afsløring af dataansvarlig, databehandlere, formål, modtagere, opbevaring og rettigheder

Samtykkeregistre

Dataansvarlige skal opretholde bevis for samtykke — hvem der har givet samtykke, hvornår, til hvilket formål og gennem hvilket interface. ANPD har citeret utilstrækkelige samtykkeregistre i flere håndhævelsessager, og eksporterbare tidsstemplede logs er basisforventningen.

2026-regimet for grænseoverskridende overførsel

Dette er det område, hvor 2026 ser markant anderledes ud end 2024. ANPD's internationale overførselsforordning trådte i kraft i begyndelsen af året, og de praktiske konsekvenser absorberes stadig af udenlandske udgivere.

De nye overførselsmekanismer

Forordningen giver fire primære veje til legitim grænseoverskridende overførsel:

• Tilstrækkelighedsafgørelser udstedt af ANPD, der anerkender bestemmelsesjurisdiktioner eller sektorer som leverende tilstrækkelig beskyttelse
• Standardkontraktklausuler godkendt af ANPD, der fungerer analogt med GDPR SCC'er
• Bindende virksomhedsregler for koncerninterne overførsler inden for multinationale organisationer
• Specifik tilladelse til overførsler, der ikke passer ind i standardvejene, fra sag til sag

Den praktiske 2026-tilgang

For de fleste udenlandske udgivere er arbejdstilgangen i 2026 at udføre ANPD-godkendte standardkontraktklausuler med internationale databehandlere, dokumentere overførselsmekanismen i privatlivsmeddelelsen og supplere med samtykkebaseret autorisation kun, hvor standardmekanismen ikke passer. Dette er betydeligt enklere end præ-2026-regimet, der ofte var afhængigt af samtykke-per-overførsel-logik, der producerede uhåndterlige CMP'er.

Tilstrækkelighedsafgørelser hidtil

ANPD har udstedt tilstrækkelighedsafgørelser for en håndfuld jurisdiktioner frem til begyndelsen af 2026 og forventes at udvide listen trinvist. USA er ikke på tilstrækkelighedslisten pr. begyndelsen af 2026, hvilket betyder, at overførsler til amerikansk-baserede ad-tech- og analyseleverandører kræver kontraktklausuler eller en anden gyldig mekanisme.

Den registreredes rettigheder

LGPD giver et robust sæt rettigheder, anvendt gennem den brasilianske ramme:

• Ret til bekræftelse af behandling
• Ret til adgang til behandlede data
• Ret til berigtigelse af ufuldstændige, unøjagtige eller forældede data
• Ret til anonymisering, blokering eller sletning af unødvendige, overdrevne eller ulovligt behandlede data
• Ret til dataportabilitet til en anden tjenesteudbyder
• Ret til sletning af data behandlet på baggrund af samtykke
• Ret til information om offentlige og private enheder, som dataene er blevet delt med
• Ret til information om muligheden for at nægte samtykke og konsekvenserne af nægtelse
• Ret til at tilbagekalde samtykke
• Ret til at modsætte sig behandling udført på baggrund af et af de legitime interesser-grundlag, når der er manglende overholdelse
• Ret til gennemgang af beslutninger truffet udelukkende på grundlag af automatiseret behandling

Svartidsfrister

Dataansvarlige skal besvare anmodninger fra registrerede inden for 15 dage i henhold til forordningen, med mulighed for at forlænge i begrundede tilfælde. Dette er strammere end GDPR's 30-dages vindue og har været et tilbagevendende operationelt hul for udenlandske udgivere indstillet på den europæiske kadence.

Sanktioner og håndhævelsesholdning i 2026

ANPD's håndhævelsesaktivitet er eskaleret markant gennem 2024 og 2025, og 2026 er på en lignende bane.

Administrative bøder

LGPD tillader administrative bøder på op til 2 procent af dataansvarliges indtægter fra dens aktivitet i Brasilien i det forudgående regnskabsår, begrænset til BRL 50 millioner pr. overtrædelse. ANPD har brugt den midterste del af intervallet i flere sager i 2025, herunder mod udenlandske platforme, og agenturets sanktionsmetodologi blev offentliggjort i 2024 og anvendes nu konsekvent.

Andre sanktioner

Ud over bøder kan ANPD udstede advarsler, kræve korrigerende foranstaltninger, helt eller delvist suspendere behandlingsaktiviteter og forbyde specifikke behandlingsoperationer. Offentliggørelse af overtrædelsen er en rutinemæssig ledsagesanktion og bærer omdømmevægt på det brasilianske marked.

Håndhævelsestemaer

ANPD's handlinger i 2025 og begyndelsen af 2026 grupperer sig omkring tilbagevendende problemer: tvetydige eller fraværende samtykkebannere, mangel på en portugisisk privatlivsmeddelelse, grænseoverskridende overførsler uden en gyldig mekanisme under den nye forordning og manglende evne til at besvare anmodninger fra registrerede inden for 15-dages-vinduet. Udenlandske udgivere er blevet citeret i alle fire kategorier.

DPO-kravet

LGPD kræver, at dataansvarlige udpeger en databeskyttelsesrådgiver (Encarregado de Tratamento de Dados Pessoais) og offentliggør DPO'ens kontaktoplysninger. Udenlandske dataansvarlige, der behandler brasilianske data i stor skala, har brug for en udpeget DPO, og kontaktoplysningerne skal være let tilgængelige i privatlivsmeddelelsen. ANPD har citeret manglende eller utilgængelige DPO-kontaktoplysninger i flere håndhævelsesbreve.

Auditcheckliste for brasiliansk trafik i 2026

• CMP-banner serveres på portugisisk med Aceitar, Recusar og Personalizar med lige visuel prominens
• Samtykkeformål er granulære og adskiller enhver behandling af følsomme kategorier bag deres eget samtykkeflow
• Privatlivsmeddelelse (Aviso de Privacidade) er tilgængelig på portugisisk med fuld afsløring af dataansvarlig, databehandlere, formål, opbevaring, rettigheder og DPO-kontakt
• Grænseoverskridende overførsler er afhængige af ANPD-godkendte standardkontraktklausuler, en tilstrækkelighedsafgørelse, BCR'er eller specifik tilladelse — ikke på ældre samtykke-per-overførsel-logik
• Samtykkelogs er tidsstemplede, eksporterbare og bevaret i behandlingens varighed plus en auditerbar margen
• Arbejdsgangen for anmodninger fra registrerede kan besvare inden for 15 dage fra ende til ende, på portugisisk
• DPO er udpeget, og kontaktoplysninger er offentliggjort i privatlivsmeddelelsen
• Leverandørlisten er gennemgået for nødvendighed, med ubrugte eller overflødige leverandører fjernet for at reducere den grænseoverskridende overførselsflade
• Målgruppesegmenter af følsomme kategorier er gated bag eksplicit, separat indsamlet samtykke

2026-udsigten

Brasiliens privatlivsregime er modnet fra en velformuleret lov med begrænset håndhævelse til et af de mere krævende regimer i Amerika. 2026-forordningen om grænseoverskridende overførsel lukkede det mest konsekvensrige strukturelle hul, og ANPD's håndhævelsesholdning har indhentet lovens ambitioner. For udgivere, der allerede kører en GDPR-grade samtykkestack, er hullet til LGPD-compliance operationelt snarere end arkitektonisk: portugisisk CMP og meddelelse, ANPD-godkendte overførselsmekanismer, 15-dages svarkadence, DPO-udpegning og omhu med den bredere følsomme dataliste. Hullet kan lukkes inden for uger, hvis det prioriteres — og Brasilien er det største enkeltmarked i Latinamerika, så prioriteringen betaler sig typisk hurtigt tilbage. Udgivere, der behandlede Brasilien som et marked med lettere berøring frem til 2024, finder 2026 markant dyrere, og de, der forsinker yderligere, vil finde 2027 endnu værre.