De Structuur van de LGPD in 2026

De LGPD is het primaire gegevensbeschermingsstatuut in Brazilië, en de kerntekst is opmerkelijk stabiel gebleven sinds de inwerkingtreding. Wat is veranderd, is de regelgevende infrastructuur eromheen.

De ANPD als Volwassen Toezichthouder

De ANPD werd in 2021 volledig operationeel en bracht de eerste drie jaar door met het opbouwen van procedurele capaciteit, het uitbrengen van richtlijnen en het voeren van consultatieprocessen. Tegen 2024 was ze overgegaan op actieve handhaving, en tegen 2025 had ze enkele van haar eerste significante bestuurlijke boetes opgelegd, ook tegen buitenlandse platforms. De houding van het agentschap in 2026 lijkt meer op die van haar Europese tegenhangers dan op haar eerdere zachte aanpak.

De Grensoverschrijdende Overdrachtregeling van 2026

De belangrijkste regelgevende ontwikkeling voor buitenlandse uitgevers was de internationale overdrachtregeling van de ANPD, die eind 2025 werd afgerond en in 2026 in werking trad. De regeling introduceert een adequatiekader, door de ANPD goedgekeurde modelcontractbepalingen, bindende bedrijfsregels en certificeringen, die allemaal analoog functioneren aan de hoofdstuk V-mechanismen van de GDPR. Vóór deze regeling verliepen grensoverschrijdende overdrachten via een veel vager regelset dat uitgevers en ad-techleveranciers doorgaans navigeerden via bilaterale commerciële regelingen. Het regime van 2026 is aanzienlijk werkbaarder maar aanzienlijk veeleisender op het gebied van documentatie.

Wie Wordt Gereguleerd

De LGPD is extraterritoriaal van toepassing. Elke verwerkingsverantwoordelijke die persoonsgegevens verwerkt van personen die zich op het moment van verzameling in Brazilië bevinden, of die gegevens verwerkt die uit Brazilië zijn verzameld ongeacht waar de verwerking plaatsvindt, valt onder het toepassingsgebied. Buitenlandse uitgevers die Braziliaanse gebruikers bedienen via gelokaliseerde sites of programmatische inventory die is gekocht tegen Braziliaanse IP-adressen vallen duidelijk binnen bereik, en de ANPD heeft de extraterritoriale bepaling ingeroepen in verschillende zaken in 2025.

Wat Geldt als Persoonsgegevens Onder de LGPD

De definitie van persoonsgegevens van de LGPD is breed en volgt de GDPR nauwgezet. Persoonsgegevens zijn informatie die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon, en de ANPD heeft cookies, reclame-identifiers, IP-adressen, apparaatvingerafdrukken en gedragsprofielen consistent behandeld als persoonsgegevens wanneer ze direct of via redelijke middelen aan een persoon kunnen worden gekoppeld.

Gevoelige Persoonsgegevens

De LGPD bepaalt een brede lijst van gevoelige categorieën: ras of etnische herkomst, religieuze overtuiging, politieke opvatting, vakbonds- of politieke organisatielidmaatschap, filosofische of religieuze overtuigingen, gezondheid, seksueel leven, genetische gegevens en biometrische gegevens wanneer gebruikt voor unieke identificatie. Het verwerken van gevoelige persoonsgegevens activeert striktere toestemmingsvereisten en aanvullende verplichtingen voor de verwerkingsverantwoordelijke.

Waarom Dit Belangrijk Is voor Cookies

Een cookie die een routine sessie-identifier opslaat, is gewone persoonsgegevens. Een cookie die een publiekssegment voedt dat de gevoelige lijst van de LGPD raakt — gezondheidsinteresses, religieuze affiliaties, politieke neigingen — is verwerking van gevoelige persoonsgegevens en vereist de verhoogde toestemmingsstroom, niet de algemene reclameconsensus. Uitgevers die publiekssegmenten exploiteren die de gevoelige lijst overlappen, dienen hun toestemmingsstromen specifiek tegen deze grens te auditen.

Cookietoestemming Onder de LGPD in 2026

De LGPD staat meerdere rechtmatige grondslagen voor verwerking toe, maar voor cookies en vergelijkbare technologieën die niet strikt noodzakelijk zijn voor de dienstverlening, hebben de richtlijnen en handhaving van de ANPD geconvergeerd op toestemming als praktische basislijn.

De Vijf Elementen van Geldige Toestemming

Toestemming onder de LGPD moet:

• Vrij zijn — gegeven zonder dwang en niet gebundeld met het verlenen van een dienst waarop de gebruiker anders recht heeft
• Geïnformeerd — de betrokkene begrijpt welke gegevens worden verwerkt, door wie, voor welk doel en met welke gevolgen
• Ondubbelzinnig — uitgedrukt via een duidelijke bevestigende handeling, niet afgeleid uit stilzwijgen, vooraf aangevinkte vakjes of scrollen als toestemming
• Specifiek — gekoppeld aan duidelijk geïdentificeerde doeleinden in plaats van algemene paraplueconsensus
• Benadrukt in gevallen met gevoelige gegevens, met uitdrukkelijke en afzonderlijke toestemming voor de specifieke gevoelige verwerking

Hoe een Compliant CMP Eruitziet

Een CMP die is geconfigureerd voor Braziliaans verkeer in 2026 moet het volgende presenteren:

• Een zichtbare banner voordat een niet-essentiële cookie of tracker wordt geactiveerd, standaard in het Portugees (Português) voor Braziliaanse gebruikers
• Gelijke visuele prominentie voor Aceitar (Accepteren), Recusar (Weigeren) en Personalizar (Aanpassen) — de ANPD heeft specifiek bannerontwerpen aangekaart waarbij de actie Recusar minder zichtbaar is
• Gedetailleerde schakelaars per doel: analytics, reclame, personalisatie, grensoverschrijdende overdracht en eventuele verwerking van gevoelige categorieën
• Een apart, duidelijk gelabeld traject voor de verwerking van gevoelige persoonsgegevens, vergrendeld achter een eigen actie
• Een permanente, gemakkelijk te vinden mechanisme om toestemming in te trekken na de eerste keuze
• Een Portugeestalige Aviso de Privacidade met volledige bekendmakingen van verwerkingsverantwoordelijke, verwerkers, doeleinden, ontvangers, bewaring en rechten

Toestemmingsregistraties

Verwerkingsverantwoordelijken moeten bewijs van toestemming bijhouden — wie heeft ingestemd, wanneer, voor welk doel en via welke interface. De ANPD heeft ontoereikende toestemmingsregistraties aangehaald in verschillende handhavingsmaatregelen, en exporteerbare tijdgestempelde logs zijn de basislijnverwachting.

Het Grensoverschrijdende Overdrachtregime van 2026

Dit is het gebied waar 2026 op zinvolle wijze verschilt van 2024. De internationale overdrachtregeling van de ANPD trad aan het begin van het jaar in werking, en de praktische implicaties worden nog steeds opgenomen door buitenlandse uitgevers.

De Nieuwe Overdrachtmechanismen

De regeling voorziet in vier primaire routes voor legitieme grensoverschrijdende overdracht:

• Adequaatheidsbesluiten uitgevaardigd door de ANPD die bestemmingsjurisdicties of sectoren erkennen als voldoende bescherming biedend
• Standaardcontractbepalingen goedgekeurd door de ANPD, die analoog functioneren aan de SCCs van de GDPR
• Bindende bedrijfsregels voor intragroepsoverdrachten binnen multinationale organisaties
• Specifieke machtiging voor overdrachten die niet in de standaardroutes passen, van geval tot geval

De Praktische Aanpak voor 2026

Voor de meeste buitenlandse uitgevers is de werkende aanpak in 2026 om door de ANPD goedgekeurde standaardcontractbepalingen uit te voeren met internationale verwerkers, het overdrachtmechanisme in de privacyverklaring te documenteren, en aan te vullen met op toestemming gebaseerde machtiging alleen waar het standaardmechanisme niet past. Dit is aanzienlijk eenvoudiger dan het pre-2026-regime, dat vaak vertrouwde op toestemming-per-overdracht-logica die onhandelbare CMPs produceerde.

Adequaatheidsbesluiten Tot Nu Toe

De ANPD heeft voor begin 2026 adequaatheidsbesluiten uitgevaardigd voor een handvol jurisdicties en zal naar verwachting de lijst incrementeel uitbreiden. De Verenigde Staten staan begin 2026 niet op de adequaatheidslijst, wat betekent dat overdrachten naar in de VS gevestigde ad-tech- en analyticleveranciers contractbepalingen of een ander geldig mechanisme vereisen.

Rechten van de Betrokkene

De LGPD verleent een robuuste reeks rechten, toegepast via het Braziliaanse kader:

• Recht op bevestiging van verwerking
• Recht op inzage in verwerkte gegevens
• Recht op correctie van onvolledige, onjuiste of verouderde gegevens
• Recht op anonimisering, blokkering of verwijdering van onnodige, buitensporige of onrechtmatig verwerkte gegevens
• Recht op gegevensportabiliteit naar een andere dienstverlener
• Recht op verwijdering van gegevens die op basis van toestemming zijn verwerkt
• Recht op informatie over publieke en private entiteiten waarmee de gegevens zijn gedeeld
• Recht op informatie over de mogelijkheid om toestemming te weigeren en de gevolgen van weigering
• Recht om toestemming in te trekken
• Recht om bezwaar te maken tegen verwerking op basis van een van de grondslagen voor gerechtvaardigde belangen wanneer er sprake is van niet-naleving
• Recht op herziening van besluiten die uitsluitend zijn genomen op basis van geautomatiseerde verwerking

Reactietermijnen

Verwerkingsverantwoordelijken moeten reageren op verzoeken van betrokkenen binnen 15 dagen onder de regeling, met de mogelijkheid om te verlengen in gerechtvaardigde gevallen. Dit is strikter dan het 30-dagenvenster van de GDPR en is een terugkerende operationele lacune geweest voor buitenlandse uitgevers die zijn afgestemd op het Europese ritme.

Sancties en Handhavingshouding in 2026

De handhavingsactiviteit van de ANPD is gedurende 2024 en 2025 aanzienlijk geëscaleerd, en 2026 bevindt zich op een vergelijkbaar traject.

Bestuurlijke Boetes

De LGPD staat bestuurlijke boetes toe van maximaal 2 procent van de omzet van de verwerkingsverantwoordelijke uit zijn activiteiten in Brazilië in het vorige boekjaar, met een maximum van BRL 50 miljoen per overtreding. De ANPD heeft het midden van het bereik gebruikt in verschillende zaken van 2025, ook tegen buitenlandse platforms, en de boetamethodologie van het agentschap werd in 2024 gepubliceerd en wordt nu consistent toegepast.

Andere Sancties

Naast boetes kan de ANPD waarschuwingen uitvaardigen, corrigerende maatregelen eisen, verwerkingsactiviteiten gedeeltelijk of volledig opschorten en specifieke verwerkingsactiviteiten verbieden. Publicatie van de overtreding is een routinematige begeleidende sanctie en heeft reputationeel gewicht op de Braziliaanse markt.

Handhavingsthema's

De acties van de ANPD in 2025 en begin 2026 clusteren rond terugkerende problemen: ambigue of afwezige toestemmingsbanners, gebrek aan een Portugeestalige privacyverklaring, grensoverschrijdende overdrachten zonder een geldig mechanisme onder de nieuwe regeling en het niet reageren op verzoeken van betrokkenen binnen het 15-dagenvenster. Buitenlandse uitgevers zijn in alle vier de categorieën aangehaald.

De DPO-Vereiste

De LGPD vereist dat verwerkingsverantwoordelijken een Functionaris Gegevensbescherming aanstellen (Encarregado de Tratamento de Dados Pessoais) en de contactinformatie van de DPO publiceren. Buitenlandse verwerkingsverantwoordelijken die op grote schaal Braziliaanse gegevens verwerken, hebben een aangestelde DPO nodig, en de contactinformatie moet gemakkelijk toegankelijk zijn in de privacyverklaring. De ANPD heeft ontbrekende of ontoegankelijke DPO-contactinformatie aangehaald in verschillende handhavingsbrieven.

Auditchecklist voor Braziliaans Verkeer in 2026

• CMP-banner wordt in het Portugees geserveerd met Aceitar, Recusar en Personalizar met gelijke visuele prominentie
• Toestemmingsdoeleinden zijn granulair en scheiden eventuele verwerking van gevoelige categorieën achter hun eigen toestemmingsstroom
• Privacyverklaring (Aviso de Privacidade) is beschikbaar in het Portugees met volledige bekendmakingen van verwerkingsverantwoordelijke, verwerkers, doeleinden, bewaring, rechten en DPO-contactgegevens
• Grensoverschrijdende overdrachten zijn gebaseerd op door de ANPD goedgekeurde standaardcontractbepalingen, een adequaatheidsbesluit, BCRs of specifieke machtiging — niet op legacy toestemming-per-overdracht-logica
• Toestemmingslogs zijn tijdgestempeld, exporteerbaar en bewaard voor de verwerkingsduur plus een auditeerbare marge
• Workflow voor verzoeken van betrokkenen kan binnen 15 dagen van begin tot eind reageren, in het Portugees
• DPO is aangesteld en contactinformatie is gepubliceerd in de privacyverklaring
• Leverancierslijst is beoordeeld op noodzaak, met ongebruikte of redundante leveranciers verwijderd om het grensoverschrijdende overdrachtsoppervlak te verminderen
• Publiekssegmenten voor gevoelige categorieën worden vergrendeld achter expliciete, afzonderlijk vastgelegde toestemming

De Vooruitzichten voor 2026

Het privacyregime van Brazilië is gerijpt van een goed opgesteld statuut met beperkte handhaving tot een van de veeleisendere regimes op het Amerikaanse continent. De grensoverschrijdende overdrachtregeling van 2026 sloot de meest consequente structurele lacune, en de handhavingshouding van de ANPD heeft de ambities van de wet ingehaald. Voor uitgevers die al een toestemmingsstack van GDPR-kwaliteit gebruiken, is de kloof naar LGPD-compliance operationeel in plaats van architecturaal: Portugeestalige CMP en privacyverklaring, door de ANPD goedgekeurde overdrachtmechanismen, het 15-daagse responsritme, DPO-aanstelling en zorg voor de bredere gevoelige gegevenslijst. De kloof kan in weken worden gedicht als het wordt geprioriteerd — en Brazilië is de grootste enkelvoudige markt in Latijns-Amerika, zodat de prioritering doorgaans snel terugbetaalt. De uitgevers die Brazilië tot 2024 als een lichtere markt beschouwden, vinden 2026 aanzienlijk duurder, en degenen die verder uitstellen zullen 2027 nog erger vinden.