Strukturen til LGPD i 2026

LGPD er den primære databeskyttelsesloven i Brasil, og kjernetteksten har vært bemerkelsesverdig stabil siden vedtakelsen. Det som har endret seg, er den regulatoriske infrastrukturen rundt den.

ANPD som en moden regulator

ANPD ble fullt operativt i 2021 og brukte de første tre årene på å bygge prosessuell kapasitet, utferdige veiledning og gjennomføre konsultasjoner. Innen 2024 hadde den gått over til aktiv håndhevelse, og innen 2025 hadde den utstedt noen av sine første betydelige administrative bøter, inkludert mot utenlandske plattformer. Byråets holdning i 2026 er nærmere de europeiske motpartene enn den tidligere myke perioden.

Forordningen om grenseoverskridende overføring fra 2026

Den viktigste regulatoriske utviklingen for utenlandske utgivere var ANPDs forordning om internasjonal overføring, som ble ferdigstilt i slutten av 2025 og trådte i kraft i 2026. Forordningen introduserer et rammeverk for tilstrekkelighet, modellkontraktsklausuler godkjent av ANPD, bindende bedriftregler og sertifiseringer, som alle fungerer analogt med GDPRs kapittel V-mekanismer. Før denne forordningen opererte grenseoverskridende overføringer under et mye vagere regelverk som utgivere og ad-tech-leverandører typisk navigerte gjennom bilaterale kommersielle avtaler. 2026-regimet er vesentlig mer anvendbart, men vesentlig mer krevende med hensyn til dokumentasjon.

Hvem reguleres

LGPD gjelder ekstraterritorielt. Enhver behandlingsansvarlig som behandler personopplysninger om enkeltpersoner som befinner seg i Brasil på innsamlingstidspunktet, eller som behandler data samlet inn fra Brasil uavhengig av hvor behandlingen skjer, er innenfor virkeområdet. Utenlandske utgivere som betjener brasilianske brukere gjennom lokaliserte nettsteder eller programmatisk inventar kjøpt mot brasilianske IP-adresser, er tydelig innenfor rekkevidde, og ANPD har påberopt den ekstraterritoriale bestemmelsen i flere 2025-saker.

Hva som teller som personopplysninger under LGPD

LGPDs definisjon av personopplysninger er bred og følger GDPR tett. Personopplysninger er informasjon relatert til en identifisert eller identifiserbar fysisk person, og ANPD har konsekvent behandlet informasjonskapsler, reklameidentifikatorer, IP-adresser, enhetsfingeravtrykk og atferdsprofiler som personopplysninger når de kan knyttes til en enkeltperson direkte eller med rimelige midler.

Sensitive personopplysninger

LGPD angir en bred liste over sensitive kategorier: rasemessig eller etnisk opprinnelse, religiøs tro, politisk mening, fagforenings- eller politisk organisasjonsmedlemskap, filosofiske eller religiøse overbevisninger, helse, seksuelt liv, genetiske data og biometriske data når brukt til unik identifikasjon. Behandling av sensitive personopplysninger utløser strengere samtykkekrav og ytterligere plikter for den behandlingsansvarlige.

Hvorfor dette er viktig for informasjonskapsler

En informasjonskapsel som lagrer en rutinemessig sesjonsidentifikator, er ordinære personopplysninger. En informasjonskapsel som mater et målgruppesegment som berører LGPDs sensitive liste — helseinteresser, religiøse tilhørigheter, politiske tilbøyeligheter — er behandling av sensitive personopplysninger og krever den forsterkede samtykkestrømmen, ikke det generelle reklamsamtykket. Utgivere som driver målgruppesegmenter som overlapper med den sensitive listen, bør revidere samtykkestrømmene sine spesifikt opp mot denne grensen.

Informasjonskapselsamtykke under LGPD i 2026

LGPD tillater multiple lovlige grunnlag for behandling, men for informasjonskapsler og lignende teknologier som ikke er strengt nødvendige for tjenesteleveringen, har ANPDs veiledning og håndhevelse konvergert mot samtykke som praktisk grunnlinje.

De fem elementene i gyldig samtykke

Samtykke under LGPD må være:

• Fritt — gitt uten tvang og ikke samlet med levering av en tjeneste brukeren ellers er berettiget til
• Informert — den registrerte forstår hvilke data som behandles, av hvem, for hvilket formål og med hvilke konsekvenser
• Utvetydig — uttrykt gjennom en klar bekreftende handling, ikke utledet fra taushet, forhåndsavkryssede bokser eller rulling som samtykke
• Spesifikt — knyttet til tydelig identifiserte formål snarere enn generell paraplysamtykke
• Fremhevet i tilfeller som involverer sensitive data, med eksplisitt og separat samtykke for den spesifikke sensitive behandlingen

Hvordan en compliant CMP ser ut

En CMP konfigurert for brasiliansk trafikk i 2026 bør presentere:

• Et synlig banner før noen ikke-essensiell informasjonskapsel eller sporingskode utløses, på portugisisk (Português) som standard for brasilianske brukere
• Lik visuell fremtredenhet for Aceitar (Godta), Recusar (Avslå) og Personalizar (Tilpass) — ANPD har spesifikt påpekt bannerdesign der Recusar-handlingen er mindre synlig
• Granulære bryterknapper per formål: analyser, annonsering, personalisering, grenseoverskridende overføring og eventuell behandling av sensitive kategorier
• Et separat, tydelig merket forløp for behandling av sensitive personopplysninger, låst bak sin egen handling
• En vedvarende, lett å finne mekanisme for å trekke tilbake samtykke etter det innledende valget
• En portugisiskspråklig Aviso de Privacidade med fullstendige opplysninger om behandlingsansvarlig, behandlere, formål, mottakere, oppbevaring og rettigheter

Samtykkeregistreringer

Behandlingsansvarlige må opprettholde bevis på samtykke — hvem som samtykket, når, til hvilket formål og gjennom hvilken grensesnitt. ANPD har sitert utilstrekkelige samtykkeregistreringer i flere håndhevelseshandlinger, og eksporterbare tidsstemplede logger er grunnlinjeforventningen.

Regimet for grenseoverskridende overføring fra 2026

Dette er området der 2026 ser meningsfullt annerledes ut enn 2024. ANPDs forordning om internasjonal overføring trådte i kraft ved starten av året, og de praktiske implikasjonene absorberes fortsatt av utenlandske utgivere.

De nye overføringsmekanismene

Forordningen gir fire primære veier for legitim grenseoverskridende overføring:

• Tilstrekkelighetsbeslutninger utstedt av ANPD som anerkjenner destinasjonsjurisdiksjoner eller sektorer som å gi tilstrekkelig beskyttelse
• Standardkontraktsklausuler godkjent av ANPD, som fungerer analogt med GDPRs SCCer
• Bindende bedriftregler for intragruppoverføringer innenfor multinasjonale organisasjoner
• Spesifikk autorisasjon for overføringer som ikke passer de standard veiene, fra sak til sak

Den praktiske tilnærmingen for 2026

For de fleste utenlandske utgivere er arbeidsmetoden i 2026 å utføre ANPD-godkjente standardkontraktsklausuler med internasjonale behandlere, dokumentere overføringsmekanismen i personvernerklæringen, og supplere med samtykkebasert autorisasjon kun der standardmekanismen ikke passer. Dette er vesentlig enklere enn pre-2026-regimet, som ofte baserte seg på samtykke-per-overføring-logikk som produserte uhåndterlige CMPer.

Tilstrekkelighetsbeslutninger til dato

ANPD har utstedt tilstrekkelighetsbeslutninger for en håndfull jurisdiksjoner gjennom tidlig 2026, og forventes å utvide listen gradvis. USA er ikke på tilstrekkelighetslisten per tidlig 2026, noe som betyr at overføringer til US-baserte ad-tech og analyseleverandører krever kontraktsklausuler eller en annen gyldig mekanisme.

Registrertes rettigheter

LGPD gir et robust sett med rettigheter, anvendt gjennom det brasilianske rammeverket:

• Rett til bekreftelse av behandling
• Rett til tilgang til behandlede data
• Rett til korrigering av ufullstendige, unøyaktige eller utdaterte data
• Rett til anonymisering, blokkering eller sletting av unødvendige, overdrevne eller ulovlig behandlede data
• Rett til dataportabilitet til en annen tjenesteleverandør
• Rett til sletting av data behandlet på grunnlag av samtykke
• Rett til informasjon om offentlige og private enheter som data har blitt delt med
• Rett til informasjon om muligheten for å nekte samtykke og konsekvensene av nektelsen
• Rett til å trekke tilbake samtykke
• Rett til å motsette seg behandling utført på grunnlag av en av begrunnelsene for legitime interesser når det er manglende samsvar
• Rett til gjennomgang av beslutninger tatt utelukkende basert på automatisert behandling

Svarfrister

Behandlingsansvarlige må svare på registrertes forespørsler innen 15 dager under forordningen, med mulighet til å forlenge i begrunnede tilfeller. Dette er strengere enn GDPRs 30-dagersvindu og har vært et tilbakevendende operasjonelt gap for utenlandske utgivere innstilt på den europeiske kadansen.

Sanksjoner og håndhevingsposisjon i 2026

ANPDs håndhevingsaktivitet har eskalert meningsfullt gjennom 2024 og 2025, og 2026 er på en lignende bane.

Administrative bøter

LGPD tillater administrative bøter på opptil 2 prosent av den behandlingsansvarliges inntekter fra virksomheten i Brasil i foregående regnskapsår, begrenset til BRL 50 millioner per brudd. ANPD har brukt midten av skalaen i flere 2025-saker, inkludert mot utenlandske plattformer, og byråets bøtemetodologi ble publisert i 2024 og brukes nå konsekvent.

Andre sanksjoner

Utover bøter kan ANPD utstede advarsler, kreve korrigerende tiltak, delvis eller fullt ut suspendere behandlingsaktiviteter og forby spesifikke behandlingsoperasjoner. Publisering av bruddet er en rutinemessig ledsagende sanksjon og har omdømmemessig vekt i det brasilianske markedet.

Håndhevingstemaer

ANPDs handlinger i 2025 og tidlig 2026 samler seg rundt gjentakende problemer: tvetydige eller fraværende samtykkebannere, mangel på portugisiskspråklig personvernerklæring, grenseoverskridende overføringer uten en gyldig mekanisme under den nye forordningen, og unnlatelse av å svare på registrertes forespørsler innen 15-dagersvinduet. Utenlandske utgivere har blitt sitert i alle fire kategoriene.

DPO-kravet

LGPD krever at behandlingsansvarlige utpeker en personvernombud (Encarregado de Tratamento de Dados Pessoais) og publiserer DPOens kontaktinformasjon. Utenlandske behandlingsansvarlige som behandler brasilianske data i stor skala, trenger en utpekt DPO, og kontaktinformasjonen må være lett tilgjengelig i personvernerklæringen. ANPD har sitert manglende eller utilgjengelig DPO-kontaktinformasjon i flere håndhevelsesbrev.

Revisjonsliste for brasiliansk trafikk i 2026

• CMP-banner serveres på portugisisk med Aceitar, Recusar og Personalizar med lik visuell fremtredenhet
• Samtykkeformål er granulære og separerer eventuell behandling av sensitive kategorier bak sin egen samtykkestrøm
• Personvernerklæring (Aviso de Privacidade) er tilgjengelig på portugisisk med fullstendige opplysninger om behandlingsansvarlig, behandlere, formål, oppbevaring, rettigheter og DPO-kontakt
• Grenseoverskridende overføringer baserer seg på ANPD-godkjente standardkontraktsklausuler, en tilstrekkelighetsbeslutning, BCRer eller spesifikk autorisasjon — ikke på eldre samtykke-per-overføring-logikk
• Samtykkelogger er tidsstemplet, eksporterbare og oppbevart for behandlingsvarigheten pluss en revisjonsbar margin
• Arbeidsflyten for registrertes forespørsler kan svare innen 15 dager ende til ende, på portugisisk
• DPO er utpekt og kontaktinformasjon er publisert i personvernerklæringen
• Leverandørlisten har blitt gjennomgått for nødvendighet, med ubrukte eller overflødige leverandører fjernet for å redusere overflaten for grenseoverskridende overføring
• Målgruppesegmenter for sensitive kategorier er låst bak eksplisitt, separat innhentet samtykke

Utsiktene for 2026

Brasils personvernregime har modnet fra et godt utformet statut med begrenset håndhevelse til et av de mer krevende regimene på det amerikanske kontinentet. Forordningen om grenseoverskridende overføring fra 2026 lukket det mest konsekvente strukturelle gapet, og ANPDs håndhevingsposisjon har tatt igjen lovens ambisjoner. For utgivere som allerede kjører en samtykkestak av GDPR-klasse, er gapet til LGPD-samsvar operativt snarere enn arkitektonisk: portugisiskspråklig CMP og erklæring, ANPD-godkjente overføringsmekanismer, 15-dagers svarskadansen, DPO-utpeking og omhu med den bredere sensitive-datalisten. Gapet kan lukkes på uker hvis det prioriteres — og Brasil er det største enkeltmarkedet i Latin-Amerika, slik at prioriteringen typisk betaler seg raskt tilbake. Utgivere som behandlet Brasil som et lettere marked gjennom 2024, finner 2026 vesentlig dyrere, og de som utsetter ytterligere vil finne 2027 verre ennå.