LGPD:s struktur 2026

LGPD är den primära dataskyddslagen i Brasilien, och dess grundläggande text har varit anmärkningsvärt stabil sedan ikraftträdandet. Det som har förändrats är den regulatoriska infrastrukturen runt den.

ANPD som en mogen tillsynsmyndighet

ANPD blev fullt operativt 2021 och tillbringade sina första tre år med att bygga processuell kapacitet, utfärda vägledning och genomföra samråd. Under 2024 hade myndigheten övergått till aktivt genomdrivande och under 2025 hade den utfärdat några av sina första betydande administrativa böter, inklusive mot utländska plattformar. Myndighetens hållning 2026 liknar mer dess europeiska motsvarigheter än dess tidigare period med mjuk hantering.

Regleringen för gränsöverskridande överföringar 2026

Den viktigaste regulatoriska utvecklingen för utländska utgivare var ANPDs internationella överföringsreglering, som slutfördes i slutet av 2025 och trädde i kraft 2026. Regleringen introducerar ett adekvansramverk, modellklausuler godkända av ANPD, bindande företagsregler och certifieringar, som alla fungerar analogt med GDPR:s kapitel V-mekanismer. Innan denna reglering fungerade gränsöverskridande överföringar under ett mycket vagare regelverk som utgivare och ad-tech-leverantörer vanligtvis navigerade genom bilaterala kommersiella arrangemang. Regimen 2026 är väsentligt mer hanterbar men väsentligt mer krävande vad gäller dokumentation.

Vem regleras

LGPD tillämpas extraterritoriellt. Varje personuppgiftsansvarig som behandlar personuppgifter om individer belägna i Brasilien vid tidpunkten för insamlingen, eller som behandlar uppgifter insamlade från Brasilien oavsett var behandlingen sker, omfattas. Utländska utgivare som betjänar brasilianska användare via lokaliserade webbplatser eller programmatiskt lager köpt mot brasilianska IP-adresser är tydligt inom räckhåll, och ANPD har åberopat den extraterritoriella bestämmelsen i flera fall 2025.

Vad räknas som personuppgifter enligt LGPD

LGPD:s definition av personuppgifter är bred och följer nära GDPR. Personuppgifter är information som rör en identifierad eller identifierbar fysisk person, och ANPD har konsekvent behandlat cookies, reklamidentifierare, IP-adresser, enhetsavtryck och beteendeprofiler som personuppgifter när de kan kopplas till en individ direkt eller med rimliga medel.

Känsliga personuppgifter

LGPD fastställer en bred lista med känsliga kategorier: ras eller etniskt ursprung, religiös övertygelse, politisk åsikt, fackförenings- eller politisk organisationsmedlemskap, filosofiska eller religiösa övertygelser, hälsa, sexualliv, genetiska uppgifter och biometriska uppgifter när de används för unik identifiering. Behandling av känsliga personuppgifter utlöser strängare samtyckeskrav och ytterligare skyldigheter för personuppgiftsansvariga.

Varför detta är viktigt för cookies

En cookie som lagrar en rutinmässig sessionsidentifierare är vanliga personuppgifter. En cookie som matar ett målgruppssegment som berör LGPD:s känsliga lista — hälsointressen, religiösa tillhörigheter, politiska lutningar — är behandling av känsliga personuppgifter och kräver det förhöjda samtyckesflödet, inte det allmänna reklamsamtycket. Utgivare som kör målgruppssegment som överlappar den känsliga listan bör granska sina samtyckesflöden specifikt mot denna gräns.

Cookie-samtycke enligt LGPD 2026

LGPD tillåter flera lagliga grunder för behandling, men för cookies och liknande tekniker som inte är strikt nödvändiga för tjänsteleveransen har ANPDs vägledning och genomdrivning konvergerat på samtycke som praktisk baslinje.

De fem elementen i ett giltigt samtycke

Samtycke enligt LGPD måste vara:

• Fritt — lämnat utan tvång och inte kopplat till tillhandahållandet av en tjänst som användaren annars har rätt till
• Informerat — den registrerade förstår vilka uppgifter som behandlas, av vem, för vilket ändamål och med vilka konsekvenser
• Otvetydigt — uttryckt genom en tydlig bekräftande handling, inte slutat från tystnad, förmarkerade rutor eller rullning-som-samtycke
• Specifikt — kopplat till tydligt identifierade ändamål snarare än brett paraplysamtycke
• Framhävt i fall som involverar känsliga uppgifter, med uttryckligt och separat samtycke för den specifika känsliga behandlingen

Hur en kompatibel CMP ser ut

En CMP konfigurerad för brasiliansk trafik 2026 bör presentera:

• En synlig banner innan någon icke-nödvändig cookie eller spårare aktiveras, på Portuguese (Português) som standard för brasilianska användare
• Lika visuell framträdande för Aceitar (Acceptera), Recusar (Avvisa) och Personalizar (Anpassa) — ANPD har specifikt påpekat bannerdesigner där Recusar-åtgärden är mindre synlig
• Granulerade växlar per ändamål: analys, reklam, personalisering, gränsöverskridande överföring och all behandling av känsliga kategorier
• Ett separat, tydligt märkt flöde för behandling av känsliga personuppgifter, gated bakom sin egen åtgärd
• En beständig, lättfunnen mekanism för att återkalla samtycke efter det ursprungliga valet
• En Aviso de Privacidade på Portuguese med fullständiga upplysningar om personuppgiftsansvarig, personuppgiftsbiträden, ändamål, mottagare, lagring och rättigheter

Samtyckesregister

Personuppgiftsansvariga måste upprätthålla bevis för samtycke — vem som samtyckde, när, till vilket ändamål och via vilket gränssnitt. ANPD har hänvisat till otillräckliga samtyckesregister i flera genomdrivningsåtgärder, och exporterbara tidsstämplade loggar är baslinjeförväntningen.

Regimen för gränsöverskridande överföringar 2026

Detta är det område där 2026 ser meningsfullt annorlunda ut än 2024. ANPDs internationella överföringsreglering trädde i kraft i början av året, och de praktiska implikationerna absorberas fortfarande av utländska utgivare.

De nya överföringsmekanismerna

Regleringen tillhandahåller fyra primära vägar för legitim gränsöverskridande överföring:

• Adekvansbeeslut utfärdade av ANPD som erkänner destinationsjurisdiktioner eller sektorer som tillhandahållande av adekvat skydd
• Standardklausuler godkända av ANPD, som fungerar analogt med GDPR SCC:er
• Bindande företagsregler för koncerninterna överföringar inom multinationella organisationer
• Specifikt tillstånd för överföringar som inte passar in i standardvägarna, från fall till fall

Det praktiska tillvägagångssättet 2026

För de flesta utländska utgivare är det praktiska tillvägagångssättet 2026 att genomföra ANPD-godkända standardklausuler med internationella personuppgiftsbiträden, dokumentera överföringsmekanismen i integritetspolicyn och komplettera med samtyckesbaserat tillstånd endast där standardmekanismen inte passar. Detta är meningsfullt enklare än pre-2026-regimen, som ofta förlitade sig på logik om samtycke-per-överföring som producerade svårhanterliga CMP:er.

Adekvansbeeslut hittills

ANPD har utfärdat adekvansbeeslut för ett fåtal jurisdiktioner fram till tidigt 2026 och förväntas expandera listan successivt. USA finns inte på adekvatlistan i början av 2026, vilket innebär att överföringar till US-baserade ad-tech och analysleverantörer kräver kontraktsklausuler eller en annan giltig mekanism.

Registrerades rättigheter

LGPD ger en robust uppsättning rättigheter, tillämpade genom det brasilianska ramverket:

• Rätt till bekräftelse av behandling
• Rätt till tillgång till behandlade uppgifter
• Rätt till rättelse av ofullständiga, felaktiga eller inaktuella uppgifter
• Rätt till anonymisering, blockering eller radering av onödiga, överdrivna eller olagligt behandlade uppgifter
• Rätt till portabilitet av uppgifter till en annan tjänsteleverantör
• Rätt till radering av uppgifter behandlade på basis av samtycke
• Rätt till information om offentliga och privata enheter med vilka uppgifterna har delats
• Rätt till information om möjligheten att neka samtycke och konsekvenserna av nekandet
• Rätt att återkalla samtycke
• Rätt att invända mot behandling utförd på basis av en av grunderna för berättigade intressen när det finns bristande efterlevnad
• Rätt till granskning av beslut fattade enbart på basis av automatiserad behandling

Svarstider

Personuppgiftsansvariga måste svara på begäranden från registrerade inom 15 dagar enligt regleringen, med möjlighet att förlänga i motiverade fall. Detta är snävare än GDPR:s 30-dagarsfönster och har varit ett återkommande operativt gap för utländska utgivare inställda på den europeiska rytmen.

Påföljder och genomdrivningshållning 2026

ANPDs genomdrivningsaktivitet har eskalerat meningsfullt under 2024 och 2025, och 2026 är på en liknande bana.

Administrativa böter

LGPD tillåter administrativa böter på upp till 2 procent av den personuppgiftsansvariges intäkter från sin verksamhet i Brasilien under föregående räkenskapsår, begränsat till BRL 50 miljoner per överträdelse. ANPD har använt mitten av intervallet i flera fall 2025, inklusive mot utländska plattformar, och myndighetens påföljdsmetodik publicerades 2024 och tillämpas nu konsekvent.

Andra sanktioner

Utöver böter kan ANPD utfärda varningar, kräva korrigerande åtgärder, delvis eller helt avbryta behandlingsaktiviteter och förbjuda specifika behandlingsoperationer. Publicering av överträdelsen är en rutinmässig följdsanktion och bär reputationsvikt på den brasilianska marknaden.

Genomdrivningsteman

ANPDs åtgärder under 2025 och tidigt 2026 grupperas kring återkommande frågor: tvetydiga eller frånvarande samtyckesbanners, brist på en integritetspolicy på Portuguese, gränsöverskridande överföringar utan giltig mekanism enligt den nya regleringen och misslyckande med att svara på registrerades begäranden inom 15-dagarsfönstret. Utländska utgivare har citerats i alla fyra kategorierna.

DPO-kravet

LGPD kräver att personuppgiftsansvariga utser ett dataskyddsombud (Encarregado de Tratamento de Dados Pessoais) och publicerar DPO:ns kontaktuppgifter. Utländska personuppgiftsansvariga som behandlar brasilianska uppgifter i stor skala behöver ett utsett DPO, och kontaktuppgifterna måste vara lättillgängliga i integritetspolicyn. ANPD har hänvisat till saknade eller otillgängliga DPO-kontaktuppgifter i flera genomdrivningsbrev.

Revisionschecklista för brasiliansk trafik 2026

• CMP-bannern serveras på Portuguese med Aceitar, Recusar och Personalizar med lika visuell framträdande
• Samtyckesändamål är granulerade och separerar all känslig kategoribehandling bakom sitt eget samtyckesflöde
• Integritetspolicyn (Aviso de Privacidade) är tillgänglig på Portuguese med fullständiga upplysningar om personuppgiftsansvarig, personuppgiftsbiträden, ändamål, lagring, rättigheter och DPO-kontakt
• Gränsöverskridande överföringar förlitar sig på ANPD-godkända standardklausuler, ett adekvansbeeslut, BCR:er eller specifikt tillstånd — inte på äldre logik om samtycke-per-överföring
• Samtyckesloggar är tidsstämplade, exporterbara och bevarade under behandlingstiden plus en revisionsmarginal
• Arbetsflödet för registrerades begäranden kan svara inom 15 dagar från start till slut, på Portuguese
• DPO är utsedd och kontaktuppgifter är publicerade i integritetspolicyn
• Leverantörslistan har granskats för nödvändighet, med oanvända eller redundanta leverantörer borttagna för att minska ytan för gränsöverskridande överföringar
• Målgruppssegment för känsliga kategorier är låsta bakom uttryckligt, separat insamlat samtycke

Utsikterna för 2026

Brasiliens integritetsregelverk har mognat från ett välformulerat regelverk med begränsat genomdrivande till ett av de mer krävande regelverken i Amerika. Regleringen för gränsöverskridande överföringar 2026 stängde det mest konsekventa strukturella gapet, och ANPDs genomdrivningshållning har hunnit ikapp lagens ambitioner. För utgivare som redan kör en GDPR-kalibrerad samtyckesstack är gapet till LGPD-efterlevnad operativt snarare än arkitektoniskt: CMP och avisering på Portuguese, ANPD-godkända överföringsmekanismer, 15-dagarssvarsrytmen, DPO-utnämning och omsorg med den bredare listan över känsliga uppgifter. Gapet kan stängas på veckor om det prioriteras — och Brasilien är den enskilt största marknaden i Latinamerika, så prioriteringen lönar sig vanligtvis snabbt. De utgivare som behandlade Brasilien som en marknad med mildare hantering under 2024 finner 2026 meningsfullt dyrare, och de som dröjer ytterligare kommer att finna 2027 ännu värre.