ANPD Бразилия: Прилагане на LGPD 2024
Бразилският регулатор за поверителност ANPD започна да налага глоби през 2024 г. Това са първите крупни глоби по LGPD — Закон No. 13 709/2018. Бразилия има 215 млн. души, обхванати от този закон. Има и 180 млн. интернет потребители — най-голямата дигитална икономика в Латинска Америка. Спазването на LGPD вече е реален и активен ангажимент.
LGPD: Бразилският закон за поверителността
LGPD е базиран на GDPR, но има ключови разлики.
Максимални глоби: До 2% от годишния приход в Бразилия. Таванът е R$50 млн. (≈€9 млн.) за нарушение. GDPR използва глобален приход при 4%. Базата само за Бразилия при LGPD означава по-ниски тавани за мултинационалните компании. Но означава по-висок относителен риск за компании, работещи единствено в Бразилия.
Чувствителни категории: Списъкът на LGPD е близък до Член 9 от GDPR. Обхваща раса, политически виждания, религия, здравни досиета, генетични данни, биометрия и сексуална ориентация. Насоките на ANPD от 2024 г. разшириха тези правила съгласно Член 11.
Права на субектите на данни: Хората могат да получат достъп, да коригират, изтриват и прехвърлят своите данни. Могат също да питат за споделянето на данни. LGPD добавя едно право, което не съществува в GDPR: правото да разберат дали е използван ИИ при решение, касаещо ги.
Начало на правоприлагането: ANPD издаде първите санкции през 2024 г. Основните цели са телекомуникации, финансови фирми и доставчици на здравни услуги. Мултинационалните компании в Бразилия са в центъра на вниманието за 2025 г.
За по-широк поглед вижте нашето ръководство за глобално съответствие с изискванията за лични данни.
Бразилски PII идентификатори
Системата на идентификатори в Бразилия е сложна. Тя е федерална република. Някои документи варират по щат.
CPF: 11-цифрен данъчен номер (формат: XXX.XXX.XXX-XX). Има две контролни цифри по модулна математика. CPF е основният идентификатор в Бразилия за банкиране, данъци, здравеопазване и правителствени услуги. Всички 215 млн. бразилци имат такъв.
CNPJ: 14-цифрен номер на компания (формат: XX.XXX.XXX/XXXX-XX). Има две контролни цифри. Появява се в бизнес досиета, свързани с ръководители на компании.
RG: Издадена от щата гражданска лична карта. Форматът варира по щат. RG на Сао Пауло се различава от тази на Рио де Жанейро, и така нататък за всичките 26 щата плюс Федералния окръг. Инструмент, познаващ само формата на един щат, ще пропусне повечето бразилски RG номера.
CNH: 11-цифрен номер на шофьорска книжка с една контролна цифра.
Titulo de Eleitor: 12-цифрен идентификатор на избирател. В него е кодирана зоната за регистрация на избирателя.
PIS/PASEP: 11-цифрен номер на социална програма. Появява се в досиета за заплати и трудова заетост.
SUS номер: 15-цифрен идентификатор на здравната система. Всеки бразилец има такъв. Появява се във всички здравни документи.
Нашето глобално ръководство за PII идентификатори разглежда CPF наред с SSN, Aadhaar и други национални идентификатори.
LGPD срещу GDPR: ключови разлики
И двете рамки защитават личните данни, но се различават по важни начини.
Правни основания: LGPD има 10 правни основания. GDPR — 6. LGPD включва "защита на кредита" — основание, свързано с финтех културата на Бразилия. Такъв аналог не съществува в GDPR.
Без адекватност от ЕС за Бразилия: ЕС не е предоставил на Бразилия решение за адекватност. Трансферите между ЕС и Бразилия се нуждаят от Стандартни договорни клаузи или Обвързващи корпоративни правила — същото като за САЩ.
Правила за съгласие: Съгласието по LGPD трябва да бъде специфично, информирано, свободно и ясно — много подобно на GDPR. За чувствителни данни LGPD допуска по-широко съгласие отколкото стандарта на GDPR за отделна цел, стига целта да е посочена.
Приоритети на ANPD за правоприлагане 2025 г.
ANPD е публикувала своите приоритети за 2025 г. въз основа на резултатите от случаите от 2024 г.
Здравни досиета
Член 11 изисква изрично съгласие — или ясно правно основание — за обработка на здравни досиета. ANPD откри, че много здравни приложения и доставчици нямаха такова основание за SUS номерата и медицинските досиета.
Финансови услуги
CPF номерата в кредитните досиета, кредитните доклади и застрахователните полици са основни цели. ANPD проверява дали сроковете на задържане съответстват на посочените цели.
Съответствие на технологичните платформи
Социалните мрежи, електронната търговия и стрийминг платформите в Бразилия са в центъра на вниманието за 2025 г. ANPD разглежда профилирането и трансграничните трансфери.
Какво да направите сега
Основата на бразилския коплаянс е засичане на CPF и CNPJ с валидиране на контролни цифри. Добавете засичане на RG с логика за форматиране по щат. Включете поддръжка за CNH, Titulo de Eleitor и SUS номер за пълно покритие. Вижте нашето ръководство за анонимизиране по LGPD за подробности стъпка по стъпка.