Бразилският Autoridade Nacional de Proteção de Dados (ANPD) влезе в активен режим на правоприлагане през 2024 г., като наложи първите си големи глоби съгласно Lei Geral de Proteção de Dados (LGPD) — Закон № 13,709/2018. С 215 милиона бразилци, обхванати от рамката, и Бразилия, която е домакин на най-голямата цифрова икономика в Латинска Америка (180 милиона потребители на интернет), съответствието на LGPD вече е реалност за прилагане, а не бъдеща грижа.
LGPD: GDPR на Бразилия със специфични за Бразилия разпоредби
LGPD е моделиран на GDPR, но включва разпоредби, които се различават значително по обхват и приложение:
Максимални глоби: 2% от бразилските годишни приходи (не глобалните приходи), до 50 милиона R$ (≈9 милиона евро) за нарушение. За разлика от глобалния таван на приходите от 4% на GDPR, базата на приходите в Бразилия на LGPD създава по-ниски максимални санкции за мултинационалните компании — но по-висока относителна експозиция за бизнеси само в Бразилия.
**Категории чувствителни данни: ** Категориите чувствителни данни на LGPD отразяват точно член 9 на GDPR, но добавят конкретни разпоредби за расов/етнически произход, политически възгледи, религиозни убеждения, здравни данни, генетични данни, биометрични данни и — особено — сексуална ориентация и сексуален живот. Ръководството на ANPD от 2024 г. разшири защитата на чувствителните данни до изискването за съгласие по член 11 на LGPD за обработка на чувствителни данни.
Права на субекта на данни: Подобно на GDPR — достъп, коригиране, анонимизиране, преносимост, изтриване и информация за споделяне на данни. Бразилският LGPD добавя конкретно право да се знае дали AI е използван при решения за обработка на данни.
Начало на прилагане на ANPD: Първите официални санкции, издадени през 2024 г. Телекомуникациите, финансовите услуги и здравните организации бяха основните цели на прилагането. ANPD сигнализира, че мултинационалните компании, опериращи в Бразилия, ще бъдат фокус през 2025 г.
Бразилски PII идентификатори: предизвикателството при откриването
Националната идентификационна система на Бразилия е по-сложна от повечето държави в ЕС — отчасти защото Бразилия е федерална република, където идентификационните системи се различават според държавата на издаване на някои документи.
CPF (Cadastro de Pessoas Físicas): 11-цифрен индивидуален регистрационен номер на данъкоплатец, формат XXX.XXX.XXX-XX, с две контролни цифри, потвърдени с помощта на специфична модулна аритметика. CPF е основният универсален идентификатор на Бразилия — използван за банкиране, заетост, данъци, здравеопазване и държавни услуги. Всичките 215 милиона бразилци имат CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14-цифрен регистрационен номер на фирма, формат XX.XXX.XXX/XXXX-XX, с две контролни цифри. Появява се заедно с личните данни на представители на компанията в бизнес документи.
RG (Registro Geral): Издаван от държавата граждански документ за самоличност. Критично: Форматът RG варира според държавата на издаване. Форматът RG на Сао Пауло се различава от този на Рио де Жанейро, който се различава от този на Минас Жерайс, и така нататък в 26 щата + федерален окръг. Инструмент за лична информация, който разпознава само RG формата на един щат, пропуска по-голямата част от бразилските RG номера в документи от други щати.
CNH (Carteira Nacional de Habilitação): 11-цифрен номер на шофьорска книжка с контролна цифра.
Título de Eleitor: 12-цифрен регистрационен номер на избирателя, кодиращ географска информация за зоната за регистрация на избирателя.
PIS/PASEP: 11-цифрен номер на програмата за социална интеграция, използван в трудовите досиета и ведомостите за заплати.
SUS номер (Cartão SUS): 15-цифрен номер, присвоен на всеки бразилец за единната здравна система — фигурира във всички здравни документи.
LGPD срещу GDPR: Основни разлики за бразилско-европейските организации
Организациите, работещи съгласно LGPD и GDPR, са изправени пред важни разлики:
Правни основания за обработка: LGPD предоставя 10 правни основания (в сравнение с 6 на GDPR), включително „законен интерес“, „защита на здравето“ и „защита на кредита“ — последното е уникално за LGPD и отразява бразилската кредитна култура, управлявана от финтех.
Няма механизъм за адекватност за Бразилия: ЕС не е предоставил на Бразилия решение за адекватност. Трансферите на данни ЕС-Бразилия изискват стандартни договорни клаузи или обвързващи корпоративни правила — същият механизъм се изисква за трансфери към САЩ или други неадекватни държави.
**Изисквания за съгласие в Бразилия: ** LGPD изисква съгласието да бъде конкретно, информирано, недвусмислено и свободно дадено — подобно на GDPR. Въпреки това LGPD позволява съгласието за чувствителни данни да бъде по-широко от изискването на GDPR за изрично съгласие за всяка конкретна цел, при условие че целта е ясно съобщена.
ANPD's 2025's Enforcement Focus
Въз основа на публикуваните приоритети за правоприлагане на ANPD и резултатите от разследването за 2024 г.:
Здравни данни: LGPD Член 11 изисква изрично съгласие или конкретно правно основание за обработка на здравни данни. ANPD установи, че множество доставчици на здравни услуги и здравни приложения нямат подходящо правно основание за обработка на SUS номера и медицински досиета.
Финансови услуги: CPF номерата във финансови документи — молби за заеми, кредитни отчети, застрахователни полици — са основни цели за прилагане. ANPD проверява дали политиките за съхранение на данни на финансовите институции съответстват на документираните цели.
Съответствие с техническите платформи: Международните технологични платформи (социални медии, електронна търговия, стрийминг услуги), работещи в Бразилия, са фокусът на ANPD за 2025 г., особено за практики за профилиране и трансгранични трансфери на данни.
За организации, обработващи бразилски лични данни: откриването на CPF и CNPJ с валидирани контролни цифри е техническата основа. Добавянето на RG откриване с разпознаване на специфичен за държавата формат, поддръжка на CNH, Título de Eleitor и SUS номер предоставя цялостно покритие, съвместимо със LGPD, на бразилски PII.
Източници: