Португалската Comissão Nacional de Proteção de Dados (CNPD) заема уникална позиция сред органите за защита на данните в ЕС: тя свързва GDPR на Европейския съюз и бразилската Lei Geral de Proteção de Dados (LGPD) — двете основни рамки за поверителност, управляващи глобалната сфера на португалски език, обхващаща 215 милиона души.
CNPD издаде 42 решения за принудително изпълнение през 2024 г., включително глоба от 2,5 милиона евро срещу португалска болница за неадекватна анонимност на данните на пациентите — една от най-големите глоби за здравеопазване GDPR в Южна Европа.
Връзката GDPR-LGPD
EU GDPR (Португалия): Максимална глоба 20 милиона евро или 4% глобални приходи. В сила от CNPD.
Бразилия LGPD (Закон № 13,709/2018): Максимална глоба 2% от бразилския годишен приход, до 50 милиона R$ за нарушение (≈ 9 милиона евро). Приложено от ANPD (Autoridade Nacional de Proteção de Dados), с първите големи действия за прилагане през 2024 г.
Над 2400 компании поддържат активни споразумения за трансфер на данни между ЕС и Бразилия. Понастоящем ЕС няма решение за адекватност с Бразилия, което означава, че трансферите между ЕС и Бразилия изискват стандартни договорни клаузи или друг механизъм по член 46.
Решението на болницата: Анонимизирането като технически стандарт
Глобата за здравеопазване от 2,5 милиона евро на CNPD създаде критични прецеденти:
Политика ≠ съответствие. Болницата имаше документирани политики, според които данните от изследванията на пациентите са „анонимизирани“. Техническият преглед на CNPD установи, че „анонимизираният“ набор от данни запазва NIF номера, дати на раждане, диагностични кодове и дати на лечение – което позволява повторна идентификация на конкретни пациенти.
Освобождаването от изследвания изисква технически предпазни мерки. Болницата твърди, че данните от клинични изследвания са обхванати от освобождаването за изследвания по член 89 от GDPR. CNPD установи, че освобождаването изисква истинска анонимност или подходящи предпазни мерки — не общо освобождаване от технически мерки.
Глобите за здравеопазване отразяват статут на специална категория. Глобата от 2,5 милиона евро отразява третирането на специална категория по член 9 на GDPR за здравни данни, мащаб на засегнатите пациенти (23 000 индивида) и неизпълнение на основно валидиране на анонимизация.
Португалски срещу бразилски PII: Защо те не са взаимозаменяеми
Португалският е един език. Но националните системи за идентификация в Португалия и Бразилия са напълно различни - създавайки критична празнина в съответствие за организации, които приемат, че „поддръжката на португалски език“ е достатъчна.
Португалски идентификатори на ЕС:
- NIF: 9-цифрен данъчен идентификационен номер. Основният идентификатор на гражданите на Португалия. Контролна цифра, валидирана със специфичен алгоритъм.
- NIS: 11-цифрен социалноосигурителен идентификационен номер.
- Cartão de Cidadão: 8-цифрен номер на гражданска карта с буквен суфикс.
- Паспорт: стандартен формат на ЕС.
Идентификатори на бразилски PII:
- CPF: 11-цифрен регистър на индивидуалните данъкоплатци, с две контролни цифри, валидирани с помощта на различни алгоритми от NIF на Португалия.
- CNPJ: 14-цифрен регистрационен номер на фирма.
- RG: Държавен документ за самоличност — форматът варира според държавата на издаване (Сао Пауло се различава от Рио де Жанейро, Минас Жерайс и т.н.).
- CNH: 11-цифрен номер на шофьорска книжка.
- Título de Eleitor: 12-цифрен регистрационен номер на избирателя.
- PIS/PASEP: 11-цифрен номер на програмата за социална интеграция в трудовите досиета.
Организация, която внедрява PII инструмент с „поддръжка на португалски език“, може правилно да открие NIF в португалски документи, докато напълно липсва CPF в бразилски документи — или обратното. Идентификаторите изискват отделна логика за откриване, въпреки че се появяват в документи, написани на същия език.
Съответствие при прехвърляне ЕС-Бразилия
За организации с потоци от данни ЕС-Бразилия, ръководството на CNPD от 2024 г. относно изискванията за адекватност на трансфера:
SCCs с адекватни TIA: Стандартните договорни клаузи са текущият основен механизъм, но трябва да бъдат придружени от оценки на въздействието върху прехвърлянето, които разглеждат дали правната рамка на Бразилия предоставя еквивалентна защита. CNPD установи, че много съществуващи TIA са неадекватни.
Обработка в ЕС: Организациите, които обработват данни на бразилски граждани в рамките на инфраструктурата на ЕС — никога не прехвърлят необработени лични данни в Бразилия — могат да отговарят на двете рамки едновременно. Базираната в ЕС обработка означава, че се прилага LGPD (данни на бразилски граждани) и GDPR (обработка в ЕС), но не се извършва трансграничен трансфер.
За организации, обслужващи португалоезичния пазар както в ЕС, така и в Бразилия: откриването на PII с двойна юрисдикция, обхващащо португалски идентификатори в ЕС (NIF, NIS) и бразилски идентификатори (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) не е задължително — това е основата за демонстриране на адекватни технически мерки съгласно и двете рамки.
Източници:
- CNPD: Португалска комисия за защита на данните
- [ANPD: Бразилски орган за защита на данните] (https://www.gov.br/anpd/)