La Comissão Nacional de Proteção de Dados (CNPD) de Portugal té una posició única entre les autoritats europees de protecció de dades: connecta la GDPR de la Unió Europea i la Lei Geral de Proteção de Dados (LGPD) del Brasil — els dos marcs de privacitat principals que governen l'esfera lusòfona global cobrint 215 milions de persones.
La CNPD va emetre 42 decisions de compliment en 2024, incloent una multa de €2,5 milions contra un hospital portuguès per anonimització inadequada de dades de pacients — una de les multes de GDPR més grans del cuidat de la salut al sud d'Europa.
La Connexió GDPR-LGPD
GDPR Europeu (Portugal): Multa màxima €20M o 4% d'ingressos globals. Complida per CNPD.
LGPD Brasiler (Llei núm. 13.709/2018): Multa màxima 2% dels ingressos anuals brasilers, fins a R$ 50 milions per violació (≈ €9M). Complida per ANPD (Autoridade Nacional de Proteção de Dados), amb primeres accions de compliment important en 2024.
Més de 2.400 empreses mantenen acords actius de transferència de dades UE-Brasil. La UE actualment no té una decisió d'adequació amb Brasil, significa que les transferències UE-Brasil requereixen Clàusules Contractuals Estàndard o un altre mecanisme de l'Article 46.
La Sentència de l'Hospital: Anonimització com a Estàndard Tècnic
La multa de cuidat de la salut de €2,5 milions de la CNPD va establir precedents crítics:
Política ≠ compliment. L'hospital tenia polítiques documentades afirmant que les dades de recerca de pacients eren "anonimitzades." L'examen tècnic de la CNPD va descobrir que el conjunt de dades "anonimitzat" retenia números NIF, dates de naixement, codis de diagnòstic i dates de tractament — un fracàs clar d'anonimització irreversible.