Brazilský zákon Lei Geral de Proteção de Dados (LGPD) byl plně uveden v platnost v roce 2021 a Autoridade Nacional de Proteção de Dados (ANPD) zahájila hlavní vymáhání v roce 2024. Se 215 miliony obyvatel a jednou z největších digitálních ekonomik světa je Brazílie kritickým trhem pro organizace zpracovávající latinsko-americká data.
CPF: Brazilský individuální identifikátor
CPF (Cadastro de Pessoas Físicas): 11místné brazilské číslo registru fyzické osoby ve formátu:
XXX.XXX.XXX-DD
Kde první 9 číslic je sekvenční registrační číslo a DD jsou dvě kontrolní číslice validované pomocí specifické modulo-11 algoritmu. CPF je primárním individuálním identifikátorem Brazílie — vyskytuje se ve všech finančních transakcích, zaměstnání, zdravotním záznamu a vládních službách.
Výzvy detekce: Průzkum ANPD z roku 2024 zjistil, že CPF je detekováno s pouze 45% přesností nástroji trénovanými primárně na anglickém textu. Primární selhání:
- Formát XXX.XXX.XXX-DD s tečkami a pomlčkami je zaměňován s jinými numerickými sekvencemi
- Validace kontrolní číslice (brazilský algoritmus mod-11) vyžaduje specifickou implementaci
- CPF se vyskytuje ve španělsko-jazyčných dokumentech v latinsko-americkém obchodním kontextu — nástroje trénované v angličtině/européštině přehlíží kontext
CNPJ: Brazilský obchodní identifikátor
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14místné registrační číslo brazilské společnosti ve formátu:
XX.XXX.XXX/XXXX-DD
Kde první 8 číslic identifikuje kmenovou společnost, číslice 9-12 identifikují pobočku (0001 pro centrálu), a DD jsou dvě kontrolní číslice. CNPJ je primárním obchodním identifikátorem — vyskytuje se ve všech brazilských obchodních dokumentech.
LGPD se vztahuje na zpracování dat fyzických osob (CPF) ale obchodní dokumenty obsahující CNPJ spolu s jmény vedoucích pracovníků a kontaktními detaily mohou stále zahrnovat osobní data podléhající LGPD.
LGPD Oproti GDPR: Klíčové rozdíly
Právní základy: LGPD definuje 10 právních základů pro zpracování (Článek 7) vs. 6 v GDPR. Rozdíly zahrnují LGPD specifické základy pro ochranu úvěru a výzkum.
Anonymizace standard: LGPD Článek 5(XI) definuje anonymizovaná data jako ta, která „by nemohla být přiřazena k datovému subjektu" zvažující prostředky „technicky rozumně dostupné." Tento standard je podobný GDPR ale implementován specificky v brazilském kontextu.
Přeshraniční přenosy: LGPD Článek 33 reguluje přenosy dat mimo Brazílii — Brazílie dosud nezavedla mechanismus Standardních smluvních doložek jako EU, ale ANPD vydal pokyny k přenosovým mechanismům.
Implementace Detekce CPF/CNPJ
Pro organizace zpracovávající brazilská data:
- Detekce CPF: Formát XXX.XXX.XXX-DD s validací kontrolní číslice (brazilský mod-11 algoritmus)
- Detekce CNPJ: Formát XX.XXX.XXX/XXXX-DD s validací kontrolní číslice
- Brazilská portugálská NER: spaCy pt_core_news nebo ekvivalentní model brazilské portugálštiny — standardní evropsko-portugálský NER podstatně snižuje přesnost pro brazilský text
- Adresní formáty: Brazilské adresy (CEP PSČ, Rua/Avenida/Praça, stát zkratky) liší od evropských formátů
Zdroje: