Brasiliens Autoridade Nacional de Proteção de Dados (ANPD) gik ind i aktiv håndhævelsesmode i 2024 og udstedte sine første store bøder under Lei Geral de Proteção de Dados (LGPD) — Lov nr. 13,709/2018. Med 215 millioner brasilianere dækket af rammerne og Brasilien som værtsland for den største digitale økonomi i Latinamerika (180 millioner internetbrugere) er LGPD-overholdelse nu en håndhævelsesrealitet, ikke en fremtidig bekymring.
LGPD: Brasiliens GDPR med Brasilienspecifikke Bestemmelser
LGPD er modelleret efter GDPR, men inkluderer bestemmelser, der adskiller sig betydeligt i omfang og anvendelse:
Maksimale bøder: 2% af brasiliansk årlig omsætning (ikke global omsætning), op til R$50 millioner (≈€9M) pr. overtrædelse. I modsætning til GDPR's 4% globale omsætningsloft skaber LGPD's brasilianske omsætningsgrundlag lavere maksimale sanktioner for multinationale virksomheder — men højere relativ eksponering for Brasilien-virksomheder.
Følsomme datakategorier: LGPD's følsomme datakategorier spejler tæt GDPR Artikel 9, men tilføjer specifikke bestemmelser for racemæssig/etnisk oprindelse, politisk mening, religiøs tro, sundhedsdata, genetiske data, biometriske data, og — bemærkelsesværdigt — seksuel orientering og sexliv. ANPD's vejledning fra 2024 udvidede beskyttelsen af følsomme data til LGPD Artikel 11's samtykkekrav for enhver behandling af følsomme data.
Rettigheder for registrerede: Lignende som GDPR — adgang, korrektion, anonymisering, portabilitet, sletning og information om datadeling. Brasiliens LGPD tilføjer en specifik ret til at vide, om AI blev brugt i databehandlingsbeslutninger.
ANPD's håndhævelsesstart: Første formelle sanktioner udstedt i 2024. Telekommunikation, finansielle tjenester og sundhedsorganisationer var de primære håndhævelsesmål. ANPD har signaleret, at multinationale virksomheder, der opererer i Brasilien, vil være et fokus i 2025.
Brasilianske PII Identifikatorer: Detektionsudfordringen
Brasiliens nationale identifikationssystem er mere komplekst end de fleste EU-lande — delvist fordi Brasilien er en føderal republik, hvor identifikationssystemer varierer afhængigt af udstedelsesstat for nogle dokumenter.
CPF (Cadastro de Pessoas Físicas): 11-cifret individuel skatteyderregistreringsnummer, format XXX.XXX.XXX-XX, med to kontrolcifre valideret ved hjælp af specifik modulær aritmetik. CPF er Brasiliens primære universelle identifikator — brugt til bank, beskæftigelse, skat, sundhed og offentlige tjenester. Alle 215 millioner brasilianere har en CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14-cifret virksomhedsregistreringsnummer, format XX.XXX.XXX/XXXX-XX, med to kontrolcifre. Visas sammen med personlige data om virksomhedens repræsentanter i forretningsdokumenter.
RG (Registro Geral): Statligt udstedt civil identitetsdokument. Kritisk: RG-format varierer afhængigt af udstedelsesstat. São Paulos RG-format adskiller sig fra Rio de Janeiros, som adskiller sig fra Minas Gerais, og så videre på tværs af 26 stater + Føderalt Distrikt. Et PII-værktøj, der kun genkender ét stats RG-format, går glip af størstedelen af de brasilianske RG-numre i dokumenter fra andre stater.
CNH (Carteira Nacional de Habilitação): 11-cifret kørekortnummer med kontrolciffer.
Título de Eleitor: 12-cifret vælgerregistreringsnummer, der koder geografisk information om vælgerens registreringszone.
PIS/PASEP: 11-cifret nummer til socialt integrationsprogram, der bruges i ansættelsesoptegnelser og lønningslister.
SUS nummer (Cartão SUS): 15-cifret nummer tildelt hver brasilianer til det enhedlige sundhedssystem — vises i alle sundhedsrelaterede dokumenter.
LGPD vs. GDPR: Nøgleforskelle for Brasiliansk-Europæiske Organisationer
Organisationer, der opererer under både LGPD og GDPR, står over for vigtige forskelle:
Juridiske grundlag for behandling: LGPD giver 10 juridiske grundlag (sammenlignet med GDPR's 6), herunder "legitim interesse," "beskyttelse af sundhed," og "beskyttelse af kredit" — den sidstnævnte er unik for LGPD og afspejler Brasiliens fintech-drevne kreditkultur.
Ingen tilstrækkelighedsmekanisme for Brasilien: EU har ikke givet Brasilien en tilstrækkelighedsbeslutning. EU-Brasilien datatransfers kræver Standardkontraktbestemmelser eller bindende virksomhedsregler — den samme mekanisme, der kræves for overførsler til USA eller andre ikke-tilstrækkelige lande.
Brasilianske samtykkekrav: LGPD kræver, at samtykke er specifikt, informeret, entydigt og frit givet — ligesom GDPR. Dog tillader LGPD, at samtykke til følsomme data er bredere end GDPR's krav om eksplicit samtykke til hvert specifikt formål, forudsat at formålet klart kommunikeres.
ANPD's Håndhævelsesfokus i 2025
Baseret på ANPD's offentliggjorte håndhævelsesprioriteter og 2024-undersøgelsesresultater:
Sundhedsdata: LGPD Artikel 11 kræver eksplicit samtykke eller specifikt juridisk grundlag for behandling af sundhedsdata. ANPD fandt, at flere sundhedsudbydere og sundhedsapps manglede tilstrækkeligt juridisk grundlag for behandling af SUS-numre og medicinske optegnelser.
Finansielle tjenester: CPF-numre i finansielle dokumenter — låneansøgninger, kreditrapporter, forsikringspolicer — er primære håndhævelsesmål. ANPD reviderer, om finansielle institutioners datalagringspolitikker stemmer overens med dokumenterede formål.
Tech-platformoverholdelse: Internationale tech-platforme (sociale medier, e-handel, streamingtjenester), der opererer i Brasilien, er ANPD's fokus i 2025, især for profilering og grænseoverskridende datatransfers.
For organisationer, der behandler brasilianske personoplysninger: CPF og CNPJ-detektion med validerede kontrolcifre er den tekniske baseline. At tilføje RG-detektion med stats-specifik formatgenkendelse, CNH, Título de Eleitor og SUS-nummerunderstøttelse giver omfattende LGPD-kompatibel dækning af brasiliansk PII.
Kilder: