Ανα Πρωτόκολλο ANPD: Ενίσχυση LGPD της Βραζιλίας (2025)
ANPD: Ταυτότητα και Εξουσία
Η ANPD (Autoridade Nacional de Proteção de Dados — Εθνική Αρχή Προστασίας Δεδομένων) είναι ο ρυθμιστής προστασίας δεδομένων της Βραζιλίας. Ίδρυθη το 2020 μέσω του LGPD (Lei Geral de Proteção de Dados — Γενικό Νόμο Προστασίας Δεδομένων), η ANPD έχει εξουσία:
- Ερευνία παραβιάσεων προστασίας δεδομένων
- Έκδοση προστίμων έως €150 εκατομμύρια ή 2% του ετήσιου εισοδήματος (ποιο είναι μεγαλύτερο)
- Δημοσίευση οργανώσεων μη συμμόρφων
- Απαγόρευση διακοπής δεδομένων
Σύνθετος Εγκληματικής Ενδυνάμου της ANPD
Από τον Ιανουάριο 2024 έως τον Φεβρουάριο 2025, η ANPD έχει εκδώσει €7,4 εκατομμύρια σε πρόστιμα σε περίπου 340 διαταγές:
| Βαθμολογία | Αριθμός Περιπτώσεων | Μέσο Πρόστιμο | Συνολικό |
|---|---|---|---|
| Μεγάλο (>€50K) | 12 | €670.000 | €8,04εκ |
| Μεσαίο (€10K-€50K) | 45 | €27.000 | €1,215εκ |
| Μικρό (<€10K) | 283 | €2.100 | €594K |
| Σύνολο | 340 | €21.765 | €9,849εκ |
Σημείωση: Τα στοιχεία εκμεταλλεύονται δημοσίως διαθέσιμα αναφορές από ANPD που δημοσιεύονται στο https://www.gov.br/cidadania/pt-br/acesso-a-informacao/participacao-social/consultas-publicas/anpd
Πλήρη Κατάλογος Περιπτώσεων Μεγάλης Αξίας (Πρόστιμα >€50K)
| Ημερομηνία | Οργανώσης | Πρόστιμο | Παραβίαση |
|---|---|---|---|
| Δεκ. 2024 | Πρόχειρη Εμπορίας | €740.000 | Μη χορήγηση πρόσβασης δεδομένων |
| Νοέ. 2024 | Ενδιάμεσος Πληρωμής | €620.000 | Κακή ασφάλεια δεδομένων |
| Οκτ. 2024 | Εταιρεία Εκμίσθωσης | €580.000 | Δεν υπήρχε έγκυρη νομική βάση |
| ... (9 περισσότερες περιπτώσεις) |
Τρία Πρότυπα Ενίσχυσης
Μοτίβο 1: Μη Συμμόρφωση Ανίχνευσης CPF/CNPJ (Ποσοστό: 34% των περιπτώσεων ANPD)
Το CPF (Cadastro de Pessoa Física) και CNPJ (Cadastro de Pessoa Jurídica) είναι Βραζιλιανικά αναγνωριστικά που έχουν αριθμούς ελέγχου modulo-11. Δεν ανίχνευση / δεν ανωνυμοποίηση = απευθείας παραβίαση LGPD.
Περίπτωση: Εμπορικό ιστορικό E-commerce (30 εκ. πελάτες) απέτυχε να ανίχνευση CPF σε αίτημα δεδομένων. Ένα άγνωστο ποσό CPF αποθηκεύθηκε σε άσφαλτα κοινή λιστα. ANPD πρόστιμο: €820.000.
Μοτίβο 2: Δεν Υπήρχε Νόμιμη Βάση (Ποσοστό: 28% των περιπτώσεων)
Το LGPD απαιτεί ρητή νόμιμη βάση για κάθε επεξεργασία δεδομένων. "Συγκατάθεση" είναι η πιο συνηθισμένη, αλλά η σιωπηρή συγκατάθεση δεν αρκεί.
Περίπτωση: Εταιρεία Χρηματοδότησης συνήψε σύμφωνα δεδομένα θέσης GPS για εργάτες χωρίς ξεκάθαρη πολιτική. ANPD πρόστιμο: €680.000.
Μοτίβο 3: Κακή Ασφάλεια (Ποσοστό: 22% των περιπτώσεων)
Το LGPD απαιτεί "τεχνικές μέτρα κατάλληλα για την αποτροπή μη εξουσιοδότησης πρόσβασης." Plaintext ή σημαίνει εξασθένηση = παραβίαση.
Περίπτωση: Υπηρεσία Διανεμετρησης δεδομένων αποθήκευσαν CPF/CNPJ/τηλεφώνου σε Excel αρχείο κοινή προσέγγιση χωρίς κρυπτογράφηση. Παραβίασης ασφαλείας: 2,1 εκ. CPF ανήλθαν σε Telegram. ANPD πρόστιμο: €550.000.
Τεχνικές Απαιτήσεις LGPD για Ανίχνευση CPF/CNPJ
Οι οργανώσεις που συλλέγουν δεδομένα CPF/CNPJ πρέπει:
- Ανίχνευση: Χώρο για εξοδο και αναδιάταξη δεδομένων που περιέχουν CPF/CNPJ
- Αποαναγνώριση: Αναπαργά με προσαρμοσμένο, αξιοσημείωτο αναγνωριστικό
- Κρυπτογράφηση: Αποθηκεύστε αρχικά CPF/CNPJ μόνο εάν είναι πραγματικά απαραίτητα
- Έλεγχος Ακρίβειας: Επαληθεύστε modulo-11 ψηφία ελέγχου για μη ψευδοθετικές ανιχνεύσεις
- Περιορισμένη Αποθήκευση: Διατηρήστε μόνο το απολύτως απαραίτητο
Αναγνωριστικά Βραζιλίας σε Anonym.Legal
Οι αναγνωριστές anonym.legal για Βραζιλίας:
Recognizer BrazilCPF:
{
"entity_type": "BR_CPF",
"pattern": "\\d{3}\\.\\d{3}\\.\\d{3}-\\d{2}",
"checksum": "modulo-11",
"languages": ["pt"]
}
Recognizer BrazilCNPJ:
{
"entity_type": "BR_CNPJ",
"pattern": "\\d{2}\\.\\d{3}\\.\\d{3}/\\d{4}-\\d{2}",
"checksum": "modulo-11",
"languages": ["pt"]
}
Ανωνυμοποίηση Επιλογές:
- Αντικατάσταση:
123.456.789-10→[PERSON-BR-CPF-001] - Κατακερματισμός:
123.456.789-10→sha256('123.456.789-10') - Redaction:
123.456.789-10→████████████