Brasilian kansallinen tietosuojaviranomainen (ANPD) aloitti aktiivisen toimeenpanon vuonna 2024, määräten ensimmäiset suuret sakot yleisen tietosuojalain (LGPD) — laki nro 13,709/2018 — nojalla. 215 miljoonaa brasilialaista on kattavan lain piiriin, ja Brasilia isännöi Latinalaisen Amerikan suurinta digitaalista taloutta (180 miljoonaa internetin käyttäjää), joten LGPD:n noudattaminen on nyt toimeenpanotodellisuus, ei tulevaisuuden huolenaihe.
LGPD: Brasilian GDPR, jossa on Brasilialaisia erityissäännöksiä
LGPD on mallinnettu GDPR:n mukaan, mutta siinä on säännöksiä, jotka poikkeavat merkittävästi laajuudeltaan ja soveltamiseltaan:
Maksimimaksut: 2 % brasilialaisesta vuotuisesta liikevaihdosta (ei globaalista liikevaihdosta), enintään 50 miljoonaa R$ (≈9M€) rikkomusta kohden. Toisin kuin GDPR:n 4 %:n globaali liikevaihtokatto, LGPD:n Brasilia-liikevaihtoperuste luo alhaisemmat maksimit rangaistukset monikansallisille yrityksille — mutta suuremman suhteellisen altistuksen vain Brasiliaan keskittyville yrityksille.
Herkät tietoluokat: LGPD:n herkät tietoluokat heijastavat läheisesti GDPR:n artiklaa 9, mutta lisäävät erityissäännöksiä rodullisesta/etnisestä alkuperästä, poliittisista mielipiteistä, uskonnollisista uskomuksista, terveystiedoista, geneettisistä tiedoista, biometrisistä tiedoista ja — erityisesti — seksuaalisesta suuntautumisesta ja seksielämästä. ANPD:n vuoden 2024 ohjeistus laajensi herkkiä tietosuojavaatimuksia LGPD:n artiklan 11 suostumusvaatimukseen kaikessa herkän tiedon käsittelyssä.
Rekisteröidyn oikeudet: Samankaltaisia kuin GDPR — pääsy, korjaus, anonymisointi, siirrettävyys, poistaminen ja tiedot tietojen jakamisesta. Brasilian LGPD lisää erityisen oikeuden tietää, käytettiinkö tekoälyä tietojenkäsittelypäätöksissä.
ANPD:n toimeenpanon aloitus: Ensimmäiset muodolliset sanktiot annettiin vuonna 2024. Telekommunikaatio-, rahoitus- ja terveydenhuolto-organisaatiot olivat ensisijaisia toimeenpanotavoitteita. ANPD on ilmoittanut, että monikansalliset yritykset, jotka toimivat Brasiliassa, ovat keskipisteenä vuonna 2025.
Brasilialaiset PII-tunnisteet: Tunnistushaaste
Brasilian kansallinen tunnistusjärjestelmä on monimutkaisempi kuin useimmissa EU-maissa — osittain siksi, että Brasilia on liittovaltiovalta, jossa tunnistusjärjestelmät vaihtelevat myöntämisvaltioittain joidenkin asiakirjojen osalta.
CPF (Cadastro de Pessoas Físicas): 11-numeroinen yksittäisen verovelvollisen rekisterinumero, muoto XXX.XXX.XXX-XX, jossa on kaksi tarkistusnumeroa, jotka validoidaan käyttäen erityistä modulaarista aritmetiikkaa. CPF on Brasilian ensisijainen yleinen tunniste — käytetään pankkitoiminnassa, työllisyydessä, verotuksessa, terveydenhuollossa ja valtion palveluissa. Kaikilla 215 miljoonalla brasilialaisella on CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14-numeroinen yrityksen rekisterinumero, muoto XX.XXX.XXX/XXXX-XX, jossa on kaksi tarkistusnumeroa. Näkyy yritysdokumenteissa yritysten edustajien henkilötietojen yhteydessä.
RG (Registro Geral): Osavaltion myöntämä kansalaisidentiteettiasiakirja. Kriittisesti: RG-muoto vaihtelee myöntämisvaltioittain. São Paulon RG-muoto poikkeaa Rio de Janeiron RG-muodosta, joka poikkeaa Minas Geraisin RG-muodosta, ja niin edelleen 26 osavaltion + liittovaltion alueen läpi. PII-työkalu, joka tunnistaa vain yhden osavaltion RG-muodon, jättää huomiotta suurimman osan brasilialaisista RG-numeroista asiakirjoissa muista osavaltioista.
CNH (Carteira Nacional de Habilitação): 11-numeroinen ajokorttinumero tarkistusnumerolla.
Título de Eleitor: 12-numeroinen äänestäjän rekisterinumero, joka koodaa maantieteellistä tietoa äänestäjän rekisteröintialueesta.
PIS/PASEP: 11-numeroinen sosiaalisen integraation ohjelman numero, jota käytetään työsuhteissa ja palkkalistoilla.
SUS-numero (Cartão SUS): 15-numeroinen numero, joka on myönnetty jokaiselle brasilialaiselle yhtenäistä terveydenhuoltojärjestelmää varten — näkyy kaikissa terveydenhuoltoasiakirjoissa.
LGPD vs. GDPR: Tärkeimmät erot brasilialais-eurooppalaisille organisaatioille
LGPD:n ja GDPR:n alaisuudessa toimivilla organisaatioilla on tärkeitä eroja:
Oikeudelliset perusteet käsittelylle: LGPD tarjoaa 10 oikeudellista perustetta (verrattuna GDPR:n 6:een), mukaan lukien "oikeutettu etu", "terveyden suoja" ja "luoton suoja" — viimeinen on ainutlaatuinen LGPD:lle ja heijastaa Brasilian fintech-pohjaista luottokulttuuria.
Ei riittävyysmekanismia Brasilialle: EU ei ole myöntänyt Brasilialle riittävyyspäätöstä. EU-Brasilia-tietosiirrot vaativat standardisopimuslausekkeita tai sitovia yrityssääntöjä — sama mekanismi, jota vaaditaan siirroille Yhdysvaltoihin tai muihin ei-riittäviin maihin.
Brasilian suostumusvaatimukset: LGPD vaatii suostumuksen olevan erityinen, informoitu, yksiselitteinen ja vapaasti annettu — samankaltainen kuin GDPR. Kuitenkin LGPD sallii herkän tiedon suostumuksen olevan laajempi kuin GDPR:n vaatimus nimenomaisesta suostumuksesta jokaista erityistä tarkoitusta varten, kunhan tarkoitus on viestitty selkeästi.
ANPD:n 2025 Toimeenpanon Keskittyminen
Perustuen ANPD:n julkaisemaan toimeenpanon prioriteettiin ja vuoden 2024 tutkimustuloksiin:
Terveydenhuoltodatat: LGPD:n artikla 11 vaatii nimenomaista suostumusta tai erityistä oikeudellista perustetta terveydenhuoltodatan käsittelylle. ANPD havaitsi useilla terveydenhuoltopalveluilla ja terveyssovelluksilla olevan puutteellisia oikeudellisia perusteita SUS-numeroiden ja sairauskertomusten käsittelyyn.
Rahoituspalvelut: CPF-numerot rahoitusasiakirjoissa — lainahakemukset, luottoraportit, vakuutussopimukset — ovat ensisijaisia toimeenpanotavoitteita. ANPD tarkistaa, vastaavatko rahoituslaitosten tietojen säilyttämispolitiikat asiakirjoissa dokumentoituja tarkoituksia.
Teknologiayritysten noudattaminen: Kansainväliset teknologiayritykset (sosiaalinen media, verkkokauppa, suoratoistopalvelut), jotka toimivat Brasiliassa, ovat ANPD:n keskipiste vuonna 2025, erityisesti profilointikäytäntöjen ja rajat ylittävien tietosiirtojen osalta.
Organisaatioille, jotka käsittelevät brasilialaisia henkilötietoja: CPF- ja CNPJ-tunnistus, jossa on validoidut tarkistusnumerot, on tekninen perusta. Lisäämällä RG-tunnistuksen osavaltiokohtaisen muodon tunnistamisen, CNH:n, Título de Eleitorin ja SUS-numeron tuen, saadaan kattava LGPD:n mukainen suoja brasilialaiselle PII:lle.
Lähteet: