Portugali Comissão Nacional de Proteção de Dados (CNPD) pitää ainutlaatuista asemaa EU:n tietosuojaviranomaisten joukossa: se yhdistää Euroopan unionin GDPR:n ja Brasilian Lei Geral de Proteção de Dados (LGPD) — kaksi tärkeintä yksityisyyskehystä, jotka hallitsevat globaalia portugalinkielistä aluetta, joka kattaa 215 miljoonaa ihmistä.
CNPD antoi 42 täytäntöönpanopäätöstä vuonna 2024, mukaan lukien 2,5 miljoonan euron sakon portugalilaiselle sairaalalle riittämättömästä potilastietojen anonymisoinnista — yksi suurimmista terveydenhuollon GDPR-sakoista Etelä-Euroopassa.
GDPR-LGPD-yhteys
EU GDPR (Portugali): Suurin sakko 20 miljoonaa euroa tai 4 % maailmanlaajuisista tuloista. Toteuttaa CNPD.
Brasilia LGPD (Laki nro 13,709/2018): Suurin sakko 2 % Brasilian vuotuisista tuloista, enintään 50 miljoonaa R$ per rikkomus (≈ 9 miljoonaa euroa). Toteuttaa ANPD (Autoridade Nacional de Proteção de Dados), ensimmäiset suuret täytäntöönpanotoimet vuonna 2024.
Yli 2,400 yritystä ylläpitää aktiivisia EU-Brasilia-tietojen siirtosopimuksia. EU:lla ei tällä hetkellä ole riittävyysratkaisua Brasilian kanssa, mikä tarkoittaa, että EU-Brasilia-siirrot vaativat standardisopimuslausekkeita tai muuta artiklan 46 mekanismia.
Sairaalan päätös: Anonymisointi teknisenä standardina
CNPD:n 2,5 miljoonan euron terveydenhuollon sakko loi kriittisiä ennakkotapauksia:
Politiikka ≠ vaatimustenmukaisuus. Sairaalalla oli asiakirjoissa politiikka, jossa todettiin, että potilastutkimustiedot oli "anonymisoitu". CNPD:n tekninen tarkastus havaitsi, että "anonymisoidussa" tietojoukossa oli NIF-numeroita, syntymäpäiviä, diagnoosikoodeja ja hoitopäiviä — mahdollistaen tiettyjen potilaiden uudelleen tunnistamisen.
Tutkimuksen poikkeus vaatii teknisiä suojatoimia. Sairaala väitti, että kliiniset tutkimustiedot kuuluivat GDPR:n artiklan 89 tutkimuksen poikkeukseen. CNPD totesi, että poikkeus vaatii aitoa anonymisointia tai asianmukaisia suojatoimia — ei yleistä poikkeusta teknisistä toimenpiteistä.
Terveydenhuollon sakot heijastavat erityiskategorian asemaa. 2,5 miljoonan euron sakko heijasti GDPR:n artiklan 9 erityiskategorian käsittelyä terveystiedoille, vaikutuksen alaisena olevien potilaiden määrää (23,000 yksilöä) ja perus anonymisoinnin validoinnin puuttumista.
Portugalilainen vs. brasilialainen PII: Miksi niitä ei voi käyttää toistensa sijasta
Portugali on yksi kieli. Mutta Portugalin ja Brasilian kansalliset tunnistusjärjestelmät ovat täysin erilaisia — mikä luo kriittisen vaatimustenmukaisuuden aukon organisaatioille, jotka olettavat, että "portugalinkielinen tuki" riittää.
Portugalilaiset EU-tunnisteet:
- NIF: 9-numeroinen verotunnus. Portugalin pääasiallinen kansalaisidentifikaattori. Tarkistusnumero validoitu tietyllä algoritmilla.
- NIS: 11-numeroinen sosiaaliturvatunnus.
- Cartão de Cidadão: 8-numeroinen kansalaiskortin numero, jossa on kirjainliite.
- Passi: EU:n standardimuoto.
Brasilian PII-tunnisteet:
- CPF: 11-numeroinen yksittäisen verovelvollisen rekisteri, jossa on kaksi tarkistusnumeroa, jotka on validoitu eri algoritmeilla kuin Portugalin NIF.
- CNPJ: 14-numeroinen yritysrekisterinumero.
- RG: Osavaltion myöntämä henkilöllisyystodistus — muoto vaihtelee myöntämisvaltioittain (São Paulo eroaa Rio de Janeirolta, Minas Geraisilta jne.).
- CNH: 11-numeroinen ajokorttinumero.
- Título de Eleitor: 12-numeroinen äänestäjätunnus.
- PIS/PASEP: 11-numeroinen sosiaalisen integraation ohjelman numero työsuhdetiedoissa.
Organisaatio, joka käyttää PII-työkalua, jossa on "portugalinkielinen tuki", voi oikein tunnistaa NIF portugalinkielisistä asiakirjoista, mutta täysin ohittaa CPF brasilialaisista asiakirjoista — tai päinvastoin. Tunnisteet vaativat erillistä tunnistuslogiikkaa, vaikka ne esiintyvät asiakirjoissa, jotka on kirjoitettu samalla kielellä.
EU-Brasilia-siirron vaatimustenmukaisuus
Organisaatioille, joilla on EU-Brasilia-tietovirtoja, CNPD:n vuoden 2024 ohjeet siirron riittävyysvaatimuksista:
SCC:t riittävän TIA:n kanssa: Standardisopimuslausekkeet ovat nykyinen pääasiallinen mekanismi, mutta niiden on oltava mukana siirron vaikutusarviointeja, jotka käsittelevät, tarjoaako Brasilian oikeudellinen kehys vastaavaa suojaa. CNPD totesi, että monet olemassa olevat TIA:t olivat riittämättömiä.
Käsittely EU:ssa: Organisaatiot, jotka käsittelevät brasilialaisten kansalaisten tietoja EU:n infrastruktuurissa — siirtämättä koskaan raakaa henkilötietoa Brasiliaan — voivat täyttää molemmat kehykset samanaikaisesti. EU:ssa tapahtuva käsittely tarkoittaa, että LGPD koskee (brasilialaisten kansalaisten tietoja) ja GDPR koskee (EU:n käsittely), mutta rajat ylittävää siirtoa ei tapahdu.
Organisaatioille, jotka palvelevat portugalinkielistä markkinaa sekä EU:ssa että Brasiliassa: kaksinkertainen lainkäyttöalueen PII-tunnistus, joka kattaa portugalilaiset EU-tunnisteet (NIF, NIS) ja brasilialaiset tunnisteet (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) ei ole valinnainen — se on perusedellytys riittävien teknisten toimenpiteiden osoittamiseksi molempien kehysten mukaan.
Lähteet: