ANPD Brazília: LGPD végrehajtás 2024
Brazília adatvédelmi hatósága, az ANPD 2024-ben kezdte el kiadni bírságait. Ezek voltak az első jelentős szankciók az LGPD – a 13 709/2018. sz. törvény – alapján. Brazília 215 millió embert véd ezzel a törvénnyel. Az ország emellett 180 millió internethasználóval rendelkezik – ez Latin-Amerika legnagyobb digitális gazdasága. Az LGPD-megfelelőség ma már valódi és aktív kötelezettség.
Az LGPD: Brazília adatvédelmi törvénye
Az LGPD a GDPR-on alapul, de vannak kulcsfontosságú eltérések.
Maximális bírságok: A brazíliai éves bevétel legfeljebb 2%-a. A felső határ sérelmenként 50 millió BRL (≈9 millió euró). A GDPR globális bevétel 4%-át alkalmazza. Az LGPD csak Brazíliára vonatkozó alapja alacsonyabb felső korlátot jelent a multinacionális vállalatok számára, de magasabb relatív kockázatot a csak brazíliai cégeknek.
Különleges kategóriák: Az LGPD listája közel áll a GDPR 9. cikkéhez. Kiterjed a faji hovatartozásra, politikai nézetekre, vallásra, egészségügyi adatokra, genetikai adatokra, biometrikus adatokra és szexuális irányultságra. Az ANPD 2024-es iránymutatása a 11. cikk alapján kiterjesztette ezeket a szabályokat.
Érintetti jogok: Az emberek hozzáférhetnek, helyesbíthetik, törölhetik és hordozhatják adataikat. Kérdezhetnek az adatmegosztásról is. Az LGPD egy, a GDPR-ban nem szereplő jogot is biztosít: a jog arra, hogy tájékoztassák őket arról, ha mesterséges intelligenciát használtak a róluk szóló döntésnél.
A végrehajtás kezdete: Az ANPD 2024-ben adta ki az első szankciókat. A fő célpontok a telekommunikációs vállalatok, pénzügyi cégek és egészségügyi szolgáltatók voltak. A 2025-ös fókusz a Brazíliában működő multinacionális vállalatokra irányul.
Szélesebb körű áttekintésért lásd: globális személyes adatvédelmi megfelelési útmutató.
Brazíliai személyes adatok azonosítói
Brazília azonosítórendszere összetett. Az ország szövetségi köztársaság; egyes dokumentumok államonként eltérőek.
CPF: 11 jegyű adóazonosító szám (formátum: XXX.XXX.XXX-XX). Két ellenőrző számjegy moduláris matematika alapján. A CPF Brazília fő azonosítója banki, adózási, egészségügyi és kormányzati ügyekben. Mind a 215 millió brazilnak van ilyen száma.
CNPJ: 14 jegyű cégazonosító szám (formátum: XX.XXX.XXX/XXXX-XX). Két ellenőrző számjegy. Üzleti nyilvántartásokban szerepel a cégtisztviselőkhöz kapcsolódóan.
RG: Állam által kiadott személyazonossági igazolvány. A formátum államonként változik. São Paulo RG-je eltér Rio de Janeiro-étól, és így tovább a 26 államon és a szövetségi körzetben át. Egy eszköz, amely csak egy állam formátumát ismeri, a legtöbb brazil RG-számot el fogja téveszteni.
CNH: 11 jegyű jogosítványszám, egy ellenőrző számjeggyel.
Título de Eleitor: 12 jegyű szavazói azonosító. Kódolva tartalmazza a választó regisztrációs övezetét.
PIS/PASEP: 11 jegyű szociálisbiztosítási szám. Bérlista- és foglalkoztatási nyilvántartásokban szerepel.
SUS-szám: 15 jegyű egészségügyi rendszer azonosítója. Minden brazilnak van ilyen száma. Minden egészségügyi dokumentumban megjelenik.
Globális személyes adatok azonosítóiról szóló útmutatónk a CPF-et a SSN-nel, az Aadhaarral és más nemzeti azonosítókkal együtt mutatja be.
LGPD vs. GDPR: Legfontosabb eltérések
Mindkét keretrendszer személyes adatokat véd, de fontos szempontokban különböznek egymástól.
Jogalapok: Az LGPD-nek 10 jogalapja van, a GDPR-nak 6. Az LGPD tartalmazza a „hitelező védelmét” – egy Brazília pénzügyi kultúrájához kötődő jogalapot, amelynek nincs GDPR-megfelelője.
Brazília nem rendelkezik EU-megfelelőségi határozattal: Az EU nem adott Brazíliának megfelelőségi határozatot. Az EU–Brazília adatátvitelhez standard szerződéses záradékokra vagy kötelező erejű vállalati szabályokra van szükség – ugyanúgy, mint az USA esetében.
Hozzájárulási szabályok: Az LGPD hozzájárulásának specifikusnak, tájékozottnak, szabadnak és egyértelműnek kell lennie – nagyon hasonlóan a GDPR-hoz. Érzékeny adatok esetén az LGPD szélesebb körű hozzájárulást tesz lehetővé a GDPR célhoz kötött szabványánál, amennyiben a célt meghatározták.
Az ANPD 2025-ös végrehajtási fókusza
Az ANPD közzétette 2025-ös prioritásait a 2024-es ügyek eredményei alapján.
Egészségügyi adatok
A 11. cikk kifejezett hozzájárulást – vagy egyértelmű jogalapot – követel meg az egészségügyi adatok kezeléséhez. Az ANPD azt tapasztalta, hogy sok egészségügyi alkalmazás és szolgáltató nem rendelkezett ilyen jogalappal a SUS-számokhoz és orvosi fájlokhoz.
Pénzügyi szolgáltatások
A hiteldossziékban, hiteljelentésekben és biztosítási kötvényekben szereplő CPF-számok a leggyakoribb célpontok. Az ANPD ellenőrzi, hogy a megőrzési időszakok megfelelnek-e a megadott céloknak.
Technológiai platform megfelelőség
A Brazíliában működő közösségi média, e-kereskedelem és streaming platformok 2025-ös célpontok. Az ANPD a profilalkotást és a határokon átnyúló adattovábbítást vizsgálja.
Teendők most
A brazíliai megfelelés alaptétele a CPF és CNPJ észlelése ellenőrző számjegy érvényesítéssel. Szükséges az RG észlelése az egyes állami formátumokkal, valamint a CNH, Título de Eleitor és SUS-szám támogatása a teljes lefedettséghez. Lépésről lépésre szóló útmutatóért lásd: LGPD anonimizálási útmutató.