L'Autorità Nazionale di Protezione dei Dati (ANPD) del Brasile è entrata in modalità di applicazione attiva nel 2024, emettendo le sue prime multe significative ai sensi della Legge Generale sulla Protezione dei Dati (LGPD) — Legge n. 13.709/2018. Con 215 milioni di brasiliani coperti dal quadro normativo e il Brasile che ospita la più grande economia digitale dell'America Latina (180 milioni di utenti di internet), la conformità alla LGPD è ora una realtà di applicazione, non una preoccupazione futura.
LGPD: Il GDPR del Brasile con Disposizioni Specifiche per il Brasile
La LGPD è stata modellata sul GDPR ma include disposizioni che differiscono significativamente in ambito e applicazione:
Massime multe: 2% del fatturato annuale brasiliano (non globale), fino a R$50 milioni (≈€9M) per violazione. A differenza del limite del 4% sul fatturato globale del GDPR, la base del fatturato brasiliano della LGPD crea sanzioni massime più basse per le multinazionali — ma un'esposizione relativa più alta per le aziende che operano solo in Brasile.
Categorie di dati sensibili: Le categorie di dati sensibili della LGPD rispecchiano da vicino l'Articolo 9 del GDPR ma aggiungono disposizioni specifiche per origine razziale/etnica, opinione politica, credenze religiose, dati sulla salute, dati genetici, dati biometrici e — in particolare — orientamento sessuale e vita sessuale. Le linee guida dell'ANPD del 2024 hanno esteso le protezioni dei dati sensibili al requisito di consenso dell'Articolo 11 della LGPD per qualsiasi trattamento di dati sensibili.
Diritti degli interessati: Simile al GDPR — accesso, correzione, anonimizzazione, portabilità, cancellazione e informazioni sulla condivisione dei dati. La LGPD del Brasile aggiunge un diritto specifico di sapere se è stata utilizzata l'IA nelle decisioni di trattamento dei dati.
Inizio dell'applicazione da parte dell'ANPD: Prime sanzioni formali emesse nel 2024. Le telecomunicazioni, i servizi finanziari e le organizzazioni sanitarie sono stati i principali obiettivi di applicazione. L'ANPD ha segnalato che le multinazionali che operano in Brasile saranno un obiettivo nel 2025.
Identificatori PII Brasiliani: La Sfida del Rilevamento
Il sistema di identificazione nazionale del Brasile è più complesso rispetto alla maggior parte dei paesi dell'UE — parzialmente perché il Brasile è una repubblica federale dove i sistemi di identificazione variano in base allo stato di emissione per alcuni documenti.
CPF (Cadastro de Pessoas Físicas): Numero di registrazione del contribuente individuale di 11 cifre, formato XXX.XXX.XXX-XX, con due cifre di controllo validate utilizzando specifica aritmetica modulare. Il CPF è l'identificatore universale principale del Brasile — utilizzato per banche, occupazione, tasse, assistenza sanitaria e servizi governativi. Tutti i 215 milioni di brasiliani hanno un CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): Numero di registrazione dell'azienda di 14 cifre, formato XX.XXX.XXX/XXXX-XX, con due cifre di controllo. Compare insieme ai dati personali dei rappresentanti dell'azienda nei documenti commerciali.
RG (Registro Geral): Documento d'identità civile emesso dallo stato. Criticamente: Il formato RG varia in base allo stato di emissione. Il formato RG di São Paulo differisce da quello di Rio de Janeiro, che differisce da quello di Minas Gerais, e così via attraverso 26 stati + Distretto Federale. Uno strumento PII che riconosce solo il formato RG di uno stato perde la maggior parte dei numeri RG brasiliani nei documenti provenienti da altri stati.
CNH (Carteira Nacional de Habilitação): Numero di patente di guida di 11 cifre con cifra di controllo.
Título de Eleitor: Numero di registrazione degli elettori di 12 cifre che codifica informazioni geografiche sulla zona di registrazione dell'elettore.
PIS/PASEP: Numero di programma di integrazione sociale di 11 cifre utilizzato nei registri di occupazione e buste paga.
Numero SUS (Cartão SUS): Numero di 15 cifre assegnato a ogni brasiliano per il sistema sanitario unificato — appare in tutti i documenti sanitari.
LGPD vs. GDPR: Differenze Chiave per le Organizzazioni Brasiliane-Europee
Le organizzazioni che operano sia sotto la LGPD che sotto il GDPR affrontano differenze importanti:
Basi legali per il trattamento: La LGPD fornisce 10 basi legali (rispetto alle 6 del GDPR), tra cui "interesse legittimo", "protezione della salute" e "protezione del credito" — quest'ultima unica per la LGPD e riflette la cultura del credito guidata dalle fintech in Brasile.
Nessun meccanismo di adeguatezza per il Brasile: L'UE non ha concesso al Brasile una decisione di adeguatezza. I trasferimenti di dati UE-Brasile richiedono Clausole Contrattuali Standard o regole aziendali vincolanti — lo stesso meccanismo richiesto per i trasferimenti verso gli Stati Uniti o altri paesi non adeguati.
Requisiti di consenso brasiliani: La LGPD richiede che il consenso sia specifico, informato, inequivocabile e liberamente dato — simile al GDPR. Tuttavia, la LGPD consente che il consenso per i dati sensibili sia più ampio rispetto al requisito di consenso esplicito del GDPR per ciascun scopo specifico, a condizione che lo scopo sia chiaramente comunicato.
Focus sull'Applicazione dell'ANPD nel 2025
Basato sulle priorità di applicazione pubblicate dall'ANPD e sui risultati delle indagini del 2024:
Dati sanitari: L'Articolo 11 della LGPD richiede consenso esplicito o una base legale specifica per il trattamento dei dati sanitari. L'ANPD ha trovato diversi fornitori di assistenza sanitaria e app sanitarie privi di una base legale adeguata per il trattamento dei numeri SUS e delle cartelle cliniche.
Servizi finanziari: I numeri CPF nei documenti finanziari — domande di prestito, rapporti di credito, polizze assicurative — sono obiettivi principali di applicazione. L'ANPD sta auditando se le politiche di conservazione dei dati delle istituzioni finanziarie siano allineate con gli scopi documentati.
Conformità delle piattaforme tecnologiche: Le piattaforme tecnologiche internazionali (social media, e-commerce, servizi di streaming) che operano in Brasile sono il focus dell'ANPD nel 2025, in particolare per le pratiche di profilazione e i trasferimenti di dati transfrontalieri.
Per le organizzazioni che trattano dati personali brasiliani: il rilevamento di CPF e CNPJ con cifre di controllo validate è la base tecnica. Aggiungere il rilevamento di RG con riconoscimento del formato specifico per stato, CNH, Título de Eleitor e supporto per il numero SUS fornisce una copertura completa conforme alla LGPD dei PII brasiliani.
Fonti: