ANPD Brasile: Enforcement LGPD 2024
L'autorità per la privacy brasiliana, l'ANPD, ha iniziato a comminare sanzioni nel 2024. Si tratta delle prime sanzioni significative ai sensi della LGPD — Legge n. 13.709/2018. Il Brasile conta 215 milioni di persone coperte da questa legge. Ha anche 180 milioni di utenti internet — la più grande economia digitale dell'America Latina. La conformità alla LGPD è ora reale e operativa.
LGPD: La legge sulla privacy brasiliana
La LGPD è modellata sul GDPR ma presenta differenze sostanziali.
Sanzioni massime: Fino al 2% del fatturato annuo brasiliano. Il limite è di R$ 50 milioni (≈ 9 milioni di euro) per violazione. Il GDPR usa il fatturato globale al 4%. La base solo-Brasile della LGPD implica soglie più basse per le multinazionali. Ma significa un rischio relativo più elevato per le aziende operanti solo in Brasile.
Categorie sensibili: L'elenco LGPD è vicino all'articolo 9 del GDPR. Copre razza, opinioni politiche, religione, cartelle sanitarie, dati genetici, biometria e orientamento sessuale. Le linee guida ANPD del 2024 hanno esteso queste regole ai sensi dell'articolo 11.
Diritti degli interessati: Le persone possono accedere, correggere, cancellare e portare i propri dati. Possono anche chiedere informazioni sulla condivisione. La LGPD aggiunge un diritto non presente nel GDPR: il diritto di sapere se è stata usata l'AI in una decisione che le riguarda.
Avvio dell'enforcement: L'ANPD ha emesso le prime sanzioni nel 2024. I principali destinatari sono stati aziende di telecomunicazioni, istituti finanziari e provider sanitari. Le multinazionali in Brasile sono il focus del 2025.
Per una visione più ampia, consulta la nostra guida sulla conformità PII globale.
Identificatori PII brasiliani
Il sistema di identità brasiliano è complesso. È una repubblica federale e alcuni documenti variano da stato a stato.
CPF: Un numero di contribuente a 11 cifre (formato: XXX.XXX.XXX-XX). Ha due cifre di controllo calcolate con aritmetica modulare. Il CPF è il principale ID del paese per banche, fiscalità, sanità e governo. Tutti i 215 milioni di brasiliani ne hanno uno.
CNPJ: Un numero aziendale a 14 cifre (formato: XX.XXX.XXX/XXXX-XX). Ha due cifre di controllo. Compare nei documenti aziendali collegati ai rappresentanti legali.
RG: Un documento d'identità civile rilasciato dallo Stato. Il formato varia per Stato. L'RG di San Paolo differisce da quello di Rio de Janeiro, e così via nei 26 stati più il Distretto Federale. Uno strumento che conosce solo il formato di uno stato mancherà la maggior parte dei numeri RG brasiliani.
CNH: Un numero di patente di guida a 11 cifre con una cifra di controllo.
Título de Eleitor: Un numero elettorale a 12 cifre. Codifica la zona di iscrizione dell'elettore.
PIS/PASEP: Un numero di programma sociale a 11 cifre. Compare nei documenti di busta paga e impiego.
Numero SUS: Un numero del sistema sanitario a 15 cifre. Ogni brasiliano ne ha uno. Compare in tutti i documenti sanitari.
La nostra guida globale agli identificatori PII mette a confronto il CPF con SSN, Aadhaar e altri ID nazionali.
LGPD vs. GDPR: Differenze chiave
Entrambi i framework proteggono i dati personali, ma differiscono su aspetti importanti.
Basi giuridiche: La LGPD prevede 10 basi giuridiche. Il GDPR ne prevede 6. La LGPD include la "tutela del credito" — una base legata alla cultura fintech brasiliana. Non esiste un equivalente nel GDPR.
Nessuna adeguatezza UE per il Brasile: L'UE non ha accordato al Brasile una decisione di adeguatezza. I trasferimenti UE-Brasile richiedono Clausole Contrattuali Standard o Binding Corporate Rules — come per gli USA.
Regole sul consenso: Il consenso LGPD deve essere specifico, informato, libero e chiaro — molto simile al GDPR. Per i dati sensibili, la LGPD ammette un consenso più ampio rispetto allo standard per finalità del GDPR, purché la finalità sia dichiarata.
Focus di enforcement ANPD per il 2025
L'ANPD ha pubblicato le proprie priorità per il 2025 sulla base degli esiti dei casi del 2024.
Cartelle sanitarie
L'articolo 11 richiede il consenso esplicito — o una chiara base giuridica — per il trattamento delle cartelle sanitarie. L'ANPD ha riscontrato che molte app e provider sanitari erano privi di questa base per i numeri SUS e i fascicoli medici.
Servizi finanziari
I codici fiscali CPF nei fascicoli di prestito, nelle relazioni creditizie e nelle polizze assicurative sono i principali obiettivi. L'ANPD verifica se i periodi di conservazione corrispondano alle finalità dichiarate.
Conformità delle piattaforme tecnologiche
Le piattaforme social, l'e-commerce e lo streaming in Brasile sono un focus del 2025. L'ANPD analizza profilazione e trasferimenti transfrontalieri.
Cosa fare adesso
La baseline per la conformità brasiliana è il rilevamento di CPF e CNPJ con validazione della cifra di controllo. Aggiungere il rilevamento RG con logica di formato per ogni stato. Includere il supporto per CNH, Título de Eleitor e numero SUS per una copertura completa. Consulta la nostra guida all'anonimizzazione LGPD per istruzioni dettagliate passo-passo.