CNPD Portogallo: Conformità GDPR e LGPD per i Dati PII
L'autorità garante del Portogallo è la CNPD. Applica il GDPR europeo e funge da punto di raccordo tra il diritto alla privacy europeo e quello brasiliano, coprendo oltre 215 milioni di parlanti portoghese.
Nel 2024, la CNPD ha emesso 42 decisioni di enforcement. Una di queste era una sanzione da €2,5 milioni contro un ospedale portoghese per inadeguata anonimizzazione delle cartelle dei pazienti. È una delle più alte sanzioni GDPR in ambito sanitario nell'Europa meridionale.
Il Ponte tra GDPR e LGPD
Due normative sulla privacy regolano il mondo lusofono.
Il GDPR europeo si applica in Portogallo. Sanzione massima: €20 milioni o il 4% del fatturato globale. Applicato dalla CNPD.
La LGPD brasiliana — Legge n. 13.709/2018 — si applica in Brasile. Sanzione massima: 2% del fatturato brasiliano, fino a R$50 milioni per violazione (≈€9M). Applicata dall'ANPD brasiliana. Le prime sanzioni rilevanti sono arrivate nel 2024.
Oltre 2.400 aziende hanno flussi attivi di trasferimento UE-Brasile. L'UE non ha accordi di adeguatezza con il Brasile. I trasferimenti UE-Brasile richiedono Clausole Contrattuali Standard o uno strumento ai sensi dell'articolo 46.
Per maggiori dettagli, consulta la nostra guida all'anonimizzazione LGPD.
La Sanzione all'Ospedale: Tre Regole
La sanzione da €2,5 milioni ha stabilito tre principi fondamentali.
Le politiche non bastano. L'ospedale sosteneva che le cartelle di ricerca fossero anonimizzate. I revisori della CNPD hanno trovato numeri NIF, date di nascita e codici diagnostici ancora presenti. Quelle informazioni potevano consentire la re-identificazione dei pazienti. Una policy scritta non è una soluzione tecnica.
Le esenzioni per la ricerca richiedono comunque una vera anonimizzazione. L'ospedale aveva invocato l'articolo 89 del GDPR — l'esenzione per la ricerca. La CNPD ha respinto la tesi: l'esenzione richiede comunque garanzie tecniche genuine.
Le sanzioni per i dati sanitari sono più elevate. L'articolo 9 del GDPR tratta le cartelle sanitarie come dati di categoria speciale. La sanzione ha riflesso questo principio. Sono stati interessati 23.000 pazienti e l'ospedale non disponeva di alcun processo di validazione.
PII Portoghese vs. Brasiliana
Il portoghese è un'unica lingua. Ma Portogallo e Brasile hanno sistemi di identificazione diversi. Il «supporto per la lingua portoghese» in uno strumento PII non è sufficiente.
Identificativi portoghesi (UE):
- NIF — Numero fiscale a 9 cifre. Principale documento d'identità del cittadino. Dispone di un algoritmo per la cifra di controllo. VERIFICATO
- NIS — Numero di previdenza sociale a 11 cifre. VERIFICATO
- Cartão de Cidadão — Carta del cittadino a 8 cifre con suffisso letterale. VERIFICATO
- Passaporto — Formato standard UE. VERIFICATO
Identificativi brasiliani (LGPD):
- CPF — Numero fiscale a 11 cifre. Due cifre di controllo. Metodo diverso rispetto al NIF. VERIFICATO
- CNPJ — Registro aziendale a 14 cifre. VERIFICATO
- RG — Documento d'identità statale. Il formato varia per stato. San Paolo differisce da Rio de Janeiro. VERIFICATO
- CNH — Patente di guida a 11 cifre. VERIFICATO
- Título de Eleitor — Tessera elettorale a 12 cifre. VERIFICATO
- PIS/PASEP — Numero previdenziale a 11 cifre. Compare nei fascicoli busta paga. VERIFICATO
Uno strumento che rileva il NIF può non rilevare il CPF. E viceversa. Ogni paese richiede una logica di rilevamento propria.
Per approfondire le lacune tra lingue diverse, consulta la nostra guida al rilevamento PII multilingue.
Regole per i Trasferimenti UE-Brasile
Le linee guida 2024 della CNPD hanno affrontato i trasferimenti UE-Brasile.
Le SCC richiedono Transfer Impact Assessment valide. Le SCC sono lo strumento principale, ma ognuna richiede una TIA che dimostri che il Brasile garantisce una protezione equivalente. La CNPD ha rilevato che molte TIA non superavano questo esame.
L'elaborazione in ambito UE elimina il rischio di trasferimento. Alcune aziende conservano tutti i dati in sistemi europei. Nessun dato personale grezzo raggiunge il Brasile. Questo approccio funziona per entrambe le normative: il GDPR copre il trattamento dei dati, la LGPD copre i dati dei cittadini brasiliani. Ma non si verifica alcun trasferimento transfrontaliero.
Per le organizzazioni presenti in entrambi i mercati: il rilevamento duale è il requisito minimo. NIF e NIS per il Portogallo. CPF, CNPJ, RG, CNH, Título de Eleitor e PIS/PASEP per il Brasile. Entrambe le normative richiedono questo livello di controllo tecnico.