CNPD Portogallo: Colmare il divario tra GDPR e LGPD del Brasile — Perché i PII in lingua portoghese necessitano di una doppia rilevazione

La Comissão Nacional de Proteção de Dados (CNPD) del Portogallo occupa una posizione unica tra le autorità di protezione dei dati dell'UE: colma il divario tra il GDPR dell'Unione Europea e la Lei Geral de Proteção de Dados (LGPD) del Brasile — i due principali quadri normativi sulla privacy che governano la sfera globale di lingua portoghese, coprendo 215 milioni di persone.

La CNPD ha emesso 42 decisioni di enforcement nel 2024, inclusa una multa di €2,5 milioni contro un ospedale portoghese per l'inadeguata anonimizzazione dei dati dei pazienti — una delle più grandi multe GDPR nel settore sanitario nel sud Europa.

Il collegamento GDPR-LGPD

GDPR dell'UE (Portogallo): Multa massima €20 milioni o 4% del fatturato globale. Applicato dalla CNPD.

LGPD del Brasile (Legge n. 13.709/2018): Multa massima 2% del fatturato annuale brasiliano, fino a R$ 50 milioni per violazione (≈ €9 milioni). Applicato dall'ANPD (Autoridade Nacional de Proteção de Dados), con le prime azioni di enforcement significative nel 2024.

Oltre 2.400 aziende mantengono attivi accordi di trasferimento dati UE-Brasile. Attualmente, l'UE non ha una decisione di adeguatezza con il Brasile, il che significa che i trasferimenti UE-Brasile richiedono Clausole Contrattuali Standard o un altro meccanismo dell'Articolo 46.

La sentenza dell'ospedale: L'anonimizzazione come standard tecnico

La multa di €2,5 milioni della CNPD nel settore sanitario ha stabilito precedenti critici:

Politica ≠ conformità. L'ospedale aveva documentato politiche che affermavano che i dati di ricerca sui pazienti erano "anonimizzati". L'esame tecnico della CNPD ha trovato che il dataset "anonimizzato" conservava numeri NIF, date di nascita, codici di diagnosi e date di trattamento — consentendo la re-identificazione di pazienti specifici.

L'esenzione per ricerca richiede salvaguardie tecniche. L'ospedale ha sostenuto che i dati di ricerca clinica erano coperti dall'esenzione per ricerca dell'Articolo 89 del GDPR. La CNPD ha trovato che l'esenzione richiede una vera anonimizzazione o salvaguardie appropriate — non un'esenzione generale dalle misure tecniche.

Le multe nel settore sanitario riflettono lo status di categoria speciale. La multa di €2,5 milioni rifletteva il trattamento di categoria speciale per i dati sulla salute ai sensi dell'Articolo 9 del GDPR, la scala dei pazienti interessati (23.000 individui) e il mancato rispetto della validazione di base dell'anonimizzazione.

PII portoghese vs. brasiliano: Perché non sono intercambiabili

Il portoghese è una lingua. Ma i sistemi di identificazione nazionale in Portogallo e Brasile sono completamente diversi — creando un divario critico di conformità per le organizzazioni che presumono che il "supporto in lingua portoghese" sia sufficiente.

Identificatori portoghesi dell'UE:

• NIF: numero di identificazione fiscale a 9 cifre. Identificatore principale dei cittadini del Portogallo. Il numero di controllo è convalidato con un algoritmo specifico.
• NIS: numero di identificazione della sicurezza sociale a 11 cifre.
• Cartão de Cidadão: numero della carta dei cittadini a 8 cifre con suffisso letterale.
• Passaporto: formato standard dell'UE.

Identificatori PII brasiliani:

• CPF: registro del contribuente individuale a 11 cifre, con due numeri di controllo convalidati utilizzando algoritmi diversi da quelli del NIF portoghese.
• CNPJ: numero di registrazione dell'azienda a 14 cifre.
• RG: documento d'identità rilasciato dallo stato — il formato varia a seconda dello stato di emissione (San Paolo differisce da Rio de Janeiro, Minas Gerais, ecc.).
• CNH: numero della patente di guida a 11 cifre.
• Título de Eleitor: numero di registrazione degli elettori a 12 cifre.
• PIS/PASEP: numero del programma di integrazione sociale a 11 cifre nei registri di lavoro.

Un'organizzazione che utilizza uno strumento PII con "supporto in lingua portoghese" può rilevare correttamente il NIF nei documenti portoghesi mentre perde completamente il CPF nei documenti brasiliani — o viceversa. Gli identificatori richiedono logiche di rilevazione separate nonostante appaiano in documenti scritti nella stessa lingua.

Conformità al trasferimento UE-Brasile

Per le organizzazioni con flussi di dati UE-Brasile, le linee guida della CNPD del 2024 sui requisiti di adeguatezza del trasferimento:

SCC con TIA adeguata: Le Clausole Contrattuali Standard sono l'attuale meccanismo principale, ma devono essere accompagnate da Valutazioni di Impatto sul Trasferimento che affrontano se il quadro giuridico del Brasile fornisca una protezione equivalente. La CNPD ha trovato molte TIA esistenti inadeguate.

Elaborazione nell'UE: Le organizzazioni che elaborano dati dei cittadini brasiliani all'interno dell'infrastruttura dell'UE — senza mai trasferire dati personali grezzi in Brasile — possono soddisfare entrambi i quadri contemporaneamente. L'elaborazione basata nell'UE significa che si applica la LGPD (dati dei cittadini brasiliani) e si applica il GDPR (elaborazione nell'UE), ma non si verifica alcun trasferimento transfrontaliero.

Per le organizzazioni che servono il mercato di lingua portoghese sia nell'UE che in Brasile: la rilevazione PII a doppia giurisdizione che copre gli identificatori portoghesi dell'UE (NIF, NIS) e gli identificatori brasiliani (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) non è facoltativa — è la base per dimostrare misure tecniche adeguate ai sensi di entrambi i quadri.

Fonti:

• CNPD: Commissione portoghese per la protezione dei dati
• ANPD: Autorità brasiliana per la protezione dei dati