CNPD ポルトガル:GDPRとLGPDのPIIコンプライアンス
ポルトガルのプライバシー当局はCNPDです。EU GDPRを執行します。EUとブラジルのプライバシー法をつなぐ役割も担います。対象は2億1,500万人のポルトガル語話者です。
2024年、CNPDは42件の執行決定を下しました。そのうちの1件は、ポルトガルの病院に対する250万ユーロの制裁金です。理由は患者記録の匿名化が不十分だったことです。南欧における医療分野のGDPR制裁金として最大規模の一つです。
GDPRとLGPDの橋渡し
ポルトガル語圏の世界を2つのプライバシー法がカバーしています。
EUのGDPRはポルトガルに適用されます。最大制裁金は2,000万ユーロまたは全世界売上の4%です。CNPDが執行します。
ブラジルのLGPD(法律第13,709/2018号)はブラジルに適用されます。最大制裁金はブラジル売上の2%、違反1件あたり最大5,000万レアル(約900万ユーロ)です。ブラジルのANPDが執行します。最初の大型制裁金は2024年に登場しました。
2,400社以上がEU–ブラジル間の転送フローを持ちます。EUはブラジルとの十分性認定を持ちません。EU–ブラジル間の転送には標準契約条項または46条ツールが必要です。
詳細はLGPDの匿名化ガイドをご覧ください。
病院への制裁金:3つのルール
250万ユーロの制裁金は3つの明確なルールを定めました。
ポリシーだけでは不十分です。 病院は研究記録が匿名化済みと述べました。CNPDの監査員はNIF番号、生年月日、診断コードを発見しました。その情報から患者を特定できました。書面のポリシーは技術的な対策ではありません。
研究の免除にも真の匿名化が必要です。 病院はGDPR第89条の研究免除を主張しました。CNPDはこれを却下しました。免除規定でも真の技術的保護が必要です。
医療記録への制裁金は高額になります。 GDPR第9条は健康記録を特別カテゴリとして扱います。制裁金はこれを反映しました。23,000人の患者が影響を受けました。病院には検証プロセスがありませんでした。
ポルトガル語のPII:ポルトガル対ブラジル
ポルトガル語は一つの言語です。しかしポルトガルとブラジルでは身元確認システムが異なります。PIIツールの「ポルトガル語対応」は十分ではありません。
ポルトガルの識別子(EU):
- NIF — 9桁の納税者番号。主要な市民識別子。チェックデジットアルゴリズムあり。VERIFIED
- NIS — 11桁の社会保障番号。VERIFIED
- Cartão de Cidadão — アルファベットサフィックス付き8桁の市民カード。VERIFIED
- パスポート — EU標準形式。VERIFIED
ブラジルの識別子(LGPD):
- CPF — 11桁の納税者番号。チェックデジット2個。NIFと異なる方式。VERIFIED
- CNPJ — 14桁の法人登録番号。VERIFIED
- RG — 州発行の身分証明書。形式は州によって異なります。サンパウロとリオデジャネイロは別形式。VERIFIED
- CNH — 11桁の運転免許証番号。VERIFIED
- Título de Eleitor — 12桁の選挙人登録番号。VERIFIED
- PIS/PASEP — 11桁の社会プログラム番号。給与記録に登場。VERIFIED
NIFを検出するツールがCPFを見逃す場合があります。逆も同様です。各国に独自の検出ロジックが必要です。
言語間のギャップについては多言語PII検出ガイドをご覧ください。
EU–ブラジル間の転送ルール
CNPDの2024年ガイダンスはEU–ブラジル転送を対象としました。
SCCには有効な転送影響評価が必要です。 標準契約条項が主なツールです。しかし各SCCにはブラジルが同等の保護を提供することを示すTIAが必要です。CNPDは多くのTIAがこの基準を満たさないと判断しました。
EU内処理は転送リスクを排除します。 一部の企業はすべての記録をEUシステム内に保持します。個人情報の原本はブラジルに渡りません。これは両法に対応します。GDPRは処理をカバーします。LGPDはブラジル市民の記録をカバーします。しかし国境を越えた転送は発生しません。
両市場で事業を行う組織にとって、二重検出は最低要件です。ポルトガル向けにNIFとNIS。ブラジル向けにCPF、CNPJ、RG、CNH、Título de Eleitor、PIS/PASEP。両法が技術的管理の十分性を示すためにこれを求めます。