브라질 ANPD: LGPD 집행 가이드 2024
브라질의 개인정보 감독기관인 ANPD가 2024년 제재를 시작했습니다. 이는 LGPD — 법률 제13,709/2018호 — 하의 첫 주요 제재였습니다. 브라질은 이 법률의 적용을 받는 2억 1,500만 명의 인구를 보유합니다. 또한 1억 8,000만 명의 인터넷 사용자를 보유한 라틴 아메리카 최대 디지털 경제입니다. LGPD 컴플라이언스는 이제 현실이 되었습니다.
LGPD: 브라질 개인정보법
LGPD는 GDPR을 기반으로 하지만 주요한 차이점이 있습니다.
최대 제재: 브라질 연간 매출의 최대 2%. 위반 건당 상한은 R$5,000만 (≈€900만)입니다. GDPR은 전 세계 매출의 4%를 기준으로 합니다. LGPD의 브라질 기준 방식은 다국적 기업에 낮은 상한을 의미합니다. 그러나 브라질 전용 기업에는 상대적으로 높은 위험을 의미합니다.
민감 범주: LGPD의 목록은 GDPR 제9조와 유사합니다. 인종, 정치적 견해, 종교, 건강 기록, 유전 정보, 생체 정보, 성적 지향이 포함됩니다. ANPD의 2024년 지침은 제11조 하에 이 규정을 확대 적용했습니다.
정보 주체 권리: 개인은 자신의 기록에 대한 접근, 정정, 삭제, 이전권을 갖습니다. 데이터 공유 현황도 조회할 수 있습니다. LGPD는 GDPR에 없는 권리를 하나 추가합니다: AI가 자신에 관한 결정에 사용되었는지 알 권리입니다.
집행 개시: ANPD는 2024년 첫 제재를 부과했습니다. 주요 대상은 통신, 금융, 의료 기업이었습니다. 2025년 집중 대상은 브라질에서 운영하는 다국적 기업입니다.
더 광범위한 시각을 위해 글로벌 개인정보 컴플라이언스 가이드를 참고하세요.
브라질 개인정보 식별자
브라질의 신분증 체계는 복잡합니다. 연방 공화국이기 때문에 일부 문서는 주마다 다릅니다.
CPF: 11자리 납세자 번호 (형식: XXX.XXX.XXX-XX). 모듈러 산술을 사용하는 검사 자릿수 2개를 포함합니다. CPF는 은행, 세금, 건강, 정부 업무에서 브라질의 주요 신분증입니다. 2억 1,500만 명의 브라질 국민 모두가 보유합니다.
CNPJ: 14자리 법인 번호 (형식: XX.XXX.XXX/XXXX-XX). 검사 자릿수 2개를 포함합니다. 법인 임원과 연관된 사업 기록에 등장합니다.
RG: 주 발급 주민등록증. 형식은 주마다 다릅니다. 상파울루의 RG는 리우데자네이루와 다르며, 26개 주와 연방 특별구 전체에서 각기 다릅니다. 한 주의 형식만 아는 도구는 브라질 RG 번호의 대부분을 놓칩니다.
CNH: 검사 자릿수 1개를 포함한 11자리 운전면허 번호.
선거인 번호 (Título de Eleitor): 12자리 유권자 ID. 유권자의 등록 구역을 인코딩합니다.
PIS/PASEP: 11자리 사회보장 프로그램 번호. 급여 및 고용 기록에 등장합니다.
SUS 번호: 15자리 의료 시스템 ID. 모든 브라질 국민이 보유합니다. 모든 의료 문서에 등장합니다.
글로벌 개인정보 식별자 가이드에서 CPF를 SSN, Aadhaar 등 다른 국가 ID와 비교해서 확인할 수 있습니다.
LGPD vs. GDPR: 주요 차이점
두 프레임워크 모두 개인 기록을 보호하지만 중요한 차이가 있습니다.
법적 근거: LGPD는 10가지 법적 근거를 둡니다. GDPR은 6가지입니다. LGPD에는 '신용 보호' 근거가 포함되어 있는데, 이는 브라질의 핀테크 문화와 연관된 근거입니다. GDPR에는 이에 상응하는 근거가 없습니다.
브라질에 대한 EU 적정성 결정 없음: EU는 브라질에 적정성 결정을 내리지 않았습니다. EU-브라질 데이터 이전에는 표준계약조항 또는 구속력 있는 기업 규정이 필요합니다 — 미국과 동일한 방식입니다.
동의 규정: LGPD 동의는 구체적이고 정보에 기반하며 자유롭고 명확해야 합니다 — GDPR과 매우 유사합니다. 민감 기록의 경우, LGPD는 목적이 명시되는 한 GDPR의 목적별 기준보다 더 광범위한 동의를 허용합니다.
ANPD의 2025년 집행 중점
ANPD는 2024년 사건 결과를 바탕으로 2025년 우선순위를 발표했습니다.
의료 기록
제11조는 건강 기록 처리에 명시적 동의 또는 명확한 법적 근거를 요구합니다. ANPD는 많은 의료 앱과 제공자가 SUS 번호와 의료 파일에 대한 적절한 근거가 없음을 발견했습니다.
금융 서비스
대출 서류, 신용 보고서, 보험 증권의 CPF 번호가 주요 타겟입니다. ANPD는 보유 기간이 명시된 목적과 일치하는지 검토하고 있습니다.
기술 플랫폼 컴플라이언스
브라질의 소셜 미디어, 전자상거래, 스트리밍 플랫폼이 2025년 집중 대상입니다. ANPD는 프로파일링과 국경 간 데이터 이전을 검토하고 있습니다.
지금 해야 할 일
브라질 컴플라이언스의 기본은 체크 자릿수 검증이 포함된 CPF 및 CNPJ 탐지입니다. 주별 형식 로직을 갖춘 RG 탐지를 추가하세요. 완전한 적용 범위를 위해 CNH, 선거인 번호, SUS 번호 지원을 포함하세요. 단계별 세부 사항은 LGPD 익명화 가이드를 참고하세요.