anonym.legal

By · Last updated 2026-06-05

블로그로 돌아가기GDPR 및 준수

포르투갈 CNPD: GDPR + LGPD 개인정보 규정

포르투갈의 CNPD는 EU GDPR과 브라질 LGPD를 연결하며, 2억 1,500만 명의 포르투갈어 사용자를 포괄합니다. 환자 익명화 미흡으로 €250만 제재.

June 5, 20268 분 읽기
Portugal CNPDBrazil LGPDNIF CPF detectionPortuguese language complianceGDPR LGPD

포르투갈 CNPD: GDPR과 LGPD 개인정보 규정 준수

포르투갈의 개인정보 감독기관은 CNPD입니다. EU GDPR을 집행하며, EU와 브라질의 개인정보 법제를 연결하는 역할도 합니다. 이는 2억 1,500만 명의 포르투갈어 사용자를 포괄합니다.

2024년 CNPD는 42건의 집행 결정을 내렸습니다. 그 중 하나는 포르투갈 병원에 대한 €250만 제재였습니다. 사유는 환자 기록 익명화 미흡이었으며, 이는 남유럽에서 가장 큰 의료 분야 GDPR 제재 중 하나입니다.

GDPR과 LGPD의 연결

포르투갈어권 세계를 두 가지 개인정보 법률이 포괄합니다.

EU GDPR은 포르투갈에 적용됩니다. 최대 제재: €2,000만 또는 전 세계 매출의 4%. CNPD가 집행합니다.

브라질 LGPD — 법률 제13,709/2018호 — 는 브라질에 적용됩니다. 최대 제재: 브라질 내 매출의 2%, 위반 건당 최대 R$5,000만 (≈€900만). 브라질 ANPD가 집행합니다. 최초 주요 제재는 2024년에 시작되었습니다.

2,400개 이상의 기업이 EU-브라질 데이터 이전을 활발히 진행 중입니다. EU는 브라질에 대한 적정성 결정을 내리지 않았습니다. EU-브라질 데이터 이전에는 표준계약조항(SCC) 또는 GDPR 제46조 수단이 필요합니다.

자세한 내용은 LGPD 익명화 가이드를 참고하세요.

병원 제재가 제시한 세 가지 원칙

€250만 제재는 세 가지 명확한 원칙을 세웠습니다.

정책만으로는 부족합니다. 병원 측은 연구 기록이 익명화되었다고 주장했습니다. CNPD 감사인들은 NIF 번호, 생년월일, 진단 코드가 여전히 남아 있음을 발견했습니다. 해당 정보는 환자를 재식별하는 데 사용될 수 있었습니다. 서면 정책은 기술적 조치가 아닙니다.

연구 예외에도 실질적인 익명화가 필요합니다. 병원은 GDPR 제89조의 연구 예외 조항을 주장했습니다. CNPD는 이를 인정하지 않았습니다. 예외 조항도 실질적인 기술적 안전장치를 요구합니다.

의료 기록 제재는 더 무겁습니다. GDPR 제9조는 의료 기록을 특별 범주로 분류합니다. 제재 규모는 이를 반영했습니다. 2만 3,000명의 환자가 영향을 받았으며, 병원에는 검증 프로세스가 없었습니다.

포르투갈과 브라질의 개인정보 식별자 비교

포르투갈어는 하나의 언어지만, 포르투갈과 브라질은 서로 다른 신분증 체계를 가지고 있습니다. 개인정보 도구의 '포르투갈어 지원'만으로는 충분하지 않습니다.

포르투갈 식별자 (EU):

  • NIF — 9자리 세금 번호. 주요 시민 신분증. 검사 자릿수 알고리즘 포함. 검증됨
  • NIS — 11자리 사회보장 번호. 검증됨
  • 시민 카드 (Cartão de Cidadão) — 8자리 숫자와 알파벳 접미사 조합. 검증됨
  • 여권 — EU 표준 형식. 검증됨

브라질 식별자 (LGPD):

  • CPF — 11자리 납세자 번호. 검사 자릿수 2개, NIF와 다른 방식. 검증됨
  • CNPJ — 14자리 법인 등록 번호. 검증됨
  • RG — 주(州) 발급 신분증. 형식은 주마다 다름. 상파울루와 리우데자네이루가 상이함. 검증됨
  • CNH — 11자리 운전면허 번호. 검증됨
  • 선거인 명부 번호 (Título de Eleitor) — 12자리 유권자 ID. 검증됨
  • PIS/PASEP — 11자리 사회보장 프로그램 번호. 급여 기록에 등장. 검증됨

NIF를 탐지하는 도구가 CPF를 놓칠 수 있으며, 그 반대도 마찬가지입니다. 각 국가에는 별도의 탐지 로직이 필요합니다.

언어 간 탐지 격차에 대해서는 다국어 개인정보 탐지 가이드를 참고하세요.

EU-브라질 데이터 이전 규정

CNPD의 2024년 지침은 EU-브라질 데이터 이전을 다루었습니다.

SCC에는 유효한 이전 영향 평가가 필요합니다. SCC가 주된 수단입니다. 그러나 각 SCC마다 브라질이 동등한 보호를 제공하는지 확인하는 TIA가 필요합니다. CNPD는 다수의 TIA가 이 기준을 통과하지 못했다고 판단했습니다.

EU 내 처리는 이전 위험을 없애줍니다. 일부 기업은 모든 기록을 EU 시스템에서 보관합니다. 개인 원본 정보가 브라질로 이전되지 않습니다. 이 방식은 두 법률 모두에서 유효합니다. GDPR은 처리를, LGPD는 브라질 시민 기록을 각각 규율하지만, 국경 간 이전 자체가 발생하지 않습니다.

두 시장에서 운영하는 조직은 최소한 이중 탐지가 필요합니다. 포르투갈용 NIF와 NIS, 브라질용 CPF, CNPJ, RG, CNH, 선거인 번호, PIS/PASEP. 두 법률 모두 적절한 기술적 통제를 입증하기 위해 이를 요구합니다.

출처

관련 기사

GDPR 및 준수

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 및 준수

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 및 준수

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

데이터 보호를 시작할 준비가 되셨나요?

48개 언어로 285개 이상의 엔티티 유형으로 PII 익명화를 시작하세요.

무료 체험 시작기능 보기

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.