ANPD Brazilija: LGPD vykdymas 2024 m.
Brazilijos privatumo reguliatorius ANPD 2024 m. pradėjo skirti baudas. Tai buvo pirmosios didelės baudos pagal LGPD -- Įstatymą Nr. 13,709/2018. Brazilija turi 215 milijonų žmonių, kuriems taikomas šis įstatymas. Ji taip pat turi 180 milijonų interneto naudotojų -- didžiausią skaitmeninę ekonomiką Lotynų Amerikoje. LGPD atitiktis dabar yra reali ir aktyvi.
LGPD: Brazilijos privatumo įstatymas
LGPD pagrįstas GDPR, bet turi esminių skirtumų.
Maksimalios baudos: Iki 2% Brazilijos metinių pajamų. Riba yra 50 mln. R$ (apytiksliai 9 mln. EUR) už pažeidimą. GDPR naudoja pasaulines pajamas 4% norma. LGPD Brazilijos pagrindu reiškia mažesnes ribas tarptautinėms korporacijoms. Bet tai reiškia didesnę santykinę riziką tik Brazilijoje veikiančioms įmonėms.
Jautrių duomenų kategorijos: LGPD sąrašas artimas GDPR 9 straipsniui. Jis apima rasę, politinius pažiūrus, religiją, sveikatos įrašus, genetinius duomenis, biometriją ir seksualinę orientaciją. ANPD 2024 m. gairės išplėtė šias taisykles pagal 11 straipsnį.
Duomenų subjektų teisės: Žmonės gali gauti prieigą, taisyti, ištrinti ir perkelti savo įrašus. Jie taip pat gali paklausti apie duomenų dalinimąsi. LGPD prideda vieną teisę, kurios nėra GDPR: teisę žinoti, ar DI buvo naudotas priimant sprendimą apie juos.
Vykdymo pradžia: ANPD skyrė pirmąsias sankcijas 2024 m. Pagrindiniai taikiniai buvo telekomunikacijos, finansų firmos ir sveikatos priežiūros teikėjai. Brazijoje veikiančios tarptautinės korporacijos yra 2025 m. tikslas.
Norėdami susidaryti platesnį vaizdą, žiūrėkite mūsų vadovą pasaulinė PII atitiktis.
Brazilijos PII identifikatoriai
Brazilijos ID sistema yra sudėtinga. Tai federacinė respublika. Kai kurie dokumentai skiriasi pagal valstiją.
CPF: 11 skaitmenų mokesčių mokėtojo numeris (formatas: XXX.XXX.XXX-XX). Jame yra du kontroliniai skaitmenys, naudojantys modulinę matematiką. CPF yra pagrindinis Brazilijos ID bankui, mokesčiams, sveikatai ir valdžiai. Visi 215 milijonų brazilų jį turi.
CNPJ: 14 skaitmenų įmonės numeris (formatas: XX.XXX.XXX/XXXX-XX). Jame yra du kontroliniai skaitmenys. Jis randamas verslo įrašuose, susijusiuose su įmonės pareigūnais.
RG: Valstijos išduota pilietinė asmens tapatybės kortelė. Formatas skiriasi pagal valstiją. Sao Paulio RG skiriasi nuo Rio de Žaneiro, ir taip visose 26 valstijose bei Federaliniame rajone. Įrankis, žinantis tik vienos valstijos formatą, praleids daugumą Brazilijos RG numerių.
CNH: 11 skaitmenų vairuotojo pažymėjimo numeris su vienu kontroliniu skaitmeniu.
Titulo de Eleitor: 12 skaitmenų rinkėjo ID. Jame užkoduota rinkėjo registracijos zona.
PIS/PASEP: 11 skaitmenų socialinės programos numeris. Jis randamas darbo užmokesčio ir užimtumo įrašuose.
SUS numeris: 15 skaitmenų sveikatos sistemos ID. Kiekvienas brazilas jį turi. Jis randamas visuose sveikatos dokumentuose.
Mūsų pasaulinių PII identifikatorių vadovas apima CPF kartu su SSN, Aadhaar ir kitais nacionaliniais ID.
LGPD palyginti su GDPR: pagrindiniai skirtumai
Abu reguliavimo pagrindai saugo asmeninius įrašus, bet skiriasi svarbiais aspektais.
Teisiniai pagrindai: LGPD turi 10 teisinių pagrindų. GDPR turi 6. LGPD apima "kredito apsaugą" -- pagrindą, susijusį su Brazilijos fintech kultūra. GDPR analogo tam nėra.
Nėra ES tinkamumo Brazilijai: ES nesuteikė Brazilijai tinkamumo sprendimo. ES ir Brazilijos pervedimai reikalauja standartinių sutarčių sąlygų arba privalomų įmonių taisyklių -- kaip ir JAV.
Sutikimo taisyklės: LGPD sutikimas turi būti konkretus, informuotas, laisvas ir aiškus -- panašiai kaip GDPR. Jautriems įrašams LGPD leidžia platesnį sutikimą nei GDPR tikslo standartas, kol tikslas nurodytas.
ANPD 2025 m. vykdymo tikslas
ANPD paskelbė 2025 m. prioritetus remdamasi 2024 m. bylų rezultatais.
Sveikatos įrašai
11 straipsnis reikalauja aiškaus sutikimo -- arba aiškaus teisinio pagrindo -- sveikatos įrašų tvarkymui. ANPD nustatė, kad daugelis sveikatos programų ir teikėjų neturėjo šio pagrindo SUS numeriams ir medicinos failams.
Finansinės paslaugos
CPF numeriai paskolų failuose, kreditų ataskaitose ir draudimo polisuose yra pagrindiniai taikiniai. ANPD tikrina, ar saugojimo laikotarpiai atitinka nurodytas paskirtis.
Technologijų platformų atitiktis
Socialinė žiniasklaida, el. prekyba ir srautinio transliavimo platformos Brazilijoje yra 2025 m. tikslas. ANPD žiūri į profilį ir tarpvalstybinį perdavimą.
Ką daryti dabar
Brazilijos atitikties pagrindas yra CPF ir CNPJ aptikimas su kontrolinio skaitmens patvirtinimu. Pridėkite RG aptikimą su valstijos formato logika. Įtraukite CNH, Titulo de Eleitor ir SUS numerio palaikymą visapusiškai apsaugai. Žiūrėkite mūsų LGPD anoniminimo vadovą žingsnis po žingsnio.