CNPD Portugāle: GDPR un LGPD PII atbilstība
Portugāles privātuma iestāde ir CNPD. Tā izpilda ES GDPR. Tā arī savieno ES un Brazīlijas privātuma likumus. Tas aptver 215 miljonus portugāļu valodas runātāju.
- gadā CNPD izdeva 42 izpildes lēmumus. Viens no tiem bija 2,5 miljonus eiro naudassods pret Portugāles slimnīcu. Iemesls: nepietiekama pacienta ierakstu anonimizācija. Tas ir viens no lielākajiem veselības aprūpes GDPR naudassodiem Dienvideiropā.
GDPR un LGPD tilts
Portugāļu runājošo pasauli aptver divi privātuma likumi.
ES GDPR attiecas uz Portugāli. Maksimālais naudassods: 20 miljoni eiro vai 4% no globālajiem ieņēmumiem. CNPD to izpilda.
Brazīlijas LGPD — Likums Nr. 13 709/2018 — attiecas uz Brazīliju. Maksimālais naudassods: 2% no Brazīlijas ieņēmumiem, līdz R$50 miljoniem par pārkāpumu (≈9 miljoni eiro). Brazīlijas ANPD to izpilda. Pirmie lielie naudassodi tika uzlikti 2024. gadā.
Vairāk nekā 2 400 uzņēmumiem ir aktīvas ES un Brazīlijas pārsūtīšanas plūsmas. ES nav pietiekamības vienošanās ar Brazīliju. ES un Brazīlijas pārsūtīšanai nepieciešamas standarta līguma klauzulas vai 46. panta instruments.
Plašāku informāciju skatiet mūsu LGPD anonimizācijas ceļvedī.
Slimnīcas naudassods: trīs noteikumi
2,5 miljonu eiro naudassods noteica trīs skaidrus noteikumus.
Politikas nav pietiekamas. Slimnīca apgalvoja, ka tās pētījumu ieraksti bija anonimizēti. CNPD revidenti konstatēja, ka joprojām bija klāt NIF numuri, dzimšanas datumi un diagnozes kodi. Šī informācija varēja atkārtoti identificēt pacientus. Rakstiska politika nav tehnisks risinājums.
Pētījumu atbrīvojumiem joprojām nepieciešama patiesa anonimizācija. Slimnīca atsaucās uz GDPR 89. pantu — pētījumu atbrīvojumu. CNPD noraidīja šo argumentu. Atbrīvojums joprojām prasa patiesas tehniskas aizsardzības.
Veselības ierakstu naudassodi ir lielāki. GDPR 9. pants uzskata veselības ierakstus par īpašo kategoriju. Naudassods atspoguļoja šo faktu. 23 000 pacientu tika ietekmēti. Slimnīcai nebija validācijas procesa.
Portugāles un Brazīlijas PII salīdzinājums
Portugāliešu valoda ir viena. Taču Portugālei un Brazīlijai ir dažādas ID sistēmas. "Portugāļu valodas atbalsts" PII rīkā nav pietiekams.
Portugāles identifikatori (ES):
- NIF — 9 ciparu nodokļu numurs. Galvenais pilsoņa ID. Ir pārbaudes cipara algoritms. VERIFICĒTS
- NIS — 11 ciparu sociālās apdrošināšanas numurs. VERIFICĒTS
- Cartão de Cidadão — 8 ciparu pilsoņa karte ar burtu sufiksu. VERIFICĒTS
- Pase — ES standarta formāts. VERIFICĒTS
Brazīlijas identifikatori (LGPD):
- CPF — 11 ciparu nodokļu maksātāja numurs. Divi pārbaudes cipari. Atšķirīga metode no NIF. VERIFICĒTS
- CNPJ — 14 ciparu uzņēmuma reģistrācija. VERIFICĒTS
- RG — Pavalsts izdots ID. Formāts atšķiras pa pavalstīm. Sanpaulu atšķiras no Riodežaneiro. VERIFICĒTS
- CNH — 11 ciparu autovadītāja apliecība. VERIFICĒTS
- Título de Eleitor — 12 ciparu vēlētāja ID. VERIFICĒTS
- PIS/PASEP — 11 ciparu sociālās programmas numurs. Atrodams algu ierakstos. VERIFICĒTS
Rīks, kas atrod NIF, var palaist garām CPF. Tas pats ir spēkā pretēji. Katrai valstij nepieciešama sava noteikšanas loģika.
Skatiet mūsu daudzvalodu PII noteikšanas ceļvedi par plaisām starp valodām.
ES un Brazīlijas pārsūtīšanas noteikumi
CNPD 2024. gada norādījumi aptvēra ES un Brazīlijas pārsūtīšanu.
SCC nepieciešami derīgi pārsūtīšanas ietekmes novērtējumi. SCC ir galvenais instruments. Taču katram nepieciešams TIA, kas parāda, ka Brazīlija nodrošina līdzvērtīgu aizsardzību. CNPD konstatēja, ka daudzi TIA neizturēja šo pārbaudi.
ES apstrāde novērš pārsūtīšanas risku. Daži uzņēmumi visus ierakstus glabā ES sistēmās. Nekāda neapstrādāta personas informācija nenonāk Brazīlijā. Tas darbojas abiem tiesību aktiem. GDPR aptver apstrādi. LGPD aptver Brazīlijas pilsoņu ierakstus. Taču nenotiek pārrobežu pārsūtīšana.
Organizācijām abos tirgos: dubultā noteikšana ir minimums. NIF un NIS Portugālei. CPF, CNPJ, RG, CNH, Título de Eleitor un PIS/PASEP Brazīlijai. Abi tiesību akti to prasa, lai pierādītu atbilstošas tehniskās kontroles.