Португалската Comissão Nacional de Proteção de Dados (CNPD) држи уникатна позиција помеѓу EU органите за заштита на податоци: таа поврзува Европската унија GDPR и LGPD на Бразил (Lei Geral de Proteção de Dados) — двата главни рамки за приватност кои управуваат глобалната сфера на португалскиот јазик со 215 милиони луѓе.
CNPD издаде 42 решенија за спроведување во 2024 година, вклучувајќи казна од €2.5 милиони против португалска болница за неадекватна анонимизација на пациентски податоци — една од најголемитеHealthCare GDPR казни во Јужна Европа.
Врската GDPR-LGPD
EU GDPR (Португалија): Максимална казна €20M или 4% глобален приход. Спроведена од страна на CNPD.
Brazil LGPD (Закон број 13,709/2018): Максимална казна 2% од бразилскиот годишен приход, до R$ 50 милиони по прекршување (≈ €9M). Спроведена од страна на ANPD (Autoridade Nacional de Proteção de Dados), со прво главно спроведување акции во 2024.
2,400+ компании одржуваат активни аранжмани за пренос на податоци EU-Бразил. EU тренутно нема одлука за адекватност со Бразил, што значи дека преносите EU-Бразил бараат Standard Contractual Clauses или друг механизам од Член 46.
Судската пресуда: Анонимизација како технички стандард
Казната од €2.5 милиони за Healthcare од страна на CNPD утврди критични преседани:
Политика ≠ усогласеност. Болницата имала документирани политики кои изјавуваат дека пациентските истражни податоци биле "анонимизирани." Техничкото испитување на CNPD откри дека "анонимизираниот" скупот на податоци задржа NIF броеви, датуми на раѓање, кодови за дијагноза и датуми на лечење — ...