ANPD Brasil: LGPD-håndhevelse 2024
Brasils personvernmyndighet, ANPD, begynte å utstede bøter i 2024. Dette var de første store bøtene under LGPD – lov nr. 13 709/2018. Brasil har 215 millioner mennesker dekket av denne loven. Landet har også 180 millioner internettbrukere – den største digitale økonomien i Latin-Amerika. LGPD-samsvar er nå reelt og aktivt.
LGPD: Brasils personvernlov
LGPD er basert på GDPR, men har viktige forskjeller.
Maksimale bøter: Inntil 2 % av brasiliansk årsomsetning. Taket er R$ 50 millioner (≈ 9 millioner euro) per brudd. GDPR bruker global omsetning på 4 %. LGPDs Brasil-spesifikke grunnlag betyr lavere tak for multinasjonale selskaper. Men det betyr høyere relativ risiko for Brasil-eksklusive selskaper.
Sensitive kategorier: LGPDs liste er nær GDPR artikkel 9. Den dekker rase, politiske synspunkter, religion, helseregistre, genetiske data, biometri og seksuell orientering. ANPDs veiledning fra 2024 utvidet disse reglene under artikkel 11.
Registrerte personers rettigheter: Folk kan få tilgang til, korrigere, slette og portere sine opplysninger. De kan også spørre om datadeling. LGPD legger til én rettighet som ikke finnes i GDPR: retten til å vite om AI ble brukt i en beslutning om dem.
Oppstart av håndhevelse: ANPD utstedte de første sanksjonene i 2024. Hovedmål var telekomselskaper, finansforetak og helseomsorgsleverandører. Multinasjonale selskaper i Brasil er i fokus for 2025.
For et bredere bilde, se vår guide om global PII-samsvar.
Brasilianske PII-identifikatorer
Brasils ID-system er komplekst. Det er en føderalrepublikk. Noen dokumenter varierer etter delstat.
CPF: Et 11-sifret skattenummer (format: XXX.XXX.XXX-XX). Det har to kontrollsifre som bruker modulær matematikk. CPF er Brasils viktigste ID for bank, skatt, helse og offentlige tjenester. Alle 215 millioner brasilianere har ett.
CNPJ: Et 14-sifret selskapsnummer (format: XX.XXX.XXX/XXXX-XX). Det har to kontrollsifre. Det forekommer i forretningsregistre knyttet til selskapsledere.
RG: Et delstatsutstedt sivilt ID-kort. Formatet varierer etter delstat. São Paulos RG skiller seg fra Rio de Janeiros, og slik er det i alle 26 delstater pluss Forbundsdistriktet. Et verktøy som bare kjenner ett delstatsformat, vil gå glipp av de fleste brasilianske RG-numre.
CNH: Et 11-sifret førerkort med ett kontrollsiffer.
Título de Eleitor: Et 12-sifret velger-ID. Det koder velgerens registreringssone.
PIS/PASEP: Et 11-sifret sosialprogramnummer. Det forekommer i lønnings- og ansettelsesregistre.
SUS-nummer: Et 15-sifret helsetjeneste-ID. Alle brasilianere har ett. Det forekommer i alle helsedokumenter.
Vår globale PII-identifikatorguide dekker CPF side om side med SSN, Aadhaar og andre nasjonale ID-er.
LGPD vs. GDPR: Viktige forskjeller
Begge rammeverker beskytter personopplysninger, men de skiller seg på viktige måter.
Rettslige grunnlag: LGPD har 10 rettslige grunnlag. GDPR har 6. LGPD inkluderer "kredittvern" – et grunnlag knyttet til Brasils fintech-kultur. Ingen GDPR-ekvivalent finnes for dette.
Ingen EU-adekvansavgjørelse for Brasil: EU har ikke gitt Brasil en adekvansavgjørelse. EU–Brasil-overføringer krever Standard Contractual Clauses eller Binding Corporate Rules – det samme som for USA.
Samtykkeregler: LGPD-samtykke må være spesifikt, informert, fritt og klart – omtrent som GDPR. For sensitive opplysninger tillater LGPD bredere samtykke enn GDPRs per-formål-standard, så lenge formålet er oppgitt.
ANPDs håndhevelsesfokus for 2025
ANPD har publisert sine 2025-prioriteringer basert på utfall fra 2024-saker.
Helseregistre
Artikkel 11 krever eksplisitt samtykke – eller et klart rettslig grunnlag – for å behandle helseregistre. ANPD fant at mange helseapper og -leverandører manglet dette grunnlaget for SUS-numre og sykejournaler.
Finansielle tjenester
CPF-numre i lånefiler, kredittrapporter og forsikringspoliser er topprioriterte mål. ANPD sjekker om oppbevaringsperiodene samsvarer med oppgitte formål.
Samsvar for teknologiplattformer
Sosiale medier, e-handel og strømmeplattformer i Brasil er i fokus for 2025. ANPD ser på profilering og grenseoverskridende overføringer.
Hva du bør gjøre nå
Minimumsgrunnlaget for brasiliansk samsvar er CPF- og CNPJ-deteksjon med kontrollsiffer-validering. Legg til RG-deteksjon med delstatsformatlogikk. Inkluder CNH, Título de Eleitor og SUS-nummersstøtte for full dekning. Se vår LGPD-anonymiseringsguide for trinnvis detalj.