Brasils Autoridade Nacional de Proteção de Dados (ANPD) gikk inn i aktiv håndhevelsesmodus i 2024, og utstedte sine første store bøter under Lei Geral de Proteção de Dados (LGPD) — Lov nr. 13,709/2018. Med 215 millioner brasilianere dekket av rammeverket og Brasil som vert for den største digitale økonomien i Latin-Amerika (180 millioner internettbrukere), er LGPD-overholdelse nå en håndhevelsesrealitet, ikke en fremtidig bekymring.
LGPD: Brasils GDPR med Brasils Spesifikke Bestemmelser
LGPD er modellert etter GDPR, men inkluderer bestemmelser som avviker betydelig i omfang og anvendelse:
Maksimalbøter: 2% av brasiliansk årlig inntekt (ikke global inntekt), opptil R$50 millioner (≈€9M) per brudd. I motsetning til GDPRs 4% globale inntektsgrense, skaper LGPDs brasilianske inntektsgrunnlag lavere maksimale straffer for multinasjonale selskaper — men høyere relativ eksponering for Brasil-spesifikke virksomheter.
Kategorier av sensitive data: LGPDs kategorier av sensitive data speiler nært GDPR Artikkel 9, men legger til spesifikke bestemmelser for rase/etnisk opprinnelse, politisk mening, religiøs tro, helsedata, genetiske data, biometriske data, og — bemerkelsesverdig — seksuell legning og sexliv. ANPDs veiledning fra 2024 utvidet beskyttelsen av sensitive data til LGPD Artikkel 11s samtykkekrav for enhver behandling av sensitive data.
Rettigheter for registrerte: Lignende som GDPR — tilgang, korrigering, anonymisering, portabilitet, sletting, og informasjon om datadeling. Brasils LGPD legger til en spesifikk rett til å vite om AI ble brukt i databehandlingsbeslutninger.
ANPDs håndhevelsesstart: Første formelle sanksjoner utstedt i 2024. Telekommunikasjon, finansielle tjenester og helseorganisasjoner var de primære håndhevelsesmålene. ANPD har signalisert at multinasjonale selskaper som opererer i Brasil vil være et fokus i 2025.
Brasilianske PII-identifikatorer: Deteksjonsutfordringen
Brasils nasjonale identifikasjonssystem er mer komplekst enn de fleste EU-land — delvis fordi Brasil er en føderal republikk der identifikasjonssystemer varierer etter utstedelsesstat for noen dokumenter.
CPF (Cadastro de Pessoas Físicas): 11-sifret individuell skatteregistreringsnummer, format XXX.XXX.XXX-XX, med to kontrollsiffer validert ved hjelp av spesifikk modulær aritmetikk. CPF er Brasils primære universelle identifikator — brukt for bank, ansettelse, skatt, helsevesen og offentlige tjenester. Alle 215 millioner brasilianere har en CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14-sifret selskapsregistreringsnummer, format XX.XXX.XXX/XXXX-XX, med to kontrollsiffer. Visas sammen med personopplysninger om selskapsrepresentanter i forretningsdokumenter.
RG (Registro Geral): Statlig utstedt sivil identitetsdokument. Kritisk: RG-formatet varierer etter utstedelsesstat. São Paulos RG-format er forskjellig fra Rio de Janeiros, som er forskjellig fra Minas Gerais, og så videre på tvers av 26 stater + Føderalt Distrikt. Et PII-verktøy som bare gjenkjenner ett stats RG-format går glipp av flertallet av brasilianske RG-numre i dokumenter fra andre stater.
CNH (Carteira Nacional de Habilitação): 11-sifret førerkortnummer med kontrollsiffer.
Título de Eleitor: 12-sifret velgerregistreringsnummer som koder geografisk informasjon om velgerens registreringssone.
PIS/PASEP: 11-sifret sosialt integreringsprogramnummer brukt i ansettelsesregistre og lønn.
SUS-nummer (Cartão SUS): 15-sifret nummer tildelt hver brasilianer for det enhetlige helsevesenet — vises i alle helsevesendokumenter.
LGPD vs. GDPR: Nøkkelforskjeller for Brasilianske-Europeske Organisasjoner
Organisasjoner som opererer under både LGPD og GDPR står overfor viktige forskjeller:
Juridiske grunnlag for behandling: LGPD gir 10 juridiske grunnlag (sammenlignet med GDPRs 6), inkludert "legitim interesse," "beskyttelse av helse," og "beskyttelse av kreditt" — den siste er unik for LGPD og reflekterer Brasils fintech-drevne kredittkultur.
Ingen tilstrekkelighetsmekanisme for Brasil: EU har ikke gitt Brasil en tilstrekkelighetsbeslutning. Dataoverføringer mellom EU og Brasil krever standard kontraktsbestemmelser eller bindende selskapsregler — den samme mekanismen som kreves for overføringer til USA eller andre ikke-tilstrekkelige land.
Brasilianske samtykkekrav: LGPD krever at samtykke skal være spesifikt, informert, entydig, og fritt gitt — likt som GDPR. Imidlertid tillater LGPD at samtykke for sensitive data kan være bredere enn GDPRs krav om eksplisitt samtykke for hvert spesifikt formål, forutsatt at formålet er klart kommunisert.
ANPDs Håndhevelsesfokus i 2025
Basert på ANPDs publiserte håndhevelsesprioriteringer og 2024 etterforskningsresultater:
Helsedata: LGPD Artikkel 11 krever eksplisitt samtykke eller spesifikt juridisk grunnlag for behandling av helsedata. ANPD fant flere helseleverandører og helseapper som manglet tilstrekkelig juridisk grunnlag for behandling av SUS-numre og medisinske journaler.
Finansielle tjenester: CPF-numre i finansdokumenter — lånesøknader, kredittvurderinger, forsikringspoliser — er primære håndhevelsesmål. ANPD reviderer om finansinstitusjoners datalagringspolitikk samsvarer med dokumenterte formål.
Teknologiplattformers overholdelse: Internasjonale teknologiplattformer (sosiale medier, e-handel, strømmetjenester) som opererer i Brasil er ANPDs fokus i 2025, spesielt for profilering og grenseoverskridende dataoverføringer.
For organisasjoner som behandler brasilianske personopplysninger: CPF- og CNPJ-detektering med validerte kontrollsiffer er den tekniske basislinjen. Å legge til RG-detektering med statsspesifikk formatgjenkjenning, CNH, Título de Eleitor, og SUS-nummerstøtte gir omfattende LGPD-kompatibel dekning av brasiliansk PII.
Kilder: