ANPD Brazilië: LGPD-handhaving 2024
Brazilië's privacytoezichthouder, de ANPD, begon in 2024 met het opleggen van boetes — de eerste grote sancties onder LGPD (Wet nr. 13.709/2018). Brazilië heeft 215 miljoen mensen die door deze wet worden gedekt en 180 miljoen internetgebruikers — de grootste digitale economie van Latijns-Amerika. LGPD-naleving is nu reëel en actief.
LGPD: Brazilië's privacywet
LGPD is gebaseerd op de AVG maar heeft belangrijke verschillen.
Maximale boetes: Tot 2% van de Braziliaanse jaaromzet. Het plafond is R$50 miljoen (≈€9M) per overtreding. De AVG hanteert 4% van de mondiale omzet. LGPD's Brazilië-only basis betekent lagere plafonds voor multinationals, maar hoger relatief risico voor Brazilië-only bedrijven.
Gevoelige categorieën: LGPD's lijst staat dicht bij AVG Artikel 9 en dekt ras, politieke opvattingen, religie, gezondheidsgegevens, genetische gegevens, biometrie en seksuele geaardheid. De 2024-richtsnoeren van de ANPD breidden deze regels uit onder Artikel 11.
Rechten van betrokkenen: Mensen kunnen hun gegevens inzien, corrigeren, verwijderen en overdragen. Ze kunnen ook informeren naar gegevensdeling. LGPD voegt één recht toe dat de AVG niet heeft: het recht te weten of AI bij een beslissing over hen is gebruikt.
Start van handhaving: ANPD legde in 2024 eerste sancties op. Voornaamste doelwitten waren telecombedrijven, financiële instellingen en zorgverleners. Multinationals in Brazilië zijn de focus voor 2025.
Voor een breder perspectief, zie onze gids over mondiale PII-naleving.
Braziliaanse PII-identificatoren
Brazilië's ID-systeem is complex — het is een federale republiek waarbij sommige documenten per staat verschillen.
CPF: Een 11-cijferig belastingbetalernummer (formaat: XXX.XXX.XXX-XX) met twee controlecijfers via modulaire wiskunde. Het CPF is Brazilië's voornaamste ID voor bankzaken, belasting, zorg en overheid. Alle 215 miljoen Brazilianen hebben er één.
CNPJ: Een 14-cijferig bedrijfsnummer (formaat: XX.XXX.XXX/XXXX-XX) met twee controlecijfers. Verschijnt in zakelijke dossiers gekoppeld aan bedrijfsbestuurders.
RG: Een staatsgegeven burgerlijk identiteitsbewijs. Formaat varieert per staat. São Paulo's RG verschilt van Rio de Janeiro's, en zo verder in 26 staten plus het Federaal District. Een tool die slechts één staatsformaat kent, mist de meeste Braziliaanse RG-nummers.
CNH: Een 11-cijferig rijbewijsnummer met één controlecijfer.
Título de Eleitor: Een 12-cijferig kiezersnummer dat de registratiezone van de kiezer codeert.
PIS/PASEP: Een 11-cijferig sociaalzekerheidsnummer in loon- en arbeidsregistraties.
SUS-nummer: Een 15-cijferig gezondheidssysteem-ID dat elke Braziliaan heeft en in alle gezondheidsdocumenten staat.
Onze mondiale PII-identificatorgids vergelijkt CPF met SSN, Aadhaar en andere nationale ID's.
LGPD vs. AVG: voornaamste verschillen
Rechtsgrondslagen: LGPD heeft 10 rechtsgrondslagen; de AVG heeft er 6. LGPD omvat "bescherming van krediet" — een grondslag gekoppeld aan Brazilië's fintech-cultuur. Er bestaat geen AVG-equivalent.
Geen EU-adequaatheid voor Brazilië: De EU heeft Brazilië geen adequaatheidsbesluit gegeven. EU-Brazilië-overdrachten vereisen SCB's of Bindende Bedrijfsregels.
Toestemmingsregels: LGPD-toestemming moet specifiek, geïnformeerd, vrij en duidelijk zijn — vergelijkbaar met de AVG.
Handhavingsfocus van ANPD 2025
Zorggegevens. Artikel 11 vereist expliciete toestemming of een duidelijke rechtsgrondslag voor de verwerking van gezondheidsgegevens. ANPD stelde vast dat veel zorg-apps en -aanbieders deze grondslag voor SUS-nummers en medische dossiers misten.
Financiële diensten. CPF-nummers in leningsdossiers, kredietrapporten en verzekeringspolissen zijn voornaamste doelwitten.
Tech-platformnaleving. Sociale media, e-commerce en streamingplatforms in Brazilië zijn een 2025-focus. ANPD onderzoekt profilering en grensoverschrijdende overdrachten.
Wat nu te doen. De basislijn voor Braziliaanse naleving is CPF- en CNPJ-detectie met controlecijfervalidatie. Voeg RG-detectie toe met per-staatsformaatlogica. Neem CNH-, Título de Eleitor- en SUS-nummersondersteuning op voor volledige dekking. Zie onze LGPD-anonimiseringsgids voor stapsgewijze details.