ANPD Brazylia: Przewodnik egzekwowania LGPD z przykładami rzeczywistych kar i pokuto
LGPD vs RODO
LGPD (Lei Geral de Proteção de Dados) to brazylijski odpowiednik RODO, ale z kilkoma różnicami:
| Aspekt | RODO | LGPD |
|---|---|---|
| Grzywna | Do 4% obrotu | Do 2% obrotu |
| Prawo dostępu | Tak | Tak |
| Prawo do usunięcia | Tak (z wyjątkami) | Tak (stricte) |
| Zgoda | Domyślnie TAK | Domyślnie TAK |
| DPA | Wymagana | Wymagana |
ANPD (Autoridade Nacional de Proteção de Dados)
ANPD to brazylijski organ nadzorcze. Wydała wytyczne z istotnymi karami.
Rzeczywiste kary
Przykład 1 - Banco Bradesco (2021)
- Naruszenie: Przechowywanie danych klientów bez zgody
- Kara: R$ 5 milionów (≈ $1 milon USD)
- Problem: Prawo dostępu - klienci nie wiedzieli co dane przechowywane
Przykład 2 - Serasa Experian (2021)
- Naruszenie: Udostępnianie danych kredytowych bez zgody
- Kara: R$ 18.6 milionów (≈ $3.7 milionów USD)
- Problem: Przeszkodzenie w realizacji praw (Art. 6)
Przykład 3 - Inter (2022)
- Naruszenie: Brak dokumentacji DPIA
- Kara: R$ 3 miliony (≈ $600,000 USD)
- Problem: Niekompletna dokumentacja Art. 18 LGPD
Wymagania ANPD dla anonimizacji
LGPD Art. 13 wymagane jest "anonimizowanie" danych dla celów innych niż pierwotne. Ale ANPD definiuje "anonimizowanie" ściśle:
Prawdziwie anonimizowane dane: Dane które nie mogą być powiązane z osobą, nawet przy połączeniu z innymi źródłami.
Nieprawnie anonimizowane dane: Pseudonymizowanie (zamiana SSN na ID) - RODO Art. 4(5) dopuszcza, ale ANPD może nie.
Praktyczne wymogi ANPD
1. Dokumentacja zgody:
- Każdy punkt zbierania danych musi mieć oświadczenie o celu
- Jeśli cel się zmieni (np. z marketingu na naukę), potrzebujesz nowej zgody
- ANPD szuka "consent records" z datą i adresem IP
2. Prawo dostępu (Art. 18):
- Klient musi mieć możliwość pobrania swoich danych
- "Format strukturalny i powszechnie używany" (CSV, JSON, XML)
- Odpowiedź w 15 dni (ścieżka)
3. Prawo do usunięcia (Art. 17):
- Dane muszą być usunięte w 15 dni
- Nie wystarczy "soft delete" (archiwizacja) - musi być hard delete
- ANPD może zażądać certyfikatu usunięcia
4. Ocena wpływu (DPIA):
- Dla operacji "wysokiego ryzyka"
- ANPD definiuje "wysokie ryzyko" jako: profilowanie, automatyczne decyzje, przetwarzanie wrażliwych danych
5. Data Protection Officer (DPO):
- Wymagany dla organizacji przetwarzających duże ilości danych
- ANPD może zażądać raportów DPO
Wspólne błędy LGPD
Błąd 1: Przesyłanie danych do USA bez Standard Contractual Clauses (SCC)
- Ryzyko: Art. 33 LGPD (międzynarodowy transfer)
- Rozwiązanie: BCR lub SCC
Błąd 2: Pseudonymizowanie zamiast anonimizowania
- Ryzyko: ANPD twierdzi że pseudo-anonimizowane dane to nadal dane osobowe
- Rozwiązanie: Prawdziwa anonimizacja + dokumentacja
Błąd 3: Brak dokumentacji DPIA
- Ryzyko: Art. 18 - brak odpowiedniego uzasadnienia przetwarzania
- Rozwiązanie: Prowadzenie DPIA dla każdej operacji
Zaključak
ANPD jest bardziej restrykcyjna niż RODO w kilku aspektach, szczególnie co do prawo do usunięcia i pseudonymizacji. Organizacje przetwarzające dane brazylii jskie muszą mieć ścisłe procedury anonimizacji i dokumentacji.