ANPD Brazylia: Egzekucja LGPD w 2024 Roku
Brazylijski organ ochrony prywatności — ANPD — zaczął nakładać kary w 2024 roku. Były to pierwsze poważne sankcje na podstawie LGPD — Ustawy nr 13 709/2018. Brazylia liczy 215 milionów mieszkańców objętych tą ustawą. Ma też 180 milionów internautów — największą gospodarkę cyfrową w Ameryce Łacińskiej. Zgodność z LGPD jest teraz realna i aktywnie egzekwowana.
LGPD: Brazylijskie Prawo Prywatności
LGPD wzoruje się na RODO, ale zawiera istotne różnice.
Maksymalne kary: Do 2% rocznych przychodów z Brazylii. Limit wynosi R$50 milionów (≈9 mln EUR) za naruszenie. RODO stosuje globalny przychód przy stawce 4%. Brazylijska podstawa LGPD oznacza niższe limity dla korporacji międzynarodowych. Jednak dla firm działających wyłącznie w Brazylii oznacza to wyższe ryzyko względne.
Kategorie wrażliwe: Lista LGPD jest zbliżona do art. 9 RODO. Obejmuje rasę, poglądy polityczne, religię, dokumentację zdrowotną, dane genetyczne, biometrię i orientację seksualną. Wytyczne ANPD z 2024 roku rozszerzyły te zasady na podstawie art. 11.
Prawa podmiotów danych: Osoby mogą uzyskiwać dostęp do swoich danych, korygować je, usuwać i przenosić. Mogą też pytać o udostępnianie danych. LGPD dodaje jedno prawo nieobecne w RODO: prawo do informacji, czy AI było używane w decyzji ich dotyczącej.
Rozpoczęcie egzekucji: ANPD wydał pierwsze sankcje w 2024 roku. Głównymi celami były firmy telekomunikacyjne, podmioty finansowe i świadczeniodawcy zdrowotni. W 2025 roku skupienie przenosi się na korporacje międzynarodowe w Brazylii.
Aby uzyskać szersze spojrzenie, zapoznaj się z naszym przewodnikiem po globalnym compliance w zakresie danych osobowych.
Brazylijskie Identyfikatory Danych Osobowych
Brazylijski system identyfikacji jest złożony. Brazylia jest federacją — niektóre dokumenty różnią się w zależności od stanu.
CPF: 11-cyfrowy numer podatnika (format: XXX.XXX.XXX-XX). Posiada dwie cyfry kontrolne obliczane metodą modularną. CPF to główny identyfikator w Brazylii: stosowany w bankowości, podatkach, ochronie zdrowia i administracji. Każdy z 215 milionów Brazylijczyków go posiada.
CNPJ: 14-cyfrowy numer firmy (format: XX.XXX.XXX/XXXX-XX). Posiada dwie cyfry kontrolne. Pojawia się w dokumentach biznesowych powiązanych z kadrą zarządzającą firm.
RG: Stanowy dowód osobisty. Format różni się w zależności od stanu. RG z São Paulo różni się od tego z Rio de Janeiro — podobnie we wszystkich 26 stanach i Dystrykcie Federalnym. Narzędzie znające format tylko jednego stanu pominie większość brazylijskich numerów RG.
CNH: 11-cyfrowy numer prawa jazdy z jedną cyfrą kontrolną.
Título de Eleitor: 12-cyfrowy numer wyborcy. Zawiera zakodowaną strefę rejestracji wyborcy.
PIS/PASEP: 11-cyfrowy numer programu socjalnego. Pojawia się w dokumentacji płacowej i zatrudnieniu.
Numer SUS: 15-cyfrowy identyfikator systemu ochrony zdrowia. Posiada go każdy Brazylijczyk. Pojawia się we wszystkich dokumentach zdrowotnych.
Nasz globalny przewodnik po identyfikatorach danych osobowych zestawia CPF obok SSN, Aadhaar i innych krajowych identyfikatorów.
LGPD a RODO: Kluczowe Różnice
Oba systemy chronią dane osobowe, ale różnią się w istotny sposób.
Podstawy prawne: LGPD ma 10 podstaw prawnych. RODO ma 6. LGPD obejmuje „ochronę kredytu” — podstawę związaną z brazylijską kulturą fintech. Brak odpowiednika w RODO.
Brak decyzji o adekwatności UE dla Brazylii: UE nie przyznała Brazylii decyzji o adekwatności. Transfery danych UE–Brazylia wymagają Standardowych Klauzul Umownych lub Wiążących Reguł Korporacyjnych — tak samo jak dla USA.
Zasady zgody: Zgoda na przetwarzanie danych w LGPD musi być konkretna, świadoma, dobrowolna i jednoznaczna — podobnie jak w RODO. W przypadku danych wrażliwych LGPD dopuszcza szerszą zgodę niż standard RODO oparty na konkretnym celu, pod warunkiem że cel jest wskazany.
Priorytety Egzekucyjne ANPD na 2025 Rok
ANPD opublikował priorytety na 2025 rok na podstawie wyników spraw z 2024 roku.
Dokumentacja Medyczna
Artykuł 11 wymaga wyraźnej zgody — lub wyraźnej podstawy prawnej — do przetwarzania dokumentacji zdrowotnej. ANPD stwierdził, że wiele aplikacji i świadczeniodawców zdrowotnych nie posiadało tej podstawy dla numerów SUS i dokumentacji medycznej.
Usługi Finansowe
Numery CPF w aktach pożyczkowych, raportach kredytowych i polisach ubezpieczeniowych to główne obiekty kontroli. ANPD sprawdza, czy okresy retencji odpowiadają zadeklarowanym celom.
Zgodność Platform Technologicznych
Media społecznościowe, platformy e-commerce i usługi streamingowe w Brazylii są przedmiotem szczególnego zainteresowania w 2025 roku. ANPD analizuje profilowanie i transgraniczne transfery danych.
Co Zrobić Teraz
Podstawą brazylijskiego compliance jest wykrywanie CPF i CNPJ z walidacją cyfr kontrolnych. Należy dodać wykrywanie RG z logiką formatów per stan. Dla pełnego pokrycia konieczna jest obsługa CNH, Título de Eleitor i numeru SUS. Zapoznaj się z naszym przewodnikiem po anonimizacji LGPD, aby uzyskać szczegółowe instrukcje krok po kroku.