CNPD Portugal: Conectando o GDPR e a LGPD do Brasil — Por que PII em Língua Portuguesa Precisa de Detecção Dupla

A Comissão Nacional de Proteção de Dados (CNPD) de Portugal ocupa uma posição única entre as autoridades de proteção de dados da UE: ela conecta o GDPR da União Europeia e a Lei Geral de Proteção de Dados (LGPD) do Brasil — os dois principais frameworks de privacidade que governam a esfera global de língua portuguesa, abrangendo 215 milhões de pessoas.

A CNPD emitiu 42 decisões de aplicação em 2024, incluindo uma multa de €2,5 milhões contra um hospital português por anonimização inadequada de dados de pacientes — uma das maiores multas de GDPR na área da saúde no Sul da Europa.

A Conexão GDPR-LGPD

GDPR da UE (Portugal): Multa máxima de €20M ou 4% da receita global. Aplicado pela CNPD.

LGPD do Brasil (Lei nº 13.709/2018): Multa máxima de 2% da receita anual brasileira, até R$ 50 milhões por violação (≈ €9M). Aplicado pela ANPD (Autoridade Nacional de Proteção de Dados), com as primeiras ações de aplicação significativas em 2024.

Mais de 2.400 empresas mantêm acordos ativos de transferência de dados entre a UE e o Brasil. A UE atualmente não possui uma decisão de adequação com o Brasil, o que significa que as transferências entre a UE e o Brasil exigem Cláusulas Contratuais Padrão ou outro mecanismo do Artigo 46.

A Decisão do Hospital: Anonimização como Padrão Técnico

A multa de €2,5 milhões da CNPD estabeleceu precedentes críticos:

Política ≠ conformidade. O hospital tinha políticas documentadas afirmando que os dados de pesquisa de pacientes estavam "anonimizados". O exame técnico da CNPD descobriu que o conjunto de dados "anonimizado" retinha números de NIF, datas de nascimento, códigos de diagnóstico e datas de tratamento — permitindo a reidentificação de pacientes específicos.

Isenção de pesquisa requer salvaguardas técnicas. O hospital argumentou que os dados de pesquisa clínica estavam cobertos pela isenção de pesquisa do Artigo 89 do GDPR. A CNPD constatou que a isenção requer anonimização genuína ou salvaguardas apropriadas — não uma isenção geral de medidas técnicas.

Multas na saúde refletem status de categoria especial. A multa de €2,5M refletiu o tratamento de categoria especial para dados de saúde do Artigo 9 do GDPR, a escala de pacientes afetados (23.000 indivíduos) e a falha em implementar validação básica de anonimização.

PII Portuguesa vs. Brasileira: Por que Não São Intercambiáveis

O português é uma língua. Mas os sistemas de identificação nacional em Portugal e no Brasil são completamente diferentes — criando uma lacuna crítica de conformidade para organizações que assumem que "suporte em língua portuguesa" é suficiente.

Identificadores da UE em português:

• NIF: Número de identificação fiscal de 9 dígitos. O principal identificador de cidadãos em Portugal. Dígito de verificação validado com um algoritmo específico.
• NIS: Número de identificação da seguridade social de 11 dígitos.
• Cartão de Cidadão: Número de cartão de cidadão de 8 dígitos com sufixo de letra.
• Passaporte: Formato padrão da UE.

Identificadores de PII brasileira:

• CPF: Registro de contribuinte individual de 11 dígitos, com dois dígitos de verificação validados usando algoritmos diferentes do NIF de Portugal.
• CNPJ: Número de registro de empresa de 14 dígitos.
• RG: Documento de identidade emitido pelo estado — o formato varia de acordo com o estado de emissão (São Paulo difere do Rio de Janeiro, Minas Gerais, etc.).
• CNH: Número de carteira de motorista de 11 dígitos.
• Título de Eleitor: Número de registro de eleitor de 12 dígitos.
• PIS/PASEP: Número de programa de integração social de 11 dígitos nos registros de emprego.

Uma organização que implanta uma ferramenta de PII com "suporte em língua portuguesa" pode detectar corretamente o NIF em documentos portugueses enquanto perde completamente o CPF em documentos brasileiros — ou vice-versa. Os identificadores requerem lógica de detecção separada, apesar de aparecerem em documentos escritos na mesma língua.

Conformidade na Transferência UE-Brasil

Para organizações com fluxos de dados entre a UE e o Brasil, a orientação da CNPD de 2024 sobre requisitos de adequação de transferência:

Cláusulas Contratuais Padrão com TIA adequada: As Cláusulas Contratuais Padrão são o principal mecanismo atual, mas devem ser acompanhadas por Avaliações de Impacto de Transferência que abordem se a estrutura legal do Brasil oferece proteção equivalente. A CNPD constatou que muitas TIAs existentes eram inadequadas.

Processamento na UE: Organizações que processam dados de cidadãos brasileiros dentro da infraestrutura da UE — nunca transferindo dados pessoais brutos para o Brasil — podem satisfazer ambos os frameworks simultaneamente. O processamento baseado na UE significa que a LGPD se aplica (dados de cidadãos brasileiros) e o GDPR se aplica (processamento na UE), mas não ocorre transferência transfronteiriça.

Para organizações que atendem ao mercado de língua portuguesa tanto na UE quanto no Brasil: a detecção de PII de dupla jurisdição cobrindo identificadores da UE em português (NIF, NIS) e identificadores brasileiros (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) não é opcional — é a base para demonstrar medidas técnicas adequadas sob ambos os frameworks.

Fontes:

• CNPD: Comissão Nacional de Proteção de Dados
• ANPD: Autoridade Nacional de Proteção de Dados