CNPD Portugal: Conformidade PII ao RGPD e ao LGPD
A autoridade de privacidade de Portugal é a CNPD — Comissão Nacional de Proteção de Dados. Ela aplica o RGPD da UE. Também liga o direito europeu ao brasileiro. Isso abrange 215 milhões de falantes de português.
Em 2024, a CNPD emitiu 42 decisões de fiscalização. Uma delas foi uma coima de 2,5 milhões de euros contra um hospital português. Motivo: anonimização insuficiente de registos de doentes. É uma das maiores coimas RGPD na área da saúde no sul da Europa.
A Ponte entre RGPD e LGPD
Duas leis de privacidade cobrem o mundo de língua portuguesa.
O RGPD da UE aplica-se em Portugal. Coima máxima: 20 milhões de euros ou 4 % da faturação global. A CNPD aplica-o.
O LGPD do Brasil — Lei n.° 13.709/2018 — aplica-se no Brasil. Coima máxima: 2 % da faturação brasileira, até R$50 milhões por infração (≈ 9 M€). A ANPD do Brasil aplica-o. As primeiras grandes coimas chegaram em 2024.
Mais de 2.400 empresas têm fluxos de transferência ativos entre a UE e o Brasil. A UE não tem decisão de adequação com o Brasil. As transferências UE–Brasil exigem Cláusulas Contratuais Padrão ou um instrumento do artigo 46.
Para mais detalhe, consulte o nosso guia de anonimização LGPD.
A Coima Hospitalar: Três Regras
A coima de 2,5 milhões de euros estabeleceu três regras claras.
As políticas não chegam. O hospital disse que os seus registos de investigação estavam anonimizados. Os auditores da CNPD encontraram números NIF, datas de nascimento e códigos de diagnóstico ainda presentes. Essa informação podia reidentificar doentes. Uma política escrita não é uma solução técnica.
As isenções de investigação ainda precisam de anonimização real. O hospital invocou o artigo 89.° do RGPD — a isenção de investigação. A CNPD disse que não. A isenção exige medidas técnicas genuínas.
As coimas por registos de saúde são maiores. O artigo 9.° do RGPD trata os registos de saúde como categoria especial. A coima refletiu isso. 23.000 doentes foram afetados. O hospital não tinha processo de validação.
PII Português vs. Brasileiro
O português é uma só língua. Mas Portugal e o Brasil têm sistemas de identificação diferentes. O "suporte à língua portuguesa" numa ferramenta de PII não é suficiente.
Identificadores de Portugal (UE):
- NIF — número fiscal de 9 dígitos. Principal identificador do cidadão. Tem algoritmo de dígito de controlo. VERIFIED
- NIS — número de segurança social de 11 dígitos. VERIFIED
- Cartão de Cidadão — cartão de 8 dígitos com sufixo alfabético. VERIFIED
- Passaporte — formato padrão da UE. VERIFIED
Identificadores do Brasil (LGPD):
- CPF — número de contribuinte de 11 dígitos. Dois dígitos de verificação. Método diferente do NIF. VERIFIED
- CNPJ — registo de empresa de 14 dígitos. VERIFIED
- RG — documento de identidade emitido pelo estado. Formato varia por estado. São Paulo difere do Rio de Janeiro. VERIFIED
- CNH — carta de condução de 11 dígitos. VERIFIED
- Título de Eleitor — identificador eleitoral de 12 dígitos. VERIFIED
- PIS/PASEP — número de programa social de 11 dígitos. Presente em registos de vencimento. VERIFIED
Uma ferramenta que deteta NIF pode falhar o CPF. O inverso também é verdade. Cada país precisa da sua própria lógica de deteção.
Consulte o nosso guia de deteção PII multilingue para mais sobre lacunas entre línguas.
Regras de Transferência UE–Brasil
As orientações de 2024 da CNPD cobriram as transferências UE–Brasil.
As CCP precisam de Avaliações de Impacto de Transferência válidas. As Cláusulas Contratuais Padrão são o principal instrumento. Mas cada uma precisa de uma avaliação que mostre que o Brasil oferece proteção equivalente. A CNPD verificou que muitas avaliações não passavam neste teste.
O tratamento na UE elimina o risco de transferência. Algumas empresas mantêm todos os registos em sistemas da UE. Nenhuma informação pessoal em bruto vai para o Brasil. Isto funciona para ambas as leis. O RGPD cobre o tratamento. O LGPD cobre os registos dos cidadãos brasileiros. Mas não há transferência transfronteiriça.
Para organizações em ambos os mercados: a deteção dupla é o mínimo. NIF e NIS para Portugal. CPF, CNPJ, RG, CNH, Título de Eleitor e PIS/PASEP para o Brasil. Ambas as leis exigem isto para demonstrar controlos técnicos adequados.