Бразильское Национальное управление по защите данных (ANPD) перешло к активному правоприменению в 2024 году, впервые выписав крупные штрафы в рамках Закона о защите персональных данных (Lei Geral de Proteção de Dados, LGPD) — Закона № 13 709/2018. Под действие этого закона подпадают 215 миллионов бразильцев, а Бразилия является крупнейшей цифровой экономикой Латинской Америки (180 миллионов пользователей интернета). Соответствие требованиям LGPD — уже не дело будущего, а реальность правоприменения.
LGPD: бразильский GDPR с особыми национальными положениями
LGPD создавался по образцу GDPR, однако включает положения, существенно отличающиеся по охвату и применению:
Максимальные штрафы: 2% от годовой выручки в Бразилии (не глобальной выручки), но не более R$50 млн (≈€9 млн) за нарушение. В отличие от 4%-го порога GDPR от глобальной выручки, бразильская база создаёт меньший максимальный штраф для транснациональных компаний, но более высокий относительный риск для бизнеса, работающего только в Бразилии.
Категории чувствительных данных: Они практически совпадают со статьёй 9 GDPR, но LGPD дополнительно включает расовое или этническое происхождение, политические взгляды, религиозные убеждения, данные о здоровье, генетические и биометрические данные, а также — что особенно важно — сексуальную ориентацию и половую жизнь. Руководство ANPD 2024 года распространило защиту чувствительных данных на требование о согласии по статье 11 LGPD для любой обработки таких данных.
Права субъектов данных: Схожи с GDPR — доступ, исправление, анонимизация, переносимость, удаление и информация об обмене данными. LGPD дополнительно предоставляет право знать, использовался ли ИИ при принятии решений об обработке данных.
Начало правоприменения ANPD: Первые официальные санкции выданы в 2024 году. Основными объектами стали телекоммуникации, финансовые услуги и здравоохранение. ANPD обозначило, что в 2025 году в фокусе окажутся транснациональные компании, работающие в Бразилии.
Бразильские идентификаторы персональных данных: сложность обнаружения
Национальная система идентификации Бразилии сложнее, чем в большинстве стран ЕС, — отчасти потому, что Бразилия является федеративной республикой, где форматы некоторых документов варьируются в зависимости от штата выдачи.
CPF (Cadastro de Pessoas Físicas): 11-значный индивидуальный налоговый номер, формат XXX.XXX.XXX-XX, с двумя контрольными цифрами, проверяемыми по специальной модульной арифметике. CPF — главный универсальный идентификатор Бразилии, используемый в банковском деле, трудоустройстве, налогах, здравоохранении и государственных услугах. Все 215 миллионов бразильцев имеют CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14-значный регистрационный номер компании, формат XX.XXX.XXX/XXXX-XX, с двумя контрольными цифрами. Встречается рядом с личными данными представителей компаний в деловых документах.
RG (Registro Geral): Гражданское удостоверение личности, выдаваемое штатом. Критически важный момент: формат RG варьируется в зависимости от штата выдачи. Формат RG в Сан-Паулу отличается от Рио-де-Жанейро, который отличается от Минас-Жерайс, и так далее — по 26 штатам и Федеральному округу. Инструмент PII, распознающий только формат одного штата, пропустит большинство номеров RG в документах из других штатов.
CNH (Carteira Nacional de Habilitação): 11-значный номер водительского удостоверения с контрольной цифрой.
Título de Eleitor: 12-значный номер избирателя, кодирующий географическую информацию о зоне регистрации избирателя.
PIS/PASEP: 11-значный номер программы социальной интеграции, используемый в трудовых и расчётных документах.
Номер SUS (Cartão SUS): 15-значный номер, присваиваемый каждому бразильцу в единой системе здравоохранения, — фигурирует во всех медицинских документах.
LGPD vs. GDPR: ключевые различия для бразильско-европейских организаций
Организации, работающие под действием обоих законов, сталкиваются с важными различиями:
Правовые основания для обработки: LGPD предусматривает 10 правовых оснований (против 6 в GDPR), включая «законный интерес», «охрану здоровья» и «защиту кредита» — последнее уникально для LGPD и отражает культуру кредитования, развитую бразильским финтехом.
Отсутствие решения об адекватности для Бразилии: ЕС не признал Бразилию адекватной страной. Передача данных ЕС–Бразилия требует стандартных договорных положений (SCC) или обязательных корпоративных правил — того же механизма, что и для передачи данных в США или другие страны без решения об адекватности.
Требования к согласию в Бразилии: LGPD требует конкретного, информированного, недвусмысленного и добровольного согласия — аналогично GDPR. Однако LGPD допускает более широкое согласие на обработку чувствительных данных, чем требование явного согласия для каждой конкретной цели в GDPR, при условии чёткого сообщения о цели.
Приоритеты правоприменения ANPD в 2025 году
На основе опубликованных приоритетов ANPD и итогов расследований 2024 года:
Медицинские данные: Статья 11 LGPD требует явного согласия или конкретного правового основания для обработки данных о здоровье. ANPD выявило, что у многих медицинских учреждений и медицинских приложений отсутствует надлежащее правовое основание для обработки номеров SUS и медицинских карт.
Финансовые услуги: Номера CPF в финансовых документах — заявках на кредит, кредитных отчётах, страховых полисах — являются основными объектами правоприменения. ANPD проводит аудит соответствия политики хранения данных финансовых организаций задокументированным целям.
Соблюдение требований технологическими платформами: Международные технологические платформы (социальные сети, электронная коммерция, стриминговые сервисы), работающие в Бразилии, станут фокусом ANPD в 2025 году — особенно в части профилирования и трансграничной передачи данных.
Для организаций, обрабатывающих персональные данные бразильцев: обнаружение CPF и CNPJ с проверкой контрольных цифр — технический минимум. Поддержка обнаружения RG с учётом форматов конкретных штатов, CNH, Título de Eleitor и номеров SUS обеспечивает полноценное покрытие бразильских персональных данных в соответствии с LGPD.
Источники: