Португальская Comissão Nacional de Proteção de Dados (CNPD) занимает уникальное положение среди органов по защите данных ЕС: она связывает Общий регламент по защите данных Европейского союза (GDPR) и бразильский Закон о защите персональных данных (Lei Geral de Proteção de Dados, LGPD) — два основных фреймворка конфиденциальности, регулирующих глобальную португалоязычную сферу, охватывающую 215 миллионов человек.
CNPD выдала 42 решения о правоприменении в 2024 году, включая штраф в €2,5 млн против португальской больницы за неадекватную анонимизацию данных пациентов — один из крупнейших штрафов GDPR в сфере здравоохранения в Южной Европе.
Связь GDPR-LGPD
EU GDPR (Португалия): Максимальный штраф €20 млн или 4% глобального дохода. Применяется CNPD.
Бразильский LGPD (Закон № 13 709/2018): Максимальный штраф 2% бразильского годового дохода, до R$50 млн за нарушение (≈ €9 млн). Применяется ANPD (Autoridade Nacional de Proteção de Dados), с первыми крупными правоприменительными действиями в 2024 году.
2 400+ компаний поддерживают активные договорённости о передаче данных ЕС–Бразилия. У ЕС в настоящее время нет решения об адекватности с Бразилией, а это означает, что передачи ЕС–Бразилия требуют стандартных договорных оговорок или другого механизма Статьи 46.
Решение о больнице: анонимизация как технический стандарт
Штраф CNPD в €2,5 млн по делу о здравоохранении установил критические прецеденты:
Политика ≠ соответствие. У больницы были задокументированные политики, гласящие, что данные исследований пациентов «анонимизированы». Техническая проверка CNPD выявила, что «анонимизированный» набор данных сохранял номера NIF, даты рождения, коды диагнозов и даты лечения — позволяя повторную идентификацию конкретных пациентов.
Исключение для исследований требует технических мер защиты. Больница утверждала, что данные клинических исследований охватываются исследовательским исключением Статьи 89 GDPR. CNPD установила, что исключение требует подлинной анонимизации или надлежащих мер защиты — а не общего исключения из технических мер.
Штрафы за здравоохранение отражают статус специальной категории. Штраф в €2,5 млн отразил лечение специальной категории данных о здоровье по Статье 9 GDPR, масштаб затронутых пациентов (23 000 лиц) и неспособность реализовать базовую валидацию анонимизации.
Португальский против бразильского PII: почему они не взаимозаменяемы
Португальский — один язык. Но системы национальной идентификации в Португалии и Бразилии совершенно разные — создавая критический пробел в соответствии для организаций, предполагающих, что «поддержка португальского языка» достаточна.
Идентификаторы ЕС Португалии:
- NIF: 9-значный идентификационный налоговый номер. Основной идентификатор граждан Португалии. Контрольная цифра, проверяемая с помощью специфического алгоритма.
- NIS: 11-значный идентификационный номер социального страхования.
- Cartão de Cidadão: 8-значный номер гражданской карты с буквенным суффиксом.
- Паспорт: Стандартный формат ЕС.
Бразильские идентификаторы PII:
- CPF: 11-значный реестр индивидуальных налогоплательщиков с двумя контрольными цифрами, проверяемыми с использованием алгоритмов, отличных от NIF Португалии.
- CNPJ: 14-значный регистрационный номер компании.
- RG: Государственный документ, удостоверяющий личность — формат варьируется в зависимости от штата выдачи (Сан-Паулу отличается от Рио-де-Жанейро, Минас-Жерайс и т. д.).
- CNH: 11-значный номер водительского удостоверения.
- Título de Eleitor: 12-значный регистрационный номер избирателя.
- PIS/PASEP: 11-значный номер программы социальной интеграции в трудовых записях.
Организация, развёртывающая инструмент PII с «поддержкой португальского языка», может правильно обнаруживать NIF в португальских документах, полностью пропуская CPF в бразильских документах — или наоборот. Идентификаторы требуют отдельной логики обнаружения, несмотря на то что они появляются в документах, написанных на одном языке.
Соответствие передачам ЕС–Бразилия
Для организаций с потоками данных ЕС–Бразилия руководство CNPD 2024 года о требованиях к адекватности передачи:
SCC с адекватной TIA: Стандартные договорные оговорки являются нынешним основным механизмом, но должны сопровождаться Оценками воздействия на передачу, рассматривающими, обеспечивает ли правовая база Бразилии эквивалентную защиту. CNPD выявила, что многие существующие TIA неадекватны.
Обработка в ЕС: Организации, обрабатывающие данные бразильских граждан в инфраструктуре ЕС — никогда не передавая необработанные персональные данные в Бразилию — могут удовлетворять обоим фреймворкам одновременно. Обработка в ЕС означает, что LGPD применяется (данные бразильских граждан) и GDPR применяется (обработка в ЕС), но трансграничная передача не происходит.
Для организаций, обслуживающих португалоязычный рынок как в ЕС, так и в Бразилии: двойноюрисдикционное обнаружение PII, охватывающее португальские идентификаторы ЕС (NIF, NIS) и бразильские идентификаторы (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP), является не опциональным — это базовая линия для демонстрации адекватных технических мер в рамках обоих фреймворков.
Источники: