Brazilska Autoridade Nacional de Proteção de Dados (ANPD) je v letu 2024 fokusirala svojo aktivnost na skladnost LGPD. ANPD je издал 42 odločb v zvezi z LGPD — од था 18 (43 %) ki je vključevalo finančne institucije.
Za državo s 215 milijoni prebivalci in rastočo zasebnostno zakonodajo, je ta fokus izreden.
LGPD in GDPR
Brazilski LGPD (Lei Geral de Proteção de Dados) je bil večinoma napravljen po GDPR. Glavne razlike:
| Aspekt | GDPR | LGPD |
|---|---|---|
| Geografski obseg | EU | Brazilija |
| Raven kazni | do 4% BDP-ja | do 50 milijonov BRL (~10 M evrov) |
| Pravica do pozabe | Ja | Ne (omejeno) |
| Upravljalec podatkov | Ja | Ne ("Controlador") |
| DPA zahteva | Obavezna | Priporočena |
CPF in CNPJ
Brazilski državljani in podjetja imajo identifikacijske številke:
-
CPF (Cadastro de Pessoa Física): Osebna identifikacijska številka
- Format: XXX.XXX.XXX-XX (11 napak)
- Check digit: Modulo 11 (podobno danskim CPR)
- Edinstvenost: Skoraj enkratna
-
CNPJ (Cadastro Nacional de Pessoa Jurídica): Podjetna identifikacijska številka
- Format: XX.XXX.XXX/XXXX-XX (14 napak)
- Check digits: Dva modulo 11
- Edinstvenost: Vedno enkratna
Brazilska ANPD je v letu 2024 odkril, da 60 % podjetij ne ščiti CPF in CNPJ podatkov ustrezno.
Primer: Itaú (2023)
Itaú je največja banka v Braziliji. V letu 2023 je bila kršenost podatkov, ki je vplivala na 100 milijonov oseb. Itaú je shranil CPF podatke brez šifriranja.
ANPD je odločil, da je Itaú kršil:
- LGPD Člen 46 (Varnost podatkov)
- LGPD Člen 18 (Obvestilo o kršenju)
Kazni: 18 milijonov BRL (~3,5 milijona evrov).
Kaj je potrebno?
Za skladnost z LGPD morajo brazilska podjetja:
- Inventar podatkov: Kaj podatkov prikupljate?
- Podatkovna ocena: Ali so podatki občutljivi?
- Enkriptiranje: Šifriranje CPF in CNPJ
- DPA: Pogodba za obdelavo podatkov
- Privolitev: Privolitev oseb za obdelavo
- Obvestilo: Obvestilo v primeru kršenja