ANPD Brasilien: LGPD-tillsyn 2024
Brasiliens dataskyddsmyndighet ANPD började utfärda böter 2024. Det var de första stora böterna under LGPD — lag nr 13 709/2018. Brasilien har 215 miljoner människor som täcks av denna lag. Landet har också 180 miljoner internetanvändare — den största digitala ekonomin i Latinamerika. LGPD-efterlevnad är nu reell och aktiv.
LGPD: Brasiliens integritetslag
LGPD är baserad på GDPR men har viktiga skillnader.
Maximala böter: Upp till 2 % av den brasilianska årsomsättningen. Taket är 50 miljoner reais (≈9 miljoner euro) per överträdelse. GDPR använder global omsättning på 4 %. LGPD:s Brasilien-baserade beräkning innebär lägre tak för multinationella företag. Men det innebär högre relativ risk för renodlade brasilianska företag.
Känsliga kategorier: LGPD:s lista liknar GDPR Artikel 9. Den täcker ras, politiska åsikter, religion, hälsojournaler, genetiska uppgifter, biometri och sexuell läggning. ANPD:s vägledning 2024 utvidgade dessa regler under Artikel 11.
Den registrerades rättigheter: Människor kan komma åt, korrigera, radera och portera sina uppgifter. De kan också fråga om datadelning. LGPD lägger till en rättighet som inte finns i GDPR: rätten att veta om AI användes i ett beslut som rör dem.
Tillsynsstart: ANPD utfärdade de första sanktionerna 2024. Primära mål var telekomföretag, finansinstitut och sjukvårdsleverantörer. Multinationella i Brasilien är fokus för 2025.
För en bredare bild, se vår guide om global PII-efterlevnad.
Brasilianska PII-identifierare
Brasiliens ID-system är komplext. Landet är en federal republik. Vissa handlingar varierar per delstat.
CPF: Ett 11-siffrigt skattenummer (format: XXX.XXX.XXX-XX). Det har två kontrollsiffror beräknade med modulär matematik. CPF är Brasiliens viktigaste ID för bank, skatt, hälsa och offentliga tjänster. Alla 215 miljoner brasilianare har ett.
CNPJ: Ett 14-siffrigt företagsnummer (format: XX.XXX.XXX/XXXX-XX). Det har två kontrollsiffror. Det förekommer i affärsuppgifter kopplade till företagets ledning.
RG: Ett delstatsutfärdat civil-ID-kort. Formatet varierar per delstat. São Paulos RG skiljer sig från Rio de Janeiros, och så vidare i alla 26 delstater plus förbundsdistriktet. Ett verktyg som bara känner till ett delstatsformat kommer att missa de flesta brasilianska RG-nummer.
CNH: Ett 11-siffrigt körkortsnummer med en kontrollsiffra.
Título de Eleitor: Ett 12-siffrigt väljar-ID. Det kodar väljarens registreringszon.
PIS/PASEP: Ett 11-siffrigt socialförsäkringsprogramnummer. Det förekommer i löne- och anställningsuppgifter.
SUS-nummer: Ett 15-siffrigt hälsosystem-ID. Varje brasilianare har ett. Det förekommer i alla hälsodokument.
Vår globala PII-identifierarguide täcker CPF bredvid SSN, Aadhaar och andra nationella ID:n.
LGPD kontra GDPR: Viktiga skillnader
Båda ramverken skyddar personuppgifter, men de skiljer sig på viktiga sätt.
Rättsliga grunder: LGPD har 10 rättsliga grunder. GDPR har 6. LGPD inkluderar "kreditskydd" — en grund knuten till Brasiliens fintech-kultur. Ingen GDPR-motsvarighet finns.
Ingen EU-adekvans för Brasilien: EU har inte gett Brasilien ett adekvansbeslut. EU–Brasilien-överföringar kräver standardavtalsklausuler eller bindande företagsregler — samma som för USA.
Samtyckesregler: LGPD-samtycke måste vara specifikt, informerat, fritt och tydligt — ungefär som GDPR. För känsliga uppgifter tillåter LGPD bredare samtycke än GDPR:s ändamålsspecifika standard, så länge ändamålet anges.
ANPD:s tillsynsfokus 2025
ANPD har publicerat sina prioriteringar för 2025 baserat på 2024 års utfall.
Hälsojournaler
Artikel 11 kräver uttryckligt samtycke — eller en tydlig rättslig grund — för att behandla hälsojournaler. ANPD fann att många hälsoappar och vårdgivare saknade denna grund för SUS-nummer och medicinska filer.
Finansiella tjänster
CPF-nummer i låneakter, kreditrapporter och försäkringshandlingar är prioriterade mål. ANPD kontrollerar om lagringstiderna stämmer överens med angivna ändamål.
Tekniska plattformars efterlevnad
Sociala medier, e-handel och streamingtjänster i Brasilien är ett fokus för 2025. ANPD granskar profilering och gränsöverskridande överföringar.
Vad du bör göra nu
Grunden för brasiliansk efterlevnad är CPF- och CNPJ-identifiering med kontrollsiffervalidering. Lägg till RG-identifiering med delstatsspecifik formatlogik. Inkludera stöd för CNH, Título de Eleitor och SUS-nummer för fullständig täckning. Se vår LGPD-anonymiseringsguide för steg-för-steg-detaljer.