Brasiliens Autoridade Nacional de Proteção de Dados (ANPD) gick in i aktiv tillämpning 2024 och utfärdade sina första stora böter under Lei Geral de Proteção de Dados (LGPD) — Lag nr 13,709/2018. Med 215 miljoner brasilianare som omfattas av ramverket och Brasilien som värd för den största digitala ekonomin i Latinamerika (180 miljoner internetanvändare) är LGPD-efterlevnad nu en verklighet för tillämpning, inte en framtida oro.
LGPD: Brasiliens GDPR med brasilianska specifika bestämmelser
LGPD modellerades efter GDPR men inkluderar bestämmelser som skiljer sig avsevärt i omfattning och tillämpning:
Maximala böter: 2% av brasiliansk årlig intäkt (inte global intäkt), upp till R$50 miljoner (≈€9M) per överträdelse. Till skillnad från GDPR:s 4% globala intäktsgräns skapar LGPD:s brasilianska intäktsgrund lägre maximala straff för multinationella företag — men högre relativ exponering för företag som endast verkar i Brasilien.
Kategorier av känsliga uppgifter: LGPD:s kategorier av känsliga uppgifter speglar nära GDPR Artikel 9 men lägger till specifika bestämmelser för ras/etniskt ursprung, politisk åsikt, religiös tro, hälsodata, genetiska data, biometriska data och — anmärkningsvärt — sexuell läggning och sexliv. ANPD:s vägledning från 2024 utvidgade skyddet för känsliga uppgifter till LGPD Artikel 11:s krav på samtycke för all behandling av känsliga uppgifter.
Rättigheter för registrerade: Liknande GDPR — tillgång, korrigering, anonymisering, portabilitet, radering och information om datadelning. Brasiliens LGPD lägger till en specifik rättighet att veta om AI användes i beslut om databehandling.
ANPD:s tillämpningstart: Första formella sanktioner utfärdades 2024. Telekommunikation, finansiella tjänster och hälsoorganisationer var de primära målen för tillämpning. ANPD har signalerat att multinationella företag som verkar i Brasilien kommer att vara ett fokus 2025.
Brasilianska PII Identifierare: Detektionsutmaningen
Brasiliens nationella identifieringssystem är mer komplext än de flesta EU-länder — delvis eftersom Brasilien är en federal republik där identifieringssystem varierar beroende på utfärdande stat för vissa dokument.
CPF (Cadastro de Pessoas Físicas): 11-siffrig individuell skattebetalarnummer, format XXX.XXX.XXX-XX, med två kontrollsiffror som valideras med specifik modulär aritmetik. CPF är Brasiliens primära universella identifierare — används för bankverksamhet, anställning, skatt, hälsovård och statliga tjänster. Alla 215 miljoner brasilianare har en CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14-siffrig företagsregistreringsnummer, format XX.XXX.XXX/XXXX-XX, med två kontrollsiffror. Förekommer tillsammans med personuppgifter om företagsrepresentanter i affärsdokument.
RG (Registro Geral): Statligt utfärdat civilt identitetsdokument. Kritiskt: RG-formatet varierar beroende på utfärdande stat. São Paulos RG-format skiljer sig från Rio de Janeiros, vilket skiljer sig från Minas Gerais, och så vidare över 26 stater + Federala distriktet. Ett PII-verktyg som endast känner igen en stats RG-format missar majoriteten av brasilianska RG-nummer i dokument från andra stater.
CNH (Carteira Nacional de Habilitação): 11-siffrigt körkortnummer med kontrollsiffra.
Título de Eleitor: 12-siffrigt väljarnummer som kodar geografisk information om väljarnas registreringszon.
PIS/PASEP: 11-siffrigt nummer för socialt integrationsprogram som används i anställningsregister och löner.
SUS-nummer (Cartão SUS): 15-siffrigt nummer som tilldelas varje brasilianare för det enade hälsosystemet — förekommer i alla hälsodokument.
LGPD vs. GDPR: Viktiga skillnader för brasilianska-europeiska organisationer
Organisationer som verkar under både LGPD och GDPR står inför viktiga skillnader:
Rättsliga grunder för behandling: LGPD tillhandahåller 10 rättsliga grunder (jämfört med GDPR:s 6), inklusive "legitimt intresse," "skydd av hälsa," och "skydd av kredit" — den sista är unik för LGPD och återspeglar Brasiliens fintech-drivna kreditkultur.
Ingen adekvansmekanism för Brasilien: EU har inte beviljat Brasilien ett adekvansbeslut. EU-Brasilien datatransferer kräver Standardavtalsklausuler eller bindande företagsregler — samma mekanism som krävs för överföringar till USA eller andra icke-adekvata länder.
Brasilianska samtyckeskrav: LGPD kräver att samtycke ska vara specifikt, informerat, entydigt och fritt givet — liknande GDPR. Men LGPD tillåter att samtycke för känsliga uppgifter är bredare än GDPR:s krav på uttryckligt samtycke för varje specifikt syfte, förutsatt att syftet kommuniceras tydligt.
ANPD:s fokus för tillämpning 2025
Baserat på ANPD:s publicerade tillämpningsprioriteringar och 2024 års utredningsresultat:
Hälsodata: LGPD Artikel 11 kräver uttryckligt samtycke eller specifik rättslig grund för behandling av hälsodata. ANPD fann att flera vårdgivare och hälsoappar saknade adekvat rättslig grund för behandling av SUS-nummer och medicinska journaler.
Finansiella tjänster: CPF-nummer i finansiella dokument — låneansökningar, kreditrapporter, försäkringspolicyer — är primära mål för tillämpning. ANPD granskar huruvida finansiella institutioners datalagringspolicyer överensstämmer med dokumenterade syften.
Tech-plattforms efterlevnad: Internationella teknikplattformar (sociala medier, e-handel, streamingtjänster) som verkar i Brasilien är ANPD:s fokus för 2025, särskilt för profilering och gränsöverskridande datatransferer.
För organisationer som behandlar brasilianska personuppgifter: CPF och CNPJ-detektion med validerade kontrollsiffror är den tekniska baslinjen. Att lägga till RG-detektion med statsspecifik formatigenkänning, CNH, Título de Eleitor och SUS-nummerstöd ger en omfattande LGPD-kompatibel täckning av brasilianska PII.
Källor: