Portugal's Comissão Nacional de Proteção de Dados (CNPD) har en unik position bland EU:s dataskyddsmyndigheter: den överbryggar Europeiska unionens GDPR och Brasiliens Lei Geral de Proteção de Dados (LGPD) — de två stora sekretessramarna som styr den globala portugisisktalande sfären som omfattar 215 miljoner människor.
CNPD utfärdade 42 verkställande beslut under 2024, inklusive en böter på 2,5 miljoner euro mot ett portugisiskt sjukhus för otillräcklig anonymisering av patientdata — en av de största böterna för GDPR inom hälso- och sjukvård i Sydeuropa.
Kopplingen mellan GDPR och LGPD
EU GDPR (Portugal): Maximal böter 20 miljoner euro eller 4% av den globala omsättningen. Verkställs av CNPD.
Brasilien LGPD (Lag nr 13,709/2018): Maximal böter 2% av brasiliansk årlig omsättning, upp till R$ 50 miljoner per överträdelse (≈ 9 miljoner euro). Verkställs av ANPD (Autoridade Nacional de Proteção de Dados), med de första större verkställande åtgärderna 2024.
Över 2 400 företag upprätthåller aktiva EU-Brasilien datatransferarrangemang. EU har för närvarande ingen adekvansbeslut med Brasilien, vilket innebär att EU-Brasilien överföringar kräver Standard Contractual Clauses eller en annan mekanism enligt Artikel 46.
Sjukhusets beslut: Anonymisering som teknisk standard
CNPD:s böter på 2,5 miljoner euro inom hälso- och sjukvård etablerade viktiga prejudikat:
Policy ≠ efterlevnad. Sjukhuset hade dokumenterade policyer som angav att patientforskningdata var "anonymiserad." CNPD:s tekniska granskning fann att den "anonymiserade" datasetet behöll NIF-nummer, födelsedatum, diagnoskoder och behandlingsdatum — vilket möjliggjorde re-identifikation av specifika patienter.
Forskningsundantag kräver tekniska skyddsåtgärder. Sjukhuset hävdade att kliniska forskningsdata omfattades av GDPR Artikel 89:s forskningsundantag. CNPD fann att undantaget kräver genuin anonymisering eller lämpliga skyddsåtgärder — inte ett generellt undantag från tekniska åtgärder.
Böter inom hälso- och sjukvård speglar status för särskilda kategorier. Böterna på 2,5 miljoner euro speglade GDPR Artikel 9:s särskilda kategoribehandling för hälsodata, antalet påverkade patienter (23 000 individer) och bristen på att implementera grundläggande validering av anonymisering.
Portugisiskt vs. brasilianskt PII: Varför de inte är utbytbara
Portugisiska är ett språk. Men de nationella identifieringssystemen i Portugal och Brasilien är helt olika — vilket skapar en kritisk efterlevnadsgap för organisationer som antar att "portugisiskt språkstöd" är tillräckligt.
Portugisiska EU-identifierare:
- NIF: 9-siffrigt skatteidentifieringsnummer. Portugals primära medborgaridentifierare. Kontrollsiffra validerad med en specifik algoritm.
- NIS: 11-siffrigt socialförsäkringsidentifieringsnummer.
- Cartão de Cidadão: 8-siffrigt medborgarkortsnummer med bokstavsuffix.
- Pass: EU-standardformat.
Brasilianska PII-identifierare:
- CPF: 11-siffrigt individuellt skattebetalarnummer, med två kontrollsiffror validerade med olika algoritmer än Portugals NIF.
- CNPJ: 14-siffrigt företagsregistreringsnummer.
- RG: Statligt utfärdat identitetsdokument — formatet varierar beroende på utfärdande stat (São Paulo skiljer sig från Rio de Janeiro, Minas Gerais, etc.).
- CNH: 11-siffrigt körkortnummer.
- Título de Eleitor: 12-siffrigt väljare registreringsnummer.
- PIS/PASEP: 11-siffrigt nummer för socialt integrationsprogram i anställningsregister.
En organisation som använder ett PII-verktyg med "portugisiskt språkstöd" kan korrekt detektera NIF i portugisiska dokument medan den helt missar CPF i brasilianska dokument — eller vice versa. Identifierarna kräver separat detektionslogik trots att de förekommer i dokument skrivna på samma språk.
EU-Brasilien Transfer Compliance
För organisationer med EU-Brasilien dataflöden, CNPD:s vägledning från 2024 om krav på överföringsadekvans:
SCC med adekvat TIA: Standard Contractual Clauses är den nuvarande primära mekanismen, men måste åtföljas av Transfer Impact Assessments som adresserar huruvida Brasiliens rättsliga ram ger motsvarande skydd. CNPD fann att många befintliga TIA var otillräckliga.
Behandling i EU: Organisationer som behandlar brasilianska medborgardata inom EU-infrastruktur — utan att någonsin överföra råa personuppgifter till Brasilien — kan uppfylla båda ramverken samtidigt. EU-baserad behandling innebär att LGPD tillämpas (brasilianska medborgares data) och GDPR tillämpas (EU-behandling), men ingen gränsöverskridande överföring sker.
För organisationer som betjänar den portugisisktalande marknaden över både EU och Brasilien: dubbel jurisdiktion PII-detektering som täcker portugisiska EU-identifierare (NIF, NIS) och brasilianska identifierare (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) är inte valfritt — det är baslinjen för att visa adekvata tekniska åtgärder under båda ramverken.
Källor: