ANPD: เข้าสู่โหมดบังคับใช้เชิงรุก
Autoridade Nacional de Proteção de Dados (ANPD) ของบราซิลเข้าสู่โหมดบังคับใช้เชิงรุกในปี 2024 โดยออกค่าปรับสำคัญครั้งแรกภายใต้ Lei Geral de Proteção de Dados (LGPD) — กฎหมายหมายเลข 13,709/2018 โดยครอบคลุม 215 ล้านชาวบราซิล และบราซิลเป็นที่ตั้งของเศรษฐกิจดิจิทัลที่ใหญ่ที่สุดในละตินอเมริกา (ผู้ใช้อินเทอร์เน็ต 180 ล้านคน) การปฏิบัติตาม LGPD จึงเป็นความเป็นจริงของการบังคับใช้
LGPD: GDPR ของบราซิลที่มีบทบัญญัติเฉพาะ
LGPD ถูกสร้างแบบจาก GDPR แต่มีบทบัญญัติเฉพาะของบราซิลหลายประการ:
ความคล้ายคลึงกับ GDPR:
- หลักการประมวลผลข้อมูลเหมือนกัน (จำกัดวัตถุประสงค์ ลดข้อมูลให้น้อยที่สุด ความถูกต้อง)
- สิทธิ์เจ้าของข้อมูลเหมือนกัน (การเข้าถึง การแก้ไข การลบ ความสามารถในการพกพา)
- ข้อกำหนดการแต่งตั้ง DPO
- ภาระหน้าที่การแจ้งเตือนการละเมิดข้อมูล
บทบัญญัติเฉพาะ LGPD:
- หน้าที่การปกป้องข้อมูลสำหรับองค์กรนอกบราซิลที่ประมวลผลข้อมูลบราซิลในบราซิล
- บทลงโทษ: ค่าปรับสูงสุด 2% ของรายได้บราซิล (ไม่เกิน R$50M = ≈€9M) ต่อการละเมิด
- ตัวระบุเฉพาะบราซิล: CPF, CNPJ, RG, CNH, PIS/PASEP
ตัวระบุ PII หลักของบราซิล
| ตัวระบุ | คำอธิบาย | รูปแบบ |
|---|---|---|
| CPF | Cadastro de Pessoas Físicas (ภาษีบุคคลธรรมดา) | XXX.XXX.XXX-XX (11 หลัก) |
| CNPJ | Cadastro Nacional da Pessoa Jurídica (ทะเบียนนิติบุคคล) | XX.XXX.XXX/XXXX-XX (14 หลัก) |
| RG | Registro Geral (บัตรประชาชน) | รูปแบบแตกต่างกันตามรัฐ 7-9 หลัก |
| CNH | Carteira Nacional de Habilitação (ใบขับขี่) | 11 หลัก |
| PIS/PASEP | ระบบสวัสดิการสังคม | 11 หลัก |
การตรวจสอบ CPF: ใช้ Modulo 11 สองขั้นตอน — หลักตรวจสอบสองหลักสุดท้ายคำนวณจากหลักแรก 9 หลัก
สถิติการบังคับใช้ปี 2024
- ANPD ได้รับ 3,847 ร้องเรียนในปี 2024
- ค่าปรับรวม: R$12.3 ล้าน (≈€2.2 ล้าน)
- ภาคส่วนที่ถูกบังคับใช้มากที่สุด: การเงิน การดูแลสุขภาพ โทรคมนาคม
การปฏิบัติตาม LGPD สำหรับองค์กรระหว่างประเทศ
องค์กรนอกบราซิลต้องปฏิบัติตาม LGPD หากประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในบราซิล โดยไม่คำนึงถึงสัญชาติ ข้อกำหนดทางเทคนิครวมถึง:
- การตรวจจับและทำให้ไม่ระบุตัวตน CPF, CNPJ และตัวระบุบราซิลอื่นๆ
- บันทึกการประมวลผล (ROPA ที่เทียบเท่า LGPD)
- ขั้นตอนการตอบสนองต่อ DSAR ภายใน 15 วัน
แหล่งที่มา: