Brezilya'nın Ulusal Veri Koruma Otoritesi (ANPD), 2024'te Genel Veri Koruma Yasası (LGPD) — 13,709/2018 sayılı Kanun kapsamında ilk büyük cezalarını vermeye başladı. 215 milyon Brezilyalıyı kapsayan bu çerçeve ile Brezilya, Latin Amerika'nın en büyük dijital ekonomisine (180 milyon internet kullanıcısı) ev sahipliği yapıyor; bu nedenle LGPD uyumluluğu artık bir uygulama gerçeği, gelecekteki bir endişe değil.
LGPD: Brezilya'nın GDPR'si ile Brezilya'ya Özgü Hükümler
LGPD, GDPR'ye benzer şekilde tasarlanmış ancak kapsam ve uygulama açısından önemli farklılıklar içeren hükümler içermektedir:
Maksimum cezalar: Brezilya yıllık gelirinin %2'si (küresel gelir değil), ihlal başına R$50 milyon (≈€9M) kadar. GDPR'nin %4'lük küresel gelir sınırının aksine, LGPD'nin Brezilya geliri temeli, çok uluslu şirketler için daha düşük maksimum cezalar yaratırken — yalnızca Brezilya'daki işletmeler için daha yüksek göreli maruziyet oluşturur.
Hassas veri kategorileri: LGPD'nin hassas veri kategorileri, GDPR Madde 9'u yakından yansıtır ancak ırksal/etnik köken, siyasi görüş, dini inanç, sağlık verileri, genetik veriler, biyometrik veriler ve — özellikle — cinsel yönelim ve cinsellik hayatı için özel hükümler ekler. ANPD'nin 2024 kılavuzu, hassas veri korumalarını LGPD Madde 11'in hassas verilerin işlenmesi için rıza gereksinimine genişletti.
Veri sahibi hakları: GDPR'ye benzer — erişim, düzeltme, anonimleştirme, taşınabilirlik, silme ve veri paylaşımı hakkında bilgi alma. Brezilya'nın LGPD'si, veri işleme kararlarında AI kullanılıp kullanılmadığını bilme hakkını ekler.
ANPD'nin uygulama başlangıcı: 2024'te ilk resmi yaptırımlar verildi. Telekomünikasyon, finansal hizmetler ve sağlık kuruluşları, ana uygulama hedefleri oldu. ANPD, Brezilya'da faaliyet gösteren çok uluslu şirketlerin 2025 odak noktası olacağını belirtti.
Brezilya PII Tanımlayıcıları: Tespit Zorluğu
Brezilya'nın ulusal kimlik sistemi, çoğu AB ülkesinden daha karmaşıktır — kısmen Brezilya'nın bir federal cumhuriyet olması ve bazı belgelerin veriliş eyaletine göre kimlik sistemlerinin değişiklik göstermesidir.
CPF (Cadastro de Pessoas Físicas): 11 haneli bireysel vergi mükellefi kayıt numarası, format XXX.XXX.XXX-XX, iki kontrol haneli belirli modüler aritmetik kullanılarak doğrulanır. CPF, Brezilya'nın birincil evrensel tanımlayıcısıdır — bankacılık, istihdam, vergi, sağlık ve devlet hizmetleri için kullanılır. Tüm 215 milyon Brezilyalı'nın bir CPF'si vardır.
CNPJ (Cadastro Nacional da Pessoa Jurídica): 14 haneli şirket kayıt numarası, format XX.XXX.XXX/XXXX-XX, iki kontrol haneli. İş belgelerinde şirket temsilcilerinin kişisel verileriyle birlikte görünür.
RG (Registro Geral): Eyalet tarafından verilen sivil kimlik belgesi. Kritik: RG formatı, veriliş eyaletine göre değişir. São Paulo'nun RG formatı, Rio de Janeiro'dan farklıdır, bu da Minas Gerais'ten farklıdır ve 26 eyalet + Federal Bölge boyunca devam eder. Sadece bir eyaletin RG formatını tanıyan bir PII aracı, diğer eyaletlerden gelen belgelerdeki Brezilya RG numaralarının çoğunu kaçırır.
CNH (Carteira Nacional de Habilitação): Kontrol haneli 11 haneli sürücü belgesi numarası.
Título de Eleitor: Seçmen kayıt bölgesi hakkında coğrafi bilgileri kodlayan 12 haneli seçmen kayıt numarası.
PIS/PASEP: İstihdam kayıtları ve bordrolarda kullanılan 11 haneli sosyal entegrasyon programı numarası.
SUS numarası (Cartão SUS): Birleşik sağlık sistemi için her Brezilyalıya atanan 15 haneli numara — tüm sağlık belgelerinde görünür.
LGPD vs. GDPR: Brezilya-Avrupa Organizasyonları için Ana Farklılıklar
LGPD ve GDPR altında faaliyet gösteren organizasyonlar önemli farklılıklarla karşılaşmaktadır:
İşleme için yasal temeller: LGPD, "meşru menfaat," "sağlığın korunması" ve "kredi koruması" dahil olmak üzere 10 yasal temel sağlar — sonuncusu LGPD'ye özgüdür ve Brezilya'nın fintech odaklı kredi kültürünü yansıtır.
Brezilya için uygunluk mekanizması yok: AB, Brezilya'ya uygunluk kararı vermemiştir. AB-Brezilya veri transferleri, ABD veya diğer uygun olmayan ülkelere yapılan transferler için gereken Standart Sözleşme Hükümleri veya bağlayıcı kurumsal kurallar gerektirir.
Brezilya'nın rıza gereklilikleri: LGPD, rızanın belirli, bilgilendirilmiş, belirsiz olmayan ve serbestçe verilmiş olmasını gerektirir — GDPR'ye benzer. Ancak, LGPD, hassas veriler için rızanın, her bir özel amaç için açık rıza gereksiniminden daha geniş olmasına izin verir, sağlanan amacın açık bir şekilde iletilmesi şartıyla.
ANPD'nin 2025 Uygulama Odakları
ANPD'nin yayımladığı uygulama öncelikleri ve 2024 araştırma sonuçlarına dayanarak:
Sağlık verileri: LGPD Madde 11, sağlık verilerinin işlenmesi için açık rıza veya belirli bir yasal temel gerektirir. ANPD, birçok sağlık sağlayıcısının ve sağlık uygulamasının SUS numaraları ve tıbbi kayıtların işlenmesi için yeterli yasal temele sahip olmadığını bulmuştur.
Finansal hizmetler: Finansal belgelerdeki CPF numaraları — kredi başvuruları, kredi raporları, sigorta poliçeleri — ana uygulama hedefleridir. ANPD, finansal kurumların veri saklama politikalarının belgelenmiş amaçlarla uyumlu olup olmadığını denetlemektedir.
Teknoloji platformu uyumluluğu: Brezilya'da faaliyet gösteren uluslararası teknoloji platformları (sosyal medya, e-ticaret, akış hizmetleri), ANPD'nin 2025 odak noktasıdır, özellikle profil oluşturma uygulamaları ve sınır ötesi veri transferleri için.
Brezilya kişisel verilerini işleyen organizasyonlar için: Doğrulanmış kontrol haneli CPF ve CNPJ tespiti teknik temel olarak kabul edilir. Eyalet özel format tanıma ile RG tespiti, CNH, Título de Eleitor ve SUS numarası desteği eklemek, Brezilya PII'sinin kapsamlı LGPD uyumlu kapsamasını sağlar.
Kaynaklar: