ANPD Brezilya: LGPD Uygulama Rehberi 2024
Brezilya gizlilik düzenleyicisi ANPD, 2024 yılında ceza uygulamaya başladı. Bunlar, LGPD — 13.709/2018 sayılı Kanun — kapsamındaki ilk büyük cezalardı. Brezilya'nın bu yasayla korunan 215 milyon nüfusu var. Aynı zamanda 180 milyon internet kullanıcısıyla Latin Amerika'nın en büyük dijital ekonomisi. LGPD uyumu artık somut ve aktif bir gereklilik.
LGPD: Brezilya'nın Gizlilik Yasası
LGPD, GDPR'a dayanıyor ancak temel farklılıklar barındırıyor.
Azami cezalar: Brezilya yıllık gelirinin %2'sine kadar. Tavan, ihlal başına R$50 milyon (≈9 milyon Euro). GDPR küresel gelirin %4'ünü esas alıyor. LGPD'nin yalnızca Brezilya gelirini esas alması, çok uluslu şirketler için daha düşük tavanlar anlamına geliyor. Ancak yalnızca Brezilya'da faaliyet gösteren şirketler için görece risk daha yüksek.
Hassas kategoriler: LGPD'nin listesi GDPR Madde 9'a yakın. Irk, siyasi görüşler, din, sağlık kayıtları, genetik veriler, biyometri ve cinsel yönelim kapsıyor. ANPD'nin 2024 kılavuzu bu kuralları Madde 11 kapsamında genişletti.
Veri sahibi hakları: Kişiler kendi kayıtlarına erişebilir, düzelttirebilir, silebilir ve taşıyabilir. Veri paylaşımı hakkında da sorabilir. LGPD, GDPR'da yer almayan bir hak ekliyor: hakkında yapılan bir kararın yapay zekayla alınıp alınmadığını öğrenme hakkı.
Uygulama başlangıcı: ANPD, ilk yaptırımları 2024'te uyguladı. Başlıca hedefler telekomünikasyon, finansal firmalar ve sağlık hizmeti sağlayıcıları oldu. 2025'teki odak noktası ise Brezilya'daki çok uluslu şirketler.
Daha geniş bir perspektif için küresel KKB uyumu rehberi sayfamıza bakın.
Brezilya KKB Tanımlayıcıları
Brezilya'nın kimlik sistemi karmaşık. Federal bir cumhuriyet. Bazı belgeler eyalete göre farklılık gösteriyor.
CPF: 11 haneli vergi mükellef numarası (format: XXX.XXX.XXX-XX). Modüler matematik kullanan iki kontrol basamağı var. CPF; bankacılık, vergi, sağlık ve devlet işlemlerinde Brezilya'nın temel kimliği. 215 milyon Brezilyalının tamamında var.
CNPJ: 14 haneli şirket numarası (format: XX.XXX.XXX/XXXX-XX). İki kontrol basamağı var. Şirket yöneticilerine bağlı iş kayıtlarında görülüyor.
RG: Eyalet düzeyinde sivil kimlik kartı. Format eyalete göre değişiyor. São Paulo'nun RG'si Rio de Janeiro'nunkinden farklı; bu 26 eyalet ve Federal Bölge genelinde böyle. Yalnızca bir eyaletin formatını bilen bir araç, Brezilya RG numaralarının büyük çoğunluğunu kaçırır.
CNH: Bir kontrol basamağıyla 11 haneli ehliyet numarası.
Título de Eleitor: 12 haneli seçmen kimliği. Seçmenin kayıt bölgesini kodluyor.
PIS/PASEP: 11 haneli sosyal program numarası. Bordro ve istihdam kayıtlarında görülüyor.
SUS numarası: 15 haneli sağlık sistemi kimliği. Her Brezilyalıda var. Tüm sağlık belgelerinde yer alıyor.
Küresel KKB tanımlayıcı rehberimiz, CPF'yi SSN, Aadhaar ve diğer ulusal kimliklerle birlikte ele alıyor.
LGPD ile GDPR: Temel Farklar
Her iki çerçeve de kişisel kayıtları koruyor, ancak önemli açılardan birbirinden ayrılıyor.
Hukuki dayanaklar: LGPD'nin 10 hukuki dayanağı var, GDPR'ın 6. LGPD, Brezilya'nın fintech kültürüne özgü bir dayanak olan "kredi koruması"nı içeriyor. GDPR'da bunun karşılığı yok.
Brezilya için AB yeterliliği yok: AB, Brezilya'ya henüz bir yeterlilik kararı vermedi. AB-Brezilya aktarımları, tıpkı ABD için olduğu gibi Standart Sözleşme Maddeleri veya Bağlayıcı Şirket Kuralları gerektiriyor.
Rıza kuralları: LGPD rızası belirli, bilgilendirilmiş, özgür ve açık olmak zorunda — tıpkı GDPR gibi. Hassas kayıtlar için LGPD, amaç belirtildiği sürece GDPR'ın amaç bazlı standardından daha geniş rızaya izin veriyor.
ANPD'nin 2025 Uygulama Öncelikleri
ANPD, 2024 dava sonuçlarına dayanarak 2025 önceliklerini yayımladı.
Sağlık Kayıtları
Madde 11, sağlık kayıtlarının işlenmesi için açık rıza — ya da net bir hukuki dayanak — gerektiriyor. ANPD, pek çok sağlık uygulaması ve sağlayıcısının SUS numaraları ve tıbbi dosyalar için bu dayanaktan yoksun olduğunu tespit etti.
Finansal Hizmetler
Kredi dosyalarındaki, kredi raporlarındaki ve sigorta poliçelerindeki CPF numaraları öncelikli hedef. ANPD, saklama sürelerinin belirtilen amaçlarla örtüşüp örtüşmediğini inceliyor.
Teknoloji Platformu Uyumu
Brezilya'daki sosyal medya, e-ticaret ve yayın platformları 2025'te odak noktasında. ANPD, profilleme ve sınır ötesi aktarımları inceliyor.
Şimdi Ne Yapılmalı
Brezilya uyumunun temeli, kontrol basamağı doğrulamalı CPF ve CNPJ tespitidir. Eyalete özel format mantığıyla RG tespiti eklenebilir. Tam kapsam için CNH, Título de Eleitor ve SUS numarası desteği dahil edilebilir. Adım adım detay için LGPD anonimleştirme rehberimize bakın.