anonym.legal

By · Last updated 2026-06-05

Bloga DönGDPR & Uyumluluk

CNPD Portekiz: GDPR ve LGPD Köprüsü

Portekiz'in CNPD'si, 215 milyondan fazla Portekizce konuşanı kapsayan AB GDPR ve Brezilya LGPD'si arasında köprü görevi görüyor. Yetersiz hasta anonimleştirmesi gerekçesiyle 2,5 milyon Euro para cezası.

June 5, 20268 dk okuma
Portugal CNPDBrazil LGPDNIF CPF detectionPortuguese language complianceGDPR LGPD

Portekiz'in Comissão Nacional de Proteção de Dados (CNPD) otoritesi, AB veri koruma makamları arasında eşsiz bir konuma sahip: Avrupa Birliği'nin GDPR'ını ve Brezilya'nın Lei Geral de Proteção de Dados (LGPD) yasasını köprülüyor — 215 milyonluk küresel Portekizce dil alanını yöneten iki temel gizlilik çerçevesini.

CNPD, 2024'te 42 yaptırım kararı verdi; bunların arasında Portekizli bir hastaneye verilen 2,5 milyon Euro'luk para cezası da yer alıyor — Güney Avrupa'daki en büyük sağlık GDPR cezalarından biri. Gerekçe: yetersiz hasta verisi anonimleştirmesi.

GDPR-LGPD Bağlantısı

AB GDPR (Portekiz): Maksimum ceza 20 milyon Euro veya küresel gelirin %4'ü. CNPD tarafından uygulanıyor.

Brezilya LGPD (13.709/2018 sayılı Kanun): Maksimum ceza Brezilya yıllık gelirinin %2'si, ihlal başına 50 milyon Brezilya Reali'ne kadar (≈ 9 milyon Euro). ANPD (Autoridade Nacional de Proteção de Dados) tarafından uygulanıyor; ilk büyük yaptırım kararları 2024'te geldi.

2.400'den fazla şirket aktif AB-Brezilya veri transfer düzenlemeleri sürdürüyor. AB'nin şu an Brezilya'yla yeterlilik kararı bulunmuyor; bu nedenle AB-Brezilya transferleri Standart Sözleşme Hükümleri veya başka bir Madde 46 mekanizması gerektiriyor.

Hastane Kararı: Teknik Bir Standart Olarak Anonimleştirme

CNPD'nin 2,5 milyon Euro'luk sağlık cezası kritik emsaller oluşturdu:

Politika ≠ uyum. Hastanenin hasta araştırma verilerinin "anonimleştirildiğini" belirten belgelenmiş politikaları mevcuttu. CNPD'nin teknik incelemesi, "anonimleştirilmiş" veri kümesinin NIF numaralarını, doğum tarihlerini, tanı kodlarını ve tedavi tarihlerini koruduğunu — belirli hastaların yeniden tanımlanmasını mümkün kıldığını — ortaya koydu.

Araştırma muafiyeti teknik güvence gerektiriyor. Hastane, klinik araştırma verilerinin GDPR Madde 89'un araştırma muafiyetiyle kapsandığını öne sürdü. CNPD, bu muafiyetin gerçek anonimleştirme veya uygun güvenceler gerektirdiğini — teknik tedbirlerden genel muafiyet sağlamadığını — tespit etti.

Sağlık cezaları özel kategori statüsünü yansıtıyor. 2,5 milyon Euro'luk ceza, GDPR Madde 9'un sağlık verisi için özel kategori muamelesini, etkilenen hasta ölçeğini (23.000 birey) ve temel anonimleştirme doğrulamasının uygulanmamasını yansıttı.

Portekizce ve Brezilyalı KKB: Neden Birbirinin Yerine Kullanılamaz

Portekizce tek bir dildir. Ancak Portekiz ve Brezilya'daki ulusal kimlik sistemleri tamamen farklıdır — "Portekizce dil desteği"nin yeterli olduğunu varsayan kuruluşlar için kritik bir uyum boşluğu yaratmaktadır.

Portekiz AB tanımlayıcıları:

  • NIF: 9 basamaklı vergi kimlik numarası. Portekiz'in birincil vatandaş tanımlayıcısı. Kontrol basamağı belirli bir algoritmayla doğrulanıyor.
  • NIS: 11 basamaklı sosyal güvenlik kimlik numarası.
  • Cartão de Cidadão: Harf son ekli 8 basamaklı vatandaş kartı numarası.
  • Pasaport: AB standardı formatı.

Brezilya KKB tanımlayıcıları:

  • CPF: 11 basamaklı bireysel vergi mükellefi kaydı; Portekiz'in NIF'inden farklı algoritmalar kullanan iki kontrol basamağıyla doğrulanıyor.
  • CNPJ: 14 basamaklı şirket kayıt numarası.
  • RG: Eyalet tarafından verilen kimlik belgesi — düzenlendiği eyalete göre format değişiyor (São Paulo, Rio de Janeiro, Minas Gerais'den farklı vb.).
  • CNH: 11 basamaklı sürücü belgesi numarası.
  • Título de Eleitor: 12 basamaklı seçmen kayıt numarası.
  • PIS/PASEP: İstihdam kayıtlarındaki 11 basamaklı sosyal entegrasyon programı numarası.

"Portekizce dil desteği" olan bir KKB aracı kullanan kuruluş, Portekizce belgelerdeki NIF'i doğru tespit ederken Brezilyalı belgelerdeki CPF'i tamamen gözden kaçırabilir — ya da tam tersi. Tanımlayıcılar, aynı dilde yazılmış belgelerde görünseler de ayrı tespit mantığı gerektiriyor.

AB-Brezilya Transfer Uyumu

AB-Brezilya veri akışı olan kuruluşlar için CNPD'nin 2024 transfer yeterlilik gereksinimleri rehberi:

Yeterli TIA ile SCC'ler: Standart Sözleşme Hükümleri mevcut birincil mekanizma olmaya devam ediyor; ancak Brezilya'nın hukuki çerçevesinin eşdeğer koruma sağlayıp sağlamadığını değerlendiren Transfer Etki Değerlendirmeleriyle desteklenmesi zorunlu. CNPD, mevcut TIA'ların büyük bölümünü yetersiz buldu.

AB'de işleme: Brezilya vatandaşı verilerini AB altyapısında işleyen — ham kişisel verileri hiçbir zaman Brezilya'ya transfer etmeyen — kuruluşlar her iki çerçeveyi aynı anda karşılayabilir. AB merkezli işleme, hem LGPD'nin (Brezilya vatandaşlarının verisi) hem GDPR'ın (AB işleme) uygulandığı anlamına gelir; ancak sınır ötesi transfer gerçekleşmez.

Portekizce dil pazarına hem AB hem de Brezilya'da hizmet veren kuruluşlar için: Portekiz AB tanımlayıcılarını (NIF, NIS) ve Brezilyalı tanımlayıcıları (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) kapsayan çift yargı bölgesi KKB tespiti isteğe bağlı değil — her iki çerçeve kapsamında yeterli teknik tedbirleri kanıtlamak için zorunlu bir başlangıç noktasıdır.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.