anonym.legal
Bloga DönGDPR & Uyumluluk

CNPD Portekiz: GDPR ve Brezilya'nın LGPD'sini...

Portekiz'in CNPD'si, 215M+ Portekizce konuşanlar için AB GDPR ve Brezilya'nın LGPD'sini birleştiriyor. Yetersiz hasta anonimleştirme için 2.5M € ceza.

April 21, 20268 dk okuma
Portugal CNPDBrazil LGPDNIF CPF detectionPortuguese language complianceGDPR LGPD

Portekiz'in Comissão Nacional de Proteção de Dados (CNPD), AB veri koruma otoriteleri arasında benzersiz bir konuma sahiptir: Avrupa Birliği'nin GDPR'si ile Brezilya'nın Lei Geral de Proteção de Dados (LGPD) arasında bir köprü kurar — 215 milyon insanı kapsayan küresel Portekizce dil alanını yöneten iki büyük gizlilik çerçevesi.

CNPD, 2024 yılında 42 yaptırım kararı vermiştir; bunlar arasında yetersiz hasta verisi anonimleştirmesi nedeniyle bir Portekiz hastanesine verilen 2.5 milyon € ceza — Güney Avrupa'daki en büyük sağlık hizmetleri GDPR cezalarından biridir.

GDPR-LGPD Bağlantısı

AB GDPR (Portekiz): Maksimum ceza 20M € veya %4 küresel gelir. CNPD tarafından uygulanır.

Brezilya LGPD (Kanun No. 13,709/2018): Maksimum ceza, Brezilya yıllık gelirinin %2'si, ihlal başına 50 milyon R$'ya kadar (≈ 9M €). ANPD (Autoridade Nacional de Proteção de Dados) tarafından uygulanır; 2024'te ilk büyük yaptırım eylemleri gerçekleştirilmiştir.

2,400'den fazla şirket, aktif AB-Brezilya veri transfer düzenlemeleri sürdürmektedir. AB'nin şu anda Brezilya ile bir uygunluk kararı yoktur; bu da AB-Brezilya transferlerinin Standart Sözleşme Hükümleri veya başka bir Madde 46 mekanizması gerektirdiği anlamına gelir.

Hastane Kararı: Anonimleştirme Teknik Standart Olarak

CNPD'nin 2.5 milyon € sağlık cezası, kritik emsal oluşturmuştur:

Politika ≠ uyum. Hastane, hasta araştırma verilerinin "anonimleştirildiğini" belirten belgelenmiş politikalara sahipti. CNPD'nin teknik incelemesi, "anonimleştirilmiş" veri setinin NIF numaralarını, doğum tarihlerini, tanı kodlarını ve tedavi tarihlerini koruduğunu buldu — belirli hastaların yeniden kimliklendirilmesine olanak tanıdı.

Araştırma muafiyeti teknik korumalar gerektirir. Hastane, klinik araştırma verilerinin GDPR Madde 89'unun araştırma muafiyeti kapsamında olduğunu savundu. CNPD, muafiyetin gerçek anonimleştirme veya uygun korumalar gerektirdiğini — teknik önlemlerden genel bir muafiyet değil — buldu.

Sağlık hizmetleri cezaları özel kategori statüsünü yansıtır. 2.5M € ceza, sağlık verileri için GDPR Madde 9 özel kategori muamelesini, etkilenen hasta sayısını (23,000 birey) ve temel anonimleştirme doğrulamasını uygulamama durumunu yansıttı.

Portekizce ve Brezilyalı PII: Neden Değiştirilemezler

Portekizce bir dildir. Ancak Portekiz ve Brezilya'daki ulusal tanımlama sistemleri tamamen farklıdır — bu da "Portekizce dil desteği"nin yeterli olduğunu varsayan kuruluşlar için kritik bir uyum açığı yaratır.

Portekiz AB tanımlayıcıları:

  • NIF: 9 haneli vergi kimlik numarası. Portekiz'in birincil vatandaş tanımlayıcısı. Kontrol haneleri belirli bir algoritma ile doğrulanır.
  • NIS: 11 haneli sosyal güvenlik kimlik numarası.
  • Cartão de Cidadão: Harf ekli 8 haneli vatandaş kartı numarası.
  • Pasaport: AB standart formatı.

Brezilyalı PII tanımlayıcıları:

  • CPF: 11 haneli bireysel vergi mükellefi kaydı, Portekiz'in NIF'inden farklı algoritmalarla doğrulanan iki kontrol haneli.
  • CNPJ: 14 haneli şirket kayıt numarası.
  • RG: Eyalet tarafından verilen kimlik belgesi — format, verildiği eyalete göre değişir (São Paulo, Rio de Janeiro, Minas Gerais, vb. farklıdır).
  • CNH: 11 haneli sürücü belgesi numarası.
  • Título de Eleitor: 12 haneli seçmen kayıt numarası.
  • PIS/PASEP: İstihdam kayıtlarında 11 haneli sosyal entegrasyon programı numarası.

"Portekizce dil desteği" ile bir PII aracı kullanan bir kuruluş, Portekiz belgelerinde NIF'i doğru bir şekilde tespit edebilirken, Brezilya belgelerinde CPF'i tamamen gözden kaçırabilir — ya da tam tersi. Tanımlayıcılar, aynı dilde yazılmış belgelerde görünmesine rağmen ayrı tespit mantığı gerektirir.

AB-Brezilya Transfer Uyum

AB-Brezilya veri akışlarına sahip kuruluşlar için, CNPD'nin 2024 yılına ait transfer yeterlilik gereklilikleri hakkında rehberliği:

Yeterli TIA ile SCC'ler: Standart Sözleşme Hükümleri mevcut birincil mekanizmadır, ancak Brezilya'nın yasal çerçevesinin eşdeğer koruma sağlayıp sağlamadığını ele alan Transfer Etki Değerlendirmeleri ile birlikte olmalıdır. CNPD, mevcut birçok TIA'nın yetersiz olduğunu bulmuştur.

AB'de işleme: Brezilyalı vatandaş verilerini AB altyapısı içinde işleyen — asla ham kişisel verileri Brezilya'ya transfer etmeyen — kuruluşlar, her iki çerçeveyi aynı anda karşılayabilir. AB merkezli işleme, LGPD'nin (Brezilyalı vatandaşların verileri) ve GDPR'nın (AB işleme) geçerli olduğu anlamına gelir, ancak sınır ötesi bir transfer gerçekleşmez.

AB ve Brezilya'da Portekizce dil pazarına hizmet eden kuruluşlar için: Portekiz AB tanımlayıcılarını (NIF, NIS) ve Brezilyalı tanımlayıcıları (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) kapsayan ikili yargı PII tespiti isteğe bağlı değildir — her iki çerçeve altında yeterli teknik önlemleri göstermek için temel bir gerekliliktir.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle