ANPD Brazil: Thực Thi LGPD 2024
Cơ quan Bảo vệ Dữ liệu Quốc gia Brazil (ANPD) bước vào giai đoạn thực thi tích cực vào năm 2024, ban hành những khoản phạt lớn đầu tiên theo Luật Bảo vệ Dữ liệu Chung (LGPD) — Luật số 13.709/2018. Với 215 triệu người Brazil được bảo vệ theo khuôn khổ này và Brazil là nền kinh tế số lớn nhất Mỹ Latinh (180 triệu người dùng internet), tuân thủ LGPD hiện là thực tế chứ không còn là lo ngại tương lai.
LGPD: GDPR Của Brazil Với Các Điều Khoản Đặc Thù
LGPD được xây dựng dựa trên GDPR nhưng có những điểm khác biệt đáng kể.
Mức phạt tối đa: Lên đến 2% doanh thu hàng năm tại Brazil (không phải toàn cầu), giới hạn 50 triệu R$ (≈9 triệu EUR) mỗi vi phạm. So với GDPR áp dụng mức 4% doanh thu toàn cầu, cơ sở tính theo thị trường Brazil của LGPD tạo ra mức phạt tối đa thấp hơn cho các tập đoàn đa quốc gia — nhưng rủi ro tương đối cao hơn cho các doanh nghiệp chỉ hoạt động tại Brazil.
Danh mục dữ liệu nhạy cảm: Danh mục của LGPD gần với Điều 9 GDPR và bao gồm nguồn gốc chủng tộc, quan điểm chính trị, tín ngưỡng, dữ liệu sức khỏe, dữ liệu di truyền, sinh trắc học và khuynh hướng tình dục. Hướng dẫn ANPD năm 2024 mở rộng các quy định này theo yêu cầu đồng ý của Điều 11 LGPD.
Quyền của chủ thể dữ liệu: Tương tự GDPR — quyền truy cập, chỉnh sửa, xóa và chuyển dữ liệu. LGPD bổ sung một quyền không có trong GDPR: quyền được biết liệu AI có được sử dụng trong các quyết định liên quan đến họ hay không.
Bắt đầu thực thi: ANPD ban hành các lệnh trừng phạt đầu tiên vào năm 2024. Các công ty viễn thông, dịch vụ tài chính và chăm sóc sức khỏe là mục tiêu chính. Các công ty đa quốc gia tại Brazil là trọng tâm của năm 2025.
Để có cái nhìn tổng quan hơn, xem hướng dẫn về tuân thủ PII toàn cầu.
Mã Định Danh PII Của Brazil: Thách Thức Phát Hiện
Hệ thống nhận dạng của Brazil phức tạp hơn hầu hết các nước EU — một phần vì Brazil là nước cộng hòa liên bang, nơi hệ thống nhận dạng khác nhau theo tiểu bang cấp phát.
CPF (Mã số Thuế Cá nhân): Số 11 chữ số, định dạng XXX.XXX.XXX-XX, với hai chữ số kiểm tra được xác thực bằng phép toán modular. CPF là mã định danh phổ quát chính của Brazil — dùng cho ngân hàng, việc làm, thuế, y tế và dịch vụ chính phủ. Tất cả 215 triệu người Brazil đều có CPF.
CNPJ (Mã số Doanh nghiệp): Số 14 chữ số, định dạng XX.XXX.XXX/XXXX-XX, với hai chữ số kiểm tra. Xuất hiện cùng dữ liệu cá nhân của người đại diện công ty trong tài liệu kinh doanh.
RG (Chứng minh nhân dân): Giấy tờ tùy thân do tiểu bang cấp. Quan trọng: định dạng RG khác nhau theo tiểu bang cấp phát. Định dạng RG São Paulo khác với Rio de Janeiro, khác với Minas Gerais và tất cả 26 tiểu bang còn lại cộng Quận Liên bang. Công cụ chỉ nhận dạng định dạng RG của một tiểu bang sẽ bỏ sót đa số số RG Brazil trong tài liệu từ các tiểu bang khác.
CNH (Bằng Lái Xe Quốc Gia): Số 11 chữ số với một chữ số kiểm tra.
Título de Eleitor: Số đăng ký cử tri 12 chữ số, mã hóa thông tin địa lý về khu vực đăng ký của cử tri.
PIS/PASEP: Số chương trình hội nhập xã hội 11 chữ số. Xuất hiện trong hồ sơ lương bổng và lao động.
Số SUS (Cartão SUS): Số 15 chữ số được cấp cho mỗi người Brazil trong hệ thống y tế thống nhất — xuất hiện trong mọi tài liệu y tế.
Hướng dẫn về mã định danh PII toàn cầu của chúng tôi bao gồm CPF bên cạnh SSN, Aadhaar và các mã quốc gia khác.
LGPD So Với GDPR: Khác Biệt Chính
Cả hai khuôn khổ đều bảo vệ dữ liệu cá nhân nhưng khác nhau ở những điểm quan trọng.
Cơ sở pháp lý: LGPD có 10 cơ sở pháp lý, GDPR có 6. LGPD bao gồm "bảo vệ tín dụng" — cơ sở liên quan đến văn hóa fintech của Brazil mà GDPR không có tương đương.
Chưa có quyết định đầy đủ EU-Brazil: EU chưa cấp quyết định đầy đủ cho Brazil. Chuyển dữ liệu EU-Brazil yêu cầu Điều khoản Hợp đồng Chuẩn hoặc Quy tắc Công ty Ràng buộc — tương tự như chuyển dữ liệu sang Mỹ.
Yêu cầu đồng ý: Đồng ý theo LGPD phải cụ thể, có thông tin, rõ ràng và tự nguyện — tương tự GDPR. Tuy nhiên, LGPD cho phép đồng ý đối với dữ liệu nhạy cảm rộng hơn tiêu chuẩn GDPR, miễn là mục đích được nêu rõ.
Trọng Tâm Thực Thi ANPD Năm 2025
ANPD đã công bố các ưu tiên năm 2025 dựa trên kết quả vụ việc năm 2024.
Dữ liệu y tế. Điều 11 LGPD yêu cầu đồng ý rõ ràng hoặc cơ sở pháp lý cụ thể để xử lý dữ liệu y tế. ANPD phát hiện nhiều nhà cung cấp dịch vụ y tế và ứng dụng không có cơ sở đầy đủ cho số SUS và hồ sơ y tế.
Dịch vụ tài chính. Số CPF trong hồ sơ vay vốn, báo cáo tín dụng và hợp đồng bảo hiểm là mục tiêu chính. ANPD đang kiểm tra liệu chính sách lưu giữ dữ liệu của tổ chức tài chính có phù hợp với mục đích đã khai báo không.
Tuân thủ nền tảng công nghệ. Các nền tảng mạng xã hội, thương mại điện tử và phát trực tuyến tại Brazil là trọng tâm năm 2025. ANPD chú ý đến việc xây dựng hồ sơ và chuyển dữ liệu xuyên biên giới.
Hành động ngay bây giờ. Tiêu chuẩn tối thiểu cho tuân thủ Brazil là phát hiện CPF và CNPJ với xác thực chữ số kiểm tra. Bổ sung phát hiện RG với logic định dạng theo từng tiểu bang. Bao gồm hỗ trợ CNH, Título de Eleitor và số SUS để có phạm vi bảo vệ toàn diện. Xem hướng dẫn ẩn danh hóa LGPD để biết chi tiết từng bước.