CNPD Bồ Đào Nha: Tuân Thủ GDPR và LGPD
Cơ quan bảo vệ dữ liệu của Bồ Đào Nha là CNPD. Cơ quan này thực thi GDPR EU. Nó cũng kết nối luật quyền riêng tư của EU và Brazil, bao gồm 215 triệu người nói tiếng Bồ Đào Nha.
Năm 2024, CNPD ban hành 42 quyết định thực thi. Một trong số đó là mức phạt 2,5 triệu euro cho một bệnh viện Bồ Đào Nha. Lý do: ẩn danh hóa kém hồ sơ bệnh nhân. Đây là một trong những mức phạt GDPR lớn nhất trong lĩnh vực y tế tại Nam Âu.
Cầu Nối Giữa GDPR và LGPD
Hai luật quyền riêng tư bao gồm thế giới nói tiếng Bồ Đào Nha.
GDPR EU áp dụng tại Bồ Đào Nha. Mức phạt tối đa: 20 triệu euro hoặc 4% doanh thu toàn cầu. CNPD thực thi.
LGPD Brazil — Luật số 13.709/2018 — áp dụng tại Brazil. Mức phạt tối đa: 2% doanh thu tại Brazil, tối đa R$50 triệu mỗi vi phạm (≈9 triệu EUR). ANPD Brazil thực thi. Các mức phạt lớn đầu tiên đã đến vào năm 2024.
Hơn 2.400 công ty có luồng dữ liệu EU-Brazil đang hoạt động. EU không có thỏa thuận tương đương với Brazil. Các chuyển dữ liệu EU-Brazil yêu cầu Điều khoản Hợp đồng Tiêu chuẩn hoặc công cụ Điều 46.
Để biết thêm chi tiết, xem hướng dẫn ẩn danh hóa LGPD.
Phán Quyết Bệnh Viện: Ba Quy Tắc
Mức phạt 2,5 triệu euro thiết lập ba quy tắc rõ ràng.
Chính sách không đủ. Bệnh viện khẳng định hồ sơ nghiên cứu của mình đã được ẩn danh hóa. Các kiểm toán viên CNPD tìm thấy số NIF, ngày sinh và mã chẩn đoán vẫn còn. Thông tin đó có thể tái nhận dạng bệnh nhân. Chính sách bằng văn bản không phải là giải pháp kỹ thuật.
Miễn trừ nghiên cứu vẫn đòi hỏi ẩn danh hóa thực sự. Bệnh viện viện dẫn Điều 89 GDPR — miễn trừ nghiên cứu. CNPD bác bỏ. Miễn trừ vẫn đòi hỏi các biện pháp kỹ thuật thực sự.
Mức phạt cho hồ sơ y tế cao hơn. Điều 9 GDPR xem thông tin sức khỏe là danh mục đặc biệt. Mức phạt phản ánh điều này. 23.000 bệnh nhân bị ảnh hưởng. Bệnh viện không có quy trình xác thực nào.
PII Bồ Đào Nha so với Brazil
Tiếng Bồ Đào Nha là một ngôn ngữ. Nhưng Bồ Đào Nha và Brazil có các hệ thống ID khác nhau. "Hỗ trợ tiếng Bồ Đào Nha" trong một công cụ PII là không đủ.
Mã định danh Bồ Đào Nha (EU):
- NIF — Mã số thuế 9 chữ số. ID công dân chính. Có thuật toán chữ số kiểm tra.
- NIS — Số an sinh xã hội 11 chữ số.
- Cartão de Cidadão — Thẻ công dân 8 chữ số với hậu tố chữ cái.
- Hộ chiếu — Định dạng tiêu chuẩn EU.
Mã định danh Brazil (LGPD):
- CPF — Số thuế 11 chữ số. Hai chữ số kiểm tra. Phương pháp khác NIF.
- CNPJ — Đăng ký doanh nghiệp 14 chữ số.
- RG — ID do tiểu bang cấp. Định dạng khác nhau theo tiểu bang. São Paulo khác Rio de Janeiro.
- CNH — Bằng lái xe 11 chữ số.
- Título de Eleitor — ID cử tri 12 chữ số.
- PIS/PASEP — Số chương trình xã hội 11 chữ số. Xuất hiện trong hồ sơ lương.
Một công cụ tìm thấy NIF có thể bỏ sót CPF. Ngược lại cũng vậy. Mỗi quốc gia đòi hỏi logic phát hiện riêng.
Xem hướng dẫn phát hiện PII đa ngôn ngữ để biết thêm về khoảng cách xuyên ngôn ngữ.
Quy Tắc Chuyển Dữ Liệu EU-Brazil
Hướng dẫn năm 2024 của CNPD bao gồm các chuyển dữ liệu EU-Brazil.
SCC yêu cầu Đánh giá Tác động Chuyển dữ liệu hợp lệ. SCC là công cụ chính. Nhưng mỗi SCC đòi hỏi TIA ghi lại rằng Brazil cung cấp bảo vệ tương đương. CNPD phát hiện nhiều TIA không vượt qua bài kiểm tra này.
Xử lý dựa trên EU loại bỏ rủi ro chuyển dữ liệu. Một số công ty lưu trữ tất cả hồ sơ trong hệ thống EU. Không có dữ liệu cá nhân thô nào được gửi đến Brazil. Điều này hoạt động cho cả hai luật. GDPR bao gồm quá trình xử lý. LGPD bao gồm hồ sơ công dân Brazil. Nhưng không có chuyển dữ liệu xuyên biên giới nào xảy ra.
Với các tổ chức hoạt động trên cả hai thị trường: phát hiện kép là mức tối thiểu. NIF và NIS cho Bồ Đào Nha. CPF, CNPJ, RG, CNH, Título de Eleitor và PIS/PASEP cho Brazil. Cả hai luật đều đòi hỏi điều này để chứng minh các biện pháp kiểm soát kỹ thuật đầy đủ.