Структура LGPD у 2026 годзе

LGPD — гэта асноўны закон аб ахове даных у Бразіліі, і яго базавы тэкст заставаўся дзіўна стабільным з моманту прыняцця. Што змянілася, дык гэта нарматыўная інфраструктура вакол яго.

ANPD як спелы рэгулятар

ANPD стаў цалкам аперацыйным у 2021 годзе і патраціў свае першыя тры гады на пабудову працэдурнага патэнцыялу, выпуск рэкамендацый і правядзенне кансультацый. Да 2024 года ён перайшоў да актыўнага правапрымянення, а да 2025 года выпусціў некаторыя са сваіх першых значных адміністрацыйных штрафаў, у тым ліку супраць замежных платформаў. Пазіцыя агенцтва ў 2026 годзе бліжэй да яго еўрапейскіх аналагаў, чым да яго ранняга перыяду мяккага падыходу.

Рэгуляванне трансгранічнай перадачы 2026 года

Самай важнай нарматыўнай падзеяй для замежных паблішэраў стала рэгуляванне міжнароднай перадачы ANPD, якое было фіналізавана ў канцы 2025 года і ўступіла ў сілу ў 2026 годзе. Рэгуляванне ўводзіць рамкі адэкватнасці, тыпавыя дагаворныя палажэнні, ухваленыя ANPD, абавязковыя карпаратыўныя правілы і сертыфікацыі, якія функцыянуюць аналагічна механізмам Главы V GDPR. Да гэтага рэгулявання трансгранічныя перадачы дзейнічалі ў рамках значна больш расплывістага набору правіл, якія паблішэры і пастаўшчыкі ad-tech звычайна навігавалі праз двухбаковыя камерцыйныя пагадненні. Рэжым 2026 года істотна больш працаздольны, але істотна больш патрабавальны да дакументацыі.

Хто рэгулюецца

LGPD прымяняецца экстэрытарыяльна. Любы кантролёр, які апрацоўвае персанальныя даныя асоб, якія знаходзяцца ў Бразіліі на момант збору, або апрацоўвае даныя, сабраныя з Бразіліі, незалежна ад таго, дзе адбываецца апрацоўка, уваходзіць у сферу дзеяння. Замежныя паблішэры, якія абслугоўваюць бразільскіх карыстальнікаў праз лакалізаваныя сайты або праграматык-інвентар, куплены супраць бразільскіх IP, відавочна знаходзяцца ў межах дасягальнасці, і ANPD спасылаўся на экстэрытарыяльнае палажэнне ў некалькіх справах 2025 года.

Што лічыцца персанальнымі данымі згодна з LGPD

Вызначэнне персанальных даных у LGPD шырокае і цесна сочыць за GDPR. Персанальныя даныя — гэта інфармацыя, якая адносіцца да ідэнтыфікаванай або ідэнтыфікуемай фізічнай асобы, і ANPD паслядоўна разглядаў файлы cookie, рэкламныя ідэнтыфікатары, IP-адрасы, адбіткі прылад і паводзінскія профілі як персанальныя даныя, калі яны могуць быць прывязаны да асобы напрамую або разумнымі сродкамі.

Канфідэнцыйныя персанальныя даныя

LGPD абазначае шырокі спіс канфідэнцыйных катэгорый: расавае або этнічнае паходжанне, рэлігійнае перакананне, палітычнае меркаванне, членства ў прафсаюзе або палітычнай арганізацыі, філасофскія або рэлігійныя перакананні, здароўе, сэксуальнае жыццё, генетычныя даныя і біяметрычныя даныя пры выкарыстанні для ўнікальнай ідэнтыфікацыі. Апрацоўка канфідэнцыйных персанальных даных запускае больш строгія патрабаванні да згоды і дадатковыя абавязацельствы кантролёра.

Чаму гэта важна для cookie

Файл cookie, які захоўвае руцінны сесійны ідэнтыфікатар, — гэта звычайныя персанальныя даныя. Файл cookie, які сілкуе сегмент аўдыторыі, які закранае канфідэнцыйны спіс LGPD — інтарэсы здароўя, рэлігійную прыналежнасць, палітычныя схільнасці — гэта апрацоўка канфідэнцыйных персанальных даных і патрабуе ўзмоцненага патоку згоды, а не агульнай згоды на рэкламу. Паблішэры, якія запускаюць сегменты аўдыторыі, што перасякаюцца з канфідэнцыйным спісам, павінны правяраць свае патокі згоды канкрэтна супраць гэтай мяжы.

Згода на cookie згодна з LGPD у 2026 годзе

LGPD дазваляе мноства законных падстаў для апрацоўкі, але для файлаў cookie і аналагічных тэхналогій, якія не з'яўляюцца строга неабходнымі для прадастаўлення паслугі, рэкамендацыі і правапрымяненне ANPD сышліся на згодзе як практычнай базавай лініі.

Пяць элементаў сапраўднай згоды

Згода згодна з LGPD павінна быць:

• Свабоднай — дадзенай без прымусу і не звязанай з прадастаўленнем паслугі, на якую карыстальнік іначай мае права
• Інфармаванай — суб'ект даных разумее, якія даныя апрацоўваюцца, кім, для якой мэты і з якімі наступствамі
• Адназначнай — выражанай праз ясны сцвярджальны акт, а не выведзенай з маўчання, загадзя адзначаных сцяжкоў або пракруткі-як-згоды
• Канкрэтнай — прывязанай да дакладна вызначаных мэтаў, а не да агульнай парасонавай згоды
• Вылучанай у выпадках, звязаных з канфідэнцыйнымі данымі, з відавочнай і асобнай згодай на канкрэтную канфідэнцыйную апрацоўку

Як выглядае адпаведная CMP

CMP, наладжаная для бразільскага трафіку ў 2026 годзе, павінна прадстаўляць:

• Бачны банер да спрацоўвання любога неасноўнага файла cookie або трэкера, на партугальскай (Português) па змаўчанні для бразільскіх карыстальнікаў
• Роўную візуальную прыкметнасць для Aceitar (Прыняць), Recusar (Адхіліць) і Personalizar (Наладзіць) — ANPD канкрэтна ўказаў на дызайны банераў, дзе дзеянне Recusar менш прыкметнае
• Гранулярныя пераключальнікі па мэце: аналітыка, рэклама, персаналізацыя, трансгранічная перадача і любая апрацоўка канфідэнцыйных катэгорый
• Асобны, дакладна абазначаны паток для апрацоўкі канфідэнцыйных персанальных даных, агароджаны ўласным дзеяннем
• Пастаянны, лёгка знаходзімы механізм адклікання згоды пасля першапачатковага выбару
• Aviso de Privacidade на партугальскай мове з поўнымі раскрыццямі кантролёра, апрацоўшчыкаў, мэтаў, атрымальнікаў, захоўвання і правоў

Запісы аб згодзе

Кантролёры павінны весці доказы згоды — хто згадзіўся, калі, на якую мэту і праз які інтэрфейс. ANPD спасылаўся на неадэкватныя запісы аб згодзе ў некалькіх правапрымяняльных дзеяннях, і экспартуемыя часопісы з часавымі меткамі з'яўляюцца базавым чаканнем.

Рэжым трансгранічнай перадачы 2026 года

Гэта вобласць, дзе 2026 год выглядае значна іначай, чым 2024 год. Рэгуляванне міжнароднай перадачы ANPD уступіла ў сілу ў пачатку года, і практычныя наступствы ўсё яшчэ засвойваюцца замежнымі паблішэрамі.

Новыя механізмы перадачы

Рэгуляванне прадугледжвае чатыры асноўныя шляхі для законнай трансгранічнай перадачы:

• Рашэнні аб адэкватнасці, выпушчаныя ANPD, якія прызнаюць юрысдыкцыі прызначэння або сектары як забяспечваючыя адэкватную абарону
• Стандартныя дагаворныя палажэнні, ухваленыя ANPD, якія функцыянуюць аналагічна SCC GDPR
• Абавязковыя карпаратыўныя правілы для ўнутрыгрупавых перадач у мультынацыянальных арганізацыях
• Спецыфічная аўтарызацыя для перадач, якія не ўпісваюцца ў стандартныя шляхі, на індывідуальнай аснове

Практычны падыход 2026 года

Для большасці замежных паблішэраў працоўны падыход у 2026 годзе — заключыць ухваленыя ANPD стандартныя дагаворныя палажэнні з міжнароднымі апрацоўшчыкамі, задакументаваць механізм перадачы ў апавяшчэнні аб прыватнасці і дапоўніць аўтарызацыяй на аснове згоды толькі там, дзе стандартны механізм не падыходзіць. Гэта значна прасцей рэжыму да 2026 года, які часта абапіраўся на логіку згоды-на-перадачу, што вырабляла грувасткія CMP.

Рашэнні аб адэкватнасці на сённяшні дзень

ANPD выпусціў рашэнні аб адэкватнасці для некалькіх юрысдыкцый да пачатку 2026 года і, як чакаецца, будзе паступова пашыраць спіс. Злучаныя Штаты не ўваходзяць у спіс адэкватнасці па стане на пачатак 2026 года, што азначае, што перадачы пастаўшчыкам ad-tech і аналітыкі, якія базуюцца ў ЗША, патрабуюць дагаворных палажэнняў або іншага сапраўднага механізму.

Правы суб'екта даных

LGPD прадастаўляе надзейны набор правоў, якія прымяняюцца праз бразільскую сістэму:

• Права на пацвярджэнне апрацоўкі
• Права доступу да апрацоўваемых даных
• Права на выпраўленне няпоўных, недакладных або састарэлых даных
• Права на ананімізацыю, блакіраванне або выдаленне непатрэбных, празмерных або незаконна апрацоўваемых даных
• Права на пераноснасць даных іншаму пастаўшчыку паслуг
• Права на выдаленне даных, якія апрацоўваюцца на аснове згоды
• Права на інфармацыю аб дзяржаўных і прыватных арганізацыях, з якімі былі перададзены даныя
• Права на інфармацыю аб магчымасці адмовы ў згодзе і наступствах адмовы
• Права на адкліканне згоды
• Права пярэчыць супраць апрацоўкі, якая ажыццяўляецца на аснове адной з падстаў законных інтарэсаў, пры наяўнасці неадпаведнасці
• Права на перагляд рашэнняў, прынятых выключна на аснове аўтаматызаванай апрацоўкі

Тэрміны адказу

Кантролёры павінны адказваць на запыты суб'ектаў даных на працягу 15 дзён згодна з рэгуляваннем, з магчымасцю прадаўжэння ў абгрунтаваных выпадках. Гэта жорсткае за 30-дзённае акно GDPR і было паўтаральным аперацыйным прабелам для замежных паблішэраў, наладжаных на еўрапейскі рытм.

Штрафы і пазіцыя правапрымянення ў 2026 годзе

Правапрымяняльная актыўнасць ANPD значна ўзрасла на працягу 2024 і 2025 гадоў, і 2026 год ідзе па аналагічнай траекторыі.

Адміністрацыйныя штрафы

LGPD дазваляе адміністрацыйныя штрафы ў памеры да 2 працэнтаў ад даходу кантролёра ад яго дзейнасці ў Бразіліі ў папярэднім фінансавым годзе, абмежаваныя сумай BRL 50 мільёнаў за парушэнне. ANPD выкарыстоўваў сярэдзіну дыяпазону ў некалькіх справах 2025 года, у тым ліку супраць замежных платформаў, і метадалогія штрафаў агенцтва была апублікавана ў 2024 годзе і цяпер прымяняецца паслядоўна.

Іншыя санкцыі

Акрамя штрафаў, ANPD можа выдаваць папярэджанні, патрабаваць карэкціровачных мер, часткова або цалкам прыпыняць дзейнасць па апрацоўцы і забараняць канкрэтныя аперацыі апрацоўкі. Публікацыя парушэння — руцінная спадарожная санкцыя, якая нясе рэпутацыйную вагу на бразільскім рынку.

Тэмы правапрымянення

Дзеянні ANPD у 2025 і пачатку 2026 года групуюцца вакол паўтаральных праблем: неадназначныя або адсутныя банеры згоды, адсутнасць апавяшчэння аб прыватнасці на партугальскай мове, трансгранічныя перадачы без сапраўднага механізму ў рамках новага рэгулявання і няздольнасць адказаць на запыты суб'ектаў даных на працягу 15-дзённага акна. Замежныя паблішэры былі ўпамянуты ва ўсіх чатырох катэгорыях.

Патрабаванне DPO

LGPD патрабуе, каб кантролёры прызначалі супрацоўніка па ахове даных (Encarregado de Tratamento de Dados Pessoais) і публікавалі кантактную інфармацыю DPO. Замежныя кантролёры, якія апрацоўваюць бразільскія даныя ў маштабе, маюць патрэбу ў прызначаным DPO, і кантактная інфармацыя павінна быць лёгка даступная ў апавяшчэнні аб прыватнасці. ANPD спасылаўся на адсутную або недаступную кантактную інфармацыю DPO ў некалькіх правапрымяняльных лістах.

Чэк-ліст аўдыту для бразільскага трафіку ў 2026 годзе

• Банер CMP падаецца на партугальскай з Aceitar, Recusar і Personalizar пры роўнай візуальнай прыкметнасці
• Мэты згоды гранулярныя і аддзяляюць любую апрацоўку канфідэнцыйных катэгорый за ўласным патокам згоды
• Апавяшчэнне аб прыватнасці (Aviso de Privacidade) даступнае на партугальскай з поўнымі раскрыццямі кантролёра, апрацоўшчыкаў, мэтаў, захоўвання, правоў і кантакту DPO
• Трансгранічныя перадачы абапіраюцца на ухваленыя ANPD стандартныя дагаворныя палажэнні, рашэнне аб адэкватнасці, BCR або спецыфічную аўтарызацыю — а не на састарэлую логіку згоды-на-перадачу
• Часопісы згоды маюць часавыя меткі, экспартуемыя і захоўваюцца на працягу апрацоўкі плюс правяральны запас
• Працоўны працэс запытаў суб'ектаў даных можа адказаць на працягу 15 дзён ад пачатку да канца, на партугальскай
• DPO прызначаны, і кантактная інфармацыя апублікавана ў апавяшчэнні аб прыватнасці
• Спіс вендараў быў правераны на неабходнасць, з выдаленнем неіспользуемых або залішніх вендараў для скарачэння паверхні трансгранічнай перадачы
• Сегменты аўдыторыі канфідэнцыйных катэгорый агароджаны відавочнай, асобна сабранай згодай

Перспектыва 2026 года

Рэжым прыватнасці Бразіліі спеў ад добра складзенага закону з абмежаваным правапрымяненнем да аднаго з больш патрабавальных рэжымаў у Амерыцы. Рэгуляванне трансгранічнай перадачы 2026 года закрыла найбольш значны структурны прабел, а пазіцыя правапрымянення ANPD дагнала амбіцыі закону. Для паблішэраў, якія ўжо запускаюць стэк згоды ўзроўню GDPR, разрыў да адпаведнасці LGPD з'яўляецца аперацыйным, а не архітэктурным: CMP і апавяшчэнне на партугальскай, ухваленыя ANPD механізмы перадачы, 15-дзённы рытм адказу, прызначэнне DPO і асцярожнасць з больш шырокім спісам канфідэнцыйных даных. Разрыў можна закрыць за тыдні, калі гэта прыярытызаваць — а Бразілія з'яўляецца найбуйнейшым адзінкавым рынкам у Лацінскай Амерыцы, таму прыярытызацыя звычайна хутка акупляецца. Паблішэры, якія адносіліся да Бразіліі як да рынку з больш мяккім падыходам на працягу 2024 года, знаходзяць 2026 год значна больш дарагім, а тыя, хто адкладвае далей, знойдуць 2027 год яшчэ горш.