LGPD на Бразилия през 2026 г.: позиция на ANPD по прилагането, съгласие за бисквитки и ръководство за трансгранично предаване за издатели и рекламодатели
Бразилският Lei Geral de Proteção de Dados Pessoais (LGPD) влезе в сила през септември 2020 г. и през по-голямата част от първите си три години беше необичайно добре съставен, но неравномерно прилаган режим за поверителност. Този период приключи. Autoridade Nacional de Proteção de Dados (ANPD) премина от позиция на издаване на насоки към активно прилагане през 2024 и 2025 г., програмата за пясъчник от 2025 г. на агенцията узря и регулацията за международно предаване на данни от 2026 г. най-накрая изясни една от най-двусмислените области на LGPD. За всеки издател, рекламодател или платформа, обработваща лични данни на бразилски потребители — независимо дали е базирана в Бразилия или обслужва бразилския пазар от чужбина — средата през 2026 г. е осезаемо по-взискателна от средата през 2023 г. Това ръководство преминава през LGPD във вида, в който съществува днес, какво всъщност изисква съгласието за бисквитки, как работят трансграничните предавания съгласно новата регулация и как изглеждат темите на прилагането от ANPD през 2026 г.
Структурата на LGPD през 2026 г.
LGPD е основният закон за защита на данните в Бразилия и основният му текст е забележително стабилен от приемането си. Това, което се промени, е регулаторната инфраструктура около него.
ANPD като зрял регулатор
ANPD стана напълно работещ през 2021 г. и прекара първите си три години в изграждане на процедурен капацитет, издаване на насоки и провеждане на консултации. До 2024 г. беше преминал към активно прилагане, а до 2025 г. беше издал някои от първите си значителни административни глоби, включително срещу чуждестранни платформи. Позицията на агенцията през 2026 г. е по-близка до европейските ѝ колеги, отколкото до по-ранния ѝ период на мек подход.
Регулацията за трансгранично предаване от 2026 г.
Най-важното регулаторно развитие за чуждестранните издатели беше регулацията за международно предаване на ANPD, която беше финализирана в края на 2025 г. и влезе в сила през 2026 г. Регулацията въвежда рамка за адекватност, типови договорни клаузи, одобрени от ANPD, задължителни корпоративни правила и сертификати, всички функциониращи аналогично на механизмите по Глава V на GDPR. Преди тази регулация трансграничните предавания работеха под много по-мъгляв набор от правила, през които издателите и доставчиците на рекламни технологии обикновено преминаваха чрез двустранни търговски договорености. Режимът от 2026 г. е значително по-работещ, но значително по-взискателен по отношение на документацията.
Кой е регулиран
LGPD се прилага екстериториално. Всеки администратор, който обработва лични данни на лица, намиращи се в Бразилия към момента на събирането им, или обработва данни, събрани от Бразилия, независимо къде се извършва обработката, попада в обхвата. Чуждестранните издатели, обслужващи бразилски потребители чрез локализирани сайтове или програматичен инвентар, купуван срещу бразилски IP адреси, са ясно в обхвата и ANPD се позова на екстериториалната разпоредба в няколко случая през 2025 г.
Какво се счита за лични данни съгласно LGPD
Определението на LGPD за лични данни е широко и тясно следва това на GDPR. Личните данни са информация, свързана с идентифицирано или идентифицируемо физическо лице, и ANPD последователно третира бисквитките, рекламните идентификатори, IP адресите, отпечатъците на устройствата и поведенческите профили като лични данни, когато могат да бъдат свързани с индивид пряко или чрез разумни средства.
Чувствителни лични данни
LGPD определя широк списък от чувствителни категории: расов или етнически произход, религиозни вярвания, политически възгледи, членство в профсъюзи или политически организации, философски или религиозни убеждения, здраве, сексуален живот, генетични данни и биометрични данни, когато се използват за уникална идентификация. Обработката на чувствителни лични данни задейства по-строги изисквания за съгласие и допълнителни задължения на администратора.
Защо това има значение за бисквитките
Бисквитка, която съхранява рутинен идентификатор на сесия, е обикновени лични данни. Бисквитка, която захранва сегмент от аудитория, засягащ чувствителния списък на LGPD — здравни интереси, религиозни принадлежности, политически наклонности — е обработка на чувствителни лични данни и изисква засиления поток на съгласие, а не общото рекламно съгласие. Издателите, работещи с аудиторски сегменти, които припокриват чувствителния списък, трябва да одитират потоците си за съгласие специално спрямо тази граница.
Съгласие за бисквитки съгласно LGPD през 2026 г.
LGPD позволява множество правни основания за обработка, но за бисквитките и подобни технологии, които не са строго необходими за предоставянето на услугата, насоките и прилагането на ANPD се сближиха върху съгласието като практическа базова линия.
Петте елемента на валидно съгласие
Съгласието съгласно LGPD трябва да бъде:
- Свободно — дадено без принуда и не обвързано с предоставянето на услуга, на която потребителят иначе има право
- Информирано — субектът на данните разбира какви данни се обработват, от кого, за каква цел и с какви последствия
- Недвусмислено — изразено чрез ясно утвърдително действие, а не извлечено от мълчание, предварително маркирани полета или превъртане като съгласие
- Специфично — свързано с ясно идентифицирани цели, а не общо чадърно съгласие
- Отделено в случаите, свързани с чувствителни данни, с изрично и отделно съгласие за конкретната чувствителна обработка
Как изглежда съвместим CMP
CMP, конфигуриран за бразилски трафик през 2026 г., трябва да представя:
- Видим банер преди да се задейства каквато и да е несъществена бисквитка или инструмент за проследяване, на португалски (Português) по подразбиране за бразилски потребители
- Равностойна визуална видимост за Aceitar (Приемам), Recusar (Отказвам) и Personalizar (Персонализирам) — ANPD специално отбеляза дизайни на банери, където действието Recusar е по-малко видимо
- Гранулирани превключватели за всяка цел: аналитика, реклама, персонализация, трансгранично предаване и всяка обработка на чувствителна категория
- Отделен, ясно обозначен поток за обработка на чувствителни лични данни, защитен от собствено действие
- Постоянен, лесно намираем механизъм за оттегляне на съгласие след първоначалния избор
- Aviso de Privacidade на португалски език с пълни разкрития за администратора, обработващите лица, целите, получателите, срока на съхранение и правата
Записи за съгласие
Администраторите трябва да поддържат доказателства за съгласие — кой е дал съгласие, кога, за каква цел и чрез какъв интерфейс. ANPD цитира недостатъчни записи за съгласие в няколко правоприлагащи действия и експортируеми дневници с часови отпечатъци са базовото очакване.
Режимът за трансгранично предаване от 2026 г.
Това е областта, в която 2026 г. изглежда значително различно от 2024 г. Регулацията за международно предаване на ANPD влезе в сила в началото на годината и практическите последствия все още се поглъщат от чуждестранните издатели.
Новите механизми за предаване
Регулацията предоставя четири основни пътя за легитимно трансгранично предаване:
- Решения за адекватност, издадени от ANPD, признаващи дестинационни юрисдикции или сектори като предоставящи адекватна защита
- Стандартни договорни клаузи, одобрени от ANPD, които функционират аналогично на SCC на GDPR
- Задължителни корпоративни правила за вътрешногрупови предавания в рамките на мултинационални организации
- Специфично разрешение за предавания, които не попадат в стандартните пътища, на база всеки отделен случай
Практическият подход от 2026 г.
За повечето чуждестранни издатели работният подход през 2026 г. е да се изпълняват стандартните договорни клаузи, одобрени от ANPD, с международни обработващи лица, да се документира механизмът за предаване в уведомлението за поверителност и да се допълва с базирано на съгласие разрешение само там, където стандартният механизъм не е подходящ. Това е значително по-просто от режима преди 2026 г., който често разчиташе на логика за съгласие за всяко предаване, която създаваше тромави CMP.
Решения за адекватност досега
ANPD е издал решения за адекватност за шепа юрисдикции до началото на 2026 г. и се очаква да разширява списъка постепенно. Съединените щати не са в списъка за адекватност към началото на 2026 г., което означава, че предаванията към базирани в САЩ доставчици на рекламни технологии и аналитика изискват договорни клаузи или друг валиден механизъм.
Права на субекта на данните
LGPD предоставя стабилен набор от права, прилагани чрез бразилската рамка:
- Право на потвърждение на обработката
- Право на достъп до обработваните данни
- Право на корекция на непълни, неточни или остарели данни
- Право на анонимизация, блокиране или изтриване на ненужни, прекомерни или незаконно обработвани данни
- Право на преносимост на данните към друг доставчик на услуги
- Право на изтриване на данни, обработвани на основата на съгласие
- Право на информация за публичните и частните субекти, с които са споделени данните
- Право на информация за възможността за отказ на съгласие и последиците от отказа
- Право на оттегляне на съгласие
- Право на възражение срещу обработка, извършвана на основата на едно от основанията за легитимен интерес, когато има несъответствие
- Право на преглед на решения, взети единствено въз основа на автоматизирана обработка
Срокове за отговор
Администраторите трябва да отговорят на исканията на субектите на данни в рамките на 15 дни съгласно регулацията, с възможност за удължаване в обосновани случаи. Това е по-тясно от 30-дневния прозорец на GDPR и е повтаряща се оперативна празнина за чуждестранни издатели, настроени към европейския ритъм.
Санкции и позиция на прилагането през 2026 г.
Дейността по прилагането на ANPD ескалира значително през 2024 и 2025 г., а 2026 г. е на подобна траектория.
Административни глоби
LGPD позволява административни глоби до 2 процента от приходите на администратора от дейността му в Бразилия през предходната финансова година, с горна граница от 50 милиона BRL за нарушение. ANPD е използвал средната част от обхвата в няколко случая през 2025 г., включително срещу чуждестранни платформи, и методологията за санкции на агенцията беше публикувана през 2024 г. и вече се прилага последователно.
Други санкции
Освен глоби, ANPD може да издава предупреждения, да изисква коригиращи мерки, да спира частично или изцяло дейностите по обработка и да забранява специфични операции по обработка. Публикуването на нарушението е рутинна съпътстваща санкция и носи репутационна тежест на бразилския пазар.
Теми на прилагането
Действията на ANPD през 2025 г. и началото на 2026 г. се групират около повтарящи се проблеми: двусмислени или отсъстващи банери за съгласие, липса на уведомление за поверителност на португалски език, трансгранични предавания без валиден механизъм съгласно новата регулация и неуспех да се отговори на исканията на субектите на данни в рамките на 15-дневния прозорец. Чуждестранни издатели са цитирани и в четирите категории.
Изискването за DPO
LGPD изисква администраторите да назначат Длъжностно лице по защита на данните (Encarregado de Tratamento de Dados Pessoais) и да публикуват информацията за контакт с DPO. Чуждестранните администратори, обработващи бразилски данни в голям мащаб, се нуждаят от определен DPO, а информацията за контакт трябва да бъде лесно достъпна в уведомлението за поверителност. ANPD е цитирал липсваща или недостъпна информация за контакт с DPO в няколко правоприлагащи писма.
Контролен списък за одит на бразилски трафик през 2026 г.
- Банерът на CMP се поднася на португалски с Aceitar, Recusar и Personalizar с еднаква визуална видимост
- Целите на съгласието са гранулирани и отделят всяка обработка на чувствителна категория зад собствения ѝ поток на съгласие
- Уведомлението за поверителност (Aviso de Privacidade) е налично на португалски с пълни разкрития за администратора, обработващите лица, целите, срока на съхранение, правата и контакта с DPO
- Трансграничните предавания разчитат на стандартни договорни клаузи, одобрени от ANPD, решение за адекватност, BCR или специфично разрешение — не на наследената логика за съгласие за всяко предаване
- Дневниците за съгласие са с часови отпечатъци, експортируеми и се съхраняват за продължителността на обработката плюс одитен марж
- Работният процес за искания на субекти на данни може да отговори в рамките на 15 дни от край до край, на португалски
- Определен е DPO и информацията за контакт е публикувана в уведомлението за поверителност
- Списъкът с доставчици е прегледан за необходимост, като неизползваните или излишни доставчици са премахнати, за да се намали повърхността на трансграничните предавания
- Аудиторските сегменти от чувствителна категория са защитени зад изрично, отделно заснето съгласие
Перспективата за 2026 г.
Режимът за поверителност на Бразилия узря от добре съставен закон с ограничено прилагане в един от по-взискателните режими в Северна и Южна Америка. Регулацията за трансгранично предаване от 2026 г. затвори най-значителната структурна празнина, а позицията на прилагането на ANPD настигна амбициите на закона. За издателите, които вече работят със стек за съгласие на ниво GDPR, празнината към съответствие с LGPD е оперативна, а не архитектурна: CMP и уведомление на португалски език, одобрени от ANPD механизми за предаване, 15-дневен ритъм на отговор, определяне на DPO и внимание към по-широкия списък с чувствителни данни. Празнината може да бъде затворена за седмици, ако бъде приоритизирана — а Бразилия е най-големият единичен пазар в Латинска Америка, така че приоритизирането обикновено се изплаща бързо. Издателите, които третираха Бразилия като пазар с по-лек подход до 2024 г., намират 2026 г. за значително по-скъпа, а тези, които се бавят още, ще намерят 2027 г. още по-лоша.