Struktura LGPD v roce 2026

LGPD je hlavním zákonem o ochraně údajů v Brazílii a jeho základní text je od přijetí pozoruhodně stabilní. To, co se změnilo, je regulační infrastruktura kolem něj.

ANPD jako zralý regulátor

ANPD se stal plně funkčním v roce 2021 a první tři roky strávil budováním procesní kapacity, vydáváním pokynů a pořádáním konzultací. Do roku 2024 přešel k aktivnímu vymáhání a do roku 2025 vydal některé ze svých prvních významných administrativních pokut, včetně pokut proti zahraničním platformám. Postoj agentury v roce 2026 je bližší jejím evropským protějškům než jejímu dřívějšímu období měkkého přístupu.

Nařízení o přeshraničním přenosu z roku 2026

Nejdůležitějším regulačním vývojem pro zahraniční vydavatele bylo nařízení o mezinárodním přenosu ANPD, které bylo dokončeno na konci roku 2025 a vstoupilo v platnost v roce 2026. Nařízení zavádí rámec přiměřenosti, vzorové smluvní doložky schválené ANPD, závazná podniková pravidla a certifikace, všechny fungující analogicky mechanismům Kapitoly V GDPR. Před tímto nařízením přeshraniční přenosy fungovaly podle mnohem neurčitějšího souboru pravidel, který vydavatelé a dodavatelé ad-tech typicky zvládali prostřednictvím bilaterálních obchodních ujednání. Režim z roku 2026 je podstatně lépe použitelný, ale podstatně náročnější na dokumentaci.

Kdo je regulován

LGPD se uplatňuje extrateritoriálně. Jakýkoli správce zpracovávající osobní údaje jednotlivců nacházejících se v Brazílii v době shromažďování, nebo zpracovávající údaje shromážděné z Brazílie bez ohledu na to, kde zpracování probíhá, spadá do rozsahu. Zahraniční vydavatelé obsluhující brazilské uživatele prostřednictvím lokalizovaných stránek nebo programového inventáře nakupovaného proti brazilským IP jsou jasně v dosahu a ANPD se v několika případech z roku 2025 odvolal na extrateritoriální ustanovení.

Co se počítá za osobní údaje podle LGPD

Definice osobních údajů v LGPD je široká a úzce sleduje GDPR. Osobní údaje jsou informace související s identifikovanou nebo identifikovatelnou fyzickou osobou a ANPD důsledně považuje cookies, reklamní identifikátory, IP adresy, otisky zařízení a behaviorální profily za osobní údaje, pokud je lze přímo nebo rozumnými prostředky spojit s jednotlivcem.

Citlivé osobní údaje

LGPD určuje široký seznam citlivých kategorií: rasový nebo etnický původ, náboženské přesvědčení, politický názor, členství v odborech nebo politických organizacích, filozofická nebo náboženská přesvědčení, zdraví, sexuální život, genetické údaje a biometrické údaje, pokud jsou používány pro jedinečnou identifikaci. Zpracování citlivých osobních údajů spouští přísnější požadavky na souhlas a další povinnosti správce.

Proč na tom u cookies záleží

Cookie, která ukládá rutinní identifikátor relace, je běžný osobní údaj. Cookie, která napájí segment publika dotýkající se citlivého seznamu LGPD — zdravotní zájmy, náboženské příslušnosti, politické sklony — je zpracováním citlivých osobních údajů a vyžaduje zesílený tok souhlasu, nikoli obecný reklamní souhlas. Vydavatelé provozující segmenty publika, které se překrývají s citlivým seznamem, by měli své toky souhlasu specificky auditovat proti této hranici.

Souhlas s cookies podle LGPD v roce 2026

LGPD umožňuje více právních základů pro zpracování, ale pro cookies a podobné technologie, které nejsou striktně nezbytné pro poskytování služby, se pokyny a vymáhání ANPD sblížily na souhlasu jako praktickém základu.

Pět prvků platného souhlasu

Souhlas podle LGPD musí být:

• Svobodný — daný bez nátlaku a nesvázaný s poskytováním služby, na kterou má uživatel jinak nárok
• Informovaný — subjekt údajů rozumí, jaké údaje jsou zpracovávány, kým, za jakým účelem a s jakými důsledky
• Jednoznačný — vyjádřený jasným souhlasným jednáním, nikoli odvozený z mlčení, předem zaškrtnutých políček nebo posouvání jako souhlasu
• Specifický — vázaný na jasně identifikované účely, nikoli jako souhrnný zastřešující souhlas
• Vyzdvižený v případech zahrnujících citlivé údaje, s výslovným a odděleným souhlasem pro konkrétní citlivé zpracování

Jak vypadá vyhovující CMP

CMP nakonfigurovaný pro brazilský provoz v roce 2026 by měl prezentovat:

• Viditelný banner dříve, než se spustí jakékoli nezbytné cookie nebo sledovač, standardně v portugalštině (Português) pro brazilské uživatele
• Rovnocennou vizuální prominenci pro Aceitar (Přijmout), Recusar (Odmítnout) a Personalizar (Přizpůsobit) — ANPD specificky upozornil na designy bannerů, kde je akce Recusar méně viditelná
• Granulární přepínače podle účelu: analytika, reklama, personalizace, přeshraniční přenos a jakékoli zpracování citlivých kategorií
• Oddělený, jasně označený tok pro zpracování citlivých osobních údajů, uzavřený za vlastní akcí
• Trvalý, snadno nalezitelný mechanismus pro odvolání souhlasu po počáteční volbě
• Aviso de Privacidade v portugalštině s úplným zveřejněním správce, zpracovatelů, účelů, příjemců, uchovávání a práv

Záznamy o souhlasu

Správci musí uchovávat důkazy o souhlasu — kdo souhlasil, kdy, s jakým účelem a prostřednictvím jakého rozhraní. ANPD v několika prováděcích akcích uvedl neadekvátní záznamy o souhlasu a exportovatelné logy s časovým razítkem jsou základním očekáváním.

Režim přeshraničního přenosu v roce 2026

Toto je oblast, kde rok 2026 vypadá výrazně odlišně od roku 2024. Nařízení ANPD o mezinárodním přenosu vstoupilo v platnost na začátku roku a praktické důsledky jsou stále vstřebávány zahraničními vydavateli.

Nové mechanismy přenosu

Nařízení poskytuje čtyři primární cesty pro legitimní přeshraniční přenos:

• Rozhodnutí o přiměřenosti vydaná ANPD uznávající cílové jurisdikce nebo sektory jako poskytující přiměřenou ochranu
• Standardní smluvní doložky schválené ANPD, které fungují analogicky SCC GDPR
• Závazná podniková pravidla pro vnitroskupinové přenosy v rámci nadnárodních organizací
• Specifické povolení pro přenosy, které nezapadají do standardních cest, případ od případu

Praktický přístup v roce 2026

Pro většinu zahraničních vydavatelů je pracovní přístup v roce 2026 provést standardní smluvní doložky schválené ANPD s mezinárodními zpracovateli, zdokumentovat mechanismus přenosu v oznámení o ochraně osobních údajů a doplnit povolením založeným na souhlasu pouze tam, kde standardní mechanismus nepasuje. Toto je podstatně jednodušší než režim před rokem 2026, který se často spoléhal na logiku souhlas-za-přenos, která vytvářela nepraktické CMP.

Dosavadní rozhodnutí o přiměřenosti

ANPD vydal rozhodnutí o přiměřenosti pro několik jurisdikcí do začátku roku 2026 a očekává se, že bude seznam postupně rozšiřovat. Spojené státy na seznamu přiměřenosti na začátku roku 2026 nejsou, což znamená, že přenosy k americkým dodavatelům ad-tech a analytiky vyžadují smluvní doložky nebo jiný platný mechanismus.

Práva subjektu údajů

LGPD uděluje robustní soubor práv, aplikovaných prostřednictvím brazilského rámce:

• Právo na potvrzení zpracování
• Právo přístupu ke zpracovávaným údajům
• Právo na opravu neúplných, nepřesných nebo zastaralých údajů
• Právo na anonymizaci, blokování nebo výmaz nepotřebných, nadměrných nebo nezákonně zpracovávaných údajů
• Právo na přenositelnost údajů k jinému poskytovateli služeb
• Právo na výmaz údajů zpracovávaných na základě souhlasu
• Právo na informace o veřejných a soukromých subjektech, s nimiž byly údaje sdíleny
• Právo na informace o možnosti odmítnutí souhlasu a důsledcích odmítnutí
• Právo odvolat souhlas
• Právo vznést námitku proti zpracování prováděnému na základě jednoho z oprávněných zájmů, pokud dochází k neshodě
• Právo na přezkum rozhodnutí učiněných výhradně na základě automatizovaného zpracování

Lhůty odpovědi

Správci musí odpovědět na žádosti subjektů údajů do 15 dnů podle nařízení, s možností prodloužení v odůvodněných případech. Toto je přísnější než 30denní okno GDPR a bylo opakující se provozní mezerou pro zahraniční vydavatele naladěné na evropskou kadenci.

Sankce a postoj k vymáhání v roce 2026

Aktivita vymáhání ANPD se v letech 2024 a 2025 výrazně vystupňovala a rok 2026 je na podobné trajektorii.

Administrativní pokuty

LGPD povoluje administrativní pokuty až do 2 procent příjmů správce z jeho činnosti v Brazílii v předchozím fiskálním roce, ohraničené na 50 milionů BRL za protiprávní jednání. ANPD využil střední část rozsahu v několika případech v roce 2025, včetně proti zahraničním platformám, a metodika sankcí agentury byla zveřejněna v roce 2024 a nyní se aplikuje konzistentně.

Další sankce

Kromě pokut může ANPD vydávat varování, požadovat nápravná opatření, částečně nebo plně pozastavit zpracovatelské činnosti a zakázat specifické zpracovatelské operace. Zveřejnění porušení je rutinní doprovodná sankce a nese reputační váhu na brazilském trhu.

Témata vymáhání

Akce ANPD z roku 2025 a začátku roku 2026 se seskupují kolem opakujících se problémů: nejednoznačné nebo chybějící souhlasové bannery, absence oznámení o ochraně osobních údajů v portugalštině, přeshraniční přenosy bez platného mechanismu podle nového nařízení a neschopnost odpovědět na žádosti subjektů údajů v rámci 15denního okna. Zahraniční vydavatelé byli citováni ve všech čtyřech kategoriích.

Požadavek na DPO

LGPD vyžaduje, aby správci jmenovali pověřence pro ochranu osobních údajů (Encarregado de Tratamento de Dados Pessoais) a zveřejnili kontaktní údaje DPO. Zahraniční správci zpracovávající brazilská data ve velkém měřítku potřebují určeného DPO a kontaktní informace musí být snadno dostupné v oznámení o ochraně osobních údajů. ANPD v několika prováděcích dopisech citoval chybějící nebo nepřístupné kontaktní informace DPO.

Kontrolní seznam auditu pro brazilský provoz v roce 2026

• Banner CMP je servírován v portugalštině s Aceitar, Recusar a Personalizar se stejnou vizuální prominencí
• Účely souhlasu jsou granulární a oddělují jakékoli zpracování citlivých kategorií za vlastním tokem souhlasu
• Oznámení o ochraně osobních údajů (Aviso de Privacidade) je k dispozici v portugalštině s úplným zveřejněním správce, zpracovatelů, účelů, uchovávání, práv a kontaktu na DPO
• Přeshraniční přenosy se spoléhají na standardní smluvní doložky schválené ANPD, rozhodnutí o přiměřenosti, BCR nebo specifické povolení — nikoli na starší logiku souhlas-za-přenos
• Logy souhlasu jsou opatřeny časovým razítkem, exportovatelné a uchovávány po dobu trvání zpracování plus auditovatelný okraj
• Pracovní postup žádosti subjektu údajů může odpovědět do 15 dnů od začátku do konce, v portugalštině
• DPO je určen a kontaktní informace jsou zveřejněny v oznámení o ochraně osobních údajů
• Seznam dodavatelů byl přezkoumán pro nezbytnost, nevyužívaní nebo nadbyteční dodavatelé byli odstraněni, aby se snížil povrch přeshraničního přenosu
• Segmenty publika citlivých kategorií jsou uzavřeny za explicitním, samostatně zachyceným souhlasem

Výhled na rok 2026

Brazilský režim ochrany soukromí dozrál od dobře sepsaného zákona s omezeným vymáháním do jednoho z náročnějších režimů v Amerikách. Nařízení o přeshraničním přenosu z roku 2026 uzavřelo nejvýznamnější strukturální mezeru a postoj ANPD k vymáhání dohnal ambice zákona. Pro vydavatele již provozující souhlasový zásobník na úrovni GDPR je mezera ke shodě s LGPD provozní, nikoli architektonická: CMP a oznámení v portugalštině, mechanismy přenosu schválené ANPD, 15denní kadence odpovědi, určení DPO a péče s širším seznamem citlivých údajů. Mezeru lze uzavřít během týdnů, pokud je prioritizována — a Brazílie je největším jednotlivým trhem v Latinské Americe, takže prioritizace se obvykle rychle vyplatí. Vydavatelé, kteří Brazílii považovali za trh s lehčím přístupem až do roku 2024, zjišťují, že rok 2026 je podstatně dražší, a ti, kteří dále otálejí, zjistí, že rok 2027 je ještě horší.