Η δομή του LGPD το 2026

Ο LGPD είναι ο πρωταρχικός νόμος προστασίας δεδομένων στη Βραζιλία και το βασικό του κείμενο ήταν αξιοσημείωτα σταθερό από τη θέσπισή του. Αυτό που έχει αλλάξει είναι η ρυθμιστική υποδομή γύρω του.

Η ANPD ως ώριμος ρυθμιστής

Η ANPD έγινε πλήρως λειτουργική το 2021 και πέρασε τα πρώτα τρία της χρόνια χτίζοντας δικονομική ικανότητα, εκδίδοντας κατευθυντήριες οδηγίες και διεξάγοντας διαβουλεύσεις. Μέχρι το 2024 είχε μεταβεί σε ενεργή επιβολή, και μέχρι το 2025 είχε εκδώσει μερικά από τα πρώτα σημαντικά διοικητικά της πρόστιμα, συμπεριλαμβανομένων πρόστιμων εναντίον ξένων πλατφορμών. Η στάση της υπηρεσίας το 2026 είναι πιο κοντά στους ευρωπαϊκούς της αντιστοίχους παρά στην προηγούμενη εποχή ήπιας προσέγγισης.

Ο κανονισμός διασυνοριακών μεταφορών του 2026

Η σημαντικότερη ρυθμιστική εξέλιξη για τους ξένους εκδότες ήταν ο κανονισμός διεθνών μεταφορών της ANPD, ο οποίος οριστικοποιήθηκε στα τέλη του 2025 και τέθηκε σε ισχύ το 2026. Ο κανονισμός εισάγει ένα πλαίσιο επάρκειας, πρότυπες συμβατικές ρήτρες εγκεκριμένες από την ANPD, δεσμευτικούς εταιρικούς κανόνες και πιστοποιήσεις, που όλες λειτουργούν αναλογικά με τους μηχανισμούς του Κεφαλαίου V του GDPR. Πριν από αυτόν τον κανονισμό, οι διασυνοριακές μεταφορές λειτουργούσαν υπό ένα πολύ πιο ασαφές σύνολο κανόνων που οι εκδότες και οι προμηθευτές ad-tech συνήθως διαχειρίζονταν μέσω διμερών εμπορικών ρυθμίσεων. Το καθεστώς του 2026 είναι ουσιαστικά πιο εφαρμόσιμο αλλά ουσιαστικά πιο απαιτητικό ως προς την τεκμηρίωση.

Ποιος ρυθμίζεται

Ο LGPD εφαρμόζεται εξωεδαφικά. Οποιοσδήποτε υπεύθυνος επεξεργασίας που επεξεργάζεται προσωπικά δεδομένα ατόμων που βρίσκονται στη Βραζιλία κατά τη στιγμή της συλλογής, ή επεξεργάζεται δεδομένα που συλλέγονται από τη Βραζιλία ανεξάρτητα από το πού γίνεται η επεξεργασία, εμπίπτει στο πεδίο εφαρμογής. Οι ξένοι εκδότες που εξυπηρετούν Βραζιλιάνους χρήστες μέσω τοπικοποιημένων ιστοτόπων ή προγραμματιστικού αποθέματος που αγοράζεται έναντι βραζιλιάνικων IP είναι σαφώς εντός εμβέλειας, και η ANPD επικαλέστηκε την εξωεδαφική διάταξη σε αρκετές υποθέσεις του 2025.

Τι θεωρείται προσωπικά δεδομένα υπό τον LGPD

Ο ορισμός του LGPD για τα προσωπικά δεδομένα είναι ευρύς και ακολουθεί στενά τον GDPR. Προσωπικά δεδομένα είναι πληροφορίες που σχετίζονται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, και η ANPD αντιμετωπίζει σταθερά τα cookies, τα διαφημιστικά αναγνωριστικά, τις διευθύνσεις IP, τα δακτυλικά αποτυπώματα συσκευών και τα προφίλ συμπεριφοράς ως προσωπικά δεδομένα όταν μπορούν να συνδεθούν με ένα άτομο άμεσα ή με εύλογα μέσα.

Ευαίσθητα προσωπικά δεδομένα

Ο LGPD καθορίζει ένα ευρύ κατάλογο ευαίσθητων κατηγοριών: φυλετική ή εθνοτική καταγωγή, θρησκευτική πεποίθηση, πολιτική γνώμη, ιδιότητα μέλους σε συνδικάτο ή πολιτική οργάνωση, φιλοσοφικές ή θρησκευτικές πεποιθήσεις, υγεία, σεξουαλική ζωή, γενετικά δεδομένα και βιομετρικά δεδομένα όταν χρησιμοποιούνται για μοναδική ταυτοποίηση. Η επεξεργασία ευαίσθητων προσωπικών δεδομένων ενεργοποιεί αυστηρότερες απαιτήσεις συγκατάθεσης και πρόσθετες υποχρεώσεις υπεύθυνου επεξεργασίας.

Γιατί αυτό έχει σημασία για τα cookies

Ένα cookie που αποθηκεύει ένα ρουτινιάρικο αναγνωριστικό συνεδρίας είναι κανονικά προσωπικά δεδομένα. Ένα cookie που τροφοδοτεί ένα τμήμα κοινού που αγγίζει τον ευαίσθητο κατάλογο του LGPD — ενδιαφέροντα υγείας, θρησκευτικές συνδέσεις, πολιτικές κλίσεις — είναι επεξεργασία ευαίσθητων προσωπικών δεδομένων και απαιτεί την ενισχυμένη ροή συγκατάθεσης, όχι τη γενική διαφημιστική συγκατάθεση. Οι εκδότες που τρέχουν τμήματα κοινού που επικαλύπτονται με τον ευαίσθητο κατάλογο θα πρέπει να ελέγχουν τις ροές συγκατάθεσής τους ειδικά ενάντια σε αυτό το όριο.

Συγκατάθεση για cookies υπό τον LGPD το 2026

Ο LGPD επιτρέπει πολλαπλές νομικές βάσεις για επεξεργασία, αλλά για τα cookies και παρόμοιες τεχνολογίες που δεν είναι αυστηρά απαραίτητες για την παροχή υπηρεσίας, οι κατευθυντήριες οδηγίες και η επιβολή της ANPD έχουν συγκλίνει στη συγκατάθεση ως την πρακτική γραμμή βάσης.

Τα πέντε στοιχεία έγκυρης συγκατάθεσης

Η συγκατάθεση υπό τον LGPD πρέπει να είναι:

• Ελεύθερη — δοσμένη χωρίς εξαναγκασμό και όχι δεσμευμένη με την παροχή υπηρεσίας στην οποία ο χρήστης δικαιούται διαφορετικά
• Ενημερωμένη — το υποκείμενο των δεδομένων κατανοεί ποια δεδομένα επεξεργάζονται, από ποιον, για ποιον σκοπό και με ποιες συνέπειες
• Σαφής — εκφρασμένη μέσω σαφούς καταφατικής ενέργειας, όχι συναγόμενη από σιωπή, προεπιλεγμένα κουτιά ή κύλιση ως συγκατάθεση
• Συγκεκριμένη — συνδεδεμένη με σαφώς προσδιορισμένους σκοπούς αντί για γενική ομπρελοειδή συγκατάθεση
• Επισημασμένη σε περιπτώσεις που περιλαμβάνουν ευαίσθητα δεδομένα, με ρητή και ξεχωριστή συγκατάθεση για τη συγκεκριμένη ευαίσθητη επεξεργασία

Πώς φαίνεται μια συμμορφούμενη CMP

Μια CMP διαμορφωμένη για βραζιλιάνικη κίνηση το 2026 θα πρέπει να παρουσιάζει:

• Ένα ορατό banner πριν εκτελεστεί οποιοδήποτε μη βασικό cookie ή tracker, στα πορτογαλικά (Português) από προεπιλογή για Βραζιλιάνους χρήστες
• Ίση οπτική εξοχή για τα Aceitar (Αποδοχή), Recusar (Απόρριψη) και Personalizar (Προσαρμογή) — η ANPD έχει επισημάνει ειδικά σχέδια banner όπου η ενέργεια Recusar είναι λιγότερο ορατή
• Λεπτομερείς διακόπτες ανά σκοπό: αναλυτικά στοιχεία, διαφήμιση, εξατομίκευση, διασυνοριακή μεταφορά και οποιαδήποτε επεξεργασία ευαίσθητης κατηγορίας
• Μια ξεχωριστή, σαφώς επισημασμένη ροή για επεξεργασία ευαίσθητων προσωπικών δεδομένων, κλειδωμένη πίσω από τη δική της ενέργεια
• Έναν μόνιμο, εύκολα εντοπίσιμο μηχανισμό ανάκλησης της συγκατάθεσης μετά την αρχική επιλογή
• Ένα πορτογαλόφωνο Aviso de Privacidade με πλήρεις γνωστοποιήσεις του υπεύθυνου επεξεργασίας, των εκτελούντων την επεξεργασία, των σκοπών, των αποδεκτών, της διατήρησης και των δικαιωμάτων

Αρχεία συγκατάθεσης

Οι υπεύθυνοι επεξεργασίας πρέπει να διατηρούν αποδεικτικά της συγκατάθεσης — ποιος συγκατατέθηκε, πότε, για ποιον σκοπό και μέσω ποιας διεπαφής. Η ANPD έχει επικαλεστεί ανεπαρκή αρχεία συγκατάθεσης σε αρκετές ενέργειες επιβολής, και τα εξαγώγιμα αρχεία με χρονική σφραγίδα είναι η βασική προσδοκία.

Το καθεστώς διασυνοριακών μεταφορών του 2026

Αυτή είναι η περιοχή όπου το 2026 μοιάζει ουσιαστικά διαφορετικό από το 2024. Ο κανονισμός διεθνών μεταφορών της ANPD τέθηκε σε ισχύ στην αρχή του έτους, και οι πρακτικές επιπτώσεις απορροφώνται ακόμη από τους ξένους εκδότες.

Οι νέοι μηχανισμοί μεταφοράς

Ο κανονισμός παρέχει τέσσερις κύριες οδούς για νόμιμη διασυνοριακή μεταφορά:

• Αποφάσεις επάρκειας που εκδίδει η ANPD αναγνωρίζοντας δικαιοδοσίες ή τομείς προορισμού ως παρέχοντες επαρκή προστασία
• Πρότυπες συμβατικές ρήτρες εγκεκριμένες από την ANPD, που λειτουργούν αναλογικά με τις SCC του GDPR
• Δεσμευτικοί εταιρικοί κανόνες για ενδοομιλικές μεταφορές εντός πολυεθνικών οργανισμών
• Ειδική εξουσιοδότηση για μεταφορές που δεν ταιριάζουν στις τυπικές οδούς, κατά περίπτωση

Η πρακτική προσέγγιση του 2026

Για τους περισσότερους ξένους εκδότες, η προσέγγιση εργασίας το 2026 είναι να εκτελούν πρότυπες συμβατικές ρήτρες εγκεκριμένες από την ANPD με διεθνείς εκτελούντες την επεξεργασία, να τεκμηριώνουν τον μηχανισμό μεταφοράς στην ειδοποίηση απορρήτου και να συμπληρώνουν με εξουσιοδότηση βασισμένη σε συγκατάθεση μόνο όπου ο πρότυπος μηχανισμός δεν ταιριάζει. Αυτό είναι ουσιαστικά απλούστερο από το προ-2026 καθεστώς, το οποίο συχνά βασιζόταν σε λογική συγκατάθεσης-ανά-μεταφορά που παρήγαγε δυσκίνητες CMP.

Αποφάσεις επάρκειας μέχρι στιγμής

Η ANPD έχει εκδώσει αποφάσεις επάρκειας για μια χούφτα δικαιοδοσιών μέχρι τις αρχές του 2026, και αναμένεται να επεκτείνει τον κατάλογο σταδιακά. Οι Ηνωμένες Πολιτείες δεν είναι στον κατάλογο επάρκειας από τις αρχές του 2026, πράγμα που σημαίνει ότι οι μεταφορές σε προμηθευτές ad-tech και αναλυτικών στοιχείων με έδρα τις ΗΠΑ απαιτούν συμβατικές ρήτρες ή άλλο έγκυρο μηχανισμό.

Δικαιώματα του υποκειμένου των δεδομένων

Ο LGPD παραχωρεί ένα ισχυρό σύνολο δικαιωμάτων, που εφαρμόζονται μέσω του βραζιλιάνικου πλαισίου:

• Δικαίωμα επιβεβαίωσης της επεξεργασίας
• Δικαίωμα πρόσβασης στα επεξεργασμένα δεδομένα
• Δικαίωμα διόρθωσης ατελών, ανακριβών ή παρωχημένων δεδομένων
• Δικαίωμα ανωνυμοποίησης, αποκλεισμού ή διαγραφής περιττών, υπερβολικών ή παράνομα επεξεργασμένων δεδομένων
• Δικαίωμα φορητότητας δεδομένων σε άλλον πάροχο υπηρεσιών
• Δικαίωμα διαγραφής δεδομένων που επεξεργάζονται με βάση τη συγκατάθεση
• Δικαίωμα ενημέρωσης σχετικά με δημόσιες και ιδιωτικές οντότητες με τις οποίες έχουν μοιραστεί τα δεδομένα
• Δικαίωμα ενημέρωσης σχετικά με τη δυνατότητα άρνησης συγκατάθεσης και τις συνέπειες της άρνησης
• Δικαίωμα ανάκλησης της συγκατάθεσης
• Δικαίωμα αντιρρήσεων κατά της επεξεργασίας που διεξάγεται με βάση μία από τις βάσεις έννομου συμφέροντος όταν υπάρχει μη συμμόρφωση
• Δικαίωμα επανεξέτασης αποφάσεων που λαμβάνονται αποκλειστικά με βάση αυτοματοποιημένη επεξεργασία

Χρονοδιαγράμματα απάντησης

Οι υπεύθυνοι επεξεργασίας πρέπει να ανταποκρίνονται σε αιτήματα υποκειμένων δεδομένων εντός 15 ημερών σύμφωνα με τον κανονισμό, με δυνατότητα παράτασης σε αιτιολογημένες περιπτώσεις. Αυτό είναι αυστηρότερο από το παράθυρο 30 ημερών του GDPR και έχει αποτελέσει επαναλαμβανόμενο λειτουργικό κενό για ξένους εκδότες συντονισμένους στον ευρωπαϊκό ρυθμό.

Κυρώσεις και στάση επιβολής το 2026

Η δραστηριότητα επιβολής της ANPD κλιμακώθηκε ουσιαστικά κατά τη διάρκεια του 2024 και του 2025, και το 2026 βρίσκεται σε παρόμοια τροχιά.

Διοικητικά πρόστιμα

Ο LGPD επιτρέπει διοικητικά πρόστιμα έως 2 τοις εκατό των εσόδων του υπεύθυνου επεξεργασίας από τη δραστηριότητά του στη Βραζιλία κατά το προηγούμενο οικονομικό έτος, με ανώτατο όριο τα BRL 50 εκατομμύρια ανά παράβαση. Η ANPD χρησιμοποίησε το μέσον του εύρους σε αρκετές υποθέσεις του 2025, συμπεριλαμβανομένων εναντίον ξένων πλατφορμών, και η μεθοδολογία προστίμων της υπηρεσίας δημοσιεύθηκε το 2024 και τώρα εφαρμόζεται με συνέπεια.

Άλλες κυρώσεις

Πέρα από τα πρόστιμα, η ANPD μπορεί να εκδώσει προειδοποιήσεις, να απαιτήσει διορθωτικά μέτρα, να αναστείλει εν μέρει ή πλήρως δραστηριότητες επεξεργασίας και να απαγορεύσει συγκεκριμένες λειτουργίες επεξεργασίας. Η δημοσίευση της παράβασης είναι μια συνήθης συνοδευτική κύρωση και φέρει βάρος φήμης στη βραζιλιάνικη αγορά.

Θέματα επιβολής

Οι ενέργειες της ANPD το 2025 και τις αρχές του 2026 συγκεντρώνονται γύρω από επαναλαμβανόμενα ζητήματα: διφορούμενα ή απόντα banner συγκατάθεσης, έλλειψη πορτογαλόφωνης ειδοποίησης απορρήτου, διασυνοριακές μεταφορές χωρίς έγκυρο μηχανισμό υπό τον νέο κανονισμό και αποτυχία ανταπόκρισης σε αιτήματα υποκειμένων δεδομένων εντός του παραθύρου των 15 ημερών. Ξένοι εκδότες έχουν αναφερθεί και στις τέσσερις κατηγορίες.

Η απαίτηση για DPO

Ο LGPD απαιτεί από τους υπεύθυνους επεξεργασίας να διορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων (Encarregado de Tratamento de Dados Pessoais) και να δημοσιεύσουν τα στοιχεία επικοινωνίας του DPO. Οι ξένοι υπεύθυνοι επεξεργασίας που επεξεργάζονται βραζιλιάνικα δεδομένα σε μεγάλη κλίμακα χρειάζονται έναν ορισμένο DPO, και τα στοιχεία επικοινωνίας πρέπει να είναι εύκολα προσβάσιμα στην ειδοποίηση απορρήτου. Η ANPD έχει επικαλεστεί ελλείποντα ή απρόσιτα στοιχεία επικοινωνίας DPO σε αρκετές επιστολές επιβολής.

Κατάλογος ελέγχου για βραζιλιάνικη κίνηση το 2026

• Το banner CMP παρέχεται στα πορτογαλικά με Aceitar, Recusar και Personalizar σε ίση οπτική εξοχή
• Οι σκοποί συγκατάθεσης είναι λεπτομερείς και διαχωρίζουν οποιαδήποτε επεξεργασία ευαίσθητης κατηγορίας πίσω από τη δική της ροή συγκατάθεσης
• Η ειδοποίηση απορρήτου (Aviso de Privacidade) είναι διαθέσιμη στα πορτογαλικά με πλήρεις γνωστοποιήσεις του υπεύθυνου επεξεργασίας, των εκτελούντων την επεξεργασία, των σκοπών, της διατήρησης, των δικαιωμάτων και της επικοινωνίας DPO
• Οι διασυνοριακές μεταφορές βασίζονται σε πρότυπες συμβατικές ρήτρες εγκεκριμένες από την ANPD, σε απόφαση επάρκειας, σε BCR ή σε ειδική εξουσιοδότηση — όχι στην παλιά λογική συγκατάθεσης-ανά-μεταφορά
• Τα αρχεία συγκατάθεσης φέρουν χρονική σφραγίδα, είναι εξαγώγιμα και διατηρούνται για τη διάρκεια της επεξεργασίας συν ένα ελεγχόμενο περιθώριο
• Η ροή εργασιών αιτημάτων υποκειμένων δεδομένων μπορεί να ανταποκριθεί εντός 15 ημερών από άκρη σε άκρη, στα πορτογαλικά
• Ο DPO έχει οριστεί και τα στοιχεία επικοινωνίας δημοσιεύονται στην ειδοποίηση απορρήτου
• Ο κατάλογος προμηθευτών έχει ελεγχθεί για αναγκαιότητα, με αχρησιμοποίητους ή περιττούς προμηθευτές να έχουν αφαιρεθεί για μείωση της επιφάνειας διασυνοριακών μεταφορών
• Τα τμήματα κοινού ευαίσθητων κατηγοριών είναι κλειδωμένα πίσω από ρητή, ξεχωριστά καταγεγραμμένη συγκατάθεση

Η προοπτική για το 2026

Το καθεστώς ιδιωτικότητας της Βραζιλίας έχει ωριμάσει από ένα καλά συνταγμένο νομοθέτημα με περιορισμένη επιβολή σε ένα από τα πιο απαιτητικά καθεστώτα στην Αμερική. Ο κανονισμός διασυνοριακών μεταφορών του 2026 έκλεισε το πιο σημαντικό δομικό κενό, και η στάση επιβολής της ANPD έχει φτάσει τις φιλοδοξίες του νόμου. Για τους εκδότες που ήδη τρέχουν μια στοίβα συγκατάθεσης επιπέδου GDPR, το κενό προς τη συμμόρφωση LGPD είναι επιχειρησιακό παρά αρχιτεκτονικό: πορτογαλόφωνη CMP και ειδοποίηση, μηχανισμοί μεταφοράς εγκεκριμένοι από την ANPD, ρυθμός απάντησης 15 ημερών, ορισμός DPO και προσοχή με τον ευρύτερο κατάλογο ευαίσθητων δεδομένων. Το κενό μπορεί να κλείσει σε εβδομάδες αν δοθεί προτεραιότητα — και η Βραζιλία είναι η μεγαλύτερη μοναδική αγορά στη Λατινική Αμερική, έτσι η προτεραιοποίηση τυπικά ξεπληρώνεται γρήγορα. Οι εκδότες που αντιμετώπιζαν τη Βραζιλία ως αγορά ελαφρύτερης προσέγγισης μέχρι το 2024 βρίσκουν το 2026 ουσιαστικά πιο ακριβό, και όσοι καθυστερούν περαιτέρω θα βρουν το 2027 ακόμη χειρότερο.