انطباق۱۰ مه ۲۰۲۶ | FlexyConsent

LGPD برزیل در سال ۲۰۲۶: رویکرد اجرایی ANPD، رضایت کوکی و راهنمای انتقال داده فرامرزی برای ناشران و تبلیغ‌کنندگان

قانون Lei Geral de Proteção de Dados Pessoais (LGPD) برزیل در سپتامبر ۲۰۲۰ لازم‌الاجرا شد و در بیشتر سه سال اول خود یک رژیم حریم خصوصی بود که به‌خوبی تنظیم شده بود اما به‌صورت ناهمگون اجرا می‌شد. آن دوره پایان یافته است. Autoridade Nacional de Proteção de Dados (ANPD) در سال‌های ۲۰۲۴ و ۲۰۲۵ از رویکرد صدور راهنما به اجرای فعال حرکت کرد، برنامه sandbox سال ۲۰۲۵ آژانس به بلوغ رسید و مقررات انتقال داده بین‌المللی ۲۰۲۶ بالاخره یکی از مبهم‌ترین حوزه‌های LGPD را روشن کرد. برای هر ناشر، تبلیغ‌کننده یا پلتفرمی که داده‌های شخصی کاربران برزیلی را پردازش می‌کند — چه در برزیل مستقر باشد یا از خارج بازار برزیل را خدمت دهد — محیط سال ۲۰۲۶ به‌طور معنادار از محیط سال ۲۰۲۳ سخت‌گیرانه‌تر است. این راهنما LGPD را آنطور که امروز است بررسی می‌کند، اینکه رضایت کوکی‌ها واقعاً چه چیزی می‌طلبد، انتقال‌های فرامرزی تحت مقررات جدید چگونه کار می‌کنند و موضوعات اجرایی ANPD در سال ۲۰۲۶ چگونه به نظر می‌رسند.

ساختار LGPD در سال ۲۰۲۶

LGPD قانون اصلی حمایت از داده در برزیل است و متن اصلی آن از زمان تصویب به‌طور قابل توجهی ثابت بوده است. آنچه تغییر کرده زیرساخت نظارتی اطراف آن است.

ANPD به‌عنوان یک نظارت‌کننده بالغ

ANPD در سال ۲۰۲۱ به‌طور کامل راه‌اندازی شد و سه سال اول خود را صرف ایجاد ظرفیت رویه‌ای، صدور راهنما و انجام مشاوره کرد. تا سال ۲۰۲۴ به اجرای فعال پرداخته بود و تا سال ۲۰۲۵ برخی از اولین جریمه‌های اداری قابل توجه خود را صادر کرده بود، از جمله علیه پلتفرم‌های خارجی. رویکرد آژانس در سال ۲۰۲۶ به همتایان اروپایی آن نزدیک‌تر است تا دوره اولیه ملایم‌ترش.

مقررات انتقال فرامرزی ۲۰۲۶

مهم‌ترین پیشرفت نظارتی برای ناشران خارجی، مقررات انتقال بین‌المللی ANPD بود که در اواخر سال ۲۰۲۵ نهایی شد و در سال ۲۰۲۶ لازم‌الاجرا شد. این مقررات چارچوب کفایت، بندهای قراردادی استاندارد مورد تأیید ANPD، قوانین شرکتی الزام‌آور و گواهینامه‌ها را معرفی می‌کند که همه به‌صورت مشابه با مکانیزم‌های فصل پنجم GDPR عمل می‌کنند. پیش از این مقررات، انتقال‌های فرامرزی بر اساس مجموعه قوانین مبهم‌تری عمل می‌کردند که ناشران و فروشندگان فناوری تبلیغات معمولاً از طریق ترتیبات تجاری دوجانبه عبور می‌کردند. رژیم ۲۰۲۶ به‌طور قابل توجهی قابل کارتر است اما به‌طور قابل توجهی از نظر مستندات سخت‌گیرانه‌تر است.

چه کسانی تنظیم می‌شوند

LGPD به‌صورت فرامرزی اعمال می‌شود. هر کنترل‌کننده‌ای که داده‌های شخصی افرادی را که در زمان جمع‌آوری در برزیل هستند پردازش می‌کند، یا داده‌هایی که از برزیل جمع‌آوری شده‌اند را صرف‌نظر از محل پردازش پردازش می‌کند، در حوزه تنظیم است. ناشران خارجی که کاربران برزیلی را از طریق سایت‌های محلی‌سازی‌شده یا موجودی برنامه‌ای که در برابر IP‌های برزیلی خریداری می‌شود خدمت می‌دهند، به‌وضوح در دسترس هستند و ANPD مفاد فرامرزی را در چندین پرونده سال ۲۰۲۵ استناد کرده است.

آنچه تحت LGPD داده شخصی محسوب می‌شود

تعریف داده شخصی LGPD گسترده است و GDPR را دقیقاً دنبال می‌کند. داده شخصی اطلاعاتی است که به یک شخص حقیقی شناخته‌شده یا قابل شناسایی مربوط می‌شود و ANPD به‌طور مداوم کوکی‌ها، شناسه‌های تبلیغاتی، آدرس‌های IP، اثرانگشت دستگاه‌ها و پروفایل‌های رفتاری را به‌عنوان داده شخصی در نظر گرفته وقتی که می‌توانند به‌طور مستقیم یا از طریق ابزارهای معقول به یک فرد مرتبط شوند.

داده‌های شخصی حساس

LGPD فهرست گسترده‌ای از دسته‌های حساس را تعیین می‌کند: منشأ نژادی یا قومی، باور مذهبی، نظر سیاسی، عضویت در اتحادیه کارگری یا سازمان سیاسی، متقاعدات فلسفی یا مذهبی، سلامت، زندگی جنسی، داده‌های ژنتیکی و داده‌های بیومتریک هنگام استفاده برای شناسایی منحصربه‌فرد. پردازش داده‌های شخصی حساس الزامات رضایت سخت‌گیرانه‌تر و تعهدات اضافی کنترل‌کننده را فعال می‌کند.

چرا این برای کوکی‌ها اهمیت دارد

کوکی‌ای که یک شناسه جلسه معمولی ذخیره می‌کند داده شخصی عادی است. کوکی‌ای که یک بخش مخاطبان را که به فهرست حساس LGPD مربوط می‌شود تغذیه می‌کند — علایق سلامتی، وابستگی‌های مذهبی، گرایش‌های سیاسی — پردازش داده‌های شخصی حساس است و به جریان رضایت بالاتر نیاز دارد، نه رضایت تبلیغاتی عمومی. ناشرانی که بخش‌های مخاطبان را که با فهرست حساس همپوشانی دارند اجرا می‌کنند باید جریان‌های رضایت خود را به‌طور خاص با توجه به این مرز ممیزی کنند.

رضایت کوکی تحت LGPD در سال ۲۰۲۶

LGPD پایه‌های قانونی متعددی برای پردازش مجاز می‌داند، اما برای کوکی‌ها و فناوری‌های مشابه که برای ارائه خدمات ضروری نیستند، راهنمایی و اجرای ANPD بر رضایت به‌عنوان پایه عملی همگرا شده‌اند.

پنج عنصر رضایت معتبر

رضایت تحت LGPD باید:

آزادانه داده شده باشد — بدون اجبار و نه همراه با ارائه خدماتی که کاربر در غیر این صورت مستحق آن است
آگاهانه — موضوع داده بفهمد چه داده‌هایی پردازش می‌شود، توسط چه کسی، برای چه هدفی و با چه پیامدهایی
صریح — از طریق یک عمل تأییدی واضح ابراز شود، نه از سکوت، کادرهای از پیش تیک‌خورده یا اسکرول‌به‌عنوان‌رضایت استنباط شود
خاص — مرتبط با اهداف به‌وضوح شناسایی‌شده باشد نه رضایت کلی چتری
برجسته در موارد مربوط به داده‌های حساس، با رضایت صریح و جداگانه برای پردازش حساس خاص

یک CMP مطابق چه شکلی است

یک CMP پیکربندی‌شده برای ترافیک برزیلی در سال ۲۰۲۶ باید ارائه دهد:

یک بنر قابل مشاهده قبل از فعال‌سازی هر کوکی یا ردیاب غیرضروری، به زبان پرتغالی (Português) به‌طور پیش‌فرض برای کاربران برزیلی
برجستگی بصری یکسان برای Aceitar (قبول)، Recusar (رد) و Personalizar (سفارشی‌سازی) — ANPD به‌طور خاص طراحی‌های بنری را که در آن‌ها عمل Recusar کمتر قابل مشاهده است مورد انتقاد قرار داده است
کنترل‌های دانه‌بندی‌شده به ازای هر هدف: تجزیه‌وتحلیل، تبلیغات، شخصی‌سازی، انتقال فرامرزی و هر پردازش دسته حساس
یک جریان جداگانه و به‌وضوح برچسب‌گذاری‌شده برای پردازش داده‌های شخصی حساس، محافظت‌شده با عمل خودش
یک مکانیزم دائمی و به‌راحتی قابل یافتن برای پس‌گرفتن رضایت پس از انتخاب اولیه
یک Aviso de Privacidade به زبان پرتغالی با افشای کامل کنترل‌کننده، پردازشگران، اهداف، گیرندگان، نگهداری و حقوق

سوابق رضایت

کنترل‌کنندگان باید مدرک رضایت را حفظ کنند — چه کسی رضایت داد، چه زمانی، برای چه هدفی و از طریق کدام رابط. ANPD سوابق رضایت ناکافی را در چندین اقدام اجرایی مورد اشاره قرار داده و گزارش‌های زمان‌دار قابل صادرکردن انتظار پایه است.

رژیم انتقال فرامرزی ۲۰۲۶

این حوزه‌ای است که ۲۰۲۶ به‌طور معنادار با ۲۰۲۴ متفاوت است. مقررات انتقال بین‌المللی ANPD در ابتدای سال لازم‌الاجرا شد و ناشران خارجی هنوز در حال جذب پیامدهای عملی آن هستند.

مکانیزم‌های انتقال جدید

این مقررات چهار مسیر اصلی برای انتقال فرامرزی مشروع ارائه می‌دهد:

تصمیمات کفایت صادرشده توسط ANPD که حوزه‌های قضایی یا بخش‌های مقصد را به‌عنوان ارائه‌دهنده حمایت کافی تشخیص می‌دهند
بندهای قراردادی استاندارد مورد تأیید ANPD که به‌صورت مشابه با GDPR SCC عمل می‌کنند
قوانین شرکتی الزام‌آور برای انتقال‌های درون‌گروهی در سازمان‌های چندملیتی
مجوز خاص برای انتقال‌هایی که با مسیرهای استاندارد تناسب ندارند، به‌صورت موردی

رویکرد عملی ۲۰۲۶

برای اکثر ناشران خارجی، رویکرد کاری در سال ۲۰۲۶ اجرای بندهای قراردادی استاندارد مورد تأیید ANPD با پردازشگران بین‌المللی، مستندسازی مکانیزم انتقال در اطلاعیه حریم خصوصی و تکمیل با مجوز مبتنی بر رضایت تنها در جایی است که مکانیزم استاندارد تناسب ندارد. این به‌طور قابل توجهی ساده‌تر از رژیم پیش از ۲۰۲۶ است که اغلب به منطق رضایت-به‌ازای-هر-انتقال متکی بود که CMP‌های دست‌وپاگیری تولید می‌کرد.

تصمیمات کفایت تاکنون

ANPD تصمیمات کفایت برای تعداد انگشت‌شماری از حوزه‌های قضایی تا اوایل سال ۲۰۲۶ صادر کرده و انتظار می‌رود این فهرست به‌تدریج گسترش یابد. ایالات متحده آمریکا تا اوایل سال ۲۰۲۶ در فهرست کفایت نیست، که به این معنی است که انتقال به فروشندگان فناوری تبلیغات و تجزیه‌وتحلیل مستقر در ایالات متحده نیازمند بندهای قراردادی یا مکانیزم معتبر دیگری است.

حقوق موضوع داده

LGPD مجموعه‌ای قوی از حقوق را اعطا می‌کند که از طریق چارچوب برزیل اعمال می‌شود:

حق تأیید پردازش
حق دسترسی به داده‌های پردازش‌شده
حق تصحیح داده‌های ناقص، نادرست یا منسوخ
حق ناشناس‌سازی، مسدودسازی یا حذف داده‌های غیرضروری، بیش از حد یا به‌صورت غیرقانونی پردازش‌شده
حق قابلیت انتقال داده به ارائه‌دهنده خدمات دیگر
حق حذف داده‌های پردازش‌شده بر اساس رضایت
حق اطلاع از نهادهای عمومی و خصوصی که داده با آن‌ها به اشتراک گذاشته شده است
حق اطلاع از امکان رد رضایت و پیامدهای رد
حق لغو رضایت
حق مخالفت با پردازش انجام‌شده بر اساس یکی از پایه‌های منافع مشروع هنگامی که عدم انطباق وجود دارد
حق بررسی تصمیمات اتخاذ‌شده صرفاً بر اساس پردازش خودکار

جدول‌های زمانی پاسخ

کنترل‌کنندگان باید به درخواست‌های موضوع داده ظرف ۱۵ روز طبق مقررات پاسخ دهند، با امکان تمدید در موارد موجه. این از پنجره ۳۰ روزه GDPR محدودتر است و یک شکاف عملیاتی تکراری برای ناشران خارجی تنظیم‌شده با ریتم اروپایی بوده است.

جریمه‌ها و رویکرد اجرایی در سال ۲۰۲۶

فعالیت اجرایی ANPD در طول سال‌های ۲۰۲۴ و ۲۰۲۵ به‌طور معناداری تشدید شده و ۲۰۲۶ در مسیر مشابهی است.

جریمه‌های اداری

LGPD جریمه‌های اداری تا ۲ درصد از درآمد کنترل‌کننده از فعالیت‌های آن در برزیل در سال مالی قبل، محدود به BRL ۵۰ میلیون به ازای هر تخلف را مجاز می‌داند. ANPD میانه محدوده را در چندین پرونده سال ۲۰۲۵ از جمله علیه پلتفرم‌های خارجی استفاده کرده و روش‌شناسی جریمه آژانس در سال ۲۰۲۴ منتشر شد و اکنون به‌طور منسجم اعمال می‌شود.

سایر ضمانت‌های اجرایی

فراتر از جریمه‌ها، ANPD می‌تواند هشدار صادر کند، اقدامات اصلاحی بخواهد، فعالیت‌های پردازشی را به‌طور جزئی یا کامل تعلیق کند و عملیات پردازشی خاص را ممنوع کند. انتشار تخلف یک ضمانت اجرایی همراه معمول است و در بازار برزیل وزن اعتباری دارد.

موضوعات اجرایی

اقدامات ANPD در سال ۲۰۲۵ و اوایل ۲۰۲۶ حول مسائل تکراری خوشه‌بندی می‌شوند: بنرهای رضایت مبهم یا غایب، فقدان اطلاعیه حریم خصوصی به زبان پرتغالی، انتقال‌های فرامرزی بدون مکانیزم معتبر تحت مقررات جدید و عدم پاسخ به درخواست‌های موضوع داده در پنجره ۱۵ روزه. ناشران خارجی در همه چهار دسته مورد اشاره قرار گرفته‌اند.

الزام DPO

LGPD کنترل‌کنندگان را ملزم می‌کند که یک مسئول حمایت از داده (Encarregado de Tratamento de Dados Pessoais) منصوب کنند و اطلاعات تماس DPO را منتشر کنند. کنترل‌کنندگان خارجی که داده‌های برزیلی را در مقیاس پردازش می‌کنند به یک DPO تعیین‌شده نیاز دارند و اطلاعات تماس باید در اطلاعیه حریم خصوصی به‌راحتی قابل دسترسی باشد. ANPD اطلاعات تماس DPO گمشده یا غیرقابل دسترسی را در چندین نامه اجرایی مورد اشاره قرار داده است.

چک‌لیست ممیزی برای ترافیک برزیلی در سال ۲۰۲۶

بنر CMP به زبان پرتغالی با Aceitar، Recusar و Personalizar با برجستگی بصری یکسان ارائه می‌شود
اهداف رضایت دانه‌بندی‌شده هستند و هر پردازش دسته حساس را پشت جریان رضایت خودش جداگانه می‌کند
اطلاعیه حریم خصوصی (Aviso de Privacidade) به زبان پرتغالی با افشای کامل کنترل‌کننده، پردازشگران، اهداف، نگهداری، حقوق و تماس DPO موجود است
انتقال‌های فرامرزی به بندهای قراردادی استاندارد مورد تأیید ANPD، یک تصمیم کفایت، BCR‌ها یا مجوز خاص متکی هستند — نه به منطق قدیمی رضایت-به‌ازای-هر-انتقال
گزارش‌های رضایت دارای زمان‌بندی، قابل صادرکردن و برای مدت پردازش به‌علاوه حاشیه قابل ممیزی نگهداری می‌شوند
جریان کار درخواست موضوع داده می‌تواند ظرف ۱۵ روز به‌صورت کامل، به زبان پرتغالی پاسخ دهد
DPO تعیین شده و اطلاعات تماس در اطلاعیه حریم خصوصی منتشر شده است
فهرست فروشنده برای ضرورت بررسی شده، با حذف فروشندگان استفاده‌نشده یا اضافی برای کاهش سطح انتقال فرامرزی
بخش‌های مخاطبان دسته حساس پشت رضایت صریح و جداگانه‌کپچرشده محافظت می‌شوند

چشم‌انداز ۲۰۲۶

رژیم حریم خصوصی برزیل از یک قانون خوب‌نوشته با اجرای محدود به یکی از رژیم‌های سخت‌گیرانه‌تر در آمریکا تبدیل شده است. مقررات انتقال فرامرزی ۲۰۲۶ بزرگترین شکاف ساختاری را بست و رویکرد اجرایی ANPD با بلندپروازی‌های قانون همگام شده است. برای ناشرانی که از قبل یک پشته رضایت با درجه GDPR اجرا می‌کنند، شکاف تا انطباق با LGPD عملیاتی است نه معماری: CMP و اطلاعیه به زبان پرتغالی، مکانیزم‌های انتقال مورد تأیید ANPD، ریتم پاسخ ۱۵ روزه، تعیین DPO و مراقبت با فهرست گسترده‌تر داده‌های حساس. شکاف را می‌توان در عرض چند هفته در صورت اولویت‌بندی بست — و برزیل بزرگترین بازار واحد در آمریکای لاتین است، بنابراین اولویت‌بندی معمولاً سریعاً بازدهی دارد. ناشرانی که برزیل را تا سال ۲۰۲۴ به‌عنوان یک بازار سبک‌تر در نظر گرفتند، ۲۰۲۶ را به‌طور معنادار گران‌قیمت‌تر می‌یابند و کسانی که بیشتر تأخیر کنند ۲۰۲۷ را بدتر هم خواهند یافت.