2026 में LGPD की संरचना

LGPD ब्राज़ील में प्राथमिक डेटा संरक्षण क़ानून है, और इसका मुख्य पाठ अधिनियमन के बाद से उल्लेखनीय रूप से स्थिर रहा है। जो बदला है वह इसके आस-पास की नियामक अवसंरचना है।

ANPD एक परिपक्व नियामक के रूप में

ANPD 2021 में पूरी तरह से परिचालन में आई और अपने पहले तीन वर्ष प्रक्रियागत क्षमता बनाने, मार्गदर्शन जारी करने और परामर्श आयोजित करने में बिताए। 2024 तक यह सक्रिय प्रवर्तन में आ गई थी, और 2025 तक इसने अपने पहले महत्वपूर्ण प्रशासनिक जुर्माने में से कुछ जारी किए थे, जिनमें विदेशी प्लेटफ़ॉर्म के खिलाफ भी शामिल थे। 2026 में एजेंसी की स्थिति अपने यूरोपीय समकक्षों के अधिक करीब है, न कि अपने पहले के हल्के स्पर्श काल के।

2026 क्रॉस-बॉर्डर ट्रांसफर विनियमन

विदेशी प्रकाशकों के लिए सबसे महत्वपूर्ण नियामक विकास ANPD का अंतर्राष्ट्रीय ट्रांसफर विनियमन था, जिसे 2025 के अंत में अंतिम रूप दिया गया और 2026 में लागू किया गया। विनियमन एक पर्याप्तता ढांचा, ANPD द्वारा अनुमोदित मानक संविदात्मक खंड, बाध्यकारी कॉर्पोरेट नियम, और प्रमाणपत्र प्रस्तुत करता है, जो सभी GDPR के अध्याय V तंत्र के समान कार्य करते हैं। इस विनियमन से पहले, क्रॉस-बॉर्डर ट्रांसफर नियमों के बहुत अधिक अस्पष्ट सेट के तहत संचालित होते थे जिन्हें प्रकाशक और विज्ञापन-तकनीक विक्रेता आमतौर पर द्विपक्षीय वाणिज्यिक व्यवस्थाओं के माध्यम से नेविगेट करते थे। 2026 व्यवस्था काफी अधिक काम करने योग्य है लेकिन दस्तावेज़ीकरण के मामले में काफी अधिक मांगने वाली है।

किसे विनियमित किया जाता है

LGPD अतिरिक्त-क्षेत्रीय रूप से लागू होता है। कोई भी नियंत्रक जो संग्रह के समय ब्राज़ील में स्थित व्यक्तियों के व्यक्तिगत डेटा को संसाधित करता है, या ब्राज़ील से एकत्र डेटा को संसाधित करता है चाहे संसाधन कहीं भी हो, दायरे में है। स्थानीयकृत साइटों के माध्यम से या ब्राज़ीलियाई IPs के खिलाफ खरीदी गई प्रोग्रामेटिक इन्वेंटरी के माध्यम से ब्राज़ीलियाई उपयोगकर्ताओं की सेवा करने वाले विदेशी प्रकाशक स्पष्ट रूप से पहुंच के भीतर हैं, और ANPD ने 2025 के कई मामलों में अतिरिक्त-क्षेत्रीय प्रावधान का उपयोग किया है।

LGPD के तहत व्यक्तिगत डेटा क्या है

LGPD की व्यक्तिगत डेटा की परिभाषा व्यापक है और GDPR का बारीकी से अनुसरण करती है। व्यक्तिगत डेटा किसी पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित जानकारी है, और ANPD ने कुकीज़, विज्ञापन पहचानकर्ताओं, IP पतों, डिवाइस फिंगरप्रिंट्स और व्यवहार प्रोफ़ाइल को लगातार व्यक्तिगत डेटा के रूप में माना है जब उन्हें सीधे या उचित माध्यमों से किसी व्यक्ति से जोड़ा जा सकता है।

संवेदनशील व्यक्तिगत डेटा

LGPD संवेदनशील श्रेणियों की एक व्यापक सूची निर्दिष्ट करता है: नस्लीय या जातीय मूल, धार्मिक विश्वास, राजनीतिक राय, ट्रेड यूनियन या राजनीतिक संगठन की सदस्यता, दार्शनिक या धार्मिक मान्यताएं, स्वास्थ्य, यौन जीवन, आनुवंशिक डेटा, और बायोमेट्रिक डेटा जब अद्वितीय पहचान के लिए उपयोग किया जाता है। संवेदनशील व्यक्तिगत डेटा के प्रसंस्करण से सख्त सहमति आवश्यकताएं और अतिरिक्त नियंत्रक दायित्व सक्रिय होते हैं।

कुकी के लिए यह क्यों महत्वपूर्ण है

एक कुकी जो एक सामान्य सत्र पहचानकर्ता संग्रहीत करती है वह सामान्य व्यक्तिगत डेटा है। एक कुकी जो LGPD संवेदनशील सूची को छूने वाले ऑडियंस सेगमेंट को फ़ीड करती है — स्वास्थ्य रुचियां, धार्मिक संबद्धताएं, राजनीतिक झुकाव — संवेदनशील व्यक्तिगत डेटा का प्रसंस्करण है और ऊंचे सहमति प्रवाह की आवश्यकता है, सामान्य विज्ञापन सहमति की नहीं। जो प्रकाशक संवेदनशील सूची के साथ ओवरलैप करने वाले ऑडियंस सेगमेंट चलाते हैं उन्हें इस सीमा के खिलाफ विशेष रूप से अपने सहमति प्रवाह का ऑडिट करना चाहिए।

2026 में LGPD के तहत कुकी सहमति

LGPD प्रसंस्करण के लिए कई वैध आधारों की अनुमति देता है, लेकिन कुकीज़ और समान तकनीकों के लिए जो सेवा वितरण के लिए कड़ाई से आवश्यक नहीं हैं, ANPD के मार्गदर्शन और प्रवर्तन व्यावहारिक आधार रेखा के रूप में सहमति पर एकत्रित हुए हैं।

वैध सहमति के पाँच तत्व

LGPD के तहत सहमति होनी चाहिए:

• स्वतंत्र — बिना जबरदस्ती के दी गई और किसी सेवा के प्रावधान के साथ बंधी नहीं जिसका उपयोगकर्ता अन्यथा हकदार है
• सूचित — डेटा विषय समझता है कि कौन सा डेटा संसाधित किया जाता है, किसके द्वारा, किस उद्देश्य के लिए, और किस परिणाम के साथ
• स्पष्ट — एक स्पष्ट सकारात्मक कार्य के माध्यम से व्यक्त किया गया, चुप्पी, पूर्व-टिक किए गए बॉक्स, या स्क्रॉल-एज़-कंसेंट से अनुमानित नहीं
• विशिष्ट — सामान्य छाता सहमति के बजाय स्पष्ट रूप से पहचाने गए उद्देश्यों से जुड़ा
• हाइलाइट किया गया संवेदनशील डेटा वाले मामलों में, विशिष्ट संवेदनशील प्रसंस्करण के लिए स्पष्ट और अलग सहमति के साथ

एक अनुपालक CMP कैसा दिखता है

2026 में ब्राज़ीलियाई ट्रैफ़िक के लिए कॉन्फ़िगर किए गए CMP को प्रस्तुत करना चाहिए:

• कोई भी गैर-आवश्यक कुकी या ट्रैकर फायर होने से पहले एक दृश्यमान बैनर, ब्राज़ीलियाई उपयोगकर्ताओं के लिए डिफ़ॉल्ट रूप से पुर्तगाली (Português) में
• Aceitar (स्वीकार), Recusar (अस्वीकार), और Personalizar (अनुकूलित) के लिए समान दृश्य प्रमुखता — ANPD ने विशेष रूप से उन बैनर डिज़ाइन को इंगित किया है जहाँ Recusar क्रिया कम दृश्यमान है
• प्रत्येक उद्देश्य के लिए दानेदार टॉगल: एनालिटिक्स, विज्ञापन, वैयक्तिकरण, क्रॉस-बॉर्डर ट्रांसफर, और कोई भी संवेदनशील श्रेणी प्रसंस्करण
• संवेदनशील व्यक्तिगत डेटा प्रसंस्करण के लिए एक अलग, स्पष्ट रूप से लेबल किया गया प्रवाह, अपनी कार्रवाई के पीछे गेट किया गया
• प्रारंभिक पसंद के बाद सहमति वापस लेने के लिए एक स्थायी, आसानी से मिलने वाला तंत्र
• नियंत्रक, प्रोसेसर, उद्देश्यों, प्राप्तकर्ताओं, प्रतिधारण और अधिकारों के पूर्ण प्रकटीकरण के साथ पुर्तगाली भाषा में Aviso de Privacidade

सहमति रिकॉर्ड

नियंत्रकों को सहमति का साक्ष्य बनाए रखना चाहिए — किसने सहमति दी, कब, किस उद्देश्य के लिए, और किस इंटरफ़ेस के माध्यम से। ANPD ने कई प्रवर्तन कार्यों में अपर्याप्त सहमति रिकॉर्ड का उल्लेख किया है, और निर्यात योग्य टाइमस्टैम्प लॉग आधार रेखा की अपेक्षा है।

2026 क्रॉस-बॉर्डर ट्रांसफर व्यवस्था

यह वह क्षेत्र है जहाँ 2026 2024 से सार्थक रूप से अलग दिखता है। ANPD का अंतर्राष्ट्रीय ट्रांसफर विनियमन वर्ष की शुरुआत में लागू हुआ, और विदेशी प्रकाशक अभी भी इसके व्यावहारिक निहितार्थों को आत्मसात कर रहे हैं।

नए ट्रांसफर तंत्र

विनियमन वैध क्रॉस-बॉर्डर ट्रांसफर के लिए चार प्राथमिक मार्ग प्रदान करता है:

• पर्याप्तता निर्णय ANPD द्वारा जारी किए गए जो गंतव्य क्षेत्राधिकारों या क्षेत्रों को पर्याप्त सुरक्षा प्रदान करने वाले के रूप में मान्यता देते हैं
• मानक संविदात्मक खंड ANPD द्वारा अनुमोदित, जो GDPR SCC के समान काम करते हैं
• बाध्यकारी कॉर्पोरेट नियम बहुराष्ट्रीय संगठनों के भीतर इंट्रा-ग्रुप ट्रांसफर के लिए
• विशिष्ट प्राधिकरण उन ट्रांसफर के लिए जो मानक मार्गों में फिट नहीं होते, केस-दर-केस आधार पर

2026 का व्यावहारिक दृष्टिकोण

अधिकांश विदेशी प्रकाशकों के लिए, 2026 में कार्य दृष्टिकोण अंतर्राष्ट्रीय प्रोसेसर के साथ ANPD-अनुमोदित मानक संविदात्मक खंड निष्पादित करना, गोपनीयता नोटिस में ट्रांसफर तंत्र को दस्तावेज़ीकृत करना, और सहमति-आधारित प्राधिकरण के साथ पूरक करना केवल जहाँ मानक तंत्र फिट नहीं होता, है। यह 2026 से पहले की व्यवस्था की तुलना में काफी सरल है, जो अक्सर सहमति-प्रति-ट्रांसफर तर्क पर निर्भर करती थी जो अनाड़ी CMP उत्पन्न करती थी।

अब तक की पर्याप्तता निर्णय

ANPD ने 2026 की शुरुआत तक कुछ क्षेत्राधिकारों के लिए पर्याप्तता निर्णय जारी किए हैं, और उम्मीद है कि सूची को क्रमिक रूप से विस्तारित किया जाएगा। संयुक्त राज्य अमेरिका 2026 की शुरुआत में पर्याप्तता सूची में नहीं है, जिसका अर्थ है कि अमेरिका-आधारित विज्ञापन-तकनीक और एनालिटिक्स विक्रेताओं को ट्रांसफर के लिए संविदात्मक खंड या किसी अन्य वैध तंत्र की आवश्यकता है।

डेटा विषय अधिकार

LGPD अधिकारों का एक मजबूत सेट प्रदान करता है, जो ब्राज़ीलियाई ढांचे के माध्यम से लागू किया जाता है:

• प्रसंस्करण की पुष्टि का अधिकार
• संसाधित डेटा तक पहुंच का अधिकार
• अधूरे, गलत, या पुराने डेटा को सही करने का अधिकार
• अनावश्यक, अत्यधिक, या गैरकानूनी रूप से संसाधित डेटा को अनामीकरण, अवरोधन या हटाने का अधिकार
• किसी अन्य सेवा प्रदाता को डेटा पोर्टेबिलिटी का अधिकार
• सहमति के आधार पर संसाधित डेटा को हटाने का अधिकार
• उन सार्वजनिक और निजी संस्थाओं के बारे में जानकारी का अधिकार जिनके साथ डेटा साझा किया गया है
• सहमति से इनकार करने की संभावना और इनकार के परिणामों के बारे में जानकारी का अधिकार
• सहमति रद्द करने का अधिकार
• वैध हितों के आधारों में से एक के आधार पर किए गए प्रसंस्करण का विरोध करने का अधिकार जब गैर-अनुपालन हो
• केवल स्वचालित प्रसंस्करण के आधार पर किए गए निर्णयों की समीक्षा का अधिकार

प्रतिक्रिया समयसीमाएं

नियंत्रकों को विनियमन के तहत 15 दिनों के भीतर डेटा विषय अनुरोधों का जवाब देना चाहिए, उचित मामलों में विस्तार की क्षमता के साथ। यह GDPR की 30-दिन की विंडो से सख्त है और यूरोपीय लय के अनुरूप विदेशी प्रकाशकों के लिए एक आवर्ती परिचालन अंतर रहा है।

2026 में दंड और प्रवर्तन स्थिति

ANPD की प्रवर्तन गतिविधि 2024 और 2025 के दौरान सार्थक रूप से बढ़ी है, और 2026 इसी पथ पर है।

प्रशासनिक जुर्माने

LGPD नियंत्रक के पिछले वित्तीय वर्ष में ब्राज़ील में उसकी गतिविधि से राजस्व के 2 प्रतिशत तक के प्रशासनिक जुर्माने की अनुमति देता है, प्रति उल्लंघन BRL 50 मिलियन पर सीमित। ANPD ने 2025 के कई मामलों में सीमा के मध्य का उपयोग किया है, जिनमें विदेशी प्लेटफ़ॉर्म के खिलाफ भी शामिल हैं, और एजेंसी की दंड पद्धति 2024 में प्रकाशित की गई थी और अब लगातार लागू की जाती है।

अन्य प्रतिबंध

जुर्माने से परे, ANPD चेतावनियां जारी कर सकती है, सुधारात्मक उपायों की मांग कर सकती है, प्रसंस्करण गतिविधियों को आंशिक रूप से या पूरी तरह से निलंबित कर सकती है, और विशिष्ट प्रसंस्करण संचालन को प्रतिबंधित कर सकती है। उल्लंघन का प्रकाशन एक नियमित साथ की मंजूरी है और ब्राज़ीलियाई बाज़ार में प्रतिष्ठात्मक भार रखती है।

प्रवर्तन विषय

ANPD के 2025 और 2026 की शुरुआत के कार्य आवर्ती मुद्दों के इर्द-गिर्द क्लस्टर होते हैं: अस्पष्ट या अनुपस्थित सहमति बैनर, पुर्तगाली भाषा की गोपनीयता नोटिस की कमी, नए विनियमन के तहत एक वैध तंत्र के बिना क्रॉस-बॉर्डर ट्रांसफर, और 15-दिन की विंडो के भीतर डेटा विषय अनुरोधों का जवाब देने में विफलता। विदेशी प्रकाशकों को सभी चार श्रेणियों में उद्धृत किया गया है।

DPO आवश्यकता

LGPD नियंत्रकों को डेटा प्रोटेक्शन अधिकारी (Encarregado de Tratamento de Dados Pessoais) नियुक्त करने और DPO की संपर्क जानकारी प्रकाशित करने की आवश्यकता है। विदेशी नियंत्रक जो बड़े पैमाने पर ब्राज़ीलियाई डेटा को संसाधित करते हैं, उन्हें एक नामित DPO की आवश्यकता होती है, और गोपनीयता नोटिस में संपर्क जानकारी आसानी से सुलभ होनी चाहिए। ANPD ने कई प्रवर्तन पत्रों में गायब या दुर्गम DPO संपर्क जानकारी का उल्लेख किया है।

2026 में ब्राज़ीलियाई ट्रैफ़िक के लिए ऑडिट चेकलिस्ट

• CMP बैनर पुर्तगाली में Aceitar, Recusar, और Personalizar के साथ समान दृश्य प्रमुखता के साथ परोसा जाता है
• सहमति उद्देश्य दानेदार हैं और किसी भी संवेदनशील श्रेणी प्रसंस्करण को अपने सहमति प्रवाह के पीछे अलग करते हैं
• गोपनीयता नोटिस (Aviso de Privacidade) पुर्तगाली में नियंत्रक, प्रोसेसर, उद्देश्यों, प्रतिधारण, अधिकारों और DPO संपर्क के पूर्ण प्रकटीकरण के साथ उपलब्ध है
• क्रॉस-बॉर्डर ट्रांसफर ANPD-अनुमोदित मानक संविदात्मक खंड, एक पर्याप्तता निर्णय, BCR, या विशिष्ट प्राधिकरण पर निर्भर करते हैं — विरासती सहमति-प्रति-ट्रांसफर तर्क पर नहीं
• सहमति लॉग टाइमस्टैम्प किए गए हैं, निर्यात योग्य हैं, और प्रसंस्करण अवधि के साथ एक ऑडिट योग्य मार्जिन के लिए बनाए रखे गए हैं
• डेटा विषय अनुरोध कार्यप्रवाह पुर्तगाली में एंड-टू-एंड 15 दिनों के भीतर जवाब दे सकता है
• DPO नामित है और संपर्क जानकारी गोपनीयता नोटिस में प्रकाशित है
• विक्रेता सूची आवश्यकता के लिए समीक्षा की गई है, क्रॉस-बॉर्डर ट्रांसफर सतह को कम करने के लिए अप्रयुक्त या अतिरिक्त विक्रेताओं को हटाया गया है
• संवेदनशील श्रेणी ऑडियंस सेगमेंट स्पष्ट, अलग रूप से कैप्चर की गई सहमति के पीछे गेट किए गए हैं

2026 दृष्टिकोण

ब्राज़ील की गोपनीयता व्यवस्था सीमित प्रवर्तन के साथ एक अच्छी तरह से तैयार किए गए क़ानून से अमेरिका में अधिक मांग वाले शासन में से एक में परिपक्व हुई है। 2026 क्रॉस-बॉर्डर ट्रांसफर विनियमन ने सबसे महत्वपूर्ण संरचनात्मक अंतर को बंद कर दिया, और ANPD की प्रवर्तन स्थिति कानून की महत्वाकांक्षाओं के साथ पकड़ में आ गई है। प्रकाशकों के लिए जो पहले से ही GDPR-ग्रेड सहमति स्टैक चला रहे हैं, LGPD अनुपालन तक का अंतर परिचालन है वास्तुशिल्पीय नहीं: पुर्तगाली भाषा का CMP और नोटिस, ANPD-अनुमोदित ट्रांसफर तंत्र, 15-दिन की प्रतिक्रिया लय, DPO नामांकन, और व्यापक संवेदनशील-डेटा सूची के साथ सावधानी। अंतर को प्राथमिकता दिए जाने पर हफ्तों में बंद किया जा सकता है — और ब्राज़ील लैटिन अमेरिका का सबसे बड़ा एकल बाज़ार है, इसलिए प्राथमिकता आमतौर पर जल्दी वापस मिलती है। जिन प्रकाशकों ने 2024 तक ब्राज़ील को हल्के स्पर्श बाज़ार के रूप में माना वे 2026 को काफी महंगा पा रहे हैं, और जो आगे भी देरी करेंगे वे 2027 को और भी बुरा पाएंगे।