Struktura LGPD-a u 2026.

LGPD je primarni zakon o zaštiti podataka u Brazilu, a njegov temeljni tekst bio je izuzetno stabilan od donošenja. Ono što se promijenilo je regulatorna infrastruktura oko njega.

ANPD kao zreli regulator

ANPD je postala u potpunosti operativna 2021. i provela je prve tri godine grade proceduralne kapacitete, izdajući smjernice i vodeći konzultacije. Do 2024. prešla je na aktivnu provedbu, a do 2025. izrekla je neke od prvih značajnih administrativnih novčanih kazni, uključujući i one prema stranim platformama. Stav agencije u 2026. bliži je njezinim europskim pandanima nego ranijem razdoblju blagog pristupa.

Propis o prekograničnim prijenosima iz 2026.

Najvažniji regulatorni razvoj za strane izdavače bio je propis o međunarodnim prijenosima ANPD-a, koji je finaliziran krajem 2025. i stupio na snagu 2026. Propis uvodi okvir adekvatnosti, standardne ugovorne klauzule odobrene od strane ANPD-a, obvezujuća korporativna pravila i certifikacije, sve funkcionirajući analogno mehanizmima poglavlja V GDPR-a. Prije ovog propisa, prekogranični prijenosi funkcionirali su prema mnogo nejasnijim pravilima koja su izdavači i dobavljači ad-tech tehnologije obično navigirali putem bilateralnih komercijalnih aranžmana. Režim 2026. znatno je primjenjiviji, ali znatno zahtjevniji u pogledu dokumentacije.

Na koga se primjenjuje

LGPD se primjenjuje ekstrateritorijalano. Svaki voditelj obrade koji obrađuje osobne podatke pojedinaca koji se nalaze u Brazilu u trenutku prikupljanja, ili koji obrađuje podatke prikupljene iz Brazila bez obzira na mjesto obrade, u opsegu je. Strani izdavači koji opslužuju brazilske korisnike putem lokaliziranih stranica ili programskog inventara kupljenog nasuprot brazilskim IP adresama jasno su u dosegu, a ANPD je pozvao na ekstrateritorijalnu odredbu u nekoliko slučajeva 2025.

Što se smatra osobnim podacima prema LGPD-u

Definicija osobnih podataka LGPD-a široka je i usko prati GDPR. Osobni podaci su informacije koje se odnose na identificiranu ili identifikabilnu fizičku osobu, a ANPD je dosljedno tretirao kolačiće, identifikatore oglašavanja, IP adrese, digitalne otiske uređaja i profile ponašanja kao osobne podatke kada se mogu povezati s osobom izravno ili razumnim sredstvima.

Osjetljivi osobni podaci

LGPD označava širok popis osjetljivih kategorija: rasno ili etničko podrijetlo, vjersko uvjerenje, političko mišljenje, članstvo u sindikatu ili političkoj organizaciji, filozofska ili vjerska uvjerenja, zdravlje, spolni život, genetski podaci i biometrijski podaci kada se koriste za jedinstvenu identifikaciju. Obrada osjetljivih osobnih podataka aktivira strože zahtjeve za pristankom i dodatne obveze voditelja obrade.

Zašto je to važno za kolačiće

Kolačić koji pohranjuje uobičajeni identifikator sesije su obični osobni podaci. Kolačić koji hrani segment publike koji se tiče LGPD-ovog popisa osjetljivih — zdravstveni interesi, vjerske afilijacije, politička naginjanja — obrada je osjetljivih osobnih podataka i zahtijeva pojačani tok pristanka, a ne opći pristanak na oglašavanje. Izdavači koji koriste segmente publike koji se preklapaju s popisom osjetljivih trebali bi posebno auditirati svoje tokove pristanka u odnosu na tu granicu.

Pristanak na kolačiće prema LGPD-u u 2026.

LGPD dopušta više pravnih osnova za obradu, ali za kolačiće i slične tehnologije koje nisu strogo neophodne za pružanje usluge, smjernice i provedba ANPD-a konvergirale su prema pristanku kao praktičnoj polaznoj točki.

Pet elemenata valjanog pristanka

Pristanak prema LGPD-u mora biti:

• Slobodan — dan bez prisile i ne vezan uz pružanje usluge na koju korisnik inače ima pravo
• Informiran — ispitanik razumije koji podaci se obrađuju, od koga, u koje svrhe i s kojim posljedicama
• Nedvosmislen — izražen jasnom afirmativnom radnjom, a ne zaključen iz šutnje, unaprijed označenih okvira ili pomicanja kao pristanka
• Specifičan — vezan uz jasno identificirane svrhe, a ne opći krovni pristanak
• Istaknut u slučajevima koji uključuju osjetljive podatke, uz izričit i zasebni pristanak za specifičnu osjetljivu obradu

Kako izgleda sukladan CMP

CMP konfiguriran za brazilski promet u 2026. trebao bi prikazati:

• Vidljivi banner prije nego što se aktivira bilo koji neessencijalni kolačić ili praćenje, na portugalu (Português) prema zadanim postavkama za brazilske korisnike
• Jednaku vizualnu istaknutost za Aceitar (Prihvati), Recusar (Odbij) i Personalizar (Prilagodi) — ANPD je posebno istaknuo dizajne bannera gdje je Recusar radnja manje vidljiva
• Granularne prekidače po svrsi: analitika, oglašavanje, personalizacija, prekogranični prijenos i svaka obrada osjetljivih kategorija
• Zasebni, jasno označeni tok za obradu osjetljivih osobnih podataka, zaštićen vlastitom radnjom
• Trajni, lako pronađeni mehanizam za povlačenje pristanka nakon početnog izbora
• Aviso de Privacidade na portugalu s potpunim otkrivanjem voditelja obrade, izvršitelja obrade, svrha, primatelja, čuvanja i prava

Evidencija pristanka

Voditelji obrade moraju čuvati dokaze o pristanku — tko je dao pristanak, kada, u koje svrhe i putem kojeg sučelja. ANPD je naveo neadekvatne evidencije pristanka u nekoliko akcija provedbe, a izvozivi vremenski označeni dnevnici su osnovna očekivanja.

Režim prekograničnih prijenosa iz 2026.

Ovo je područje gdje 2026. izgleda bitno drugačije od 2024. Propis o međunarodnim prijenosima ANPD-a stupio je na snagu početkom godine, a strani izdavači još uvijek apsorbiraju njegove praktične implikacije.

Novi mehanizmi prijenosa

Propis pruža četiri primarna puta za legitimni prekogranični prijenos:

• Odluke o adekvatnosti koje je izdao ANPD, prepoznajući odredišne jurisdikcije ili sektore kao pružatelje odgovarajuće zaštite
• Standardne ugovorne klauzule odobrene od strane ANPD-a, koje funkcioniraju analogno GDPR SCC-ovima
• Obvezujuća korporativna pravila za prijenose unutar grupe unutar multinacionalnih organizacija
• Posebno odobrenje za prijenose koji ne odgovaraju standardnim putovima, od slučaja do slučaja

Praktični pristup 2026.

Za većinu stranih izdavača, radni pristup u 2026. je izvršiti standardne ugovorne klauzule odobrene od strane ANPD-a s međunarodnim izvršiteljima obrade, dokumentirati mehanizam prijenosa u obavijesti o privatnosti i dopuniti odobrenjem temeljenim na pristanku samo tamo gdje standardni mehanizam ne odgovara. To je bitno jednostavnije od predreforma iz 2026., koje su se često oslanjale na logiku pristanka po prijenosu koja je produirala nezgrapne CMP-ove.

Odluke o adekvatnosti do sada

ANPD je izdao odluke o adekvatnosti za šačicu jurisdikcija do početka 2026., a očekuje se da će popis postupno proširivati. Sjedinjene Države nisu na popisu adekvatnosti od početka 2026., što znači da prijenosi prema dobavljačima ad-tech i analitike u SAD-u zahtijevaju ugovorne klauzule ili drugi valjani mehanizam.

Prava ispitanika

LGPD dodjeljuje robustan skup prava, primijenjen putem brazilskog okvira:

• Pravo na potvrdu obrade
• Pravo na pristup obrađenim podacima
• Pravo na ispravljanje nepotpunih, netočnih ili zastarjelih podataka
• Pravo na anonimizaciju, blokiranje ili brisanje nepotrebnih, prekomjernih ili nezakonito obrađenih podataka
• Pravo na prenosivost podataka drugom pružatelju usluga
• Pravo na brisanje podataka obrađenih na temelju pristanka
• Pravo na informacije o javnim i privatnim subjektima s kojima su podaci dijeljeni
• Pravo na informacije o mogućnosti uskraćivanja pristanka i posljedicama uskraćivanja
• Pravo na opoziv pristanka
• Pravo na prigovor na obradu izvršenu na temelju jedne od osnova legitimnih interesa kada postoji neusklađenost
• Pravo na pregled odluka donesenih isključivo na temelju automatizirane obrade

Vremenski rokovi odgovora

Voditelji obrade moraju odgovoriti na zahtjeve ispitanika u roku od 15 dana prema propisu, s mogućnošću produžetka u opravdanim slučajevima. To je strože od 30-dnevnog prozora GDPR-a i bio je ponavljajući operativni jaz za strane izdavače prilagođene europskom ritmu.

Kazne i stav prema provedbi u 2026.

Aktivnost provedbe ANPD-a bitno je porasla tijekom 2024. i 2025., a 2026. je na sličnoj putanji.

Administrativne novčane kazne

LGPD dopušta administrativne novčane kazne do 2 posto prihoda voditelja obrade od njegovih aktivnosti u Brazilu u prethodnoj fiskalnoj godini, ograničene na BRL 50 milijuna po prekršaju. ANPD je koristio sredinu raspona u nekoliko slučajeva iz 2025., uključujući one prema stranim platformama, a metodologija kazni agencije objavljena je 2024. i sada se primjenjuje dosljedno.

Ostale sankcije

Osim novčanih kazni, ANPD može izdavati upozorenja, zahtijevati korektivne mjere, djelomično ili u potpunosti suspendirati aktivnosti obrade i zabraniti specifične operacije obrade. Objavljivanje prekršaja rutinska je popratna sankcija i nosi reputacijsku težinu na brazilskom tržištu.

Teme provedbe

Akcije ANPD-a u 2025. i početku 2026. grupiraju se oko ponavljajućih problema: nejasni ili odsutni banneri za pristanak, nedostatak obavijesti o privatnosti na portugalu, prekogranični prijenosi bez valjanog mehanizma prema novom propisu i neuspjeh odgovaranja na zahtjeve ispitanika unutar 15-dnevnog prozora. Strani izdavači navedeni su u sve četiri kategorije.

Zahtjev za DPO-om

LGPD zahtijeva od voditelja obrade da imenuju službenika za zaštitu podataka (Encarregado de Tratamento de Dados Pessoais) i objave kontaktne podatke DPO-a. Strani voditelji obrade koji u velikom opsegu obrađuju brazilske podatke trebaju imenovanog DPO-a, a kontaktni podaci moraju biti lako dostupni u obavijesti o privatnosti. ANPD je naveo nedostajuće ili nedostupne kontaktne podatke DPO-a u nekoliko pisama provedbe.

Revizijski popis provjere za brazilski promet u 2026.

• CMP banner se prikazuje na portugalu s Aceitar, Recusar i Personalizar s jednakom vizualnom istaknutošću
• Svrhe pristanka su granularne i odvajaju svaku obradu osjetljivih kategorija iza vlastitog toka pristanka
• Obavijest o privatnosti (Aviso de Privacidade) dostupna je na portugalu s potpunim otkrivanjem voditelja obrade, izvršitelja obrade, svrha, čuvanja, prava i kontakta DPO-a
• Prekogranični prijenosi oslanjaju se na standardne ugovorne klauzule odobrene od strane ANPD-a, odluku o adekvatnosti, BCR-ove ili posebno odobrenje — ne na naslijeđenu logiku pristanka po prijenosu
• Dnevnici pristanka su vremenski označeni, izvozivi i čuvani za trajanje obrade plus revizijska margina
• Tijek rada zahtjeva ispitanika može odgovoriti u roku od 15 dana od kraja do kraja, na portugalu
• DPO je imenovan i kontaktni podaci objavljeni su u obavijesti o privatnosti
• Popis dobavljača pregledan je radi nužnosti, s uklonjenim nekorištenim ili suvišnim dobavljačima kako bi se smanjila površina prekograničnog prijenosa
• Segmenti publike osjetljivih kategorija zaštićeni su iza izričitog, zasebno prikupljenog pristanka

Izgledi za 2026.

Brazilski režim privatnosti sazrio je od dobro napisanog zakona s ograničenom provedbom do jednog od zahtjevnijih režima u Americi. Propis o prekograničnim prijenosima iz 2026. zatvorio je najznačajniju strukturalnu prazninu, a stav ANPD-a prema provedbi dostigao je ambicije zakona. Za izdavače koji već upravljaju GDPR-razinom skupa za pristanak, jaz do usklađenosti s LGPD-om operativan je, a ne arhitekturalan: CMP i obavijest na portugalu, mehanizmi prijenosa odobreni od ANPD-a, ritam odgovora od 15 dana, imenovanje DPO-a i pažnja prema širem popisu osjetljivih podataka. Jaz se može zatvoriti za tjednima ako se prioritizira — a Brazil je najveće pojedinačno tržište u Latinskoj Americi, pa se prioritizacija tipično brzo isplati. Izdavači koji su tretirali Brazil kao lakše tržište do 2024. otkrivaju da je 2026. bitno skuplje, a oni koji dalje odgađaju otkriti će da je 2027. još gore.