Brazília LGPD-je 2026-ban: az ANPD végrehajtási attitűdje, cookie-hozzájárulás és határokon átnyúló adattovábbítási útmutató kiadók és hirdetők számára
Brazília Lei Geral de Proteção de Dados Pessoais (LGPD) törvénye 2020 szeptemberében lépett hatályba, és első három évének nagy részében szokatlanul jól megírt, de egyenetlenül végrehajtott adatvédelmi rezsim volt. Ez az időszak véget ért. Az Autoridade Nacional de Proteção de Dados (ANPD) 2024 és 2025 folyamán az útmutatók kiadásából aktív végrehajtásra váltott, az ügynökség 2025-ös sandbox programja érett, és a 2026-os nemzetközi adattovábbítási rendelet végre tisztázta az LGPD egyik leghomályosabb területét. Minden kiadó, hirdető vagy platform számára, amely brazil felhasználók személyes adatait kezeli — akár Brazíliában, akár a brazíliai piacot külföldről kiszolgálva — a 2026-os környezet érzékelhetően szigorúbb a 2023-asnál. Ez az útmutató bemutatja az LGPD jelenlegi állapotát, a cookie-khoz szükséges hozzájárulás valódi követelményeit, a határokon átnyúló adattovábbítás új rendelet szerinti működését és az ANPD 2026-os végrehajtási prioritásait.
Az LGPD szerkezete 2026-ban
Az LGPD Brazília elsődleges adatvédelmi törvénye, és alapszövege a megalkotás óta figyelemre méltóan stabil maradt. Ami változott, az a körülötte kialakult szabályozási infrastruktúra.
Az ANPD mint érett szabályozó
Az ANPD 2021-ben vált teljesen működőképessé, és első három évét eljárási kapacitások kiépítésével, útmutatók kiadásával és konzultációk lefolytatásával töltötte. 2024-re aktív végrehajtásba lépett, 2025-re pedig kiadta első jelentős közigazgatási bírságait, köztük külföldi platformok ellen. Az ügynökség 2026-os attitűdje közelebb áll európai társaihoz, mint korábbi puha korszakához.
A 2026-os határokon átnyúló adattovábbítási rendelet
A külföldi kiadók számára a legfontosabb szabályozási fejlemény az ANPD nemzetközi adattovábbítási rendelete volt, amelyet 2025 végén véglegesítettek és 2026-ban lépett hatályba. A rendelet megfelelőségi keretet, az ANPD által jóváhagyott szerződéses modellfeltételeket, kötelező erejű vállalati szabályokat és tanúsítványokat vezet be, amelyek analóg módon működnek a GDPR V. fejezetének mechanizmusaival. E rendelet előtt a határokon átnyúló adattovábbítások egy sokkal homályosabb szabályrendszer alapján működtek, amelyet a kiadók és az ad-tech szállítók jellemzően kétoldalú kereskedelmi megállapodásokkal kezeltek. A 2026-os rendszer lényegesen jobban kezelhető, de a dokumentáció tekintetében lényegesen szigorúbb.
Kire vonatkozik
Az LGPD területen kívüli hatállyal rendelkezik. Minden adatkezelő, amely az összegyűjtés időpontjában Brazíliában tartózkodó személyek személyes adatait kezeli, vagy Brazíliából gyűjtött adatokat dolgoz fel — függetlenül az adatfeldolgozás helyétől —, hatálya alá esik. A brazil felhasználókat lokalizált webhelyeken vagy brazil IP-k ellen vásárolt programmatic készleten keresztül kiszolgáló külföldi kiadók egyértelműen elérhetők, és az ANPD több 2025-ös ügyben hivatkozott az extraterritoriális rendelkezésre.
Mi minősül személyes adatnak az LGPD szerint
Az LGPD személyes adat definíciója széles körű és szorosan követi a GDPR-t. A személyes adat azonosított vagy azonosítható természetes személyre vonatkozó információ, és az ANPD következetesen személyes adatként kezeli a cookie-kat, hirdetési azonosítókat, IP-címeket, eszköz-ujjlenyomatokat és viselkedési profilokat, ha azok közvetlenül vagy ésszerű eszközökkel egy személyhez köthetők.
Különleges személyes adatok
Az LGPD különleges kategóriák széles listáját jelöli meg: faji vagy etnikai eredet, vallási meggyőződés, politikai vélemény, szakszervezeti vagy politikai szervezeti tagság, filozófiai vagy vallási meggyőződés, egészségi állapot, szexuális élet, genetikai adatok és biometrikus adatok, ha egyedi azonosításra használják őket. A különleges személyes adatok kezelése szigorúbb hozzájárulási követelményeket és további adatkezelői kötelezettségeket von maga után.
Miért fontos ez a cookie-k esetében
Egy rutinszerű munkamenet-azonosítót tároló cookie közönséges személyes adat. Egy olyan cookie, amely az LGPD különleges listájával érintkező közönségszegmenst táplál — egészségügyi érdekek, vallási hovatartozás, politikai irányultságok —, különleges személyes adatok kezelése, és emelt szintű hozzájárulási folyamatot igényel, nem az általános hirdetési hozzájárulást. Azoknak a kiadóknak, amelyek különleges listával átfedő közönségszegmenseket futtatnak, kifejezetten e határhoz viszonyítva kell auditálniuk a hozzájárulási folyamataikat.
Cookie-hozzájárulás az LGPD alapján 2026-ban
Az LGPD több jogszerű adatkezelési alapot enged meg, de a nem feltétlenül szükséges cookie-k és hasonló technológiák esetében az ANPD útmutatói és végrehajtási gyakorlata a hozzájárulást jelölték ki gyakorlati alapelvként.
Az érvényes hozzájárulás öt eleme
Az LGPD szerinti hozzájárulásnak:
- Önkéntesnek kell lennie — kényszer nélkül adott, és nem kötődhet olyan szolgáltatás nyújtásához, amelyre a felhasználó egyébként jogosult
- Tájékozottnak kell lennie — az érintett érti, milyen adatokat, ki, milyen célra és milyen következményekkel dolgoz fel
- Egyértelműnek kell lennie — határozott megerősítő aktussal kifejezve, nem hallgatásból, előre bejelölt jelölőnégyzetekből vagy görgetéssel adott hozzájárulásból következtetve
- Konkrétnak kell lennie — egyértelműen meghatározott célokhoz kötve, nem általános, mindent felölelő hozzájárulásként
- Kiemeltnek kell lennie érzékeny adatokkal járó esetekben, az adott érzékeny adatkezelésre vonatkozó kifejezett és külön hozzájárulással
Hogyan néz ki egy megfelelő CMP
A brazil forgalomra 2026-ban konfigurált CMP-nek a következőket kell bemutatnia:
- Látható banner minden nem lényeges cookie vagy tracker aktiválása előtt, alapértelmezés szerint portugál nyelven (Português) brazil felhasználók számára
- Az Aceitar (Elfogad), Recusar (Elutasít) és Personalizar (Testreszab) egyenlő vizuális hangsúlya — az ANPD kifejezetten kifogásolta azokat a bannerterveket, ahol a Recusar művelet kevésbé látható
- Célonkénti részletes kapcsolók: analitika, hirdetés, személyre szabás, határokon átnyúló adattovábbítás és bármely különleges kategóriájú adatkezelés
- A különleges személyes adatok kezelésére vonatkozó külön, egyértelműen megjelölt folyamat, amely saját művelethez van kötve
- Tartós, könnyen megtalálható mechanizmus a hozzájárulás visszavonására az eredeti választás után
- Portugál nyelvű Aviso de Privacidade, teljes körű tájékoztatással az adatkezelőről, adatfeldolgozókról, célokról, címzettekről, megőrzési időről és jogokról
Hozzájárulási nyilvántartások
Az adatkezelőknek bizonyítékot kell megőrizniük a hozzájárulásról — ki, mikor, milyen célra és milyen felületen járult hozzá. Az ANPD több végrehajtási eljárásban hivatkozott nem megfelelő hozzájárulási nyilvántartásra, és az exportálható, időbélyeggel ellátott naplók a minimumelvárás.
A 2026-os határokon átnyúló adattovábbítási rendszer
Ez az a terület, ahol 2026 érzékelhetően különbözik 2024-től. Az ANPD nemzetközi adattovábbítási rendelete az év elején lépett hatályba, és a külföldi kiadók még feldolgozzák a gyakorlati következményeket.
Az új adattovábbítási mechanizmusok
A rendelet négy elsődleges útvonalat biztosít a törvényes határokon átnyúló adattovábbításhoz:
- Megfelelőségi határozatok, amelyeket az ANPD ad ki, elismerve a célállomás joghatóságát vagy szektorait megfelelő védelmet nyújtónak
- Standard szerződéses feltételek, amelyeket az ANPD hagyott jóvá, és amelyek analóg módon működnek a GDPR SCC-khez
- Kötelező erejű vállalati szabályok multinacionális szervezeteken belüli csoporton belüli adattovábbításhoz
- Egyedi engedélyezés azokhoz az adattovábbításokhoz, amelyek nem illeszkednek a standard útvonalakhoz, esetenként
A gyakorlati 2026-os megközelítés
A legtöbb külföldi kiadó számára 2026-ban a működő megközelítés az ANPD által jóváhagyott standard szerződéses feltételek megkötése a nemzetközi adatfeldolgozókkal, az adattovábbítási mechanizmus dokumentálása az adatvédelmi tájékoztatóban, és a hozzájárulás alapú felhatalmazás csak ott, ahol a standard mechanizmus nem megfelelő. Ez lényegesen egyszerűbb a 2026 előtti rendszernél, amely gyakran átvitel-onkénti hozzájárulási logikán alapult, és nehézkes CMP-ket eredményezett.
Megfelelőségi határozatok eddig
Az ANPD 2026 elejéig megfelelőségi határozatokat adott ki néhány joghatóság számára, és várhatóan fokozatosan bővíti a listát. Az Egyesült Államok 2026 elején nem szerepel a megfelelőségi listán, ami azt jelenti, hogy az USA-ban székhellyel rendelkező ad-tech és analitikai szállítók felé irányuló adattovábbítások szerződéses feltételeket vagy más érvényes mechanizmust igényelnek.
Érintetti jogok
Az LGPD jogok erős készletét biztosítja, a brazil keretrendszeren belül alkalmazva:
- Az adatkezelés megerősítéséhez való jog
- A kezelt adatokhoz való hozzáférés joga
- A hiányos, pontatlan vagy elavult adatok helyesbítésének joga
- A szükségtelen, túlzott vagy jogszerűtlenül kezelt adatok anonimizálásához, zárolásához vagy törléséhez való jog
- Az adatok hordozhatóságának joga egy másik szolgáltatóhoz
- A hozzájárulás alapján kezelt adatok törlésének joga
- A tájékoztatáshoz való jog arról, hogy mely köz- és magánentitásokkal osztottak meg adatokat
- A tájékoztatáshoz való jog a hozzájárulás megtagadásának lehetőségéről és a megtagadás következményeiről
- A hozzájárulás visszavonásának joga
- A jogos érdek valamelyik alapján végzett adatkezelésnek való ellentmondás joga, ha nem megfelelő
- A kizárólag automatizált adatkezelés alapján hozott döntések felülvizsgálatának joga
Válaszadási határidők
Az adatkezelőknek a rendelet szerint 15 napon belül kell válaszolniuk az érintetti kérelmekre, indokolt esetben lehetőség van meghosszabbításra. Ez szigorúbb a GDPR 30 napos határidejénél, és visszatérő működési hiányosság volt a külföldi kiadóknál, amelyek az európai ritmusra hangolódtak.
Szankciók és végrehajtási attitűd 2026-ban
Az ANPD végrehajtási tevékenysége 2024 és 2025 folyamán érzékelhetően fokozódott, és 2026 hasonló pályán halad.
Közigazgatási bírságok
Az LGPD legfeljebb az adatkezelő brazil tevékenységéből az előző pénzügyi évben származó bevételének 2 százaléka összegű közigazgatási bírságot tesz lehetővé, infrakcióonként BRL 50 millió felső határral. Az ANPD a tartomány közepét alkalmazta több 2025-ös ügyben, köztük külföldi platformok ellen, és az ügynökség büntetéskiszabási módszertana 2024-ben jelent meg és már következetesen alkalmazzák.
Egyéb szankciók
A bírságokon túl az ANPD figyelmeztetéseket adhat ki, korrekciós intézkedéseket követelhet meg, részben vagy teljesen felfüggesztheti az adatkezelési tevékenységeket, és megtilthat egyes adatkezelési műveleteket. A jogsértés közzététele rutinszerűen kísérő szankció, és reputációs súlya van a brazíliai piacon.
Végrehajtási témák
Az ANPD 2025-ös és 2026 eleji intézkedései visszatérő problémák köré csoportosulnak: kétértelmű vagy hiányzó hozzájárulási bannerek, portugál nyelvű adatvédelmi tájékoztató hiánya, határokon átnyúló adattovábbítások az új rendelet szerinti érvényes mechanizmus nélkül, valamint az érintetti kérelmekre 15 napon belüli válaszadás elmulasztása. Külföldi kiadókat mind a négy kategóriában érintett az eljárás.
Az adatvédelmi tisztviselő (DPO) követelménye
Az LGPD előírja az adatkezelők számára, hogy jelöljenek ki adatvédelmi tisztviselőt (Encarregado de Tratamento de Dados Pessoais), és tegyék közzé a DPO elérhetőségeit. A brazíliai adatokat nagy léptékben kezelő külföldi adatkezelőknek kijelölt DPO-val kell rendelkezniük, és az elérhetőségeknek könnyen hozzáférhetőnek kell lenniük az adatvédelmi tájékoztatóban. Az ANPD több végrehajtási levélben hivatkozott hiányzó vagy nem hozzáférhető DPO-elérhetőségre.
Ellenőrzési lista a brazil forgalomhoz 2026-ban
- A CMP banner portugál nyelven jelenik meg, az Aceitar, Recusar és Personalizar egyenlő vizuális hangsúllyal
- A hozzájárulási célok részletesek, és minden különleges kategóriájú adatkezelés saját hozzájárulási folyamat mögé van zárva
- Az adatvédelmi tájékoztató (Aviso de Privacidade) portugál nyelven érhető el, teljes körű tájékoztatással az adatkezelőről, adatfeldolgozókról, célokról, megőrzési időről, jogokról és DPO-elérhetőségről
- A határokon átnyúló adattovábbítások ANPD által jóváhagyott standard szerződéses feltételeken, megfelelőségi határozaton, BCR-en vagy egyedi felhatalmazáson alapulnak — nem régi átvitel-onkénti hozzájárulási logikán
- A hozzájárulási naplók időbélyeggel ellátottak, exportálhatók és a kezelési időtartam plusz egy auditálható tartalék ideig megőrzöttek
- Az érintetti kérelmek munkafolyamata 15 napon belül, portugálul képes végponttól végpontig válaszolni
- A DPO ki van jelölve, és elérhetőségei közzé vannak téve az adatvédelmi tájékoztatóban
- A szállítói lista felül lett vizsgálva a szükségesség szempontjából, a nem használt vagy redundáns szállítókat eltávolítva a határokon átnyúló adattovábbítási felszín csökkentése érdekében
- A különleges kategóriájú közönségszegmensek kifejezett, külön rögzített hozzájárulás mögé vannak zárva
A 2026-os kilátások
Brazília adatvédelmi rezsimje egy jól megírt, de korlátozott végrehajtású törvényből az Amerika egyik legkövetelőbb rezsimjévé érett. A 2026-os határokon átnyúló adattovábbítási rendelet lezárta a legjelentősebb strukturális hiányosságot, és az ANPD végrehajtási attitűdje felzárkózott a törvény ambícióihoz. Azoknak a kiadóknak, amelyek már GDPR-szintű hozzájárulási megoldást futtatnak, az LGPD-megfeleléstől való távolság inkább működési, mint architekturális jellegű: portugál nyelvű CMP és tájékoztató, ANPD által jóváhagyott adattovábbítási mechanizmusok, 15 napos válaszadási ritmus, DPO kijelölése és gondosság a szélesebb különleges adatok listájával. A hiányosság heteken belül behozható, ha prioritásként kezelik — és Brazília Latin-Amerika egyetlen legnagyobb piaca, így a prioritizálás jellemzően gyorsan megtérül. Azok a kiadók, amelyek 2024-ig könnyebb érintettségű piacként kezelték Brazíliát, 2026-ban érzékelhetően magasabb költségeket tapasztalnak, és azok, akik tovább halasztják, 2027-ben még rosszabb helyzetbe kerülnek.