Struktur LGPD di 2026

LGPD adalah undang-undang perlindungan data utama di Brasil, dan teks intinya tetap luar biasa stabil sejak diberlakukan. Yang berubah adalah infrastruktur regulasi di sekitarnya.

ANPD sebagai Regulator yang Matang

ANPD menjadi sepenuhnya beroperasi pada 2021 dan menghabiskan tiga tahun pertamanya membangun kapasitas prosedural, menerbitkan panduan, dan menjalankan konsultasi. Pada 2024 ia telah bergerak ke penegakan aktif, dan pada 2025 telah mengeluarkan beberapa denda administratif signifikan pertamanya, termasuk terhadap platform asing. Postur lembaga ini di 2026 lebih dekat dengan rekan-rekan Eropanya daripada periode sentuhan lembut sebelumnya.

Regulasi Transfer Lintas Batas 2026

Perkembangan regulasi terpenting bagi penerbit asing adalah regulasi transfer internasional ANPD, yang diselesaikan pada akhir 2025 dan mulai berlaku pada 2026. Regulasi ini memperkenalkan kerangka kecukupan, klausul kontraktual model yang disetujui ANPD, aturan korporat yang mengikat, dan sertifikasi, semuanya berfungsi secara analog dengan mekanisme Bab V GDPR. Sebelum regulasi ini, transfer lintas batas beroperasi di bawah serangkaian aturan yang jauh lebih samar yang biasanya dinavigasi oleh penerbit dan vendor ad-tech melalui pengaturan komersial bilateral. Rezim 2026 jauh lebih dapat dikelola tetapi jauh lebih menuntut dalam hal dokumentasi.

Siapa yang Diatur

LGPD berlaku secara ekstrateriorial. Setiap pengontrol yang memproses data pribadi individu yang berlokasi di Brasil pada saat pengumpulan, atau memproses data yang dikumpulkan dari Brasil tanpa memperhatikan di mana pemrosesan terjadi, berada dalam cakupan. Penerbit asing yang melayani pengguna Brasil melalui situs yang dilokalisasi atau inventaris programatik yang dibeli terhadap IP Brasil jelas dalam jangkauan, dan ANPD telah memanggil ketentuan ekstrateriorial dalam beberapa kasus 2025.

Apa yang Dihitung sebagai Data Pribadi di Bawah LGPD

Definisi data pribadi LGPD luas dan mengikuti GDPR secara erat. Data pribadi adalah informasi yang berkaitan dengan orang alami yang diidentifikasi atau dapat diidentifikasi, dan ANPD secara konsisten memperlakukan cookie, pengidentifikasi iklan, alamat IP, sidik jari perangkat, dan profil perilaku sebagai data pribadi ketika dapat dikaitkan dengan individu secara langsung atau dengan cara yang wajar.

Data Pribadi Sensitif

LGPD menetapkan daftar kategori sensitif yang luas: asal ras atau etnis, keyakinan agama, pendapat politik, keanggotaan serikat pekerja atau organisasi politik, keyakinan filosofis atau agama, kesehatan, kehidupan seksual, data genetik, dan data biometrik ketika digunakan untuk identifikasi unik. Pemrosesan data pribadi sensitif memicu persyaratan persetujuan yang lebih ketat dan kewajiban pengontrol tambahan.

Mengapa Ini Penting untuk Cookie

Cookie yang menyimpan pengidentifikasi sesi rutin adalah data pribadi biasa. Cookie yang memberi makan segmen audiens yang menyentuh daftar sensitif LGPD — minat kesehatan, afiliasi agama, kecenderungan politik — adalah pemrosesan data pribadi sensitif dan memerlukan alur persetujuan yang ditingkatkan, bukan persetujuan iklan umum. Penerbit yang menjalankan segmen audiens yang tumpang tindih dengan daftar sensitif harus mengaudit alur persetujuan mereka secara khusus terhadap batas ini.

Persetujuan Cookie di Bawah LGPD di 2026

LGPD mengizinkan beberapa dasar hukum untuk pemrosesan, tetapi untuk cookie dan teknologi serupa yang tidak sepenuhnya diperlukan untuk penyampaian layanan, panduan dan penegakan ANPD telah berkumpul pada persetujuan sebagai dasar praktis.

Lima Elemen Persetujuan yang Valid

Persetujuan di bawah LGPD harus:

• Bebas — diberikan tanpa paksaan dan tidak digabungkan dengan penyediaan layanan yang seharusnya berhak diterima pengguna
• Terinformasi — subjek data memahami data apa yang diproses, oleh siapa, untuk tujuan apa, dan dengan konsekuensi apa
• Tidak ambigu — dinyatakan melalui tindakan afirmatif yang jelas, tidak disimpulkan dari keheningan, kotak yang dicentang sebelumnya, atau scroll-as-consent
• Spesifik — terikat pada tujuan yang diidentifikasi dengan jelas daripada persetujuan umum yang menyeluruh
• Disorot dalam kasus yang melibatkan data sensitif, dengan persetujuan eksplisit dan terpisah untuk pemrosesan sensitif spesifik

Seperti Apa CMP yang Patuh

CMP yang dikonfigurasi untuk lalu lintas Brasil di 2026 harus menyajikan:

• Banner yang terlihat sebelum cookie atau pelacak non-esensial mana pun aktif, dalam bahasa Portugis (Português) secara default untuk pengguna Brasil
• Keunggulan visual yang setara untuk Aceitar (Terima), Recusar (Tolak), dan Personalizar (Sesuaikan) — ANPD secara khusus menyoroti desain banner di mana tindakan Recusar kurang terlihat
• Toggle granular per tujuan: analitik, periklanan, personalisasi, transfer lintas batas, dan pemrosesan kategori sensitif apa pun
• Alur terpisah dan berlabel jelas untuk pemrosesan data pribadi sensitif, yang dikunci di balik tindakannya sendiri
• Mekanisme yang persisten dan mudah ditemukan untuk menarik persetujuan setelah pilihan awal
• Aviso de Privacidade berbahasa Portugis dengan pengungkapan lengkap tentang pengontrol, pemroses, tujuan, penerima, retensi, dan hak

Catatan Persetujuan

Pengontrol harus mempertahankan bukti persetujuan — siapa yang menyetujui, kapan, untuk tujuan apa, dan melalui antarmuka mana. ANPD telah mengutip catatan persetujuan yang tidak memadai dalam beberapa tindakan penegakan, dan log dengan cap waktu yang dapat diekspor adalah ekspektasi dasar.

Rezim Transfer Lintas Batas 2026

Ini adalah area di mana 2026 terlihat berbeda secara berarti dari 2024. Regulasi transfer internasional ANPD mulai berlaku pada awal tahun, dan implikasi praktisnya masih diserap oleh penerbit asing.

Mekanisme Transfer Baru

Regulasi menyediakan empat jalur utama untuk transfer lintas batas yang sah:

• Keputusan kecukupan yang dikeluarkan oleh ANPD yang mengakui yurisdiksi atau sektor tujuan sebagai memberikan perlindungan yang memadai
• Klausul kontraktual standar yang disetujui oleh ANPD, yang berfungsi secara analog dengan SCC GDPR
• Aturan korporat yang mengikat untuk transfer intra-grup dalam organisasi multinasional
• Otorisasi khusus untuk transfer yang tidak sesuai dengan jalur standar, berdasarkan kasus per kasus

Pendekatan Praktis 2026

Bagi sebagian besar penerbit asing, pendekatan yang berhasil di 2026 adalah mengeksekusi klausul kontraktual standar yang disetujui ANPD dengan pemroses internasional, mendokumentasikan mekanisme transfer dalam pemberitahuan privasi, dan menambahkan otorisasi berbasis persetujuan hanya di mana mekanisme standar tidak cocok. Ini secara berarti lebih sederhana daripada rezim pra-2026, yang sering mengandalkan logika persetujuan per transfer yang menghasilkan CMP yang tidak praktis.

Keputusan Kecukupan Hingga Saat Ini

ANPD telah mengeluarkan keputusan kecukupan untuk segelintir yurisdiksi hingga awal 2026, dan diharapkan memperluas daftar secara bertahap. Amerika Serikat tidak ada dalam daftar kecukupan pada awal 2026, yang berarti transfer ke vendor ad-tech dan analitik berbasis AS memerlukan klausul kontraktual atau mekanisme valid lainnya.

Hak Subjek Data

LGPD memberikan seperangkat hak yang kuat, diterapkan melalui kerangka kerja Brasil:

• Hak untuk konfirmasi pemrosesan
• Hak akses ke data yang diproses
• Hak untuk mengoreksi data yang tidak lengkap, tidak akurat, atau tidak mutakhir
• Hak atas anonimisasi, pemblokiran, atau penghapusan data yang tidak perlu, berlebihan, atau diproses secara tidak sah
• Hak atas portabilitas data ke penyedia layanan lain
• Hak untuk menghapus data yang diproses atas dasar persetujuan
• Hak atas informasi tentang entitas publik dan swasta yang menerima data
• Hak atas informasi tentang kemungkinan menolak persetujuan dan konsekuensi penolakan
• Hak untuk mencabut persetujuan
• Hak untuk menolak pemrosesan yang dilakukan berdasarkan salah satu dasar kepentingan sah ketika ada ketidakpatuhan
• Hak untuk meninjau keputusan yang dibuat semata-mata berdasarkan pemrosesan otomatis

Jadwal Respons

Pengontrol harus merespons permintaan subjek data dalam 15 hari di bawah regulasi, dengan kemampuan untuk memperpanjang dalam kasus yang dibenarkan. Ini lebih ketat dari jendela 30 hari GDPR dan telah menjadi kesenjangan operasional berulang bagi penerbit asing yang disesuaikan dengan ritme Eropa.

Sanksi dan Postur Penegakan di 2026

Aktivitas penegakan ANPD telah meningkat secara berarti sepanjang 2024 dan 2025, dan 2026 berada di jalur serupa.

Denda Administratif

LGPD mengizinkan denda administratif hingga 2 persen dari pendapatan pengontrol dari aktivitasnya di Brasil pada tahun fiskal sebelumnya, dengan batas BRL 50 juta per pelanggaran. ANPD telah menggunakan kisaran tengah dalam beberapa kasus 2025, termasuk terhadap platform asing, dan metodologi penalti lembaga ini diterbitkan pada 2024 dan kini diterapkan secara konsisten.

Sanksi Lainnya

Di luar denda, ANPD dapat mengeluarkan peringatan, memerlukan tindakan korektif, menangguhkan sebagian atau seluruh kegiatan pemrosesan, dan melarang operasi pemrosesan tertentu. Publikasi pelanggaran adalah sanksi pendamping rutin dan membawa bobot reputasional di pasar Brasil.

Tema Penegakan

Tindakan ANPD 2025 dan awal 2026 berkumpul di sekitar masalah berulang: banner persetujuan yang ambigu atau tidak ada, tidak adanya pemberitahuan privasi berbahasa Portugis, transfer lintas batas tanpa mekanisme yang valid di bawah regulasi baru, dan kegagalan untuk merespons permintaan subjek data dalam jendela 15 hari. Penerbit asing telah dikutip dalam semua empat kategori.

Persyaratan DPO

LGPD mengharuskan pengontrol untuk menunjuk Petugas Perlindungan Data (Encarregado de Tratamento de Dados Pessoais) dan menerbitkan informasi kontak DPO. Pengontrol asing yang memproses data Brasil dalam skala besar memerlukan DPO yang ditunjuk, dan informasi kontak harus mudah diakses dalam pemberitahuan privasi. ANPD telah mengutip informasi kontak DPO yang hilang atau tidak dapat diakses dalam beberapa surat penegakan.

Daftar Periksa Audit untuk Lalu Lintas Brasil di 2026

• Banner CMP disajikan dalam bahasa Portugis dengan Aceitar, Recusar, dan Personalizar pada keunggulan visual yang setara
• Tujuan persetujuan bersifat granular dan memisahkan pemrosesan kategori sensitif apa pun di balik alur persetujuannya sendiri
• Pemberitahuan privasi (Aviso de Privacidade) tersedia dalam bahasa Portugis dengan pengungkapan lengkap tentang pengontrol, pemroses, tujuan, retensi, hak, dan kontak DPO
• Transfer lintas batas mengandalkan klausul kontraktual standar yang disetujui ANPD, keputusan kecukupan, BCR, atau otorisasi khusus — bukan logika persetujuan per transfer warisan
• Log persetujuan dicap waktu, dapat diekspor, dan disimpan selama durasi pemrosesan ditambah margin yang dapat diaudit
• Alur kerja permintaan subjek data dapat merespons dalam 15 hari dari ujung ke ujung, dalam bahasa Portugis
• DPO ditunjuk dan informasi kontak diterbitkan dalam pemberitahuan privasi
• Daftar vendor telah ditinjau untuk kebutuhan, dengan vendor yang tidak digunakan atau berlebihan dihapus untuk mengurangi permukaan transfer lintas batas
• Segmen audiens kategori sensitif dikunci di balik persetujuan yang eksplisit dan ditangkap secara terpisah

Prospek 2026

Rezim privasi Brasil telah matang dari undang-undang yang ditulis dengan baik dengan penegakan terbatas menjadi salah satu rezim yang paling menuntut di Amerika. Regulasi transfer lintas batas 2026 menutup kesenjangan struktural yang paling konsekuensial, dan postur penegakan ANPD telah mengejar ambisi hukum. Bagi penerbit yang sudah menjalankan tumpukan persetujuan tingkat GDPR, kesenjangan menuju kepatuhan LGPD bersifat operasional daripada arsitektural: CMP dan pemberitahuan berbahasa Portugis, mekanisme transfer yang disetujui ANPD, ritme respons 15 hari, penunjukan DPO, dan kehati-hatian dengan daftar data sensitif yang lebih luas. Kesenjangan dapat ditutup dalam beberapa minggu jika diprioritaskan — dan Brasil adalah pasar tunggal terbesar di Amerika Latin, sehingga prioritisasi biasanya cepat terbayar. Penerbit yang memperlakukan Brasil sebagai pasar dengan sentuhan lebih ringan hingga 2024 mendapati 2026 secara berarti lebih mahal, dan mereka yang menunda lebih lanjut akan mendapati 2027 lebih buruk lagi.