Uppbygging LGPD árið 2026

LGPD er aðal persónuverndarlöggjöf Brasilíu og meginmál hennar hefur verið sláandi stöðugt síðan lögfesting. Það sem hefur breyst er reglugerðarinnviðin í kringum hana.

ANPD sem þroskaður eftirlitsaðili

ANPD varð að fullu starfhæf árið 2021 og eyddi fyrstu þremur árum sínum í að byggja upp málsmeðferðarlegt getu, gefa út leiðbeiningar og halda ráðgjafar. Árið 2024 var hún komin í virka framkvæmd og árið 2025 hafði hún gefið út nokkrar af fyrstu verulegu stjórnvaldssektum sínum, þar á meðal gegn erlendum vettvangi. Viðhorf stofnunarinnar árið 2026 er nær evrópskum hliðstæðum hennar en fyrri milda tímabili hennar.

Millilandafærslureglugerðin 2026

Mikilvægasta reglulega þróunin fyrir erlenda útgefendur var alþjóðleg flutningsreglugerð ANPD, sem var endanleg í lok 2025 og tók gildi 2026. Reglugerðin kynnir fullnægjingarlegt ramma, samningsskilmála líkan sem ANPD samþykkti, bindandi samstæðureglur og vottanir, allt virk á samsvarandi hátt og mekanismar V. kafla GDPR. Fyrir þessa reglugerð virku millilandafærslur samkvæmt miklu óljósari reglum sem útgefendur og ad-tech seljendur fóru venjulega í gegnum tvíhliða viðskiptafyrirkomulag. Kerfi 2026 er verulega auðveldara í notkun en verulega meira krefjandi hvað varðar skjölun.

Hverjir eru eftirliti háðir

LGPD á við utan landamæri. Sérhver stjórnandi sem vinnur persónuupplýsingar einstaklinga sem eru staðsettir í Brasilíu á söfnunartíma, eða vinnur gögn sem safnað var frá Brasilíu óháð því hvar vinnsla á sér stað, er á sviði. Erlendir útgefendur sem þjóna brasilísku notendum í gegnum staðfærðar síður eða forritunarlegar birgðir keyptar gegn brasilísku IP eru greinilega innan seilingar og ANPD hefur vísað í landamærasákvæðið í nokkrum málum 2025.

Hvað telst til persónuupplýsinga samkvæmt LGPD

Persónuupplýsingaskilgreining LGPD er víð og fylgir GDPR náið. Persónuupplýsingar eru upplýsingar sem tengjast auðþekkdum eða auðþekkjanlegum einstaklingi og ANPD hefur stöðugt litið á kökur, auglýsingauðkenni, IP-tölur, tækisfingrafarir og hegðunarsnið sem persónuupplýsingar þegar þau hægt er að tengja við einstakling beint eða með sanngjarnar leiðir.

Viðkvæmar persónuupplýsingar

LGPD tilnefnir víðan lista yfir viðkvæmar flokkar: kynþátta- eða þjóðernislegt uppruni, trúarleg skoðun, pólitísk skoðun, aðild að stéttarfélagi eða pólitískt skipulag, heimspekilegar eða trúarlegar sannfæringar, heilsa, kynlíf, erfðafræðileg gögn og lífkennaleg gögn þegar þau eru notuð til einstakrar auðkenningar. Vinnsla viðkvæmra persónuupplýsinga kallar á strangari samþykkiskröfur og fleiri skyldur stjórnenda.

Af hverju skiptir þetta máli fyrir kökur

Kaka sem geymir venjulegt lotu-auðkenni eru venjulegar persónuupplýsingar. Kaka sem fæðir markhópshluta sem snertir viðkvæman lista LGPD — heilsuhagsmunir, trúarlegar tengingar, pólitískar tilhneigingar — er vinnsla viðkvæmra persónuupplýsinga og krefst hækkuðs samþykkileytisvæðis, ekki almennrar auglýsingasamþykkis. Útgefendur sem reka markhópshluta sem skarast við viðkvæma listann ættu að vera að endurskoða samþykkisflæði sín sérstaklega gagnvart þessum mörkum.

Kokusamþykki samkvæmt LGPD árið 2026

LGPD leyfir margar lögmætar grundvöllur vinnslu, en fyrir kökur og svipaðar tækni sem eru ekki nauðsynlegar fyrir þjónustuveitu hafa leiðbeiningar og framkvæmd ANPD komið saman um samþykki sem hagnýtan grunnlínu.

Fimm þættir gildrar samþykkis

Samþykki samkvæmt LGPD verður að vera:

• Frjálst — gefið án þvingunar og ekki bundið við veitu þjónustu sem notandinn er að öðru leyti rétthæfur til
• Upplýst — skráður einstaklingur skilur hvaða gögn eru unnin, af hverjum, í hvaða tilgangi og með hvaða afleiðingum
• Ótvírætt — gefið í ljósi með skýrri jákvæðri athöfn, ekki ályktað af þögn, fyrirfram hakkaðar gátreitir eða skrun-sem-samþykki
• Sérstaklegt — bundið við skýrt auðkennda tilgangi frekar en almenna regnhlífarsamþykki
• Auðkennt í tilvikum sem fela í sér viðkvæm gögn, með skýrum og aðskildum samþykki fyrir tiltekna viðkvæma vinnslu

Hvernig lítur samhæft CMP út

CMP stillt fyrir brasilískan umferð árið 2026 ætti að gefa:

• Sýnilegt borða áður en einhver óbreytt kaka eða rekjari kveikir, á portúgölsku (Português) sjálfgefið fyrir brasilíska notendur
• Jafnt sjónrænt áberandi fyrir Aceitar (Samþykkja), Recusar (Hafna) og Personalizar (Sérsníða) — ANPD hefur sérstaklega gert athugasemdir við borðahönnun þar sem Recusar aðgerðin er minna sýnileg
• Nákvæmar rofibreytur á tilgang: greiningar, auglýsingar, persónumiðun, millilandafærsla og sérhver vinnsla viðkvæmra flokka
• Aðskilið, skýrt merkt flæði fyrir vinnslu viðkvæmra persónuupplýsinga, læst á bak við eigin aðgerð
• Viðvarandi, auðfundið tæki til að draga samþykki til baka eftir upphaflegt val
• Portúgalskumalt Aviso de Privacidade með fullum uppljóstrun um stjórnanda, vinnsluaðila, tilgangi, viðtakendur, varðveislu og réttindi

Samþyksisskrár

Stjórnendur verða að halda gögnum um samþykki — hverjir samþykktu, hvenær, í hvaða tilgangi og í gegnum hvaða viðmót. ANPD hefur bent á ófullnægjandi samþyksisskrár í nokkrum framkvæmdaaðgerðum og útflytjanleg tímastimplað skrár eru lágmarks von.

Millilandafærslukerfi 2026

Þetta er sviðið þar sem 2026 lítur markvissari öðruvísi út en 2024. Alþjóðlegar flutningsreglugerð ANPD tók gildi í upphafi ársins og hagnýtar afleiðingar hennar eru enn að vera gleymar af erlendum útgefendum.

Nýju flutningsmekanismarnir

Reglugerðin veitir fjórar aðalbrautir fyrir lögmætar millilandafærslur:

• Fullnægingarákvarðanir gefnar út af ANPD sem viðurkennar áfangastaðalögsögu eða geira sem að veita fullnægjandi vernd
• Staðlaðar samningsskilmálar samþykktar af ANPD, sem virka á samsvarandi hátt og GDPR SCC
• Bindandi samstæðureglur fyrir innri hópfærslur í fjölþjóðlegum samtökum
• Sérleyfi fyrir millilandafærslur sem passa ekki í staðlaðar brautir, mál fyrir mál

Hagnýta nálgun 2026

Fyrir flesta erlenda útgefendur er vinnunálgunin árið 2026 að framkvæma ANPD-samþykktar staðlaðar samningsskilmálar með alþjóðlegum vinnsluaðilum, skjalfesta flutningsmekanismann í persónuverndartilkynningunni og bæta við samþykki-byggðu leyfi aðeins þar sem staðlaður mekanismi passar ekki. Þetta er verulega einfaldara en kerfi fyrir 2026, sem studdi oft á samþykki-hvert-flutning rökfræði sem framleiddi óhentug CMP.

Fullnægingarákvarðanir hingað til

ANPD hefur gefið út fullnægingarákvarðanir fyrir nokkur lögsögu fram í byrjun 2026 og er von á að þetta verði víkkað smám saman. Bandaríkin eru ekki á fullnægingarlistanum í byrjun 2026, sem þýðir að millilandafærslur til bandarísks-byggðs ad-tech og greiningar söluaðila þurfa samningsskilmálar eða annan gilda mekanisma.

Réttindi skráðra einstaklinga

LGPD veitir öflug réttindi, beitt í gegnum brasilíska ramma:

• Réttur til staðfestingar á vinnslu
• Réttur til aðgangs að vinnslugögnum
• Réttur til leiðréttingar á ófullnægjandi, nákvæmum eða úreltum gögnum
• Réttur til nafnleyndar, lokunar eða eyðingar á óþarfa, umfram eða ólöglega vinnslum gögnum
• Réttur til flytjanleika gagna til annars þjónustuveitanda
• Réttur til eyðingar á gögnum sem unnin eru á grundvelli samþykkis
• Réttur til upplýsinga um opinbera og einkaaðila sem gögn hafa verið deilt með
• Réttur til upplýsinga um möguleikann á að neita samþykki og afleiðingar neitana
• Réttur til að afturkalla samþykki
• Réttur til að andmæla vinnslu sem fram fer á grundvelli einhvers lögmætra hagsmunagrundvalla þegar um er að ræða þvert á reglur
• Réttur til endurskoðunar á ákvörðunum sem eingöngu eru teknar á grundvelli sjálfvirkrar vinnslu

Svartímar

Stjórnendur verða að svara beiðnum skráðra einstaklinga innan 15 daga samkvæmt reglugerðinni, með möguleika á framlengingu í réttlætanlegar tilfellum. Þetta er þrengra en 30 daga gluggi GDPR og hefur verið endurtekinn rekstrarbilur fyrir erlenda útgefendur sem eru stilltir á evrópska taktinn.

Refsingar og framkvæmdaviðhorf árið 2026

Framkvæmdastarfsemi ANPD hefur aukist markvissari í gegnum 2024 og 2025 og 2026 er á svipaðri braut.

Stjórnvaldsektir

LGPD leyfir stjórnvaldsektir upp að 2 prósentum af tekjum stjórnandans frá starfsemi sinni í Brasilíu á fyrra reikningsári, takmarkað við BRL 50 milljón á brot. ANPD hefur notað miðilinn á sviðinu í nokkrum málum 2025, þar á meðal gegn erlendum vettvangi, og refsiaðferðafræði stofnunarinnar var birt árið 2024 og er nú beitt stöðugt.

Aðrar refsingar

Fyrir utan sektir getur ANPD gefið út viðvaranir, krafist leiðréttingaraðgerða, hlutlægt eða að fullu frestað vinnslustarf og bannað tilteknar vinnslur. Birting brots er venjuleg meðfylgjandi refsing og hefur orðsæðisþyngd á brasilíska markaðnum.

Framkvæmdaþemu

Aðgerðir ANPD 2025 og snemma 2026 þyrpast um endurteknar vandamál: óljós eða fjarverandi samþyksiborðar, skortur á portúgölskumaltri persónuverndartilkynningu, millilandafærslur án gildra mekanisma samkvæmt nýju reglugerðinni og bilun í að svara beiðnum skráðra einstaklinga innan 15 daga gluggjans. Erlendir útgefendur hafa verið vitnað í alla fjóra flokka.

DPO-krafan

LGPD krefst þess að stjórnendur skipi persónuverndarlögfræðing (Encarregado de Tratamento de Dados Pessoais) og birta samskiptaupplýsingar DPO. Erlendir stjórnendur sem vinna brasilísk gögn í mælikvarða þurfa tilnefndan DPO og samskiptaupplýsingar verða að vera auðveldlega aðgengilegar í persónuverndartilkynningunni. ANPD hefur bent á vantar eða óaðgengilegar samskiptaupplýsingar DPO í nokkrum framkvæmdabréfum.

Endurskoðunarlisti fyrir brasilíska umferð árið 2026

• CMP borðinn er birtur á portúgölsku með Aceitar, Recusar og Personalizar við jafnt sjónrænt áberandi
• Samþykismarkmið eru nákvæm og aðskilja sérhverja vinnslu viðkvæmra flokka á bak við eigið samþykisflæði
• Persónuverndartilkynning (Aviso de Privacidade) er aðgengileg á portúgölsku með fullum uppljóstrunum um stjórnanda, vinnsluaðila, tilgangi, varðveislu, réttindi og samskiptaupplýsingar DPO
• Millilandafærslur styðjast við ANPD-samþykktar staðlaðar samningsskilmálar, fullnægingarákvörðun, BCR eða sérleyfi — ekki á gömlu samþykki-hvert-flutning rökfræði
• Samþyksisskrár eru tímastimplaðar, útflytjanlegar og geymdar í vinnslutíma plús útrekstrarlegur spássía
• Vinnsluverkflæði beiðna skráðra einstaklinga getur svarað innan 15 daga frá enda til enda, á portúgölsku
• DPO er skipaður og samskiptaupplýsingar birtar í persónuverndartilkynningunni
• Seljendalistinn hefur verið endurskoðaður fyrir nauðsyn og ónotaðir eða óþarfir seljendur fjarlægðir til að minnka millilandafærsluyflirborðið
• Markhópshluti viðkvæmra flokka eru læstir á bak við skýrt, sérstaklega fangaða samþykki

Horfur 2026

Persónuverndarkerfi Brasilíu hefur þroskast úr vel saminn löggjöf með takmarkaðri framkvæmd yfir í eitt af kröfuhörðustu kerfi Ameríku. Millilandafærslureglugerðin 2026 lokaði mikilvægasta skipulegasta bilinum og framkvæmdaviðhorf ANPD hefur náð metnaði laganna. Fyrir útgefendur sem þegar reka samþykislyklu á GDPR-stigi er bilið við LGPD-samræmi fremur rekstrarlegt en byggingarfræðilegt: portúgölskt CMP og tilkynning, ANPD-samþykktar millilandafærslumekanismar, 15 daga svartaktur, DPO-skipaðu og gæta með víðtækara viðkvæmt gagnalistann. Bilið er hægt að loka á vikum ef það er forgang gefið — og Brasilía er stærsti einstaki markaðurinn í Rómönsku Ameríku, svo forgangurinn skilar sér venjulega fljótt. Útgefendurnir sem meðhöndluðu Brasilíu sem léttara markaðinn til 2024 finna 2026 markvissari dýrari og þeir sem fresta frekar munu finna 2027 enn verra.