ბრაზილიის LGPD 2026 წელს: ANPD-ის აღსრულების პოზიცია, ქუქი-ფაილებზე თანხმობა და საზღვარგარეთული გადაცემების სახელმძღვანელო გამომცემლებისა და რეკლამდამტეებისთვის
ბრაზილიის Lei Geral de Proteção de Dados Pessoais (LGPD) ძალაში შევიდა 2020 წლის სექტემბერში და თავისი პირველი სამი წლის უმეტეს ნაწილში წარმოადგენდა განსაკუთრებულად კარგად შედგენილ, თუმცა არათანაბრად გამოყენებულ კონფიდენციალობის რეჟიმს. ის პერიოდი დასრულდა. Autoridade Nacional de Proteção de Dados (ANPD) 2024–2025 წლებში გადავიდა სახელმძღვანელოს გამოქვეყნებიდან აქტიურ აღსრულებაზე, სააგენტოს 2025 წლის sandbox პროგრამა გაიხარა და 2026 წლის საერთაშორისო მონაცემთა გადაცემის რეგულაცია ბოლოს გაარკვია LGPD-ის ერთ-ერთი ყველაზე ბუნდოვანი სფერო. ნებისმიერი გამომცემლის, რეკლამდამტებლის ან პლატფორმისთვის, რომელიც ამუშავებს ბრაზილიელი მომხმარებლების პერსონალურ მონაცემებს — იქნება ეს ბრაზილიაში დაფუძნებული თუ სხვა ქვეყნიდან ბრაზილიის ბაზარს მომსახურებელი — 2026 წლის გარემო შესამჩნევად უფრო მოთხოვნილია 2023 წლის გარემოსთან შედარებით. ეს სახელმძღვანელო განიხილავს LGPD-ს იმ სახით, რა სახითაც ის დღეს არსებობს, რეალურად რა სჭირდება ქუქი-ფაილებზე თანხმობას, როგორ ხდება საზღვარგარეთული გადაცემები ახალი რეგულაციის პირობებში, და როგორი გამოიყურება ANPD-ის აღსრულების თემები 2026 წელს.
LGPD-ის სტრუქტურა 2026 წელს
LGPD ბრაზილიის მონაცემთა დაცვის ძირითადი კანონია და მისი ძირითადი ტექსტი მიღებიდან შესამჩნევად სტაბილური დარჩა. შეიცვალა ის მარეგულირებელი ინფრასტრუქტურა, რომელიც მის გარშემოა.
ANPD, როგორც მოწიფული მარეგულირებელი
ANPD 2021 წელს გახდა სრულად ოპერატიული და პირველი სამი წელი პროცედურული შესაძლებლობის შენებას, სახელმძღვანელოების გამოქვეყნებასა და კონსულტაციების ჩატარებას მოანდომა. 2024 წლისთვის ის გადავიდა აქტიურ აღსრულებაზე, ხოლო 2025 წლისთვის გამოაქვეყნა ადმინისტრაციული ჯარიმების რამდენიმე მნიშვნელოვანი პირველი ინსტანცია, მათ შორის უცხოური პლატფორმების წინააღმდეგ. სააგენტოს პოზიცია 2026 წელს უფრო ახლოსაა მის ევროპელ კოლეგებთან, ვიდრე ადრეულ რბილ პერიოდთან.
2026 წლის საზღვარგარეთული გადაცემების რეგულაცია
უცხოელი გამომცემლებისთვის ყველაზე მნიშვნელოვანი მარეგულირებელი განვითარება იყო ANPD-ის საერთაშორისო გადაცემის რეგულაცია, რომელიც 2025 წლის ბოლოს დასრულდა და 2026 წელს ამოქმედდა. რეგულაცია შემოაქვს ადეკვატურობის ჩარჩოს, ANPD-ის მიერ დამტკიცებულ სახელშეკრულებო მოდელურ პირობებს, სავალდებულო კორპორაციულ წესებს და სერტიფიკაციებს, ყველა ფუნქციონირებს ანალოგიურად GDPR-ის V თავის მექანიზმებისა. ამ რეგულაციამდე საზღვარგარეთული გადაცემები ბევრად უფრო ბუნდოვანი წესების ნაკრების მიხედვით ხდებოდა, რომელსაც გამომცემლები და ad-tech გამყიდველები ჩვეულებრივ ორმხრივი კომერციული შეთანხმებებით ახერხებდნენ. 2026 წლის რეჟიმი მნიშვნელოვნად უფრო სამართავია, მაგრამ დოკუმენტაციის თვალსაზრისით მნიშვნელოვნად უფრო მოთხოვნილი.
ვის ეხება
LGPD ექსტრატერიტორიულად მოქმედებს. ნებისმიერი კონტროლერი, რომელიც ამუშავებს შეგროვებისას ბრაზილიაში მდებარე პირების პერსონალურ მონაცემებს, ან ამუშავებს ბრაზილიიდან შეგროვებულ მონაცემებს, იმისდა მიუხედავად, სად ხდება დამუშავება, ვრცელდება მასზე. უცხოელი გამომცემლები, რომლებიც ბრაზილიელ მომხმარებლებს ლოკალიზებული საიტებით ან ბრაზილიური IP-ების მიმართ შეძენილი პროგრამული ინვენტარით ემსახურებიან, ნათლად ხვდებიან ამ ფარგლებში და ANPD-მ 2025 წლის რამდენიმე საქმეში მიმართა ექსტრატერიტორიულ დებულებას.
რა ჩაითვლება პერსონალურ მონაცემებად LGPD-ის მიხედვით
LGPD-ის პერსონალური მონაცემის განმარტება ფართოა და GDPR-ს მჭიდროდ მიყვება. პერსონალური მონაცემი არის ინფორმაცია, რომელიც ეხება იდენტიფიცირებულ ან იდენტიფიცირებადი ფიზიკური პირს, და ANPD-მ თანმიმდევრულად განიხილა ქუქი-ფაილები, სარეკლამო იდენტიფიკატორები, IP მისამართები, მოწყობილობის თითის ანაბეჭდები და ქცევის პროფილები, როგორც პერსონალური მონაცემები, როდესაც ისინი პირდაპირ ან გონივრული საშუალებებით შეიძლება დაუკავშირდეს ფიზიკურ პირს.
სენსიტიური პერსონალური მონაცემები
LGPD ადგენს სენსიტიური კატეგორიების ფართო სიას: რასობრივი ან ეთნიკური წარმომავლობა, რელიგიური რწმენა, პოლიტიკური შეხედულება, პროფკავშირის ან პოლიტიკური ორგანიზაციის წევრობა, ფილოსოფიური ან რელიგიური რწმენა, ჯანმრთელობა, სქესობრივი ცხოვრება, გენეტიკური მონაცემები და ბიომეტრიული მონაცემები, როდესაც გამოიყენება უნიკალური იდენტიფიკაციისთვის. სენსიტიური პერსონალური მონაცემების დამუშავება იწვევს უფრო მკაცრ თანხმობის მოთხოვნებს და კონტროლერის დამატებით ვალდებულებებს.
რატომ მნიშვნელოვანია ეს ქუქი-ფაილებისთვის
ჩვეულებრივ სესიის იდენტიფიკატორის შემნახველი ქუქი-ფაილი ჩვეულებრივი პერსონალური მონაცემია. ქუქი-ფაილი, რომელიც კვებავს LGPD-ის სენსიტიურ სიასთან შეხების აუდიტორიის სეგმენტს — ჯანმრთელობის ინტერესები, რელიგიური კუთვნილება, პოლიტიკური მიდრეკილებები — სენსიტიური პერსონალური მონაცემების დამუშავებაა და მოითხოვს გაძლიერებულ თანხმობის ნაკადს და არა ზოგად სარეკლამო თანხმობას. გამომცემლებს, რომლებიც სენსიტიური სიასთან გადახვეული აუდიტორიის სეგმენტებს ახორციელებენ, სპეციალურად უნდა შეამოწმონ თანხმობის ნაკადები ამ საზღვრის მიმართ.
ქუქი-ფაილებზე თანხმობა LGPD-ის მიხედვით 2026 წელს
LGPD დამუშავებისთვის რამდენიმე კანონიერ საფუძველს იძლევა, მაგრამ ქუქი-ფაილებისა და სადავოდ საჭირო სერვისის მიწოდებისთვის არ არსებული მსგავსი ტექნოლოგიებისთვის ANPD-ის სახელმძღვანელო და აღსრულება შეჯერდა თანხმობაზე, როგორც პრაქტიკულ ბაზაზე.
მოქმედი თანხმობის ხუთი ელემენტი
LGPD-ის მიხედვით თანხმობა უნდა იყოს:
- თავისუფალი — მოცემული იძულების გარეშე და არ უნდა იყოს მოჩვენებითად მოჭიდებული სერვისის გაწევასთან, რომლის მიღებაც მომხმარებელს სხვაგვარად უფლება აქვს
- ინფორმირებული — მონაცემთა სუბიექტი ესმის, რა მონაცემები მუშავდება, ვისი მიერ, რა მიზნით და რა შედეგებით
- ცალსახა — გამოხატული მკაფიო დამადასტურებელი ქმედებით, არ შეიძლება ჩამოყალიბდეს სიჩუმიდან, წინასწარ მონიშნული ველებიდან ან გადახვევით-თანხმობიდან
- კონკრეტული — კავშირშია მკაფიოდ განსაზღვრულ მიზნებთან და არა ზოგადი, ყოვლისმომცველი თანხმობის სახით
- გამოყოფილი სენსიტიური მონაცემების შემთხვევებში, კონკრეტული სენსიტიური დამუშავებისთვის ცალსახა და ცალკე თანხმობით
შესაბამისი CMP-ის გარეგნობა
ბრაზილიის ტრაფიკისთვის 2026 წელს კონფიგურირებული CMP უნდა წარმოადგენდეს:
- თვალსაჩინო ბანერი ნებისმიერი არასავალდებულო ქუქი-ფაილის ან ტრეკერის გამოჩენამდე, ბრაზილიელი მომხმარებლებისთვის ნაგულისხმევად პორტუგალიურ ენაზე (Português)
- Aceitar-ის (მიღება), Recusar-ის (უარყოფა) და Personalizar-ის (მორგება) თანაბარი ვიზუალური გამოჩენა — ANPD-მ სპეციალურად გააკრიტიკა ბანერის დიზაინები, სადაც Recusar ქმედება ნაკლებად ჩანს
- მიზნის მიხედვით დეტალური გადამრთველები: ანალიტიკა, რეკლამა, პერსონალიზაცია, საზღვარგარეთული გადაცემა და ნებისმიერი სენსიტიური კატეგორიის დამუშავება
- სენსიტიური პერსონალური მონაცემების დამუშავებისთვის ცალკე, მკაფიოდ ეტიკეტირებული ნაკადი, საკუთარ ქმედებაზე დაბლოკილი
- საწყისი არჩევანის შემდეგ თანხმობის გამოხმობისთვის მუდმივი, ადვილად მოსაძებნი მექანიზმი
- პორტუგალიურენოვანი Aviso de Privacidade კონტროლერის, დამამუშავებლების, მიზნების, მიმღებების, შენახვის ვადებისა და უფლებების სრული გამჟღავნებით
თანხმობის ჩანაწერები
კონტროლერებმა უნდა შეინახონ თანხმობის მტკიცებულება — ვინ დათანხმდა, როდის, რა მიზნით და რომელი ინტერფეისის მეშვეობით. ANPD-მ რამდენიმე სააღსრულებო ღონისძიებაში მიუთითა არასათანადო თანხმობის ჩანაწერებზე და ექსპორტირებადი დროის ბეჭდის მქონე ჟურნალები სავალდებულო მოლოდინია.
2026 წლის საზღვარგარეთული გადაცემების რეჟიმი
ეს არის სფერო, სადაც 2026 წელი შესამჩნევად განსხვავდება 2024 წლისგან. ANPD-ის საერთაშორისო გადაცემის რეგულაცია წლის დასაწყისში ამოქმედდა და მისი პრაქტიკული შედეგები ჯერ კიდევ ათვისებულია უცხოელი გამომცემლების მიერ.
ახალი გადაცემის მექანიზმები
რეგულაცია ლეგიტიმური საზღვარგარეთული გადაცემებისთვის ოთხ ძირითად გზას ითვალისწინებს:
- ANPD-ის მიერ გამოქვეყნებული ადეკვატურობის გადაწყვეტილებები, რომლებიც ცნობენ სამიზნე იურისდიქციებს ან სექტორებს სათანადო დაცვის მქონედ
- ANPD-ის მიერ დამტკიცებული სტანდარტული სახელშეკრულებო პირობები, რომლებიც ფუნქციონირებენ GDPR SCC-ების ანალოგიურად
- სავალდებულო კორპორაციული წესები მულტინაციონალური ორგანიზაციების შიგნით ჯგუფური გადაცემებისთვის
- კონკრეტული ნებართვა გადაცემებისთვის, რომლებიც სტანდარტულ გზებს არ შეესაბამება, შემთხვევის მიხედვით
პრაქტიკული 2026 წლის მიდგომა
უმეტეს უცხოელ გამომცემელთათვის 2026 წლის სამუშაო მიდგომა გახლავთ საერთაშორისო დამამუშავებლებთან ANPD-ის მიერ დამტკიცებული სტანდარტული სახელშეკრულებო პირობების შესრულება, გადაცემის მექანიზმის კონფიდენციალობის განცხადებაში დოკუმენტირება და თანხმობაზე დაფუძნებული ავტორიზაციის დამატება მხოლოდ იქ, სადაც სტანდარტული მექანიზმი არ შეესაბამება. ეს შესამჩნევად უფრო მარტივია 2026 წლამდელ რეჟიმთან შედარებით, რომელიც ხშირად ეყრდნობოდა თანხმობა-თითოეული-გადაცემის ლოგიკას, რომელიც მოუხეირო CMP-ებს ქმნიდა.
ადეკვატურობის გადაწყვეტილებები დღემდე
ANPD-მ 2026 წლის დასაწყისამდე ადეკვატურობის გადაწყვეტილებები გამოაქვეყნა რამდენიმე იურისდიქციისთვის და სიის ეტაპობრივი გაფართოება მოსალოდნელია. შეერთებული შტატები 2026 წლის დასაწყისისთვის ადეკვატურობის სიაში არ არის, რაც ნიშნავს, რომ აშშ-ში დაფუძნებულ ad-tech და ანალიტიკის გამყიდველებთე გადაცემები სახელშეკრულებო პირობებს ან სხვა მოქმედ მექანიზმს მოითხოვს.
მონაცემთა სუბიექტების უფლებები
LGPD ადგენს ძლიერ უფლებათა ნაკრებს, გამოყენებული ბრაზილიური ჩარჩოს მეშვეობით:
- დამუშავების დადასტურების უფლება
- დამუშავებულ მონაცემებზე წვდომის უფლება
- არასრული, არაზუსტი ან მოძველებული მონაცემების გასწორების უფლება
- ზედმეტი, გადამეტებული ან უკანონოდ დამუშავებული მონაცემების ანონიმიზების, დაბლოკვის ან წაშლის უფლება
- სხვა სერვისის პროვაიდერთან მონაცემების გადატანის უფლება
- თანხმობის საფუძველზე დამუშავებული მონაცემების წაშლის უფლება
- საჯარო და კერძო სუბიექტების შესახებ ინფორმაციის მიღების უფლება, რომლებთანაც გაიზიარეს მონაცემები
- თანხმობაზე უარის თქმის შესაძლებლობისა და უარის შედეგების შესახებ ინფორმაციის მიღების უფლება
- თანხმობის გამოხმობის უფლება
- კანონიერი ინტერესების ერთ-ერთ საფუძველზე განხორციელებული დამუშავების წინააღმდეგ პრეტენზიის წარდგენის უფლება, როდესაც შეუსაბამობა არსებობს
- მხოლოდ ავტომატური დამუშავების საფუძველზე მიღებული გადაწყვეტილებების გადახედვის უფლება
პასუხის ვადები
კონტროლერებმა უნდა უპასუხონ მონაცემთა სუბიექტების მოთხოვნებს 15 დღის განმავლობაში რეგულაციის მიხედვით, გამართლებულ შემთხვევებში გაგრძელების შესაძლებლობით. ეს უფრო მჭიდროა GDPR-ის 30-დღიან ფანჯარასთან შედარებით და განმეორებადი ოპერაციული ხარვეზი ყოფილა უცხოელი გამომცემლებისთვის, რომლებიც ევროპულ ტემპზე იყვნენ გამართული.
სანქციები და 2026 წლის აღსრულების პოზიცია
ANPD-ის სააღსრულებო საქმიანობა 2024–2025 წლებში შესამჩნევად გაიზარდა და 2026 წელი მსგავს ტრაექტორიაზეა.
ადმინისტრაციული ჯარიმები
LGPD ითვალისწინებს ადმინისტრაციულ ჯარიმებს კონტროლერის შემოსავლის 2 პროცენტამდე ბრაზილიაში მის საქმიანობიდან წინა საფინანსო წელს, BRL 50 მილიონის ლიმიტით თითო დარღვევაზე. ANPD-მ 2025 წლის რამდენიმე საქმეში, მათ შორის უცხოური პლატფორმების წინააღმდეგ, გამოიყენა დიაპაზონის შუა ნაწილი, ხოლო სააგენტოს ჯარიმის მეთოდოლოგია 2024 წელს გამოქვეყნდა და ახლა თანმიმდევრულად გამოიყენება.
სხვა სანქციები
ჯარიმების გარდა, ANPD-ს შეუძლია გამოაქვეყნოს გაფრთხილებები, მოითხოვოს გამოსასწორებელი ზომები, ნაწილობრივ ან სრულად შეაჩეროს დამუშავების საქმიანობა და აკრძალოს კონკრეტული სადამუშავო ოპერაციები. დარღვევის გამოქვეყნება ჩვეულებრივი თანმხლები სანქციაა და ბრაზილიის ბაზარზე რეპუტაციული სიმძიმე გააჩნია.
აღსრულების თემები
ANPD-ის 2025 წლის და 2026 წლის დასაწყისის ქმედებები მიმდინარე პრობლემების გარშემო იყრის თავს: ბუნდოვანი ან არარსებული თანხმობის ბანერები, პორტუგალიურენოვანი კონფიდენციალობის განცხადების არარსებობა, ახალი რეგულაციის ქვეშ მოქმედი გადაცემის მექანიზმის გარეშე საზღვარგარეთული გადაცემები და 15-დღიანი ვადის ფარგლებში მონაცემთა სუბიექტების მოთხოვნებზე პასუხის გაუცემლობა. უცხოელი გამომცემლები ყველა ოთხ კატეგორიაში დასახელდნენ.
DPO-ს მოთხოვნა
LGPD კონტროლერებს ავალდებულებს, დანიშნონ მონაცემთა დაცვის ოფიცერი (Encarregado de Tratamento de Dados Pessoais) და გამოაქვეყნონ DPO-ს საკონტაქტო ინფორმაცია. უცხოელი კონტროლერები, რომლებიც ბრაზილიის მონაცემებს მასშტაბურად ამუშავებენ, საჭიროებენ განსაზღვრულ DPO-ს, ხოლო საკონტაქტო ინფორმაცია კონფიდენციალობის განცხადებაში ადვილად ხელმისაწვდომი უნდა იყოს. ANPD-მ DPO-ს არარსებული ან მიუწვდომელი საკონტაქტო ინფორმაცია მიუთითა რამდენიმე სააღსრულებო წერილში.
ბრაზილიური ტრაფიკის აუდიტის სია 2026 წელს
- CMP ბანერი ნაჩვენებია პორტუგალიურ ენაზე Aceitar-ის, Recusar-ისა და Personalizar-ის თანაბარი ვიზუალური გამოჩენით
- თანხმობის მიზნები დეტალიზებულია და სენსიტიური კატეგორიის ნებისმიერი დამუშავება გამოყოფილია საკუთარი თანხმობის ნაკადის მიღმა
- კონფიდენციალობის განცხადება (Aviso de Privacidade) ხელმისაწვდომია პორტუგალიურ ენაზე კონტროლერის, დამამუშავებლების, მიზნების, შენახვის ვადების, უფლებებისა და DPO-ს საკონტაქტო ინფორმაციის სრული გამჟღავნებით
- საზღვარგარეთული გადაცემები ეყრდნობა ANPD-ის მიერ დამტკიცებულ სტანდარტულ სახელშეკრულებო პირობებს, ადეკვატურობის გადაწყვეტილებას, BCR-ს ან კონკრეტულ ნებართვას — და არა ძველ თანხმობა-თითოეული-გადაცემის ლოგიკას
- თანხმობის ჟურნალები დროის ბეჭდიანია, ექსპორტირებადია და ინახება დამუშავების ხანგრძლივობის განმავლობაში პლუს შემოწმებადი ზღვარი
- მონაცემთა სუბიექტის მოთხოვნის სამუშაო პროცესს შეუძლია 15 დღის ვადაში, პორტუგალიურ ენაზე ბოლომდე პასუხი გასცეს
- DPO განსაზღვრულია და საკონტაქტო ინფორმაცია კონფიდენციალობის განცხადებაში გამოქვეყნებულია
- გამყიდველთა სია გადახედულია აუცილებლობის მხრივ და გამოუყენებელი ან ზედმეტი გამყიდველები ამოღებულია საზღვარგარეთული გადაცემების ზედაპირის შესამცირებლად
- სენსიტიური კატეგორიის აუდიტორიის სეგმენტები ცალსახა, ცალკე შეგროვებული თანხმობის მიღმაა გამოყოფილი
2026 წლის პერსპექტივა
ბრაზილიის კონფიდენციალობის რეჟიმი შესამჩნევად განვითარდა კარგად შედგენილი კანონიდან შეზღუდული აღსრულებით ამერიკის ყველაზე მოთხოვნილ რეჟიმთა შორის ერთ-ერთამდე. 2026 წლის საზღვარგარეთული გადაცემების რეგულაციამ ყველაზე მნიშვნელოვანი სტრუქტურული ხარვეზი შეავსო და ANPD-ის აღსრულების პოზიცია კანონის ამბიციებს შეუდგა. გამომცემლებისთვის, რომლებიც უკვე GDPR-ის დონის თანხმობის სტეკს მართავენ, LGPD-ის შესაბამისობამდე მდგომარეობა ოპერაციულია და არა არქიტექტურული: პორტუგალიურენოვანი CMP და განცხადება, ANPD-ის მიერ დამტკიცებული გადაცემის მექანიზმები, 15-დღიანი პასუხის ტემპი, DPO-ს დანიშვნა და სენსიტიური მონაცემების გაფართოებული სიის მიმართ სიფრთხილე. ხარვეზი შეიძლება კვირების განმავლობაში შეივსოს, თუ ის პრიორიტეტად არის დასახული — და ბრაზილია ლათინური ამერიკის ყველაზე დიდი ერთიანი ბაზარია, ასე რომ პრიორიტეტიზაცია ჩვეულებრივ სწრაფად ანაზღაურდება. გამომცემლები, რომლებმაც 2024 წლამდე ბრაზილია უფრო მსუბუქ ბაზრად მოეპყრნენ, 2026 წელს შესამჩნევად უფრო ძვირიანი ვითარების წინაშე დგანან, ხოლო ისინი, ვინც კიდევ გადადებენ, 2027 წელს კიდევ უფრო ცუდ მდგომარეობაში აღმოჩნდებიან.