2026년 LGPD의 구조

LGPD는 브라질의 주요 데이터 보호 법령이며, 제정 이후 핵심 텍스트는 놀랍도록 안정적으로 유지되었습니다. 변화한 것은 그 주변의 규제 인프라입니다.

성숙한 규제 기관으로서의 ANPD

ANPD는 2021년에 완전히 운영되기 시작하여 처음 3년을 절차적 역량 구축, 지침 발표, 협의 진행에 사용하였습니다. 2024년까지 적극적인 집행으로 전환하였고, 2025년까지 외국 플랫폼을 포함한 최초의 중요한 행정 제재를 여러 건 발행했습니다. 2026년 기관의 태도는 이전의 가벼운 기간보다 유럽의 대응 기관에 더 가깝습니다.

2026년 국가 간 데이터 이전 규정

외국 게시자에게 가장 중요한 규제 발전은 2025년 말에 확정되어 2026년에 발효된 ANPD의 국제 이전 규정이었습니다. 이 규정은 적절성 프레임워크, ANPD가 승인한 표준 계약 조항, 구속력 있는 기업 규칙, 및 인증을 도입하며, 이 모두는 GDPR 제5장의 메커니즘과 유사하게 기능합니다. 이 규정 이전에는 국가 간 이전이 게시자와 애드테크 벤더가 보통 양자 간 상업적 약정을 통해 대응하는 훨씬 더 모호한 규칙 집합 하에 운영되었습니다. 2026년 체제는 훨씬 더 관리하기 쉽지만 문서화 측면에서는 훨씬 더 까다롭습니다.

규제 대상

LGPD는 역외 적용됩니다. 수집 시 브라질에 위치한 개인의 개인 데이터를 처리하거나, 처리가 발생하는 위치에 관계없이 브라질에서 수집된 데이터를 처리하는 모든 컨트롤러가 범위에 포함됩니다. 현지화된 사이트나 브라질 IP에 대해 구매한 프로그래매틱 인벤토리를 통해 브라질 사용자에게 서비스를 제공하는 외국 게시자는 명확히 적용 범위 내에 있으며, ANPD는 2025년 여러 사례에서 역외 조항을 원용했습니다.

LGPD하에서 개인 데이터로 간주되는 것

LGPD의 개인 데이터 정의는 광범위하며 GDPR을 밀접하게 따릅니다. 개인 데이터는 식별된 또는 식별 가능한 자연인과 관련된 정보이며, ANPD는 쿠키, 광고 식별자, IP 주소, 기기 지문, 행동 프로파일이 직접적으로 또는 합리적인 수단을 통해 개인과 연결될 수 있을 때 이를 일관되게 개인 데이터로 취급해왔습니다.

민감한 개인 데이터

LGPD는 민감한 카테고리의 광범위한 목록을 지정합니다. 인종 또는 민족적 출신, 종교적 신념, 정치적 의견, 노동조합 또는 정치 조직 가입, 철학적 또는 종교적 신념, 건강, 성생활, 유전자 데이터, 그리고 고유 식별에 사용되는 생체 인식 데이터가 이에 해당합니다. 민감한 개인 데이터 처리는 더 엄격한 동의 요건과 추가적인 컨트롤러 의무를 유발합니다.

쿠키에 대한 중요성

일상적인 세션 식별자를 저장하는 쿠키는 일반 개인 데이터입니다. LGPD 민감한 목록에 해당하는 오디언스 세그먼트(건강 관심사, 종교적 소속, 정치적 성향)에 정보를 공급하는 쿠키는 민감한 개인 데이터 처리이며, 일반 광고 동의가 아닌 강화된 동의 흐름이 필요합니다. 민감한 목록과 겹치는 오디언스 세그먼트를 운영하는 게시자는 이 경계에 특히 초점을 맞추어 동의 흐름을 감사해야 합니다.

2026년 LGPD하에서의 쿠키 동의

LGPD는 처리를 위한 여러 적법한 근거를 허용하지만, 서비스 제공에 엄격히 필요하지 않은 쿠키 및 유사 기술에 대해서 ANPD의 지침과 집행은 동의를 실질적인 기준으로 수렴시켜 왔습니다.

유효한 동의의 5가지 요소

LGPD하에서의 동의는 다음과 같아야 합니다:

• 자유로운 — 강제 없이 제공되며 사용자가 달리 받을 권리가 있는 서비스 제공과 묶이지 않은
• 정보에 기반한 — 데이터 주체가 어떤 데이터가 누구에 의해 무슨 목적으로, 어떤 결과와 함께 처리되는지 이해하는
• 명확한 — 분명한 긍정적 행위를 통해 표현되며, 침묵, 사전 체크된 박스, 또는 스크롤-동의에서 추론되지 않는
• 구체적인 — 포괄적인 일반 동의가 아닌 명확하게 식별된 목적과 연결된
• 민감한 데이터가 관련된 경우 특정 민감한 처리에 대한 명시적이고 별도의 동의와 함께 강조된

준수하는 CMP의 모습

2026년 브라질 트래픽을 위해 구성된 CMP는 다음을 제시해야 합니다:

• 비필수 쿠키나 트래커가 실행되기 전에 표시되는 눈에 띄는 배너, 브라질 사용자에게는 기본적으로 포르투갈어(Português)로
• Aceitar(수락), Recusar(거부), Personalizar(맞춤 설정)의 동등한 시각적 눈에 띄기 — ANPD는 Recusar 동작이 덜 눈에 띄는 배너 디자인을 특별히 지적해왔습니다
• 목적별 세분화된 토글: 분석, 광고, 개인화, 국가 간 이전, 및 모든 민감한 카테고리 처리
• 자체 동작 뒤에 게이트된 민감한 개인 데이터 처리를 위한 별도의 명확하게 레이블된 흐름
• 최초 선택 후 동의를 철회하기 위한 지속적이고 쉽게 찾을 수 있는 메커니즘
• 컨트롤러, 처리자, 목적, 수신자, 보존 기간 및 권리에 대한 완전한 공개가 담긴 포르투갈어 Aviso de Privacidade

동의 기록

컨트롤러는 동의에 대한 증거를 유지해야 합니다 — 누가, 언제, 어떤 목적으로, 어떤 인터페이스를 통해 동의했는지. ANPD는 여러 집행 조치에서 불충분한 동의 기록을 지적했으며, 내보내기 가능한 타임스탬프 로그가 기본 기대 사항입니다.

2026년 국가 간 이전 체제

이것은 2026년이 2024년과 의미 있게 다르게 보이는 영역입니다. ANPD의 국제 이전 규정이 연초에 발효되었으며 실질적인 영향은 외국 게시자들이 아직 흡수하고 있는 중입니다.

새로운 이전 메커니즘

규정은 합법적인 국가 간 이전을 위한 네 가지 주요 경로를 제공합니다:

• 목적지 관할권이나 섹터가 적절한 보호를 제공한다고 인정하는 ANPD가 발행한 적절성 결정
• GDPR SCC와 유사하게 기능하는 ANPD가 승인한 표준 계약 조항
• 다국적 기업 내 그룹 내 이전을 위한 구속력 있는 기업 규칙
• 표준 경로에 맞지 않는 이전을 위한 사례별 특정 승인

2026년의 실질적인 접근 방식

대부분의 외국 게시자에게 2026년의 실효적인 접근 방식은 국제 처리자와 ANPD가 승인한 표준 계약 조항을 체결하고, 개인정보 통지에 이전 메커니즘을 문서화하며, 표준 메커니즘이 맞지 않는 경우에만 동의 기반 승인으로 보완하는 것입니다. 이는 불편한 CMP를 생성한 이전 건별 동의 로직에 의존했던 2026년 이전 체제보다 훨씬 더 간단합니다.

현재까지의 적절성 결정

ANPD는 2026년 초까지 소수의 관할권에 대해 적절성 결정을 발행했으며, 목록을 점진적으로 확장할 것으로 예상됩니다. 미국은 2026년 초 현재 적절성 목록에 없으므로 미국 기반 애드테크 및 분석 벤더에 대한 이전은 계약 조항 또는 다른 유효한 메커니즘이 필요합니다.

데이터 주체의 권리

LGPD는 브라질 프레임워크를 통해 적용되는 강력한 권리 집합을 부여합니다:

• 처리 확인 권리
• 처리된 데이터에 대한 접근 권리
• 불완전하거나 부정확하거나 오래된 데이터 수정 권리
• 불필요하거나 과도하거나 불법적으로 처리된 데이터의 익명화, 차단 또는 삭제 권리
• 다른 서비스 제공자에게 데이터 이동성 권리
• 동의 기반으로 처리된 데이터 삭제 권리
• 데이터가 공유된 공공 및 민간 기관에 대한 정보 권리
• 동의 거부 가능성 및 거부의 결과에 대한 정보 권리
• 동의 철회 권리
• 적법한 이익 근거 중 하나에 기반한 처리에 불이행이 있을 때 반대 권리
• 자동화된 처리에만 기반한 결정 검토 권리

응답 일정

컨트롤러는 규정에 따라 데이터 주체 요청에 15일 이내에 응답해야 하며, 정당한 경우 연장이 가능합니다. 이는 GDPR의 30일 기간보다 더 엄격하며, 유럽 속도에 맞춰진 외국 게시자들에게 반복적인 운영 격차가 되어 왔습니다.

2026년의 제재 및 집행 태도

ANPD의 집행 활동은 2024년과 2025년에 걸쳐 의미 있게 확대되었으며, 2026년도 유사한 궤적에 있습니다.

행정 제재

LGPD는 컨트롤러의 전 회계연도 브라질 활동 수익의 2퍼센트까지의 행정 제재를 위반당 BRL 5천만 한도로 허용합니다. ANPD는 외국 플랫폼을 포함한 2025년 여러 사례에서 범위의 중간을 사용했으며, 기관의 제재 방법론은 2024년에 발표되어 현재 일관되게 적용되고 있습니다.

기타 제재

벌금 외에도 ANPD는 경고를 발행하고, 시정 조치를 요구하며, 처리 활동을 부분적 또는 전면 중단하고, 특정 처리 작업을 금지할 수 있습니다. 위반 공개는 일상적인 수반 제재이며 브라질 시장에서 명성적 비중을 지닙니다.

집행 주제

ANPD의 2025년과 2026년 초 조치들은 반복적인 문제를 중심으로 집중됩니다: 모호하거나 부재한 동의 배너, 포르투갈어 개인정보 통지 부재, 새 규정하의 유효한 메커니즘 없는 국가 간 이전, 그리고 15일 기간 내 데이터 주체 요청에 응답 실패. 외국 게시자들이 네 가지 카테고리 모두에서 지적되었습니다.

DPO 요건

LGPD는 컨트롤러에게 데이터 보호 책임자(Encarregado de Tratamento de Dados Pessoais)를 지정하고 DPO의 연락처 정보를 공개하도록 요구합니다. 브라질 데이터를 대규모로 처리하는 외국 컨트롤러는 지정된 DPO가 필요하며, 연락처 정보는 개인정보 통지에서 쉽게 접근할 수 있어야 합니다. ANPD는 여러 집행 서한에서 누락되거나 접근 불가능한 DPO 연락처 정보를 지적했습니다.

2026년 브라질 트래픽 감사 체크리스트

• CMP 배너는 Aceitar, Recusar, Personalizar를 동등한 시각적 눈에 띄기로 포르투갈어로 제공됩니다
• 동의 목적은 세분화되어 있으며 민감한 카테고리 처리는 자체 동의 흐름 뒤로 분리되어 있습니다
• 개인정보 통지(Aviso de Privacidade)는 컨트롤러, 처리자, 목적, 보존 기간, 권리 및 DPO 연락처에 대한 완전한 공개와 함께 포르투갈어로 이용 가능합니다
• 국가 간 이전은 ANPD가 승인한 표준 계약 조항, 적절성 결정, BCR 또는 특정 승인에 의존하며 — 레거시 이전 건별 동의 로직에 의존하지 않습니다
• 동의 로그는 타임스탬프가 있고, 내보내기 가능하며, 처리 기간 동안 감사 가능한 마진을 더하여 보존됩니다
• 데이터 주체 요청 워크플로우는 포르투갈어로 종단 간 15일 이내에 응답할 수 있습니다
• DPO가 지정되어 있고 연락처 정보가 개인정보 통지에 공개되어 있습니다
• 벤더 목록은 필요성에 대해 검토되었으며 국가 간 이전 면적을 줄이기 위해 미사용 또는 중복 벤더가 제거되었습니다
• 민감한 카테고리 오디언스 세그먼트는 명시적이고 별도로 수집된 동의 뒤에 게이트되어 있습니다

2026년의 전망

브라질의 개인정보 보호 체제는 집행이 제한된 잘 작성된 법령에서 아메리카 대륙에서 가장 까다로운 체제 중 하나로 성숙했습니다. 2026년 국가 간 데이터 이전 규정이 가장 중요한 구조적 격차를 해소했으며, ANPD의 집행 태도는 법의 야심을 따라잡았습니다. 이미 GDPR 수준의 동의 스택을 운영하는 게시자들에게 LGPD 준수까지의 격차는 아키텍처적이라기보다 운영적입니다: 포르투갈어 CMP와 통지, ANPD가 승인한 이전 메커니즘, 15일 응답 속도, DPO 지정, 그리고 더 넓은 민감 데이터 목록에 대한 주의. 이 격차는 우선순위를 두면 몇 주 안에 해소할 수 있으며 — 브라질은 라틴아메리카에서 가장 큰 단일 시장이므로 우선순위 설정은 보통 빠르게 성과를 냅니다. 2024년까지 브라질을 가벼운 시장으로 취급했던 게시자들은 2026년이 의미 있게 더 비용이 많이 들고 있음을 알게 되었으며, 더 지연하는 게시자들은 2027년이 더욱 나빠질 것입니다.