LGPD struktūra 2026 m.

LGPD yra pagrindinis Brazilijos duomenų apsaugos įstatymas ir jo esminis tekstas nuo priėmimo išliko stebėtinai stabilus. Pasikeitė reguliavimo infrastruktūra aplink jį.

ANPD kaip subrendęs reguliuotojas

ANPD tapo visiškai veikiančia 2021 m. ir pirmuosius trejus metus praleido procedūrinių pajėgumų kūrimui, gairių leidybai ir konsultacijoms. Iki 2024 m. ji perėjo prie aktyvaus vykdymo, o iki 2025 m. išleido keletą pirmųjų reikšmingų administracinių baudų, įskaitant užsienio platformoms. Agentūros pozicija 2026 m. yra arčiau europietiškų atitikmenų nei ankstesnio švelnaus laikotarpio.

2026 m. tarpvalstybinių perdavimų reglamentas

Svarbiausias reguliavimo pokytis užsienio leidėjams buvo ANPD tarptautinių perdavimų reglamentas, galutinai patvirtintas 2025 m. pabaigoje ir įsigaliojęs 2026 m. Reglamentas įveda tinkamumo sistemą, ANPD patvirtintas modelines sutartines sąlygas, privalomus korporatyvinius taisykles ir sertifikavimus – visos jos analogiškai veikia kaip GDPR V skyriaus mechanizmai. Iki šio reglamento tarpvalstybiniai perdavimai veikė pagal daug miglotesnį taisyklių rinkinį, kurį leidėjai ir ad-tech tiekėjai paprastai sprendė per dvišalius komercinius susitarimus. 2026 m. režimas yra žymiai labiau valdomas, tačiau žymiai reiklesnis dokumentacijos požiūriu.

Kam taikoma

LGPD taikoma ekstrateritoriškai. Bet kuris valdytojas, tvarkantis asmenų, esančių Brazilijoje rinkimo metu, asmens duomenis arba tvarkantis Brazilijoje surinktus duomenis nepaisant to, kur vyksta tvarkymas, yra taikymo srityje. Užsienio leidėjai, aptarnaujantys Brazilijos naudotojus per lokalizuotas svetaines arba programinį inventorių, pirktą prieš Brazilijos IP, aiškiai patenka į taikymo sritį, o ANPD keliais 2025 m. atvejais taikė ekstrateritorinę nuostatą.

Kas laikoma asmens duomenimis pagal LGPD

LGPD asmens duomenų apibrėžimas yra platus ir atitinka GDPR. Asmens duomenys – tai informacija, susijusi su identifikuotu arba identifikuojamu fiziniu asmeniu, o ANPD nuosekliai traktavo slapukus, reklamos identifikatorius, IP adresus, įrenginių pirštų atspaudus ir elgesio profilius kaip asmens duomenis, kai jie gali būti susieti su asmeniu tiesiogiai arba pagrįstomis priemonėmis.

Jautrūs asmens duomenys

LGPD nustato platų jautrių kategorijų sąrašą: rasinė ar etninė kilmė, religiniai įsitikinimai, politinė nuomonė, narystė profesinėse sąjungose ar politinėse organizacijose, filosofiniai ar religiniai įsitikinimai, sveikata, lytinis gyvenimas, genetiniai duomenys ir biometriniai duomenys, naudojami unikaliam identifikavimui. Jautrių asmens duomenų tvarkymas sukelia griežtesnius sutikimo reikalavimus ir papildomas valdytojo pareigas.

Kodėl tai svarbu slapukams

Slapukas, saugantis įprastą sesijos identifikatorių, yra paprasti asmens duomenys. Slapukas, maitinantis auditorijos segmentą, liečiantį LGPD jautrių duomenų sąrašą – sveikatos interesai, religinė priklausomybė, politinės pažiūros – yra jautrių asmens duomenų tvarkymas ir reikalauja patobulintos sutikimo eigos, o ne bendro reklamos sutikimo. Leidėjai, vykdantys auditorijos segmentus, persidengiančius su jautrių duomenų sąrašu, turėtų audituoti sutikimo eigas konkrečiai šios ribos atžvilgiu.

Slapukų sutikimas pagal LGPD 2026 m.

LGPD leidžia kelis teisėtus tvarkymo pagrindus, tačiau slapukams ir panašioms technologijoms, kurios nėra griežtai būtinos paslaugos teikimui, ANPD gairės ir vykdymas suartėjo ties sutikimu kaip praktiniu baziniu lygiu.

Penki galiojančio sutikimo elementai

Pagal LGPD sutikimas turi būti:

• Laisvas – suteiktas be prievartos ir nesusijęs su paslaugos, kurią naudotojas kitaip turi teisę gauti, teikimu
• Informuotas – duomenų subjektas supranta, kokie duomenys tvarkomi, kieno, kokiu tikslu ir kokiomis pasekmėmis
• Nedviprasmiškas – išreikštas aiškiu teigiamu veiksmu, neišvedamas iš tylos, iš anksto pažymėtų langelių ar slinkties sutikimo
• Konkretus – susietas su aiškiai nustatytais tikslais, o ne bendru skėtiniu sutikimu
• Paryškintas jautrių duomenų atvejais, su aiškiu ir atskiru sutikimu konkrečiam jautriam tvarkymui

Kaip atrodo atitinkama CMP

2026 m. Brazilijos srautui sukonfigūruota CMP turėtų pateikti:

• Matomą skydelį prieš bet kuriam ne esminiam slapukui ar stebėjimo įrankiui suveikiant, portugališka (Português) kalba pagal numatytuosius parametrus Brazilijos naudotojams
• Vienodą vizualinį matomumą Aceitar (Priimti), Recusar (Atmesti) ir Personalizar (Tinkinti) – ANPD konkrečiai kritikavo skydelių dizainus, kuriuose Recusar veiksmas mažiau matomas
• Smulkius kiekvienam tikslui skirtas perjungėlius: analizė, reklama, personalizavimas, tarpvalstybinis perdavimas ir bet koks jautrių kategorijų tvarkymas
• Atskirą, aiškiai pažymėtą eigą jautrių asmens duomenų tvarkymui, apsaugotą savu veiksmu
• Nuolatinį, lengvai randamą sutikimo atšaukimo mechanizmą po pradinio pasirinkimo
• Portugališka kalba Aviso de Privacidade su išsamiu atskleidinėjimu apie valdytoją, tvarkytojus, tikslus, gavėjus, saugojimą ir teises

Sutikimų įrašai

Valdytojai privalo saugoti sutikimo įrodymus – kas, kada, kokiam tikslui ir per kurią sąsają sutiko. ANPD keletą vykdymo veiksmų atveju nurodė nepakankamus sutikimų įrašus, o eksportuojami laiko žymės žurnalai yra bazinis lūkestis.

2026 m. tarpvalstybinių perdavimų režimas

Tai sritis, kurioje 2026 m. reikšmingai skiriasi nuo 2024 m. ANPD tarptautinių perdavimų reglamentas įsigaliojo metų pradžioje, o praktines pasekmes užsienio leidėjai vis dar įsisavina.

Naujieji perdavimo mechanizmai

Reglamentas numato keturis pagrindinius teisėtų tarpvalstybinių perdavimų kelius:

• ANPD išleisti tinkamumo sprendimai, pripažįstantys paskirties jurisdikcijas ar sektorius teikiančiais tinkamą apsaugą
• ANPD patvirtintos standartinės sutartinės sąlygos, veikiančios analogiškai kaip GDPR SCC
• Privalomosios korporatyvinės taisyklės grupės vidaus perdavimams daugiašalėse organizacijose
• Konkretus leidimas perdavimams, neatitinkantiems standartinių kelių, kiekvienu atveju atskirai

Praktinis 2026 m. požiūris

Daugumai užsienio leidėjų veikiantis požiūris 2026 m. yra vykdyti ANPD patvirtintas standartines sutartines sąlygas su tarptautiniais tvarkytojais, dokumentuoti perdavimo mechanizmą privatumo pranešime ir papildyti sutikimu pagrįstu leidimu tik ten, kur standartinis mechanizmas netinka. Tai žymiai paprasčiau nei iki 2026 m. veikęs režimas, kuris dažnai rėmėsi sutikimo kiekvienam perdavimui logika, sukūrusia nepatogias CMP.

Tinkamumo sprendimai iki šiol

ANPD iki 2026 m. pradžios išleido tinkamumo sprendimus kelioms jurisdikcijoms ir tikimasi laipsniškai plėsti sąrašą. Jungtinės Amerikos Valstijos 2026 m. pradžioje nėra tinkamumo sąraše, o tai reiškia, kad perdavimai JAV veikiantiems ad-tech ir analizės tiekėjams reikalauja sutartinių sąlygų arba kito galiojančio mechanizmo.

Duomenų subjektų teisės

LGPD suteikia tvirtą teisių rinkinį, taikomą per Brazilijos sistemą:

• Teisė į tvarkymo patvirtinimą
• Teisė susipažinti su tvarkomais duomenimis
• Teisė ištaisyti neišsamius, netikslus ar pasenusios informacijos duomenis
• Teisė į nereikalingų, perteklinių ar neteisėtai tvarkomų duomenų anonimizavimą, blokavimą ar ištrynimą
• Teisė į duomenų perkeliamumą kitam paslaugų teikėjui
• Teisė ištrinti sutikimo pagrindu tvarkomus duomenis
• Teisė gauti informaciją apie viešąsias ir privačias įstaigas, su kuriomis buvo pasidalyti duomenys
• Teisė gauti informaciją apie galimybę neduoti sutikimo ir atsisakymo pasekmes
• Teisė atšaukti sutikimą
• Teisė prieštarauti tvarkymui, vykdomam vienu iš teisėtų interesų pagrindų, kai yra neatitiktis
• Teisė peržiūrėti sprendimus, priimtus išimtinai remiantis automatiniu tvarkymu

Atsakymo terminai

Valdytojai privalo atsakyti į duomenų subjektų prašymus per 15 dienų pagal reglamentą, su galimybe pratęsti pagrįstais atvejais. Tai griežčiau nei GDPR 30 dienų langas ir buvo pasikartojanti operacinė spraga užsienio leidėjams, suderintiems su Europos ritmu.

Sankcijos ir vykdymo pozicija 2026 m.

ANPD vykdymo veikla 2024–2025 m. reikšmingai padidėjo, o 2026 m. yra panašioje trajektorijoje.

Administracinės baudos

LGPD leidžia administracines baudas iki 2 procentų valdytojo pajamų iš veiklos Brazilijoje per praėjusius finansinius metus, ribojant BRL 50 milijonų už pažeidimą. ANPD 2025 m. keliuose atvejuose, įskaitant užsienio platformas, naudojo vidurį diapazono, o agentūros baudų metodika buvo paskelbta 2024 m. ir dabar taikoma nuosekliai.

Kitos sankcijos

Be baudų, ANPD gali skelbti įspėjimus, reikalauti taisomųjų priemonių, iš dalies ar visiškai sustabdyti tvarkymo veiklą ir uždrausti tam tikras tvarkymo operacijas. Pažeidimo paskelbimas yra įprastinė lydinti sankcija ir turi reputacinę reikšmę Brazilijos rinkoje.

Vykdymo temos

ANPD 2025 m. ir 2026 m. pradžios veiksmai telkiasi aplink pasikartojančias problemas: dviprasmiški ar nesantys sutikimų skydeliai, portugališka kalba parašyto privatumo pranešimo nebuvimas, tarpvalstybiniai perdavimai be galiojančio mechanizmo pagal naująjį reglamentą ir nesugebėjimas atsakyti į duomenų subjektų prašymus per 15 dienų langą. Užsienio leidėjai buvo nurodyti visose keturiose kategorijose.

DPO reikalavimas

LGPD reikalauja, kad valdytojai paskirtų Duomenų apsaugos pareigūną (Encarregado de Tratamento de Dados Pessoais) ir paskelbtų DPO kontaktinę informaciją. Užsienio valdytojams, didelio masto tvarkantiems Brazilijos duomenis, reikalingas paskirtas DPO, o kontaktinė informacija turi būti lengvai prieinama privatumo pranešime. ANPD keliuose vykdymo laiškuose nurodė trūkstamą arba neprieinamą DPO kontaktinę informaciją.

Brazilijos srauto audito kontrolinis sąrašas 2026 m.

• CMP skydelis pateikiamas portugališka kalba su vienoda vizualine matomumu Aceitar, Recusar ir Personalizar
• Sutikimų tikslai yra smulkūs ir bet koks jautrių kategorijų tvarkymas atskirtas už savo sutikimo eigos
• Privatumo pranešimas (Aviso de Privacidade) prieinamas portugališka kalba su išsamiu atskleidinėjimu apie valdytoją, tvarkytojus, tikslus, saugojimą, teises ir DPO kontaktą
• Tarpvalstybiniai perdavimai remiasi ANPD patvirtintomis standartinėmis sutartinėmis sąlygomis, tinkamumo sprendimu, BCR ar konkrečiu leidimu – o ne pasenusia sutikimo kiekvienam perdavimui logika
• Sutikimų žurnalai yra su laiko žyme, eksportuojami ir saugomi tvarkymo trukmės plius audituojamos atsargos laikotarpiu
• Duomenų subjektų prašymų darbo eiga gali atsakyti per 15 dienų nuo galo iki galo, portugališka kalba
• DPO yra paskirtas ir kontaktinė informacija paskelbta privatumo pranešime
• Tiekėjų sąrašas buvo peržiūrėtas dėl būtinumo, šalinant nenaudojamus ar perteklinius tiekėjus siekiant sumažinti tarpvalstybinių perdavimų paviršių
• Jautrių kategorijų auditorijos segmentai yra apsaugoti aiškiu, atskirai fiksuotu sutikimu

2026 m. perspektyvos

Brazilijos privatumo režimas subrendė nuo gerai parengto teisės akto su ribotu vykdymu iki vieno reikliausių režimų Amerikose. 2026 m. tarpvalstybinių perdavimų reglamentas uždarė reikšmingiausią struktūrinę spragą, o ANPD vykdymo pozicija pasivijo įstatymo ambicijas. Leidėjams, jau vykdantiems GDPR lygio sutikimų dėklą, atotrūkis iki LGPD atitikties yra operacinis, o ne architektūrinis: portugališka kalba CMP ir pranešimas, ANPD patvirtinti perdavimo mechanizmai, 15 dienų atsakymo ritmas, DPO paskyrimas ir atidumas plačiam jautrių duomenų sąrašui. Atotrūkį galima uždaryti per savaites, jei tai prioritetizuota – o Brazilija yra didžiausia pavienė rinka Lotynų Amerikoje, todėl prioritetizavimas paprastai greitai atsiperka. Leidėjai, kurie 2024 m. traktavo Braziliją kaip lengvesnę rinką, 2026 m. tai jaučia reikšmingai brangiau, o tie, kurie dar labiau vėluos, 2027 m. ras dar blogiau.