LGPD struktūra 2026. gadā

LGPD ir galvenais datu aizsardzības statūts Brazīlijā, un tā pamatā esošais teksts kopš pieņemšanas ir bijis iespaidīgi stabils. Mainījusies ir ap to esošā regulatīvā infrastruktūra.

ANPD kā nobriedis regulators

ANPD kļuva pilnībā darbotiesspējīga 2021. gadā un pirmos trīs gadus veltīja procedurālās kapacitātes veidošanai, norādījumu sniegšanai un konsultāciju rīkošanai. Līdz 2024. gadam tā bija pārgājusi uz aktīvu izpildi, un līdz 2025. gadam bija izdevusi dažas no pirmajiem nozīmīgajiem administratīvajiem sodiem, tostarp pret ārvalstu platformām. Aģentūras nostāja 2026. gadā ir tuvāka Eiropas kolēģiem nekā agrākajam maigajam periodam.

2026. gada pārrobežu pārsūtīšanas regulējums

Vissvarīgākā regulatīvā attīstība ārvalstu izdevējiem bija ANPD starptautisko pārsūtīšanu regulējums, kas tika pabeigts 2025. gada beigās un stājās spēkā 2026. gadā. Regulējums ievieš atbilstības sistēmu, ANPD apstiprinātas līguma paraugklauzulas, saistošus korporatīvos noteikumus un sertifikācijas, kas visas darbojas analogiski GDPR V nodaļas mehānismiem. Pirms šī regulējuma pārrobežu pārsūtīšana darbojās saskaņā ar daudz neskaidrāku noteikumu kopumu, ko izdevēji un reklāmtehnoloģiju pārdevēji parasti navigēja caur divpusējiem komerciāliem pasākumiem. 2026. gada režīms ir ievērojami izpildāmāks, bet ievērojami prasīgāks dokumentācijas ziņā.

Kam piemēro regulējumu

LGPD piemēro eksteritoriāli. Jebkurš pārzinis, kas apstrādā Brazīlijā izvietotu personu personas datus savākšanas laikā vai apstrādā no Brazīlijas savāktus datus neatkarīgi no tā, kur apstrāde notiek, ir iekļauts darbības jomā. Ārvalstu izdevēji, kas apkalpo Brazīlijas lietotājus ar lokalizētām vietnēm vai programmatisko inventāru, kas iegādāts pret Brazīlijas IP adresēm, skaidri ietilpst sasniedzamajā, un ANPD ir atsaucies uz eksteritoriālo noteikumu vairākos 2025. gada gadījumos.

Kas tiek uzskatīts par personas datiem saskaņā ar LGPD

LGPD personas datu definīcija ir plaša un cieši seko GDPR. Personas dati ir informācija, kas saistīta ar identificētu vai identificējamu fizisku personu, un ANPD konsekventi uzskata sīkfailus, reklāmas identifikatorus, IP adreses, ierīces nospiedumus un uzvedības profilus par personas datiem, kad tos var tieši vai ar saprātīgiem līdzekļiem saistīt ar personu.

Sensitīvi personas dati

LGPD nosaka plašu sensitīvo kategoriju sarakstu: rases vai etniskā izcelsme, reliģiskā pārliecība, politiskais viedoklis, arodbiedrību vai politisko organizāciju dalība, filozofiskās vai reliģiskās pārliecības, veselība, seksuālā dzīve, ģenētiskie dati un biometriskie dati, kad tos izmanto unikālai identifikācijai. Sensitīvu personas datu apstrāde izraisa stingrākas piekrišanas prasības un papildu pārziņa pienākumus.

Kāpēc tas ir svarīgi sīkfailiem

Sīkfails, kas glabā parasto sesijas identifikatoru, ir parasti personas dati. Sīkfails, kas baro auditorijas segmentu, kas skar LGPD sensitīvo sarakstu — veselības intereses, reliģiskās piederības, politiskās tendences — ir sensitīvu personas datu apstrāde un prasa paaugstinātu piekrišanas plūsmu, nevis vispārējo reklāmas piekrišanu. Izdevējiem, kas vada auditorijas segmentus, kas pārklājas ar sensitīvo sarakstu, vajadzētu revidēt savu piekrišanas plūsmu tieši pret šo robežu.

Sīkfailu piekrišana saskaņā ar LGPD 2026. gadā

LGPD atļauj vairākus likumīgus apstrādes pamatus, taču sīkfailiem un līdzīgām tehnoloģijām, kas nav absolūti nepieciešamas pakalpojumu sniegšanai, ANPD norādījumi un izpilde ir konverģējuši uz piekrišanu kā praktisko bāzlīniju.

Derīgas piekrišanas pieci elementi

Piekrišanai saskaņā ar LGPD jābūt:

• Brīvai — sniegta bez piespiešanas un nav apvienota ar pakalpojuma sniegšanu, uz kuru lietotājam citādi ir tiesības
• Informētai — datu subjekts saprot, kādi dati tiek apstrādāti, no kā, kādam nolūkam un ar kādām sekām
• Nepārprotamai — izteikta ar skaidru apstiprinošu darbību, nevis secināta no klusēšanas, iepriekš atzīmētām lodziņiem vai ritināšanas kā piekrišanas
• Specifiskai — saistīta ar skaidri identificētiem nolūkiem, nevis vispārēju vispārējo piekrišanu
• Izceltu sensitīvu datu gadījumos, ar skaidru un atsevišķu piekrišanu konkrētai sensitīvai apstrādei

Kā izskatās atbilstoša CMP

CMP, kas konfigurēta Brazīlijas trafikam 2026. gadā, jāuzrāda:

• Redzams baneris pirms jebkura nebūtiska sīkfaila vai izsekotāja aktivizēšanas, portugāļu valodā (Português) pēc noklusējuma Brazīlijas lietotājiem
• Vienāds vizuāls atšķirtspēks Aceitar (Pieņemt), Recusar (Noraidīt) un Personalizar (Pielāgot) — ANPD ir īpaši norādījis uz baneru dizainiem, kur Recusar darbība ir mazāk redzama
• Detalizēti pārslēgi katram nolūkam: analītika, reklāma, personalizācija, pārrobežu pārsūtīšana un jebkāda sensitīvo kategoriju apstrāde
• Atsevišķa, skaidri marķēta plūsma sensitīvu personas datu apstrādei, kas bloķēta aiz savas darbības
• Pastāvīgs, viegli atrodams mehānisms piekrišanas atsaukšanai pēc sākotnējās izvēles
• Portugāļu valodas Aviso de Privacidade ar pilnīgu pārziņu, apstrādātāju, nolūku, saņēmēju, glabāšanas un tiesību izpaušanu

Piekrišanas ieraksti

Pārziņiem jāuztur piekrišanas pierādījumi — kurš piekrita, kad, kādam nolūkam un caur kuru saskarni. ANPD ir atsaucies uz nepietiekamiem piekrišanas ierakstiem vairākās izpildes darbībās, un eksportējami laika zīmogi žurnāli ir bāzlīnijas cerība.

2026. gada pārrobežu pārsūtīšanas režīms

Šī ir joma, kur 2026. gads izskatās ievērojami atšķirīgs no 2024. gada. ANPD starptautisko pārsūtīšanu regulējums stājās spēkā gada sākumā, un praktiskās sekas joprojām tiek apgūtas ārvalstu izdevēju vidū.

Jaunais pārsūtīšanas mehānismi

Regulējums nodrošina četrus galvenos ceļus likumīgai pārrobežu pārsūtīšanai:

• Atbilstības lēmumi, ko izdevusi ANPD, atzīstot galamērķa jurisdikcijas vai nozares kā nodrošinošas atbilstošu aizsardzību
• Standarta līguma klauzulas, ko apstiprinājusi ANPD un kas darbojas analogiski GDPR SCC
• Saistošie korporatīvie noteikumi starptautisku organizāciju grupas iekšējai pārsūtīšanai
• Specifiska atļauja pārsūtīšanai, kas neatbilst standarta ceļiem, katrā gadījumā atsevišķi

Praktiskā 2026. gada pieeja

Lielākajai daļai ārvalstu izdevēju darba pieeja 2026. gadā ir izpildīt ANPD apstiprinātās standarta līguma klauzulas ar starptautiskiem apstrādātājiem, dokumentēt pārsūtīšanas mehānismu privātuma paziņojumā un papildināt ar uz piekrišanu balstītu atļauju tikai tur, kur standarta mehānisms neder. Tas ir ievērojami vienkāršāk nekā pirms-2026. gada režīms, kas bieži balstījās uz piekrišanas par pārsūtīšanu loģiku, kas radīja apgrūtinošas CMP.

Atbilstības lēmumi līdz šim

ANPD ir izdevusi atbilstības lēmumus dažām jurisdikcijām līdz 2026. gada sākumam un tiek sagaidīts, ka sarakstu paplašinās pakāpeniski. Amerikas Savienotās Valstis nav atbilstības sarakstā 2026. gada sākumā, kas nozīmē, ka pārsūtīšanai uz ASV balstītiem reklāmtehnoloģiju un analītikas pārdevējiem nepieciešamas līguma klauzulas vai cits derīgs mehānisms.

Datu subjektu tiesības

LGPD piešķir stabilu tiesību kopumu, ko piemēro caur Brazīlijas sistēmu:

• Tiesības uz apstrādes apstiprinājumu
• Tiesības piekļūt apstrādātajiem datiem
• Tiesības uz nepilnīgu, neprecīzu vai novecojušu datu labošanu
• Tiesības uz nevajadzīgu, pārmērīgu vai nelikumīgi apstrādātu datu anonimizāciju, bloķēšanu vai dzēšanu
• Tiesības uz datu pārnesamību pie cita pakalpojumu sniedzēja
• Tiesības uz datu dzēšanu, kas apstrādāti uz piekrišanas pamata
• Tiesības uz informāciju par publiskajām un privātajām vienībām, ar kurām dati ir kopīgoti
• Tiesības uz informāciju par iespēju liegt piekrišanu un noraidīšanas sekām
• Tiesības atsaukt piekrišanu
• Tiesības iebilst pret apstrādi, kas veikta uz kāda no likumīgo interešu pamatiem, kad ir neatbilstība
• Tiesības pārskatīt lēmumus, kas pieņemti tikai uz automatizētas apstrādes pamata

Atbildes termiņi

Pārziņiem saskaņā ar regulējumu jāatbild uz datu subjektu pieprasījumiem 15 dienu laikā, ar iespēju pagarināt pamatotās gadījumos. Tas ir stingrāk nekā GDPR 30 dienu logs un ir bijis atkārtota operatīvā plaisa ārvalstu izdevējiem, kas ir noskaņoti uz Eiropas kadenci.

Sodi un izpildes nostāja 2026. gadā

ANPD izpildes darbība ir ievērojami eskalējusi 2024. un 2025. gadā, un 2026. gads ir līdzīgā trajektorijā.

Administratīvie sodi

LGPD atļauj administratīvos sodus līdz 2 procentiem no pārziņa ieņēmumiem no darbības Brazīlijā iepriekšējā finanšu gadā, ar maksimumu BRL 50 miljoni par pārkāpumu. ANPD ir izmantojusi vidējo diapazonu vairākos 2025. gada gadījumos, tostarp pret ārvalstu platformām, un aģentūras sodu metodika tika publicēta 2024. gadā un tagad tiek konsekventi piemērota.

Citi sodi

Papildus naudas sodiem ANPD var izdot brīdinājumus, pieprasīt korektīvus pasākumus, daļēji vai pilnīgi apturēt apstrādes darbības un aizliegt konkrētas apstrādes operācijas. Pārkāpuma publikācija ir ikdienišķs pavadsods un nesa reputācijas svaru Brazīlijas tirgū.

Izpildes tēmas

ANPD 2025. un 2026. gada sākuma darbības grupējas ap atkārtotām problēmām: neskaidri vai nepastāvoši piekrišanas baneri, portugāļu valodas privātuma paziņojuma trūkums, pārrobežu pārsūtīšana bez derīga mehānisma saskaņā ar jauno regulējumu un nespēja atbildēt uz datu subjektu pieprasījumiem 15 dienu logā. Ārvalstu izdevēji ir atsaukti visās četrās kategorijās.

DPO prasība

LGPD pieprasa pārziņiem iecelt Datu aizsardzības speciālistu (Encarregado de Tratamento de Dados Pessoais) un publicēt DPO kontaktinformāciju. Ārvalstu pārziņiem, kas apstrādā Brazīlijas datus lielā apjomā, nepieciešams nozīmēts DPO, un kontaktinformācijai jābūt viegli pieejamai privātuma paziņojumā. ANPD ir atsaucies uz trūkstošu vai nepieejamu DPO kontaktinformāciju vairākās izpildes vēstulēs.

Revīzijas kontrolsaraksts Brazīlijas trafika 2026. gadā

• CMP baneris tiek pasniegts portugāļu valodā ar Aceitar, Recusar un Personalizar vienādā vizuālā atšķirtspējā
• Piekrišanas nolūki ir detalizēti un jebkādu sensitīvo kategoriju apstrādi atdala aiz savas piekrišanas plūsmas
• Privātuma paziņojums (Aviso de Privacidade) ir pieejams portugāļu valodā ar pilnīgu pārziņu, apstrādātāju, nolūku, glabāšanas, tiesību un DPO kontakta izpaušanu
• Pārrobežu pārsūtīšana balstās uz ANPD apstiprinātām standarta līguma klauzulām, atbilstības lēmumu, BCR vai specifisko atļauju — nevis uz mantoto piekrišanas par pārsūtīšanu loģiku
• Piekrišanas žurnāli ir laika zīmogoti, eksportējami un saglabāti apstrādes ilgumam plus auditējama rezerve
• Datu subjektu pieprasījumu darbplūsma var atbildēt 15 dienu laikā no gala līdz galam, portugāļu valodā
• DPO ir nozīmēts un kontaktinformācija ir publicēta privātuma paziņojumā
• Pārdevēju saraksts ir pārskatīts nepieciešamības ziņā, ar neizmantotiem vai liekiem pārdevējiem noņemtiem, lai samazinātu pārrobežu pārsūtīšanas virsmu
• Sensitīvo kategoriju auditorijas segmenti ir bloķēti aiz skaidras, atsevišķi uztvertos piekrišanas

2026. gada perspektīva

Brazīlijas privātuma režīms ir nobriedis no labi izstrādāta statūta ar ierobežotu izpildi vienā no prasīgākajiem Amerikas režīmiem. 2026. gada pārrobežu pārsūtīšanas regulējums aizvēra vissvarīgāko strukturālo plaisu, un ANPD izpildes nostāja ir panākusi likuma ambīcijas. Izdevējiem, kas jau darbojas ar GDPR klases piekrišanas paketi, plaisa līdz LGPD atbilstībai ir operatīva, nevis arhitektoniska: portugāļu valodas CMP un paziņojums, ANPD apstiprināti pārsūtīšanas mehānismi, 15 dienu atbildes kadence, DPO nozīmēšana un rūpes ar plašāko sensitīvo datu sarakstu. Šo plaisu var aizvērt nedēļu laikā, ja tā tiek prioritizēta — un Brazīlija ir lielākais vienotais tirgus Latīņamerikā, tāpēc prioritizēšana parasti atmaksājas ātri. Izdevēji, kuri līdz 2024. gadam Brazīliju uzskatīja par vieglāku tirgu, 2026. gadā atklāj ievērojami dārgāku, un tie, kas turpina kavēties, 2027. gadā atradīs to vēl sliktāku.