Brazylijska LGPD w 2026 roku: Podejście ANPD do egzekwowania przepisów, zgoda na pliki cookie i przewodnik po transgranicznych transferach danych dla wydawców i reklamodawców
Brazylijska Lei Geral de Proteção de Dados Pessoais (LGPD) weszła w życie we wrześniu 2020 roku i przez większość pierwszych trzech lat była niezwykle dobrze przygotowanym, lecz nierównomiernie egzekwowanym reżimem prywatności. Ten okres dobiegł końca. Autoridade Nacional de Proteção de Dados (ANPD) przeszła od wydawania wytycznych do aktywnego egzekwowania przepisów w trakcie 2024 i 2025 roku, program piaskownicy agencji z 2025 roku dojrzał, a rozporządzenie dotyczące międzynarodowych transferów danych z 2026 roku w końcu wyjaśniło jeden z najbardziej niejednoznacznych obszarów LGPD. Dla każdego wydawcy, reklamodawcy lub platformy przetwarzającej dane osobowe brazylijskich użytkowników — niezależnie od tego, czy są zlokalizowani w Brazylii, czy obsługują rynek brazylijski z zagranicy — środowisko roku 2026 jest znacznie bardziej wymagające niż środowisko roku 2023. Ten przewodnik omawia LGPD w jej aktualnym kształcie, czego faktycznie wymaga zgoda na pliki cookie, jak transgraniczne transfery działają teraz w ramach nowego rozporządzenia oraz jak wyglądają tematy egzekwowania ANPD w 2026 roku.
Struktura LGPD w 2026 roku
LGPD jest głównym aktem prawnym dotyczącym ochrony danych w Brazylii, a jego tekst zasadniczy był niezwykle stabilny od czasu uchwalenia. Zmieniła się infrastruktura regulacyjna wokół niego.
ANPD jako dojrzały regulator
ANPD stała się w pełni operacyjna w 2021 roku i przez pierwsze trzy lata budowała zdolności proceduralne, wydawała wytyczne i prowadziła konsultacje. Do 2024 roku przeszła do aktywnego egzekwowania, a do 2025 roku wydała pierwsze znaczące kary administracyjne, w tym wobec zagranicznych platform. Podejście agencji w 2026 roku jest bliższe europejskim odpowiednikom niż jej wcześniejszemu miękkiemu podejściu.
Rozporządzenie o transgranicznym transferze danych z 2026 roku
Najważniejszym wydarzeniem regulacyjnym dla zagranicznych wydawców było rozporządzenie ANPD dotyczące transferów międzynarodowych, które zostało sfinalizowane pod koniec 2025 roku i weszło w życie w 2026 roku. Rozporządzenie wprowadza ramy adekwatności, modelowe klauzule umowne zatwierdzone przez ANPD, wiążące reguły korporacyjne i certyfikacje, wszystkie funkcjonujące analogicznie do mechanizmów Rozdziału V GDPR. Przed tym rozporządzeniem transgraniczne transfery działały na podstawie znacznie bardziej niejasnego zbioru zasad, które wydawcy i dostawcy technologii reklamowych zwykle nawigowali poprzez dwustronne umowy handlowe. Reżim 2026 roku jest znacznie bardziej wykonalny, ale znacznie bardziej wymagający pod względem dokumentacji.
Kto podlega regulacji
LGPD ma zastosowanie eksterytorialne. Każdy administrator przetwarzający dane osobowe osób znajdujących się w Brazylii w momencie zbierania lub przetwarzający dane zebrane z Brazylii niezależnie od miejsca przetwarzania jest objęty zakresem. Zagraniczni wydawcy obsługujący brazylijskich użytkowników za pośrednictwem zlokalizowanych witryn lub programatycznych zasobów reklamowych zakupionych pod brazylijskie adresy IP są wyraźnie w zasięgu, a ANPD powołała się na przepis eksterytorialny w kilku sprawach z 2025 roku.
Co stanowi dane osobowe w myśl LGPD
Definicja danych osobowych w LGPD jest szeroka i ściśle podąża za GDPR. Dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a ANPD konsekwentnie traktuje pliki cookie, identyfikatory reklamowe, adresy IP, odciski palców urządzeń i profile behawioralne jako dane osobowe, gdy można je powiązać z osobą bezpośrednio lub za pomocą rozsądnych środków.
Wrażliwe dane osobowe
LGPD wyznacza szeroką listę kategorii wrażliwych: pochodzenie rasowe lub etniczne, przekonania religijne, opinia polityczna, przynależność do związku zawodowego lub organizacji politycznej, przekonania filozoficzne lub religijne, zdrowie, życie seksualne, dane genetyczne i dane biometryczne używane do unikalnej identyfikacji. Przetwarzanie wrażliwych danych osobowych uruchamia bardziej rygorystyczne wymogi dotyczące zgody i dodatkowe obowiązki administratora.
Dlaczego ma to znaczenie dla plików cookie
Plik cookie przechowujący rutynowy identyfikator sesji to zwykłe dane osobowe. Plik cookie zasilający segment odbiorców dotykający wrażliwej listy LGPD — zainteresowania zdrowotne, przynależności religijne, tendencje polityczne — to przetwarzanie wrażliwych danych osobowych i wymaga podwyższonego przepływu zgody, a nie ogólnej zgody reklamowej. Wydawcy prowadzący segmenty odbiorców nakładające się na listę wrażliwych powinni audytować swoje przepływy zgody specyficznie pod kątem tej granicy.
Zgoda na pliki cookie w ramach LGPD w 2026 roku
LGPD dopuszcza wiele podstaw prawnych przetwarzania, ale w przypadku plików cookie i podobnych technologii, które nie są absolutnie niezbędne do świadczenia usług, wytyczne i egzekwowanie ANPD zbiegły się na zgodzie jako praktycznej linii podstawowej.
Pięć elementów ważnej zgody
Zgoda w ramach LGPD musi być:
- Dobrowolna — udzielona bez przymusu i nie powiązana z dostarczeniem usługi, do której użytkownik jest uprawniony
- Świadoma — podmiot danych rozumie, jakie dane są przetwarzane, przez kogo, w jakim celu i z jakimi konsekwencjami
- Jednoznaczna — wyrażona poprzez wyraźne działanie twierdzące, nie wywnioskowana z milczenia, wstępnie zaznaczonych pól lub przewijania jako zgody
- Szczegółowa — powiązana z wyraźnie określonymi celami, a nie ogólną zgodą parasolową
- Wyróżniona w przypadkach dotyczących danych wrażliwych, z wyraźną i odrębną zgodą na konkretne wrażliwe przetwarzanie
Jak wygląda zgodny CMP
CMP skonfigurowany dla ruchu brazylijskiego w 2026 roku powinien prezentować:
- Widoczny baner przed uruchomieniem nieistotnych plików cookie lub śledzących, domyślnie w języku portugalskim (Português) dla brazylijskich użytkowników
- Równą widoczność wizualną dla Aceitar (Akceptuj), Recusar (Odrzuć) i Personalizar (Dostosuj) — ANPD szczególnie zwróciła uwagę na projekty banerów, gdzie akcja Recusar jest mniej widoczna
- Szczegółowe przełączniki dla każdego celu: analityka, reklama, personalizacja, transgraniczny transfer i wszelkie przetwarzanie kategorii wrażliwych
- Oddzielny, wyraźnie oznaczony przepływ do przetwarzania wrażliwych danych osobowych, zablokowany za własną akcją
- Trwały, łatwy do znalezienia mechanizm wycofania zgody po dokonaniu wstępnego wyboru
- Aviso de Privacidade w języku portugalskim z pełnym ujawnieniem administratora, procesorów, celów, odbiorców, okresu przechowywania i praw
Rekordy zgody
Administratorzy muszą utrzymywać dowody zgody — kto wyraził zgodę, kiedy, w jakim celu i przez który interfejs. ANPD powołała się na niewystarczające rekordy zgody w kilku działaniach egzekucyjnych, a eksportowalne dzienniki ze znacznikami czasu są oczekiwaną linią podstawową.
Reżim transgranicznego transferu z 2026 roku
To obszar, w którym rok 2026 różni się znacząco od 2024. Rozporządzenie ANPD dotyczące transferów międzynarodowych weszło w życie na początku roku, a praktyczne implikacje są nadal przyswajane przez zagranicznych wydawców.
Nowe mechanizmy transferu
Rozporządzenie przewiduje cztery główne ścieżki dla legalnego transgranicznego transferu:
- Decyzje o adekwatności wydane przez ANPD uznające docelowe jurysdykcje lub sektory za zapewniające odpowiednią ochronę
- Standardowe klauzule umowne zatwierdzone przez ANPD, działające analogicznie do SCC GDPR
- Wiążące reguły korporacyjne dla transferów wewnątrzgrupowych w ramach organizacji wielonarodowych
- Szczegółowe upoważnienie dla transferów niedopasowanych do standardowych ścieżek, rozpatrywanych indywidualnie
Praktyczne podejście na 2026 rok
Dla większości zagranicznych wydawców podejście robocze w 2026 roku polega na wykonaniu standardowych klauzul umownych zatwierdzonych przez ANPD z międzynarodowymi procesorami, udokumentowaniu mechanizmu transferu w informacji o prywatności i uzupełnieniu go upoważnieniem opartym na zgodzie wyłącznie tam, gdzie standardowy mechanizm nie pasuje. Jest to znacznie prostsze niż reżim sprzed 2026 roku, który często opierał się na logice zgody na transfer, co prowadziło do kłopotliwych CMP.
Dotychczasowe decyzje o adekwatności
ANPD wydała decyzje o adekwatności dla kilku jurysdykcji do początku 2026 roku i oczekuje się stopniowego rozszerzania listy. Stany Zjednoczone nie figurują na liście adekwatności na początku 2026 roku, co oznacza, że transfery do dostawców technologii reklamowych i analitycznych z siedzibą w USA wymagają klauzul umownych lub innego ważnego mechanizmu.
Prawa podmiotów danych
LGPD przyznaje solidny zestaw praw stosowanych w ramach brazylijskiego systemu:
- Prawo do potwierdzenia przetwarzania
- Prawo dostępu do przetwarzanych danych
- Prawo do sprostowania niekompletnych, niedokładnych lub nieaktualnych danych
- Prawo do anonimizacji, zablokowania lub usunięcia niepotrzebnych, nadmiernych lub bezprawnie przetwarzanych danych
- Prawo do przenoszenia danych do innego dostawcy usług
- Prawo do usunięcia danych przetwarzanych na podstawie zgody
- Prawo do informacji o podmiotach publicznych i prywatnych, z którymi dane zostały udostępnione
- Prawo do informacji o możliwości odmowy zgody i konsekwencjach odmowy
- Prawo do wycofania zgody
- Prawo do sprzeciwu wobec przetwarzania prowadzonego na podstawie jednej z podstaw uzasadnionych interesów, gdy istnieje niezgodność
- Prawo do przeglądu decyzji podejmowanych wyłącznie na podstawie zautomatyzowanego przetwarzania
Terminy odpowiedzi
Administratorzy muszą odpowiadać na żądania podmiotów danych w ciągu 15 dni na mocy rozporządzenia, z możliwością przedłużenia w uzasadnionych przypadkach. Jest to bardziej rygorystyczne niż 30-dniowe okno GDPR i stanowiło powtarzającą się lukę operacyjną dla zagranicznych wydawców dostosowanych do europejskiego rytmu.
Kary i podejście do egzekwowania w 2026 roku
Działalność egzekucyjna ANPD znacząco eskalowała przez 2024 i 2025 rok, a 2026 rok ma podobną trajektorię.
Kary administracyjne
LGPD dopuszcza kary administracyjne do 2 procent przychodów administratora z działalności w Brazylii w poprzednim roku obrotowym, z górnym limitem BRL 50 milionów na naruszenie. ANPD używała środka skali w kilku sprawach z 2025 roku, w tym wobec zagranicznych platform, a metodologia kar agencji została opublikowana w 2024 roku i jest teraz stosowana konsekwentnie.
Inne sankcje
Poza karami ANPD może wydawać ostrzeżenia, wymagać działań naprawczych, częściowo lub całkowicie zawieszać działania przetwarzające i zakazywać określonych operacji przetwarzania. Publikacja naruszenia jest rutynową sankcją towarzyszącą i ma wagę reputacyjną na rynku brazylijskim.
Tematy egzekwowania
Działania ANPD z 2025 roku i początku 2026 roku skupiają się wokół powtarzających się problemów: niejednoznacznych lub nieobecnych banerów zgody, braku informacji o prywatności w języku portugalskim, transgranicznych transferów bez ważnego mechanizmu w ramach nowego rozporządzenia i niezdolności do odpowiedzi na żądania podmiotów danych w oknie 15 dni. Zagraniczni wydawcy byli cytowani we wszystkich czterech kategoriach.
Wymóg DPO
LGPD wymaga od administratorów mianowania Inspektora Ochrony Danych (Encarregado de Tratamento de Dados Pessoais) i publikowania danych kontaktowych DPO. Zagraniczni administratorzy przetwarzający dane brazylijskie na dużą skalę potrzebują wyznaczonego DPO, a dane kontaktowe muszą być łatwo dostępne w informacji o prywatności. ANPD powołała się na brakujące lub niedostępne dane kontaktowe DPO w kilku pismach egzekucyjnych.
Lista kontrolna audytu dla ruchu brazylijskiego w 2026 roku
- Baner CMP jest serwowany w języku portugalskim z Aceitar, Recusar i Personalizar o jednakowej widoczności wizualnej
- Cele zgody są szczegółowe i oddzielają wszelkie przetwarzanie kategorii wrażliwych za własnym przepływem zgody
- Informacja o prywatności (Aviso de Privacidade) jest dostępna w języku portugalskim z pełnym ujawnieniem administratora, procesorów, celów, okresu przechowywania, praw i danych kontaktowych DPO
- Transgraniczne transfery opierają się na standardowych klauzulach umownych zatwierdzonych przez ANPD, decyzji o adekwatności, BCR lub szczegółowym upoważnieniu — nie na starszej logice zgody na transfer
- Dzienniki zgody są oznaczone znacznikiem czasu, eksportowalne i przechowywane przez cały okres przetwarzania plus audytowalny margines
- Przepływ pracy żądań podmiotów danych może odpowiadać w ciągu 15 dni od początku do końca, w języku portugalskim
- DPO jest wyznaczony, a dane kontaktowe są opublikowane w informacji o prywatności
- Lista dostawców została sprawdzona pod kątem konieczności, z usunięciem nieużywanych lub zbędnych dostawców w celu zmniejszenia powierzchni transgranicznego transferu
- Segmenty odbiorców kategorii wrażliwych są zablokowane za wyraźną, osobno zebraną zgodą
Perspektywy na 2026 rok
Brazylijski reżim prywatności dojrzał od dobrze przygotowanego aktu prawnego z ograniczonym egzekwowaniem do jednego z bardziej wymagających reżimów w Ameryce. Rozporządzenie o transgranicznym transferze z 2026 roku zamknęło najbardziej znaczącą lukę strukturalną, a podejście ANPD do egzekwowania dogoniło ambicje prawa. Dla wydawców już korzystających ze stosu zgody na poziomie GDPR luka do zgodności z LGPD ma charakter operacyjny, a nie architektoniczny: CMP i informacja o prywatności w języku portugalskim, mechanizmy transferu zatwierdzone przez ANPD, 15-dniowy rytm odpowiedzi, wyznaczenie DPO i dbałość o szerszą listę wrażliwych danych. Lukę można zamknąć w ciągu kilku tygodni, jeśli zostanie ona priorytetyzowana — a Brazylia jest największym pojedynczym rynkiem w Ameryce Łacińskiej, więc priorytetyzacja zwykle szybko się zwraca. Wydawcy, którzy traktowali Brazylię jako lżejszy rynek przez 2024 rok, odkrywają, że 2026 jest znacznie droższy, a ci, którzy opóźniają dalej, odkryją, że 2027 będzie jeszcze gorszy.