LGPD Бразилии в 2026 году: позиция ANPD по правоприменению, согласие на cookie и руководство по трансграничной передаче для паблишеров и рекламодателей
Бразильский Lei Geral de Proteção de Dados Pessoais (LGPD) вступил в силу в сентябре 2020 года и в течение большей части первых трёх лет был необычайно хорошо составленным, но неравномерно применяемым режимом приватности. Этот период закончился. Autoridade Nacional de Proteção de Dados (ANPD) перешёл от позиции выпуска рекомендаций к активному правоприменению в течение 2024 и 2025 годов, программа песочницы 2025 года агентства созрела, а регулирование международной передачи данных 2026 года наконец прояснило одну из самых неоднозначных областей LGPD. Для любого паблишера, рекламодателя или платформы, обрабатывающих персональные данные бразильских пользователей — будь то базирующихся в Бразилии или обслуживающих бразильский рынок из-за рубежа — среда 2026 года значительно более требовательна, чем была среда 2023 года. Это руководство проходит через LGPD в его сегодняшнем виде, что на самом деле требует согласие на cookie, как теперь работают трансграничные передачи в рамках нового регулирования и как выглядят темы правоприменения ANPD в 2026 году.
Структура LGPD в 2026 году
LGPD — это основной закон о защите данных в Бразилии, и его базовый текст оставался удивительно стабильным с момента принятия. Что изменилось, так это нормативная инфраструктура вокруг него.
ANPD как зрелый регулятор
ANPD стал полностью операционным в 2021 году и потратил свои первые три года на построение процедурного потенциала, выпуск рекомендаций и проведение консультаций. К 2024 году он перешёл к активному правоприменению, а к 2025 году выпустил некоторые из своих первых значительных административных штрафов, в том числе против иностранных платформ. Позиция агентства в 2026 году ближе к его европейским аналогам, чем к его раннему периоду мягкого подхода.
Регулирование трансграничной передачи 2026 года
Самым важным нормативным событием для иностранных паблишеров стало регулирование международной передачи ANPD, которое было финализировано в конце 2025 года и вступило в силу в 2026 году. Регулирование вводит рамки адекватности, типовые договорные положения, одобренные ANPD, обязательные корпоративные правила и сертификации, которые функционируют аналогично механизмам Главы V GDPR. До этого регулирования трансграничные передачи действовали в рамках гораздо более расплывчатого набора правил, которые паблишеры и поставщики ad-tech обычно навигировали через двусторонние коммерческие соглашения. Режим 2026 года существенно более работоспособен, но существенно более требователен к документации.
Кто регулируется
LGPD применяется экстерриториально. Любой контролёр, обрабатывающий персональные данные лиц, находящихся в Бразилии на момент сбора, или обрабатывающий данные, собранные из Бразилии, независимо от того, где происходит обработка, входит в сферу действия. Иностранные паблишеры, обслуживающие бразильских пользователей через локализованные сайты или программатик-инвентарь, купленный против бразильских IP, явно находятся в пределах досягаемости, и ANPD ссылался на экстерриториальное положение в нескольких делах 2025 года.
Что считается персональными данными согласно LGPD
Определение персональных данных в LGPD широкое и тесно следует GDPR. Персональные данные — это информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, и ANPD последовательно рассматривал файлы cookie, рекламные идентификаторы, IP-адреса, отпечатки устройств и поведенческие профили как персональные данные, когда они могут быть привязаны к лицу напрямую или разумными средствами.
Конфиденциальные персональные данные
LGPD обозначает широкий список конфиденциальных категорий: расовое или этническое происхождение, религиозное убеждение, политическое мнение, членство в профсоюзе или политической организации, философские или религиозные убеждения, здоровье, сексуальная жизнь, генетические данные и биометрические данные при использовании для уникальной идентификации. Обработка конфиденциальных персональных данных запускает более строгие требования к согласию и дополнительные обязательства контролёра.
Почему это важно для cookie
Файл cookie, который хранит рутинный сессионный идентификатор, — это обычные персональные данные. Файл cookie, который питает сегмент аудитории, затрагивающий конфиденциальный список LGPD — интересы здоровья, религиозную принадлежность, политические наклонности — это обработка конфиденциальных персональных данных и требует усиленного потока согласия, а не общего согласия на рекламу. Паблишеры, запускающие сегменты аудитории, которые пересекаются с конфиденциальным списком, должны проверять свои потоки согласия конкретно против этой границы.
Согласие на cookie согласно LGPD в 2026 году
LGPD разрешает множество законных оснований для обработки, но для файлов cookie и аналогичных технологий, которые не являются строго необходимыми для предоставления услуги, рекомендации и правоприменение ANPD сошлись на согласии как практической базовой линии.
Пять элементов действительного согласия
Согласие согласно LGPD должно быть:
- Свободным — данным без принуждения и не связанным с предоставлением услуги, на которую пользователь иначе имеет право
- Информированным — субъект данных понимает, какие данные обрабатываются, кем, для какой цели и с какими последствиями
- Недвусмысленным — выраженным через ясный утвердительный акт, а не выведенным из молчания, заранее отмеченных флажков или прокрутки-как-согласия
- Конкретным — привязанным к чётко определённым целям, а не к общему зонтичному согласию
- Выделенным в случаях, связанных с конфиденциальными данными, с явным и отдельным согласием на конкретную конфиденциальную обработку
Как выглядит соответствующая CMP
CMP, настроенная для бразильского трафика в 2026 году, должна представлять:
- Видимый баннер до срабатывания любого неосновного файла cookie или трекера, на португальском (Português) по умолчанию для бразильских пользователей
- Равную визуальную заметность для Aceitar (Принять), Recusar (Отклонить) и Personalizar (Настроить) — ANPD конкретно указал на дизайны баннеров, где действие Recusar менее заметно
- Гранулярные переключатели по цели: аналитика, реклама, персонализация, трансграничная передача и любая обработка конфиденциальных категорий
- Отдельный, чётко обозначенный поток для обработки конфиденциальных персональных данных, огороженный собственным действием
- Постоянный, легко находимый механизм отзыва согласия после первоначального выбора
- Aviso de Privacidade на португальском языке с полными раскрытиями контролёра, обработчиков, целей, получателей, хранения и прав
Записи о согласии
Контролёры должны вести доказательства согласия — кто согласился, когда, на какую цель и через какой интерфейс. ANPD ссылался на неадекватные записи о согласии в нескольких правоприменительных действиях, и экспортируемые журналы с временными метками являются базовым ожиданием.
Режим трансграничной передачи 2026 года
Это область, где 2026 год выглядит значительно иначе, чем 2024 год. Регулирование международной передачи ANPD вступило в силу в начале года, и практические последствия всё ещё усваиваются иностранными паблишерами.
Новые механизмы передачи
Регулирование предусматривает четыре основных пути для законной трансграничной передачи:
- Решения об адекватности, выпущенные ANPD, признающие юрисдикции назначения или секторы как обеспечивающие адекватную защиту
- Стандартные договорные положения, одобренные ANPD, которые функционируют аналогично SCC GDPR
- Обязательные корпоративные правила для внутригрупповых передач в многонациональных организациях
- Специфическая авторизация для передач, которые не вписываются в стандартные пути, на индивидуальной основе
Практический подход 2026 года
Для большинства иностранных паблишеров рабочий подход в 2026 году — заключить одобренные ANPD стандартные договорные положения с международными обработчиками, задокументировать механизм передачи в уведомлении о конфиденциальности и дополнить авторизацией на основе согласия только там, где стандартный механизм не подходит. Это значительно проще режима до 2026 года, который часто опирался на логику согласия-на-передачу, которая производила громоздкие CMP.
Решения об адекватности на сегодняшний день
ANPD выпустил решения об адекватности для нескольких юрисдикций к началу 2026 года и, как ожидается, будет постепенно расширять список. Соединённые Штаты не входят в список адекватности по состоянию на начало 2026 года, что означает, что передачи поставщикам ad-tech и аналитики, базирующимся в США, требуют договорных положений или другого действительного механизма.
Права субъекта данных
LGPD предоставляет надёжный набор прав, применяемых через бразильскую систему:
- Право на подтверждение обработки
- Право доступа к обрабатываемым данным
- Право на исправление неполных, неточных или устаревших данных
- Право на анонимизацию, блокировку или удаление ненужных, избыточных или незаконно обрабатываемых данных
- Право на переносимость данных другому поставщику услуг
- Право на удаление данных, обрабатываемых на основе согласия
- Право на информацию о государственных и частных организациях, с которыми были переданы данные
- Право на информацию о возможности отказа в согласии и последствиях отказа
- Право на отзыв согласия
- Право возражать против обработки, осуществляемой на основе одного из оснований законных интересов, при наличии несоответствия
- Право на пересмотр решений, принятых исключительно на основе автоматизированной обработки
Сроки ответа
Контролёры должны отвечать на запросы субъектов данных в течение 15 дней согласно регулированию, с возможностью продления в обоснованных случаях. Это жёстче 30-дневного окна GDPR и было повторяющимся операционным пробелом для иностранных паблишеров, настроенных на европейский ритм.
Штрафы и позиция правоприменения в 2026 году
Правоприменительная активность ANPD значительно возросла в течение 2024 и 2025 годов, и 2026 год идёт по аналогичной траектории.
Административные штрафы
LGPD разрешает административные штрафы в размере до 2 процентов от дохода контролёра от его деятельности в Бразилии в предыдущем финансовом году, ограниченные суммой BRL 50 миллионов за нарушение. ANPD использовал середину диапазона в нескольких делах 2025 года, в том числе против иностранных платформ, и методология штрафов агентства была опубликована в 2024 году и теперь применяется последовательно.
Другие санкции
Помимо штрафов, ANPD может выдавать предупреждения, требовать корректирующих мер, частично или полностью приостанавливать деятельность по обработке и запрещать конкретные операции обработки. Публикация нарушения — рутинная сопутствующая санкция, которая несёт репутационный вес на бразильском рынке.
Темы правоприменения
Действия ANPD в 2025 и начале 2026 года группируются вокруг повторяющихся проблем: неоднозначные или отсутствующие баннеры согласия, отсутствие уведомления о конфиденциальности на португальском языке, трансграничные передачи без действительного механизма в рамках нового регулирования и неспособность ответить на запросы субъектов данных в течение 15-дневного окна. Иностранные паблишеры были упомянуты во всех четырёх категориях.
Требование DPO
LGPD требует, чтобы контролёры назначали сотрудника по защите данных (Encarregado de Tratamento de Dados Pessoais) и публиковали контактную информацию DPO. Иностранные контролёры, обрабатывающие бразильские данные в масштабе, нуждаются в назначенном DPO, и контактная информация должна быть легко доступна в уведомлении о конфиденциальности. ANPD ссылался на отсутствующую или недоступную контактную информацию DPO в нескольких правоприменительных письмах.
Чек-лист аудита для бразильского трафика в 2026 году
- Баннер CMP подаётся на португальском с Aceitar, Recusar и Personalizar при равной визуальной заметности
- Цели согласия гранулярны и отделяют любую обработку конфиденциальных категорий за собственным потоком согласия
- Уведомление о конфиденциальности (Aviso de Privacidade) доступно на португальском с полными раскрытиями контролёра, обработчиков, целей, хранения, прав и контакта DPO
- Трансграничные передачи опираются на одобренные ANPD стандартные договорные положения, решение об адекватности, BCR или специфическую авторизацию — а не на устаревшую логику согласия-на-передачу
- Журналы согласия имеют временные метки, экспортируемы и сохраняются на протяжении обработки плюс проверяемый запас
- Рабочий процесс запросов субъектов данных может ответить в течение 15 дней от начала до конца, на португальском
- DPO назначен, и контактная информация опубликована в уведомлении о конфиденциальности
- Список вендоров был проверен на необходимость, с удалением неиспользуемых или избыточных вендоров для сокращения поверхности трансграничной передачи
- Сегменты аудитории конфиденциальных категорий огорожены явным, отдельно собранным согласием
Перспектива 2026 года
Режим приватности Бразилии созрел от хорошо составленного закона с ограниченным правоприменением до одного из более требовательных режимов в Америке. Регулирование трансграничной передачи 2026 года закрыло наиболее значимый структурный пробел, а позиция правоприменения ANPD догнала амбиции закона. Для паблишеров, уже запускающих стек согласия уровня GDPR, разрыв до соответствия LGPD является операционным, а не архитектурным: CMP и уведомление на португальском, одобренные ANPD механизмы передачи, 15-дневный ритм ответа, назначение DPO и осторожность с более широким списком конфиденциальных данных. Разрыв можно закрыть за недели, если это приоритизировать — а Бразилия является крупнейшим единичным рынком в Латинской Америке, поэтому приоритизация обычно быстро окупается. Паблишеры, которые относились к Бразилии как к рынку с более мягким подходом в течение 2024 года, находят 2026 год значительно более дорогим, а те, кто откладывает дальше, найдут 2027 год ещё хуже.