Štruktúra LGPD v roku 2026

LGPD je primárnym zákonom o ochrane údajov v Brazílii a jej základný text bol od prijatia pozoruhodne stabilný. Zmenila sa regulačná infraštruktúra okolo nej.

ANPD ako zrelý regulátor

ANPD sa stala plne operačnou v roku 2021 a prvé tri roky strávila budovaním procesnej kapacity, vydávaním usmernení a vedením konzultácií. Do roku 2024 prešla k aktívnemu presadzovaniu a do roku 2025 vydala niektoré zo svojich prvých významných správnych pokút, vrátane tých voči zahraničným platformám. Postoj agentúry v roku 2026 je bližší európskym náprotivkom ako jej skoršiemu obdobiu jemného prístupu.

Nariadenie o cezhraničnom prenose údajov z roku 2026

Najdôležitejším regulačným vývojom pre zahraničných vydavateľov bolo nariadenie ANPD o medzinárodných prenosoch, ktoré bolo finalizované koncom roka 2025 a nadobudlo účinnosť v roku 2026. Nariadenie zavádza rámec primeranosti, vzorové zmluvné doložky schválené ANPD, záväzné firemné pravidlá a certifikácie, ktoré všetky fungujú analogicky mechanizmom kapitoly V GDPR. Pred týmto nariadením sa cezhraničné prenosy riadili oveľa vágnejším súborom pravidiel, ktoré vydavatelia a dodávatelia reklamných technológií zvyčajne navigovali prostredníctvom bilaterálnych obchodných dohôd. Režim roku 2026 je podstatne funkčnejší, ale podstatne náročnejší na dokumentáciu.

Kto podlieha regulácii

LGPD sa uplatňuje extrateritoriálne. Každý prevádzkovateľ, ktorý spracúva osobné údaje fyzických osôb nachádzajúcich sa v Brazílii v čase zberu, alebo spracúva údaje zozbierané z Brazílie bez ohľadu na miesto spracovania, je v rozsahu pôsobnosti. Zahraniční vydavatelia obsluhujúci brazílskych používateľov prostredníctvom lokalizovaných stránok alebo programatického inventára zakúpeného voči brazílskym IP adresám sú zjavne v dosahu a ANPD sa odvolala na extrateritoriálne ustanovenie v niekoľkých prípadoch z roku 2025.

Čo sa počíta ako osobné údaje podľa LGPD

Definícia osobných údajov podľa LGPD je široká a úzko sleduje GDPR. Osobné údaje sú informácie súvisiace s identifikovanou alebo identifikovateľnou fyzickou osobou a ANPD dôsledne považuje súbory cookie, reklamné identifikátory, IP adresy, odtlačky zariadení a behaviorálne profily za osobné údaje, keď ich možno pripojiť k osobe priamo alebo primeranými prostriedkami.

Citlivé osobné údaje

LGPD definuje rozsiahly zoznam citlivých kategórií: rasový alebo etnický pôvod, náboženské presvedčenie, politický názor, členstvo v odborovej organizácii alebo politickej organizácii, filozofické alebo náboženské presvedčenie, zdravie, sexuálny život, genetické údaje a biometrické údaje pri použití na jedinečnú identifikáciu. Spracúvanie citlivých osobných údajov spúšťa prísnejšie požiadavky na súhlas a ďalšie povinnosti prevádzkovateľa.

Prečo je to dôležité pre súbory cookie

Súbor cookie, ktorý ukladá bežný identifikátor relácie, sú bežné osobné údaje. Súbor cookie, ktorý napája publikum dotýkajúce sa citlivého zoznamu LGPD — zdravotné záujmy, náboženské afiliácie, politické sklony — predstavuje spracúvanie citlivých osobných údajov a vyžaduje zvýšený tok súhlasu, nie všeobecný reklamný súhlas. Vydavatelia prevádzkujúci segmenty publika, ktoré sa prekrývajú s citlivým zoznamom, by mali auditovať toky súhlasu špeciálne voči tejto hranici.

Súhlas so súbormi cookie podľa LGPD v roku 2026

LGPD umožňuje viacero zákonných základov spracovania, ale pre súbory cookie a podobné technológie, ktoré nie sú striktne potrebné na poskytovanie služieb, sa usmernenia a presadzovanie ANPD zblížili k súhlasu ako praktickej základnej línii.

Päť prvkov platného súhlasu

Súhlas podľa LGPD musí byť:

• Slobodný — udelený bez nátlaku a nie viazaný s poskytnutím služby, na ktorú má používateľ inak nárok
• Informovaný — dotknutá osoba chápe, aké údaje sú spracúvané, kým, na aký účel a s akými dôsledkami
• Jednoznačný — vyjadrený prostredníctvom jasného kladného konania, nie odvodený z mlčania, vopred zaškrtnutých políčok alebo posúvania ako súhlasu
• Špecifický — viazaný na jasne identifikované účely, nie všeobecný paušálny súhlas
• Zvýraznený v prípadoch týkajúcich sa citlivých údajov, s explicitným a samostatným súhlasom pre konkrétne citlivé spracúvanie

Ako vyzerá súlad CMP

CMP konfigurovaný pre brazílsku návštevnosť v roku 2026 by mal prezentovať:

• Viditeľný banner pred aktivovaním akéhokoľvek nesúvisiaceho súboru cookie alebo sledovacieho nástroja, štandardne v portugalčine (Português) pre brazílskych používateľov
• Rovnakú vizuálnu prominenciu pre Aceitar (Prijať), Recusar (Odmietnuť) a Personalizar (Prispôsobiť) — ANPD konkrétne upozornila na dizajny bannerov, kde je akcia Recusar menej viditeľná
• Granulárne prepínače na každý účel: analytika, reklama, personalizácia, cezhraničný prenos a akékoľvek spracúvanie citlivých kategórií
• Samostatný, jasne označený tok pre spracúvanie citlivých osobných údajov, zabezpečený vlastnou akciou
• Trvalý, ľahko dostupný mechanizmus na odvolanie súhlasu po počiatočnej voľbe
• Aviso de Privacidade v portugalčine s úplným zverejnením prevádzkovateľa, sprostredkovateľov, účelov, príjemcov, uchovávania a práv

Záznamy o súhlase

Prevádzkovatelia musia uchovávať dôkazy o súhlase — kto súhlasil, kedy, na aký účel a prostredníctvom akého rozhrania. ANPD uviedla nedostatočné záznamy o súhlase v niekoľkých presadzovacích akciách a exportovateľné protokoly s časovou pečiatkou sú základným očakávaním.

Režim cezhraničného prenosu údajov roku 2026

Toto je oblasť, kde rok 2026 vyzerá výrazne odlišne od roku 2024. Nariadenie ANPD o medzinárodných prenosoch nadobudlo účinnosť na začiatku roka a praktické dôsledky stále vstrebávajú zahraniční vydavatelia.

Nové mechanizmy prenosu

Nariadenie poskytuje štyri primárne cesty pre legitímny cezhraničný prenos:

• Rozhodnutia o primeranosti vydané ANPD, ktoré uznávajú cieľové jurisdikcie alebo sektory ako poskytujúce primeranú ochranu
• Štandardné zmluvné doložky schválené ANPD, ktoré fungujú analogicky s SCC GDPR
• Záväzné firemné pravidlá pre prenosy v rámci skupiny v rámci nadnárodných organizácií
• Špecifické povolenie pre prenosy, ktoré nezodpovedajú štandardným cestám, prípad od prípadu

Praktický prístup pre rok 2026

Pre väčšinu zahraničných vydavateľov je pracovný prístup v roku 2026 vykonávať štandardné zmluvné doložky schválené ANPD s medzinárodnými sprostredkovateľmi, dokumentovať mechanizmus prenosu v oznámení o ochrane súkromia a doplniť autorizáciu na základe súhlasu iba tam, kde štandardný mechanizmus nevyhovuje. Toto je výrazne jednoduchšie ako režim pred rokom 2026, ktorý sa často spoliehal na logiku súhlasu na prenos, čo produkovalo nezvládnuteľné CMP.

Rozhodnutia o primeranosti k dnešnému dňu

ANPD vydala rozhodnutia o primeranosti pre niekoľko jurisdikcií do začiatku roku 2026 a očakáva sa, že zoznam bude postupne rozširovať. Spojené štáty nie sú na zozname primeranosti k začiatku roku 2026, čo znamená, že prenosy k dodávateľom reklamných technológií a analytiky so sídlom v USA vyžadujú zmluvné doložky alebo iný platný mechanizmus.

Práva dotknutých osôb

LGPD udeľuje robustný súbor práv uplatňovaných prostredníctvom brazílskeho rámca:

• Právo na potvrdenie spracúvania
• Právo na prístup k spracúvaným údajom
• Právo na opravu neúplných, nepresných alebo zastaraných údajov
• Právo na anonymizáciu, blokovanie alebo vymazanie nepotrebných, nadmerných alebo nezákonne spracúvaných údajov
• Právo na prenosnosť údajov k inému poskytovateľovi služieb
• Právo na vymazanie údajov spracúvaných na základe súhlasu
• Právo na informácie o verejných a súkromných subjektoch, s ktorými boli údaje zdieľané
• Právo na informácie o možnosti odmietnuť súhlas a o dôsledkoch odmietnutia
• Právo odvolať súhlas
• Právo namietať voči spracúvaniu vykonávanému na základe jedného zo základov legitímnych záujmov, keď dochádza k nesúladu
• Právo na preskúmanie rozhodnutí prijatých výlučne na základe automatizovaného spracúvania

Lehoty na odpoveď

Prevádzkovatelia musia odpovedať na žiadosti dotknutých osôb do 15 dní podľa nariadenia, s možnosťou predĺženia v odôvodnených prípadoch. Toto je prísnejšie ako 30-dňové okno GDPR a bolo opakujúcou sa operačnou medzerou pre zahraničných vydavateľov nastavených na európsku kadenciu.

Sankcie a postoj k presadzovaniu v roku 2026

Presadzovacia aktivita ANPD sa výrazne stupňovala počas rokov 2024 a 2025 a rok 2026 je na podobnej trajektórii.

Správne pokuty

LGPD umožňuje správne pokuty až do 2 percent príjmov prevádzkovateľa z jeho činnosti v Brazílii v predchádzajúcom fiškálnom roku, obmedzené na BRL 50 miliónov za porušenie. ANPD použila stred rozsahu v niekoľkých prípadoch roku 2025, vrátane prípadov voči zahraničným platformám, a metodika sankcií agentúry bola publikovaná v roku 2024 a teraz sa dôsledne uplatňuje.

Ďalšie sankcie

Okrem pokút môže ANPD vydávať varovania, vyžadovať nápravné opatrenia, čiastočne alebo úplne pozastaviť spracovateľské činnosti a zakázať konkrétne spracovateľské operácie. Zverejnenie porušenia je bežnou sprievodnou sankciou a nesie reputačnú váhu na brazílskom trhu.

Témy presadzovania

Akcie ANPD z roku 2025 a začiatku roku 2026 sa sústreďujú okolo opakujúcich sa problémov: nejednoznačné alebo chýbajúce bannery súhlasu, absencia oznámenia o ochrane súkromia v portugalčine, cezhraničné prenosy bez platného mechanizmu podľa nového nariadenia a neschopnosť odpovedať na žiadosti dotknutých osôb v okne 15 dní. Zahraniční vydavatelia boli citovaní vo všetkých štyroch kategóriách.

Požiadavka DPO

LGPD vyžaduje, aby prevádzkovatelia vymenovali zodpovednú osobu (Encarregado de Tratamento de Dados Pessoais) a zverejnili kontaktné informácie DPO. Zahraniční prevádzkovatelia spracúvajúci brazílske údaje vo veľkom rozsahu potrebujú určeného DPO a kontaktné informácie musia byť ľahko dostupné v oznámení o ochrane súkromia. ANPD uviedla chýbajúce alebo nedostupné kontaktné informácie DPO v niekoľkých presadzovacích listoch.

Kontrolný zoznam auditu pre brazílsku návštevnosť v roku 2026

• Banner CMP je podávaný v portugalčine s Aceitar, Recusar a Personalizar pri rovnakej vizuálnej prominencii
• Účely súhlasu sú granulárne a oddeľujú akékoľvek spracúvanie citlivých kategórií za jeho vlastný tok súhlasu
• Oznámenie o ochrane súkromia (Aviso de Privacidade) je dostupné v portugalčine s úplným zverejnením prevádzkovateľa, sprostredkovateľov, účelov, uchovávania, práv a kontaktu DPO
• Cezhraničné prenosy sa spoliehajú na štandardné zmluvné doložky schválené ANPD, rozhodnutie o primeranosti, záväzné firemné pravidlá (BCR) alebo špecifické povolenie — nie na staršiu logiku súhlasu na prenos
• Protokoly súhlasu sú opatrené časovou pečiatkou, exportovateľné a uchovávané po dobu spracovania plus auditovateľná marža
• Pracovný tok žiadostí dotknutých osôb dokáže odpovedať do 15 dní od začiatku do konca, v portugalčine
• DPO je určený a kontaktné informácie sú zverejnené v oznámení o ochrane súkromia
• Zoznam dodávateľov bol preskúmaný z hľadiska potreby, pričom nepoužívaní alebo redundantní dodávatelia boli odstránení, aby sa znížil povrch cezhraničného prenosu
• Segmenty publika citlivých kategórií sú zabezpečené za explicitným, osobitne zachyteným súhlasom

Výhľad pre rok 2026

Brazílsky režim ochrany súkromia dozrel z dobre vypracovaného zákona s obmedzeným presadzovaním na jeden z náročnejších režimov v Amerike. Nariadenie o cezhraničnom prenose z roku 2026 uzavrelo najzávažnejšiu štrukturálnu medzeru a postoj ANPD k presadzovaniu dohnal ambície zákona. Pre vydavateľov, ktorí už prevádzkujú súborovú zásobníkovú vrstvu súhlasu na úrovni GDPR, je medzera k súladu s LGPD operačná, nie architektonická: CMP a oznámenie v portugalčine, mechanizmy prenosu schválené ANPD, 15-dňová kadencia odpovedí, určenie DPO a starostlivosť o širší zoznam citlivých údajov. Medzeru možno uzavrieť v priebehu niekoľkých týždňov, ak sa uprednostní — a Brazília je najväčším jednotným trhom v Latinskej Amerike, takže uprednostňovanie sa zvyčajne rýchlo vyplatí. Vydavatelia, ktorí sa k Brazílii správali ako k ľahšiemu trhu počas roku 2024, zisťujú, že rok 2026 je výrazne drahší, a tí, ktorí ďalej odkladajú, zistia, že rok 2027 bude ešte horší.