Struktura LGPD v letu 2026

LGPD je primarni zakon o varstvu podatkov v Braziliji in njena osnovna besedila so bila od sprejetja izjemno stabilna. Kar se je spremenilo, je regulatorna infrastruktura okoli nje.

ANPD kot zrel regulator

ANPD je postala popolnoma operativna leta 2021 in je prve tri leta porabila za izgradnjo procesnih zmogljivosti, izdajanje smernic in izvajanje posvetovanj. Do leta 2024 je prešla k aktivnemu izvrševanju, do leta 2025 pa je izdala prve pomembne upravne globe, vključno proti tujim platformam. Stališče agencije v letu 2026 je bližje evropskim kolegom kot njenemu prejšnjemu mehkemu obdobju.

Uredba o čezmejnem prenosu podatkov iz leta 2026

Najpomembnejši regulatorni razvoj za tuje založnike je bila uredba ANPD o mednarodnih prenosih, ki je bila dokončana konec leta 2025 in je začela veljati leta 2026. Uredba uvaja okvir ustreznosti, vzorčne pogodbene klavzule, ki jih je odobrila ANPD, zavezujoča poslovna pravila in certifikacije, ki vse delujejo analogno mehanizmom poglavja V GDPR. Pred to uredbo so čezmejni prenosi delovali po precej bolj ohlapnem nizu pravil, po katerem so se založniki in prodajalci oglasnih tehnologij običajno znajdili prek dvostranskih komercialnih dogovorov. Režim leta 2026 je bistveno bolj izvedljiv, vendar bistveno zahtevnejši glede dokumentacije.

Kdo je reguliran

LGPD se uporablja ekstrateritorialno. Vsak upravljavec, ki obdeluje osebne podatke posameznikov, ki se nahajajo v Braziliji v trenutku zbiranja, ali ki obdeluje podatke, zbrane iz Brazilije, ne glede na to, kje poteka obdelava, je v področju uporabe. Tuji založniki, ki oskrbujejo brazilske uporabnike prek lokaliziranih spletnih mest ali programatičnega inventarja, kupljenega za brazilske IP naslove, so jasno v dosegu, ANPD pa je v več primerih iz leta 2025 uveljavljala ekstrateritorialno določbo.

Kaj šteje za osebne podatke po LGPD

Definicija osebnih podatkov LGPD je široka in tesno sledi GDPR. Osebni podatki so informacije v zvezi z identificirano ali identificabilno fizično osebo, ANPD pa dosledno obravnava piškotke, oglaševalske identifikatorje, IP naslove, prstne odtise naprav in vedenjske profile kot osebne podatke, kadar jih je mogoče neposredno ali z razumnimi sredstvi povezati z posameznikom.

Občutljivi osebni podatki

LGPD določa širok seznam občutljivih kategorij: rasni ali etnični izvor, versko prepričanje, politično mnenje, članstvo v sindikatu ali politični organizaciji, filozofska ali verska prepričanja, zdravje, spolno življenje, genetski podatki in biometrični podatki, kadar se uporabljajo za edinstveno identifikacijo. Obdelava občutljivih osebnih podatkov sproži strožje zahteve glede soglasja in dodatne obveznosti upravljavca.

Zakaj je to pomembno za piškotke

Piškotek, ki shranjuje rutinski identifikator seje, so navadni osebni podatki. Piškotek, ki napaja segment občinstva, ki se dotika občutljivega seznama LGPD — zdravstveni interesi, verske afilijacije, politične nagnje — predstavlja obdelavo občutljivih osebnih podatkov in zahteva povišan tok soglasja, ne splošnega oglaševalskega soglasja. Založniki, ki upravljajo segmente občinstva, ki se prekrivajo z občutljivim seznamom, bi morali izvajati revizijo tokov soglasja posebej glede na to mejo.

Soglasje za piškotke po LGPD v letu 2026

LGPD dovoljuje več zakonitih podlag za obdelavo, a za piškotke in podobne tehnologije, ki niso strogo potrebne za zagotavljanje storitev, so smernice in izvrševanje ANPD konvergirale k soglasju kot praktičnemu izhodišču.

Pet elementov veljavnega soglasja

Soglasje po LGPD mora biti:

• Prostovoljno — dano brez prisile in ne vezano na zagotovitev storitve, do katere je uporabnik sicer upravičen
• Informirano — posameznik razume, kateri podatki se obdelujejo, od koga, za kateri namen in s kakšnimi posledicami
• Nedvoumno — izraženo z jasnim pritrdilnim dejanjem, ne sklepanjem iz molka, vnaprej označenih polj ali drsenja kot soglasja
• Specifično — vezano na jasno opredeljene namene in ne na splošno krovno soglasje
• Izpostavljeno v primerih, ki vključujejo občutljive podatke, z izrecnim in ločenim soglasjem za specifično občutljivo obdelavo

Kako izgleda skladna CMP

CMP, konfiguriran za brazilski promet v letu 2026, bi moral prikazovati:

• Viden pasico pred aktivacijo katerega koli nepotrebnega piškotka ali sledilnika, privzeto v portugalščini (Português) za brazilske uporabnike
• Enako vizualno izstopnost za Aceitar (Sprejmi), Recusar (Zavrni) in Personalizar (Prilagodi) — ANPD je posebej opozorila na oblikovanje pasic, pri katerih je dejanje Recusar manj vidno
• Podrobna stikala za vsak namen: analitika, oglaševanje, personalizacija, čezmejni prenos in kakršna koli obdelava občutljivih kategorij
• Ločen, jasno označen potek za obdelavo občutljivih osebnih podatkov, zaklenjen za lastnim dejanjem
• Trajen, zlahka najljiv mehanizem za preklic soglasja po začetni izbiri
• Aviso de Privacidade v portugalščini s popolnim razkritjem upravljavca, obdelovalcev, namenov, prejemnikov, hrambe in pravic

Evidence o soglasju

Upravljavci morajo hraniti dokaze o soglasju — kdo je soglašal, kdaj, za kateri namen in prek katerega vmesnika. ANPD je v več izvršilnih dejanjih navedla neustrezne evidence o soglasju, izvozljivi dnevniki s časovnim žigom pa so osnovno pričakovanje.

Režim čezmejnih prenosov leta 2026

To je področje, kjer se leto 2026 bistveno razlikuje od leta 2024. Uredba ANPD o mednarodnih prenosih je začela veljati na začetku leta, praktične posledice pa tuji založniki še vedno absorbirajo.

Novi mehanizmi prenosa

Uredba predvideva štiri primarne poti za zakonit čezmejni prenos:

• Odločbe o ustreznosti, ki jih izda ANPD in s katerimi prepozna namembne jurisdikcije ali sektorje kot tiste, ki zagotavljajo ustrezno zaščito
• Standardne pogodbene klavzule, ki jih odobri ANPD in delujejo analogno SCCs GDPR
• Zavezujoča poslovna pravila za intra-skupinske prenose v okviru multinacionalnih organizacij
• Posebno pooblastilo za prenose, ki ne ustrezajo standardnim potem, od primera do primera

Praktični pristop za leto 2026

Za večino tujih založnikov je delovni pristop v letu 2026 izvajanje standardnih pogodbenih klavzul, odobrenih s strani ANPD, z mednarodnimi obdelovalci, dokumentiranje mehanizma prenosa v obvestilu o zasebnosti in dopolnitev s pooblastilom, ki temelji na soglasju, le tam, kjer standardni mehanizem ne ustreza. To je bistveno preprosteje kot pred-2026 režim, ki se je pogosto zanašal na logiko soglasja na prenos, ki je ustvarila nepraktične CMP.

Odločbe o ustreznosti do danes

ANPD je do začetka leta 2026 izdala odločbe o ustreznosti za peščico jurisdikcij in pričakuje se, da bo seznam postopoma širila. Združene države Amerike niso na seznamu ustreznosti v začetku leta 2026, kar pomeni, da prenosi k ponudnikom oglasnih tehnologij in analitike s sedežem v ZDA zahtevajo pogodbene klavzule ali drug veljavni mehanizem.

Pravice posameznikov, na katere se nanašajo podatki

LGPD podeljuje obsežen nabor pravic, ki se uveljavljajo prek brazilskega okvira:

• Pravica do potrditve obdelave
• Pravica dostopa do obdelanih podatkov
• Pravica do popravka nepopolnih, netočnih ali zastarelih podatkov
• Pravica do anonimizacije, blokiranja ali izbrisa nepotrebnih, prekomerni ali nezakonito obdelanih podatkov
• Pravica do prenosljivosti podatkov k drugemu ponudniku storitev
• Pravica do izbrisa podatkov, obdelanih na podlagi soglasja
• Pravica do informacij o javnih in zasebnih subjektih, s katerimi so bili podatki deljeni
• Pravica do informacij o možnosti zavrnitve soglasja in posledicah zavrnitve
• Pravica do preklica soglasja
• Pravica do ugovora zoper obdelavo, ki se izvaja na podlagi ene od zakonitih interesnih podlag, kadar obstaja neskladnost
• Pravica do pregleda odločitev, sprejetih izključno na podlagi avtomatizirane obdelave

Roki za odgovor

Upravljavci morajo na zahteve posameznikov odgovoriti v 15 dneh po uredbi, z možnostjo podaljšanja v upravičenih primerih. To je strožje od 30-dnevnega okna GDPR in je bilo ponavljajoča se operativna vrzel za tuje založnike, uglašene na evropski ritem.

Sankcije in pristop k izvrševanju v letu 2026

Dejavnost izvrševanja ANPD se je skozi leta 2024 in 2025 bistveno stopnjevala in leto 2026 je na podobni poti.

Upravne globe

LGPD dovoljuje upravne globe do 2 odstotkov prihodkov upravljavca od dejavnosti v Braziliji v preteklem poslovnem letu, omejene na BRL 50 milijonov na kršitev. ANPD je v več primerih leta 2025 uporabila sredino lestvice, vključno proti tujim platformam, in metodologija sankcij agencije je bila objavljena leta 2024 ter se zdaj dosledno uporablja.

Druge sankcije

Poleg glob lahko ANPD izda opozorila, zahteva korektivne ukrepe, delno ali v celoti začasno ustavi dejavnosti obdelave in prepove določene operacije obdelave. Objava kršitve je rutinska spremljajoča sankcija in ima reputacijski pomen na brazilskem trgu.

Teme izvrševanja

Dejanja ANPD iz leta 2025 in začetka leta 2026 se kopičijo okoli ponavljajočih se težav: dvoumnih ali odsotnih pasic za soglasje, pomanjkanja obvestila o zasebnosti v portugalščini, čezmejnih prenosov brez veljavnega mehanizma po novi uredbi in nezmožnosti odgovarjanja na zahteve posameznikov v oknu 15 dni. Tuji založniki so bili omenjeni v vseh štirih kategorijah.

Zahteva glede DPO

LGPD od upravljavcev zahteva, da imenujejo Pooblaščeno osebo za varstvo podatkov (Encarregado de Tratamento de Dados Pessoais) in objavijo kontaktne podatke DPO. Tuji upravljavci, ki v velikem obsegu obdelujejo brazilske podatke, potrebujejo imenovanega DPO, kontaktni podatki pa morajo biti zlahka dostopni v obvestilu o zasebnosti. ANPD je v več izvršilnih pismih navedla manjkajoče ali nedostopne kontaktne podatke DPO.

Kontrolni seznam revizije za brazilski promet v letu 2026

• Pasica CMP je strežena v portugalščini z Aceitar, Recusar in Personalizar z enako vizualno izstopnostjo
• Namen soglasja je podroben in ločuje kakršno koli obdelavo občutljivih kategorij za lastnim tokom soglasja
• Obvestilo o zasebnosti (Aviso de Privacidade) je na voljo v portugalščini s popolnim razkritjem upravljavca, obdelovalcev, namenov, hrambe, pravic in kontakta DPO
• Čezmejni prenosi temeljijo na standardnih pogodbenih klavzulah, odobrenih s strani ANPD, odločbi o ustreznosti, zavezujočih poslovnih pravilih (BCR) ali posebnem pooblastilu — ne na zastareli logiki soglasja na prenos
• Dnevniki soglasij so označeni s časovnim žigom, izvozljivi in hranjeni za čas obdelave plus revizijski rob
• Potek dela zahtev posameznikov lahko odgovori v 15 dneh od začetka do konca, v portugalščini
• DPO je imenovan in kontaktni podatki so objavljeni v obvestilu o zasebnosti
• Seznam prodajalcev je bil pregledan glede potrebnosti, pri čemer so bili odstranjeni neuporabljeni ali redundantni prodajalci, da se zmanjša površina čezmejnega prenosa
• Segmenti občinstva občutljivih kategorij so zaklenjeni za izrecnim, ločeno zajetim soglasjem

Obeti za leto 2026

Brazilski zasebnostni režim je dozoreval od dobro sestavleneg zakona z omejenim izvrševanjem v enega od zahtevnejših režimov v Amerikah. Uredba o čezmejnih prenosih iz leta 2026 je zaprla najpomembnejšo strukturno vrzel in pristop ANPD k izvrševanju je dohitel ambicije zakona. Za založnike, ki že upravljajo sklop soglasij na ravni GDPR, je vrzel do skladnosti z LGPD operativna in ne arhitekturna: CMP in obvestilo v portugalščini, mehanizmi prenosa, odobreni s strani ANPD, 15-dnevni ritem odziva, imenovanje DPO in skrb s širšim seznamom občutljivih podatkov. Vrzel je mogoče zapreti v tednih, če je prioritizirana — in Brazilija je največji posamičen trg v Latinski Ameriki, zato prioritizacija navadno hitro povrne vložek. Založniki, ki so Brazilijo do leta 2024 obravnavali kot lažji trg, ugotavljajo, da je leto 2026 bistveno dražje, tisti, ki bodo še naprej odlašali, pa bodo ugotovili, da bo leto 2027 še slabše.