Struktura LGPD-a u 2026. godini

LGPD je primarni zakon o zaštiti podataka u Brazilu, i njegov osnovni tekst je bio izuzetno stabilan od donošenja. Ono što se promenilo je regulatorna infrastruktura oko njega.

ANPD kao zreo regulatorno telo

ANPD je postao potpuno operativan 2021. i proveo prve tri godine u izgradnji proceduralnih kapaciteta, izdavanju smernica i sprovođenju konsultacija. Do 2024. prešao je u aktivno sprovođenje, a do 2025. izdao je neke od prvih značajnih administrativnih novčanih kazni, uključujući one protiv stranih platformi. Pozicija agencije u 2026. bliža je njenim evropskim kolegama nego ranijem periodu blagog pristupa.

Regulativa o prekograničnom prenosu za 2026. godinu

Najvažniji regulatorni razvoj za strane izdavače bila je međunarodna regulativa o prenosu ANPD-a, koja je finalizovana krajem 2025. i stupila na snagu 2026. Regulativa uvodi okvir adekvatnosti, model ugovornih klauzula odobrenih od ANPD-a, obavezujuća korporativna pravila i sertifikacije, sve funkcionišući analogno mehanizmima Poglavlja V GDPR-a. Pre ove regulative, prekogranični prenosi funkcionisali su pod mnogo nejasijim skupom pravila koje su izdavači i dobavljači ad-tech tehnologije obično navigirali kroz bilateralne komercijalne aranžmane. Režim 2026. je suštinski prikladniji, ali suštinski zahtevniji u pogledu dokumentacije.

Ko je regulisan

LGPD se primenjuje ekstrateritorialno. Svaki kontrolor koji obrađuje lične podatke lica lociranih u Brazilu u vreme prikupljanja, ili koji obrađuje podatke prikupljene iz Brazila bez obzira gde se obrada odvija, nalazi se u dometu. Strani izdavači koji opslužuju brazilske korisnike putem lokalizovanih sajtova ili programskog inventara kupljenog prema brazilskim IP adresama jasno su u dometu, a ANPD je pozvao ekstrateritorijalnu odredbu u nekoliko slučajeva iz 2025.

Šta se smatra ličnim podacima prema LGPD-u

Definicija ličnih podataka u LGPD-u je široka i blisko prati GDPR. Lični podaci su informacije vezane za identifikovano ili identifikabilno fizičko lice, a ANPD je dosljedno tretirao kolačiće, identifikatore za oglašavanje, IP adrese, digitalne otiske uređaja i bihevioralne profile kao lične podatke kada se mogu vezati za pojedinca direktno ili razumnim sredstvima.

Osetljivi lični podaci

LGPD određuje široku listu osetljivih kategorija: rasno ili etničko poreklo, versko uverenje, politički stav, članstvo u sindikatima ili političkim organizacijama, filozofska ili verska uverenja, zdravlje, seksualni život, genetski podaci i biometrijski podaci kada se koriste za jedinstvenu identifikaciju. Obrada osetljivih ličnih podataka aktivira strože zahteve za pristanak i dodatne obaveze kontrolora.

Zašto je ovo važno za kolačiće

Kolačić koji čuva rutinski identifikator sesije je obični lični podatak. Kolačić koji hrani segment publike koji dodiruje LGPD osetljivu listu — zdravstveni interesi, verske affiliacije, politička opredeljenja — je obrada osetljivih ličnih podataka i zahteva pojačani tok pristanka, a ne opšti pristanak za oglašavanje. Izdavači koji pokreću segmente publike koji se preklapaju sa osetljivom listom trebali bi da revidiraju svoje tokove pristanka posebno u odnosu na ovu granicu.

Pristanak na kolačiće prema LGPD-u u 2026. godini

LGPD dozvoljava više zakonitih osnova za obradu, ali za kolačiće i slične tehnologije koje nisu striktno neophodne za isporuku usluga, smernice i sprovođenje ANPD-a konvergirale su na pristanak kao praktičnu osnovu.

Pet elemenata važećeg pristanka

Pristanak prema LGPD-u mora biti:

• Slobodan — dat bez prinude i ne vezan za pružanje usluge na koju korisnik ionako ima pravo
• Informisan — subjekt podataka razume koji podaci se obrađuju, od koga, u koju svrhu i s kakvim posledicama
• Nedvosmislen — izražen kroz jasnu afirmativnu radnju, a ne zaključen iz tišine, unapred označenih polja ili listanja kao pristanka
• Specifičan — vezan za jasno identifikovane svrhe, a ne za sveobuhvatan opšti pristanak
• Istaknut u slučajevima koji uključuju osetljive podatke, uz eksplicitni i odvojeni pristanak za specifičnu osetljivu obradu

Kako izgleda usklađen CMP

CMP konfigurisan za brazilski saobraćaj u 2026. trebalo bi da prikaže:

• Vidljivi baner pre nego što se aktivira bilo koji neesencijalni kolačić ili tragač, na Portuguese (Português) kao podrazumevano za brazilske korisnike
• Jednaku vizuelnu istaknutost za Aceitar (Prihvati), Recusar (Odbij) i Personalizar (Prilagodi) — ANPD je posebno ukazao na dizajne banera gde je radnja Recusar manje vidljiva
• Granularne prekidače po svrsi: analitika, oglašavanje, personalizacija, prekogranični prenos i svaka obrada kategorije osetljivih podataka
• Odvojen, jasno označen tok za obradu osetljivih ličnih podataka, zaštićen sopstvenom radnjom
• Persistentni, lako pronađen mehanizam za povlačenje pristanka nakon početnog izbora
• Aviso de Privacidade na Portuguese jeziku sa potpunim otkrivanjem kontrolora, obrađivača, svrha, primalaca, zadržavanja i prava

Evidencija pristanka

Kontrolori moraju da čuvaju dokaze o pristanku — ko je pristao, kada, za koju svrhu i putem kojeg interfejsa. ANPD je naveo neadekvatnu evidenciju pristanka u nekoliko akcija sprovođenja, a evidencije sa vremenskim žigom koje se mogu izvoziti su osnovno očekivanje.

Režim prekograničnog prenosa u 2026. godini

Ovo je oblast gde 2026. izgleda značajno drugačije od 2024. Međunarodna regulativa o prenosu ANPD-a stupila je na snagu početkom godine, a praktične implikacije još uvek se apsorbiraju od strane stranih izdavača.

Novi mehanizmi prenosa

Regulativa predviđa četiri primarna puta za legitimni prekogranični prenos:

• Odluke o adekvatnosti koje izdaje ANPD, prepoznajući odredišne jurisdikcije ili sektore kao one koji pružaju adekvatnu zaštitu
• Standardne ugovorne klauzule odobrene od ANPD-a, koje funkcionišu analogno GDPR SCC-ovima
• Obavezujuća korporativna pravila za prenose unutar grupe u okviru multinacionalnih organizacija
• Specifičan odobrenje za prenose koji se ne uklapaju u standardne puteve, od slučaja do slučaja

Praktični pristup za 2026. godinu

Za većinu stranih izdavača, radni pristup u 2026. je izvođenje standardnih ugovornih klauzula odobrenih od ANPD-a sa međunarodnim obrađivačima, dokumentovanje mehanizma prenosa u obaveštenju o privatnosti i dopunjavanje autorizacijom zasnovanom na pristanku samo tamo gde se standardni mehanizam ne uklapa. Ovo je značajno jednostavnije od predhodnog režima pre-2026, koji je često zavisio od logike pristanka po prenosu koja je produkcirala nezgrapne CMP-ove.

Odluke o adekvatnosti do sada

ANPD je izdao odluke o adekvatnosti za šačicu jurisdikcija do početka 2026. i očekuje se da će postepeno proširivati listu. Sjedinjene Države nisu na listi adekvatnosti od početka 2026, što znači da prenosi ka dobavljačima ad-tech i analitike sa sedištem u SAD-u zahtevaju ugovorne klauzule ili drugi važeći mehanizam.

Prava subjekata podataka

LGPD dodeljuje robustan skup prava, primenjen kroz brazilski okvir:

• Pravo na potvrdu obrade
• Pravo pristupa obrađenim podacima
• Pravo na ispravku nepotpunih, netačnih ili zastarelih podataka
• Pravo na anonimizaciju, blokiranje ili brisanje nepotrebnih, preteranih ili nezakonito obrađenih podataka
• Pravo na prenosivost podataka drugom pružaocu usluga
• Pravo na brisanje podataka obrađenih na osnovu pristanka
• Pravo na informacije o javnim i privatnim entitetima sa kojima su podaci deljeni
• Pravo na informacije o mogućnosti uskraćivanja pristanka i posledicama uskraćivanja
• Pravo na povlačenje pristanka
• Pravo na prigovor na obradu sprovedenu na osnovu jedne od osnova legitimnih interesa kada postoji neusklađenost
• Pravo na pregled odluka donetih isključivo na osnovu automatizovane obrade

Rokovi za odgovor

Kontrolori moraju odgovoriti na zahteve subjekata podataka u roku od 15 dana prema regulativi, uz mogućnost produženja u opravdanim slučajevima. Ovo je strože od 30-dnevnog prozora GDPR-a i bila je ponavljajuća operativna praznina za strane izdavače usklađene sa evropskim ritmom.

Kazne i pozicija sprovođenja u 2026. godini

Aktivnost sprovođenja ANPD-a značajno je eskalirala tokom 2024. i 2025, a 2026. je na sličnoj trajektoriji.

Administrativne novčane kazne

LGPD dozvoljava administrativne novčane kazne do 2 posto prihoda kontrolora od njegove delatnosti u Brazilu u prethodnoj fiskalnoj godini, ograničene na BRL 50 miliona po prekršaju. ANPD je koristio sredinu raspona u nekoliko slučajeva iz 2025, uključujući one protiv stranih platformi, a metodologija kažnjavanja agencije objavljena je 2024. i sada se dosledno primenjuje.

Ostale sankcije

Pored novčanih kazni, ANPD može da izdaje upozorenja, zahteva korektivne mere, delimično ili potpuno suspenduje aktivnosti obrade i zabranjuje specifične operacije obrade. Objavljivanje prekršaja je rutinska prateća sankcija i nosi reputacionu težinu na brazilskom tržištu.

Teme sprovođenja

Akcije ANPD-a iz 2025. i početka 2026. grupisane su oko ponavljajućih problema: nejasni ili odsutni baneri pristanka, nedostatak obaveštenja o privatnosti na Portuguese jeziku, prekogranični prenosi bez važećeg mehanizma prema novoj regulativi i neuspeh da se odgovori na zahteve subjekata podataka u roku od 15 dana. Strani izdavači navedeni su u sve četiri kategorije.

Zahtev za DPO

LGPD zahteva od kontrolora da imenuju Službenika za zaštitu podataka (Encarregado de Tratamento de Dados Pessoais) i da objave kontaktne podatke DPO-a. Stranim kontrolorima koji obrađuju brazilske podatke u velikom obimu potreban je određeni DPO, a kontaktni podaci moraju biti lako dostupni u obaveštenju o privatnosti. ANPD je naveo nedostajuće ili nedostupne kontaktne podatke DPO-a u nekoliko pisama o sprovođenju.

Kontrolna lista revizije za brazilski saobraćaj u 2026. godini

• CMP baner se prikazuje na Portuguese jeziku sa Aceitar, Recusar i Personalizar uz jednaku vizuelnu istaknutost
• Svrhe pristanka su granularne i odvajaju svaku obradu kategorije osetljivih podataka iza sopstvenog toka pristanka
• Obaveštenje o privatnosti (Aviso de Privacidade) dostupno je na Portuguese jeziku sa potpunim otkrivanjem kontrolora, obrađivača, svrha, zadržavanja, prava i kontakta DPO-a
• Prekogranični prenosi oslanjaju se na standardne ugovorne klauzule odobrene od ANPD-a, odluku o adekvatnosti, BCR-ove ili specifično odobrenje — ne na logiku naslednog pristanka po prenosu
• Evidencije pristanka su sa vremenskim žigom, izvozive i čuvane tokom trajanja obrade plus reviziona margina
• Tok rada sa zahtevom subjekta podataka može odgovoriti u roku od 15 dana od početka do kraja, na Portuguese jeziku
• DPO je određen i kontaktni podaci su objavljeni u obaveštenju o privatnosti
• Lista dobavljača pregledana je radi neophodnosti, sa nekorišćenim ili redundantnim dobavljačima uklonjenim kako bi se smanjila površina prekograničnog prenosa
• Segmenti publike osetljivih kategorija zaštićeni su iza eksplicitnog, zasebno prikupljenog pristanka

Perspektive za 2026. godinu

Brazilski režim privatnosti sazreo je od dobro formulisanog zakona sa ograničenim sprovođenjem u jedan od zahtevnijih režima u Americi. Regulativa o prekograničnom prenosu iz 2026. zatvorila je najznačajniji strukturni jaz, a pozicija sprovođenja ANPD-a dostigla je ambicije zakona. Za izdavače koji već pokreću stog pristanka GDPR nivoa, jaz prema usklađenosti LGPD-a je operativan, a ne arhitektonski: CMP i obaveštenje na Portuguese jeziku, mehanizmi prenosa odobreni od ANPD-a, ritam odgovora od 15 dana, imenovanje DPO-a i pažnja prema široj listi osetljivih podataka. Jaz se može zatvoriti za nedeljama ako se prioritizuje — a Brazil je najveće pojedinačno tržište u Latinskoj Americi, pa prioritizacija obično brzo isplati. Izdavači koji su tretirali Brazil kao tržište sa blagim pristupom tokom 2024. otkrivaju da 2026. značajno skuplja, a oni koji dalje odlažu naći će da 2027. bude još gora.