LGPD ของบราซิลในปี 2026: จุดยืนการบังคับใช้ของ ANPD การยินยอมคุกกี้ และคู่มือการโอนข้อมูลข้ามพรมแดนสำหรับผู้เผยแพร่และผู้ลงโฆษณา
บราซิล Lei Geral de Proteção de Dados Pessoais (LGPD) มีผลบังคับใช้ในเดือนกันยายน 2020 และสำหรับช่วงส่วนใหญ่ของสามปีแรก เป็นระบอบความเป็นส่วนตัวที่ร่างขึ้นอย่างดีแต่ได้รับการบังคับใช้อย่างไม่สม่ำเสมอ ช่วงเวลานั้นสิ้นสุดลงแล้ว Autoridade Nacional de Proteção de Dados (ANPD) ได้เปลี่ยนจากจุดยืนการออกแนวทางไปสู่การบังคับใช้อย่างแข็งขันในช่วงปี 2024 และ 2025 โปรแกรม sandbox ปี 2025 ของหน่วยงานได้เติบโตขึ้น และ กฎระเบียบการโอนข้อมูลระหว่างประเทศปี 2026 ได้ทำให้พื้นที่ที่คลุมเครือที่สุดแห่งหนึ่งของ LGPD ชัดเจนขึ้น สำหรับผู้เผยแพร่ ผู้ลงโฆษณา หรือแพลตฟอร์มใดๆ ที่ประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ชาวบราซิล ไม่ว่าจะตั้งอยู่ในบราซิลหรือให้บริการตลาดบราซิลจากต่างประเทศ สภาพแวดล้อมปี 2026 มีความต้องการมากกว่าสภาพแวดล้อมปี 2023 อย่างมีนัยสำคัญ คู่มือนี้จะแนะนำ LGPD ตามที่เป็นอยู่ในปัจจุบัน สิ่งที่การยินยอมสำหรับคุกกี้ต้องการจริงๆ วิธีที่การโอนข้อมูลข้ามพรมแดนทำงานภายใต้กฎระเบียบใหม่ และธีมการบังคับใช้ของ ANPD ในปี 2026 มีลักษณะอย่างไร
โครงสร้างของ LGPD ในปี 2026
LGPD เป็นกฎหมายคุ้มครองข้อมูลหลักในบราซิล และข้อความหลักของกฎหมายนี้มีความเสถียรอย่างน่าทึ่งนับตั้งแต่มีผลบังคับใช้ สิ่งที่เปลี่ยนแปลงคือโครงสร้างพื้นฐานด้านกฎระเบียบรอบๆ กฎหมาย
ANPD ในฐานะหน่วยงานกำกับดูแลที่เติบโตเต็มที่
ANPD ดำเนินงานอย่างเต็มรูปแบบในปี 2021 และใช้เวลาสามปีแรกในการสร้างความสามารถด้านขั้นตอน การออกแนวทาง และการดำเนินการปรึกษาหารือ ถึงปี 2024 ได้เปลี่ยนไปสู่การบังคับใช้อย่างแข็งขัน และถึงปี 2025 ได้ออกค่าปรับทางปกครองที่สำคัญบางส่วน รวมถึงค่าปรับต่อแพลตฟอร์มต่างประเทศ จุดยืนของหน่วยงานในปี 2026 ใกล้เคียงกับคู่หูชาวยุโรปมากกว่าช่วงเวลาที่จัดการอย่างนุ่มนวลในช่วงก่อนหน้า
กฎระเบียบการโอนข้อมูลข้ามพรมแดนปี 2026
การพัฒนากฎระเบียบที่สำคัญที่สุดสำหรับผู้เผยแพร่ต่างชาติคือ กฎระเบียบการโอนข้อมูลระหว่างประเทศ ของ ANPD ซึ่งได้รับการสรุปในปลายปี 2025 และมีผลบังคับใช้ในปี 2026 กฎระเบียบนี้แนะนำกรอบความเพียงพอ ข้อกำหนดในสัญญาตามแบบที่ได้รับการอนุมัติจาก ANPD กฎเกณฑ์ขององค์กรที่มีผลผูกพัน และการรับรอง ทั้งหมดทำงานในลักษณะเดียวกับกลไกของบทที่ V ของ GDPR ก่อนกฎระเบียบนี้ การโอนข้อมูลข้ามพรมแดนดำเนินงานภายใต้ชุดกฎเกณฑ์ที่คลุมเครือกว่ามากซึ่งผู้เผยแพร่และผู้จำหน่าย ad-tech มักจะนำทางผ่านข้อตกลงเชิงพาณิชย์ทวิภาคี ระบอบปี 2026 มีความสามารถในการปฏิบัติงานได้มากกว่าแต่มีความต้องการด้านเอกสารมากกว่าอย่างมีนัยสำคัญ
ใครถูกควบคุม
LGPD ใช้บังคับนอกอาณาเขต ผู้ควบคุมข้อมูลใดก็ตามที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในบราซิลในขณะเก็บรวบรวม หรือประมวลผลข้อมูลที่เก็บรวบรวมจากบราซิลโดยไม่คำนึงว่าการประมวลผลเกิดขึ้นที่ใด อยู่ในขอบเขต ผู้เผยแพร่ต่างชาติที่ให้บริการผู้ใช้ชาวบราซิลผ่านไซต์ที่ปรับให้เข้ากับท้องถิ่นหรือสินค้าคงคลังเชิงโปรแกรมที่ซื้อต่อ IP ของบราซิลอยู่ในขอบเขตอย่างชัดเจน และ ANPD ได้อ้างบทบัญญัตินอกอาณาเขตในหลายกรณีในปี 2025
อะไรนับเป็นข้อมูลส่วนบุคคลภายใต้ LGPD
คำจำกัดความข้อมูลส่วนบุคคลของ LGPD นั้นกว้างและติดตาม GDPR อย่างใกล้ชิด ข้อมูลส่วนบุคคลคือข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาที่ถูกระบุตัวตนหรือสามารถระบุตัวตนได้ และ ANPD ได้ปฏิบัติต่อคุกกี้ ตัวระบุการโฆษณา ที่อยู่ IP ลายนิ้วมือของอุปกรณ์ และโปรไฟล์พฤติกรรมอย่างสม่ำเสมอในฐานะข้อมูลส่วนบุคคลเมื่อสามารถเชื่อมโยงกับบุคคลโดยตรงหรือด้วยวิธีที่สมเหตุสมผล
ข้อมูลส่วนบุคคลที่ละเอียดอ่อน
LGPD กำหนดรายการหมวดหมู่ที่ละเอียดอ่อนที่กว้างขวาง ได้แก่ ต้นกำเนิดทางเชื้อชาติหรือชาติพันธุ์ ความเชื่อทางศาสนา ความคิดเห็นทางการเมือง การเป็นสมาชิกสหภาพแรงงานหรือองค์กรทางการเมือง ความเชื่อเชิงปรัชญาหรือศาสนา สุขภาพ ชีวิตทางเพศ ข้อมูลทางพันธุกรรม และข้อมูลไบโอเมตริกเมื่อใช้สำหรับการระบุตัวตนเฉพาะ การประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนกระตุ้นให้เกิดข้อกำหนดการยินยอมที่เข้มงวดยิ่งขึ้นและภาระผูกพันผู้ควบคุมเพิ่มเติม
ทำไมสิ่งนี้จึงสำคัญสำหรับคุกกี้
คุกกี้ที่เก็บตัวระบุเซสชันแบบปกติเป็นข้อมูลส่วนบุคคลทั่วไป คุกกี้ที่ป้อนข้อมูลเซกเมนต์ผู้ชมที่สัมผัสรายการข้อมูลที่ละเอียดอ่อนของ LGPD เช่น ความสนใจด้านสุขภาพ ความสัมพันธ์ทางศาสนา ความโน้มเอียงทางการเมือง เป็นการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนและต้องการขั้นตอนการยินยอมที่เพิ่มขึ้น ไม่ใช่การยินยอมโฆษณาทั่วไป ผู้เผยแพร่ที่ดำเนินเซกเมนต์ผู้ชมที่ทับซ้อนกับรายการที่ละเอียดอ่อนควรตรวจสอบขั้นตอนการยินยอมของตนโดยเฉพาะกับขอบเขตนี้
การยินยอมคุกกี้ภายใต้ LGPD ในปี 2026
LGPD อนุญาตให้มีหลายฐานทางกฎหมายสำหรับการประมวลผล แต่สำหรับคุกกี้และเทคโนโลยีที่คล้ายคลึงกันซึ่งไม่จำเป็นอย่างเคร่งครัดสำหรับการให้บริการ แนวทางและการบังคับใช้ของ ANPD ได้มาบรรจบกันในการยินยอมเป็นพื้นฐานเชิงปฏิบัติ
องค์ประกอบห้าประการของการยินยอมที่ถูกต้อง
การยินยอมภายใต้ LGPD ต้องเป็น:
- เสรี — ให้โดยปราศจากการบีบบังคับและไม่ผูกมัดกับการให้บริการที่ผู้ใช้มีสิทธิ์ได้รับอยู่แล้ว
- มีข้อมูล — เจ้าของข้อมูลเข้าใจว่าข้อมูลใดถูกประมวลผล โดยใคร เพื่อจุดประสงค์ใด และมีผลอะไร
- ชัดเจน — แสดงออกผ่านการกระทำที่ยืนยันอย่างชัดเจน ไม่ได้อนุมานจากความเงียบ ช่องที่เลือกไว้ล่วงหน้า หรือการเลื่อนหน้าจอเป็นการยินยอม
- เฉพาะเจาะจง — ผูกพันกับวัตถุประสงค์ที่ระบุไว้อย่างชัดเจนแทนการยินยอมแบบครอบคลุมทั่วไป
- เน้นย้ำ ในกรณีที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน โดยมีการยินยอมอย่างชัดแจ้งและแยกต่างหากสำหรับการประมวลผลข้อมูลที่ละเอียดอ่อนเฉพาะนั้น
CMP ที่สอดคล้องมีลักษณะอย่างไร
CMP ที่ตั้งค่าสำหรับการรับส่งข้อมูลของบราซิลในปี 2026 ควรนำเสนอ:
- แบนเนอร์ที่มองเห็นได้ก่อนที่คุกกี้หรือตัวติดตามที่ไม่จำเป็นใดๆ จะทำงาน ในภาษา Portuguese (Português) ตามค่าเริ่มต้นสำหรับผู้ใช้ชาวบราซิล
- ความโดดเด่นทางภาพที่เท่าเทียมกันสำหรับ Aceitar (ยอมรับ) Recusar (ปฏิเสธ) และ Personalizar (ปรับแต่ง) — ANPD ได้ระบุโดยเฉพาะถึงการออกแบบแบนเนอร์ที่การดำเนิน Recusar มองเห็นได้น้อยกว่า
- ตัวสลับแบบละเอียดสำหรับแต่ละวัตถุประสงค์ ได้แก่ การวิเคราะห์ การโฆษณา การปรับแต่ง การโอนข้ามพรมแดน และการประมวลผลหมวดหมู่ที่ละเอียดอ่อนใดๆ
- ขั้นตอนแยกต่างหาก ระบุไว้อย่างชัดเจนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน ซึ่งถูกควบคุมโดยการดำเนินการของตนเอง
- กลไกถาวรที่ค้นหาได้ง่ายสำหรับการถอนการยินยอมหลังจากการเลือกเริ่มต้น
- Aviso de Privacidade ในภาษา Portuguese พร้อมการเปิดเผยข้อมูลครบถ้วนเกี่ยวกับผู้ควบคุม ผู้ประมวลผล วัตถุประสงค์ ผู้รับ การเก็บรักษา และสิทธิ
บันทึกการยินยอม
ผู้ควบคุมต้องรักษาหลักฐานการยินยอม ได้แก่ ใครยินยอม เมื่อใด เพื่อจุดประสงค์ใด และผ่านอินเทอร์เฟซใด ANPD ได้อ้างถึงบันทึกการยินยอมที่ไม่เพียงพอในการดำเนินการบังคับใช้หลายครั้ง และบันทึกที่มีการประทับเวลาซึ่งสามารถส่งออกได้เป็นความคาดหวังพื้นฐาน
ระบอบการโอนข้อมูลข้ามพรมแดนปี 2026
นี่คือพื้นที่ที่ปี 2026 ดูแตกต่างอย่างมีนัยสำคัญจากปี 2024 กฎระเบียบการโอนข้อมูลระหว่างประเทศของ ANPD มีผลบังคับใช้ตั้งแต่ต้นปี และผลกระทบเชิงปฏิบัติยังคงถูกดูดซับโดยผู้เผยแพร่ต่างชาติ
กลไกการโอนข้อมูลใหม่
กฎระเบียบกำหนดเส้นทางหลักสี่เส้นทางสำหรับการโอนข้อมูลข้ามพรมแดนที่ถูกต้องตามกฎหมาย:
- การตัดสินใจด้านความเพียงพอ ที่ออกโดย ANPD รับรองเขตอำนาจศาลหรือภาคส่วนปลายทางว่าให้การคุ้มครองที่เพียงพอ
- ข้อกำหนดในสัญญามาตรฐาน ที่ได้รับการอนุมัติจาก ANPD ซึ่งทำงานในลักษณะเดียวกับ SCC ของ GDPR
- กฎเกณฑ์ขององค์กรที่มีผลผูกพัน สำหรับการโอนข้อมูลภายในกลุ่มภายในองค์กรข้ามชาติ
- การอนุมัติเฉพาะ สำหรับการโอนข้อมูลที่ไม่เหมาะกับเส้นทางมาตรฐาน เป็นรายกรณี
แนวทางเชิงปฏิบัติในปี 2026
สำหรับผู้เผยแพร่ต่างชาติส่วนใหญ่ แนวทางการทำงานในปี 2026 คือการดำเนินการข้อกำหนดในสัญญามาตรฐานที่ได้รับการอนุมัติจาก ANPD กับผู้ประมวลผลระหว่างประเทศ บันทึกกลไกการโอนข้อมูลในประกาศความเป็นส่วนตัว และเสริมด้วยการอนุญาตตามการยินยอมเฉพาะในกรณีที่กลไกมาตรฐานไม่เหมาะสม สิ่งนี้ง่ายกว่าระบอบก่อนปี 2026 อย่างมีนัยสำคัญ ซึ่งมักอาศัยตรรกะการยินยอมต่อการโอนที่ผลิต CMP ที่ยุ่งยาก
การตัดสินใจด้านความเพียงพอจนถึงปัจจุบัน
ANPD ได้ออกการตัดสินใจด้านความเพียงพอสำหรับเขตอำนาจศาลหลายแห่งจนถึงต้นปี 2026 และคาดว่าจะขยายรายการอย่างค่อยเป็นค่อยไป สหรัฐอเมริกาไม่ได้อยู่ในรายการความเพียงพอ ณ ต้นปี 2026 ซึ่งหมายความว่าการโอนข้อมูลไปยังผู้จำหน่าย ad-tech และการวิเคราะห์ที่ตั้งอยู่ในสหรัฐฯ ต้องการข้อกำหนดในสัญญาหรือกลไกที่ถูกต้องอื่น
สิทธิของเจ้าของข้อมูล
LGPD ให้ชุดสิทธิที่แข็งแกร่ง นำไปใช้ผ่านกรอบบราซิล:
- สิทธิในการยืนยันการประมวลผล
- สิทธิในการเข้าถึงข้อมูลที่ประมวลผล
- สิทธิในการแก้ไขข้อมูลที่ไม่สมบูรณ์ ไม่ถูกต้อง หรือล้าสมัย
- สิทธิในการไม่เปิดเผยตัวตน การปิดกั้น หรือการลบข้อมูลที่ไม่จำเป็น เกินความจำเป็น หรือประมวลผลโดยมิชอบด้วยกฎหมาย
- สิทธิในการพกพาข้อมูลไปยังผู้ให้บริการอื่น
- สิทธิในการลบข้อมูลที่ประมวลผลบนพื้นฐานของการยินยอม
- สิทธิในการรับข้อมูลเกี่ยวกับหน่วยงานสาธารณะและเอกชนที่ข้อมูลถูกแบ่งปัน
- สิทธิในการรับข้อมูลเกี่ยวกับความเป็นไปได้ในการปฏิเสธการยินยอมและผลของการปฏิเสธ
- สิทธิในการถอนการยินยอม
- สิทธิในการคัดค้านการประมวลผลที่ดำเนินการบนพื้นฐานของฐานผลประโยชน์ที่ชอบด้วยกฎหมายเมื่อมีการไม่ปฏิบัติตาม
- สิทธิในการทบทวนการตัดสินใจที่เกิดขึ้นโดยอาศัยการประมวลผลอัตโนมัติเพียงอย่างเดียว
กำหนดเวลาตอบสนอง
ผู้ควบคุมต้องตอบสนองต่อคำขอของเจ้าของข้อมูลภายใน 15 วันภายใต้กฎระเบียบ โดยมีความสามารถในการขยายในกรณีที่มีเหตุผลสมควร สิ่งนี้แน่นกว่าหน้าต่าง 30 วันของ GDPR และเป็นช่องว่างการดำเนินงานที่เกิดซ้ำสำหรับผู้เผยแพร่ต่างชาติที่ปรับตามจังหวะยุโรป
บทลงโทษและจุดยืนการบังคับใช้ในปี 2026
กิจกรรมการบังคับใช้ของ ANPD ได้เพิ่มระดับอย่างมีนัยสำคัญในช่วงปี 2024 และ 2025 และปี 2026 อยู่บนเส้นทางที่คล้ายคลึงกัน
ค่าปรับทางปกครอง
LGPD อนุญาตให้มีค่าปรับทางปกครองสูงสุด 2 เปอร์เซ็นต์ของรายได้ของผู้ควบคุมจากกิจกรรมในบราซิลในปีงบประมาณก่อนหน้า โดยมีเพดานที่ BRL 50 ล้านต่อการละเมิด ANPD ได้ใช้ค่ากลางของช่วงในหลายกรณีในปี 2025 รวมถึงต่อแพลตฟอร์มต่างประเทศ และวิธีการลงโทษของหน่วยงานได้รับการเผยแพร่ในปี 2024 และได้รับการนำไปใช้อย่างสม่ำเสมอในปัจจุบัน
การลงโทษอื่นๆ
นอกจากค่าปรับ ANPD สามารถออกคำเตือน กำหนดให้มีมาตรการแก้ไข ระงับกิจกรรมการประมวลผลบางส่วนหรือทั้งหมด และห้ามดำเนินการประมวลผลเฉพาะ การเผยแพร่การละเมิดเป็นการลงโทษที่มาพร้อมกันตามปกติและมีน้ำหนักด้านชื่อเสียงในตลาดบราซิล
ธีมการบังคับใช้
การดำเนินการของ ANPD ในปี 2025 และต้นปี 2026 รวมตัวกันรอบปัญหาที่เกิดซ้ำ ได้แก่ แบนเนอร์การยินยอมที่คลุมเครือหรือขาดหายไป การขาดประกาศความเป็นส่วนตัวในภาษา Portuguese การโอนข้อมูลข้ามพรมแดนโดยไม่มีกลไกที่ถูกต้องภายใต้กฎระเบียบใหม่ และความล้มเหลวในการตอบสนองต่อคำขอของเจ้าของข้อมูลภายในหน้าต่าง 15 วัน ผู้เผยแพร่ต่างชาติถูกอ้างถึงในทั้งสี่หมวดหมู่
ข้อกำหนด DPO
LGPD กำหนดให้ผู้ควบคุมแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Encarregado de Tratamento de Dados Pessoais) และเผยแพร่ข้อมูลติดต่อของ DPO ผู้ควบคุมต่างชาติที่ประมวลผลข้อมูลบราซิลในระดับใหญ่ต้องการ DPO ที่ได้รับการกำหนด และข้อมูลติดต่อต้องเข้าถึงได้ง่ายในประกาศความเป็นส่วนตัว ANPD ได้อ้างถึงข้อมูลติดต่อ DPO ที่ขาดหายไปหรือเข้าถึงไม่ได้ในจดหมายบังคับใช้หลายฉบับ
รายการตรวจสอบการตรวจสอบสำหรับการรับส่งข้อมูลของบราซิลในปี 2026
- แบนเนอร์ CMP ให้บริการในภาษา Portuguese พร้อม Aceitar Recusar และ Personalizar ที่มีความโดดเด่นทางภาพที่เท่าเทียมกัน
- วัตถุประสงค์การยินยอมมีความละเอียดและแยกการประมวลผลหมวดหมู่ที่ละเอียดอ่อนใดๆ ออกไปหลังขั้นตอนการยินยอมของตนเอง
- ประกาศความเป็นส่วนตัว (Aviso de Privacidade) มีให้ในภาษา Portuguese พร้อมการเปิดเผยข้อมูลครบถ้วนเกี่ยวกับผู้ควบคุม ผู้ประมวลผล วัตถุประสงค์ การเก็บรักษา สิทธิ และข้อมูลติดต่อ DPO
- การโอนข้อมูลข้ามพรมแดนอาศัยข้อกำหนดในสัญญามาตรฐานที่ได้รับการอนุมัติจาก ANPD การตัดสินใจด้านความเพียงพอ BCR หรือการอนุมัติเฉพาะ ไม่ใช่ตรรกะการยินยอมต่อการโอนข้อมูลแบบเดิม
- บันทึกการยินยอมมีการประทับเวลา ส่งออกได้ และเก็บรักษาไว้ตลอดระยะเวลาการประมวลผลพร้อมส่วนต่างที่ตรวจสอบได้
- ขั้นตอนการทำงานของคำขอเจ้าของข้อมูลสามารถตอบสนองภายใน 15 วันตั้งแต่ต้นจนจบในภาษา Portuguese
- DPO ได้รับการกำหนดและข้อมูลติดต่อได้รับการเผยแพร่ในประกาศความเป็นส่วนตัว
- รายชื่อผู้จำหน่ายได้รับการตรวจสอบเพื่อความจำเป็น โดยนำผู้จำหน่ายที่ไม่ได้ใช้หรือซ้ำซ้อนออกเพื่อลดพื้นผิวการโอนข้อมูลข้ามพรมแดน
- เซกเมนต์ผู้ชมหมวดหมู่ที่ละเอียดอ่อนถูกควบคุมโดยการยินยอมอย่างชัดแจ้งที่เก็บรวบรวมแยกต่างหาก
แนวโน้มปี 2026
ระบอบความเป็นส่วนตัวของบราซิลได้เติบโตจากกฎหมายที่ร่างขึ้นอย่างดีที่มีการบังคับใช้จำกัดไปสู่หนึ่งในระบอบที่มีความต้องการมากที่สุดในทวีปอเมริกา กฎระเบียบการโอนข้อมูลข้ามพรมแดนปี 2026 ปิดช่องว่างโครงสร้างที่สำคัญที่สุด และจุดยืนการบังคับใช้ของ ANPD ได้ตามทันความทะเยอทะยานของกฎหมาย สำหรับผู้เผยแพร่ที่ดำเนินสแต็กการยินยอมระดับ GDPR อยู่แล้ว ช่องว่างสู่การปฏิบัติตาม LGPD เป็นเรื่องการดำเนินงานมากกว่าสถาปัตยกรรม ได้แก่ CMP และประกาศในภาษา Portuguese กลไกการโอนข้อมูลที่ได้รับการอนุมัติจาก ANPD จังหวะการตอบสนอง 15 วัน การกำหนด DPO และความระมัดระวังกับรายการข้อมูลที่ละเอียดอ่อนที่กว้างกว่า ช่องว่างสามารถปิดได้ในไม่กี่สัปดาห์หากได้รับการจัดลำดับความสำคัญ และบราซิลเป็นตลาดที่ใหญ่ที่สุดในละตินอเมริกา ดังนั้นการจัดลำดับความสำคัญมักจะให้ผลตอบแทนอย่างรวดเร็ว ผู้เผยแพร่ที่ปฏิบัติต่อบราซิลเป็นตลาดที่มีการจัดการเบาๆ ในช่วงปี 2024 กำลังพบว่าปี 2026 มีค่าใช้จ่ายสูงกว่าอย่างมีนัยสำคัญ และผู้ที่ล่าช้าต่อไปจะพบว่าปี 2027 เลวร้ายกว่านั้น