LGPD Бразилії у 2026 році: Позиція ANPD щодо правозастосування, згода на файли cookie та посібник з транскордонної передачі даних для видавців і рекламодавців
Бразильський Lei Geral de Proteção de Dados Pessoais (LGPD) набув чинності у вересні 2020 року і протягом більшої частини перших трьох років був незвично добре складеним, але нерівномірно застосовуваним режимом конфіденційності. Той період завершився. Autoridade Nacional de Proteção de Dados (ANPD) перейшов від позиції видачі керівних документів до активного правозастосування протягом 2024 та 2025 років, програма sandbox агентства 2025 року досягла зрілості, а міжнародне регулювання передачі даних 2026 року нарешті прояснило одну з найбільш неоднозначних сфер LGPD. Для будь-якого видавця, рекламодавця або платформи, що обробляє персональні дані бразильських користувачів — незалежно від того, чи перебувають вони у Бразилії, чи обслуговують бразильський ринок з-за кордону — середовище 2026 року суттєво більш вимогливе, ніж середовище 2023 року. Цей посібник охоплює LGPD у його нинішньому вигляді, що насправді вимагає згода на файли cookie, як тепер працює транскордонна передача даних відповідно до нового регулювання, і які теми правозастосування ANPD характерні для 2026 року.
Структура LGPD у 2026 році
LGPD є основним законодавчим актом про захист даних у Бразилії, і його основний текст залишався надзвичайно стабільним з моменту прийняття. Змінилася регуляторна інфраструктура навколо нього.
ANPD як зрілий регулятор
ANPD стало повністю операційним у 2021 році і провело перші три роки, нарощуючи процедурні потужності, видаючи рекомендації та проводячи консультації. До 2024 року воно перейшло до активного правозастосування, а до 2025 року видало деякі з перших значних адміністративних штрафів, у тому числі проти іноземних платформ. Позиція агентства у 2026 році ближча до його європейських аналогів, ніж до попереднього м'якого підходу.
Регулювання транскордонної передачі даних 2026 року
Найважливішим регуляторним розвитком для іноземних видавців стало міжнародне регулювання передачі даних ANPD, яке було завершено наприкінці 2025 року і набрало чинності у 2026 році. Регулювання запроваджує структуру адекватності, типові договірні застереження, затверджені ANPD, обов'язкові корпоративні правила та сертифікації — усе це функціонує аналогічно механізмам Глави V GDPR. До цього регулювання транскордонна передача даних здійснювалася відповідно до значно розмитішого набору правил, які видавці та постачальники рекламних технологій зазвичай обходили через двосторонні комерційні домовленості. Режим 2026 року суттєво більш practicable, але суттєво більш вимогливий щодо документації.
Хто підпадає під регулювання
LGPD застосовується екстериторіально. Будь-який контролер, що обробляє персональні дані осіб, що перебувають у Бразилії на момент збору, або обробляє дані, зібрані з Бразилії, незалежно від місця обробки, підпадає під дію закону. Іноземні видавці, що обслуговують бразильських користувачів через локалізовані сайти або програматичний інвентар, придбаний проти бразильських IP-адрес, явно перебувають у зоні досяжності, і ANPD застосовував екстериторіальне положення в кількох справах 2025 року.
Що вважається персональними даними відповідно до LGPD
Визначення персональних даних у LGPD є широким і тісно узгоджується з GDPR. Персональні дані — це інформація, пов'язана з ідентифікованою або такою, що може бути ідентифікована, фізичною особою, і ANPD послідовно розглядав файли cookie, рекламні ідентифікатори, IP-адреси, цифрові відбитки пристроїв та поведінкові профілі як персональні дані, коли їх можна пов'язати з особою безпосередньо або розумними засобами.
Чутливі персональні дані
LGPD визначає широкий перелік чутливих категорій: расове або етнічне походження, релігійні переконання, політичні погляди, членство в профспілках або політичних організаціях, філософські або релігійні переконання, здоров'я, статеве життя, генетичні дані та біометричні дані, коли вони використовуються для унікальної ідентифікації. Обробка чутливих персональних даних вимагає суворіших вимог щодо згоди та додаткових зобов'язань контролера.
Чому це важливо для файлів cookie
Файл cookie, що зберігає звичайний ідентифікатор сесії, є звичайними персональними даними. Файл cookie, що живить сегмент аудиторії, що стосується чутливого списку LGPD — інтереси в галузі охорони здоров'я, релігійна приналежність, політичні вподобання — є обробкою чутливих персональних даних і вимагає підвищеного процесу отримання згоди, а не загальної рекламної згоди. Видавці, що ведуть сегменти аудиторії, які перетинаються з чутливим списком, мають перевіряти свої процеси отримання згоди саме стосовно цієї межі.
Згода на файли cookie відповідно до LGPD у 2026 році
LGPD дозволяє кілька законних підстав для обробки, але для файлів cookie та подібних технологій, що не є строго необхідними для надання послуг, керівні вказівки та правозастосування ANPD зійшлися на згоді як практичному базисі.
П'ять елементів дійсної згоди
Згода відповідно до LGPD має бути:
- Вільною — наданою без примусу та не пов'язаною з наданням послуги, на яку користувач має право в будь-якому разі
- Поінформованою — суб'єкт даних розуміє, які дані обробляються, ким, з якою метою та з якими наслідками
- Однозначною — вираженою через чітку ствердну дію, а не виведеною з мовчання, попередньо відмічених прапорців або прокручування як згоди
- Конкретною — прив'язаною до чітко визначених цілей, а не до загальної парасолькової згоди
- Підкресленою у випадках, що стосуються чутливих даних, з явною та окремою згодою на конкретну чутливу обробку
Як виглядає сумісна CMP
CMP, налаштована для бразильського трафіку у 2026 році, має представляти:
- Видимий банер до того, як спрацює будь-який нетобов'язковий файл cookie або трекер, португальською мовою (Português) за замовчуванням для бразильських користувачів
- Рівну візуальну помітність для Aceitar (Прийняти), Recusar (Відхилити) та Personalizar (Налаштувати) — ANPD спеціально вказував на дизайни банерів, де дія Recusar менш помітна
- Детальні перемикачі за кожною метою: аналітика, реклама, персоналізація, транскордонна передача та будь-яка обробка чутливих категорій
- Окремий, чітко маркований процес для обробки чутливих персональних даних, захищений власною дією
- Постійний, легко знайдений механізм відкликання згоди після початкового вибору
- Aviso de Privacidade португальською мовою з повним розкриттям інформації про контролера, обробників, цілі, одержувачів, зберігання та права
Записи про згоду
Контролери зобов'язані зберігати докази згоди — хто дав згоду, коли, з якою метою та через який інтерфейс. ANPD посилався на неналежне ведення записів про згоду в кількох діях з правозастосування, і журнали з часовою міткою, що можна експортувати, є базовим очікуванням.
Режим транскордонної передачі даних 2026 року
Це область, де 2026 рік виглядає суттєво інакше, ніж 2024 рік. Міжнародне регулювання передачі даних ANPD набрало чинності на початку року, і практичні наслідки досі засвоюються іноземними видавцями.
Нові механізми передачі
Регулювання передбачає чотири основні шляхи для законної транскордонної передачі даних:
- Рішення про адекватність, видані ANPD, що визнають юрисдикції або сектори призначення такими, що забезпечують належний захист
- Стандартні договірні застереження, затверджені ANPD, що функціонують аналогічно SCC GDPR
- Обов'язкові корпоративні правила для внутрішньогрупових передач у межах транснаціональних організацій
- Спеціальний дозвіл для передач, що не відповідають стандартним шляхам, в індивідуальному порядку
Практичний підхід 2026 року
Для більшості іноземних видавців робочий підхід у 2026 році полягає у виконанні затверджених ANPD стандартних договірних застережень з міжнародними обробниками, документуванні механізму передачі в повідомленні про конфіденційність і доповненні дозволом на основі згоди лише там, де стандартний механізм не підходить. Це суттєво простіше, ніж режим до 2026 року, який часто базувався на логіці згоди на кожну передачу, що породжувала громіздкі CMP.
Рішення про адекватність на сьогодні
ANPD видало рішення про адекватність для кількох юрисдикцій на початку 2026 року і, як очікується, поступово розширить цей список. Сполучені Штати не фігурують у списку адекватності станом на початок 2026 року, що означає: передача американським постачальникам рекламних технологій та аналітики вимагає договірних застережень або іншого дійсного механізму.
Права суб'єктів даних
LGPD надає широкий набір прав, що застосовуються через бразильську систему:
- Право на підтвердження обробки
- Право доступу до оброблених даних
- Право на виправлення неповних, неточних або застарілих даних
- Право на анонімізацію, блокування або видалення непотрібних, надмірних або незаконно оброблених даних
- Право на перенесення даних до іншого постачальника послуг
- Право на видалення даних, оброблених на підставі згоди
- Право на отримання інформації про публічні та приватні суб'єкти, з якими були передані дані
- Право на отримання інформації про можливість відмовити у згоді та наслідки відмови
- Право відкликати згоду
- Право заперечувати проти обробки, що здійснюється на підставі однієї з підстав законних інтересів, якщо є невідповідність
- Право на перегляд рішень, прийнятих виключно на підставі автоматизованої обробки
Терміни реагування
Контролери зобов'язані відповідати на запити суб'єктів даних протягом 15 днів відповідно до регулювання з можливістю продовження у виправданих випадках. Це суворіше, ніж 30-денне вікно GDPR, і стало повторюваним операційним прогалиною для іноземних видавців, налаштованих на європейський ритм.
Санкції та позиція щодо правозастосування у 2026 році
Правозастосувальна діяльність ANPD суттєво зросла протягом 2024 та 2025 років, і 2026 рік іде схожою траєкторією.
Адміністративні штрафи
LGPD дозволяє накладати адміністративні штрафи в розмірі до 2 відсотків доходу контролера від його діяльності в Бразилії у попередньому фінансовому році, з обмеженням у BRL 50 мільйонів за порушення. ANPD використовував середину діапазону в кількох справах 2025 року, в тому числі проти іноземних платформ, а методологія призначення штрафів агентства опублікована у 2024 році і зараз застосовується послідовно.
Інші санкції
Окрім штрафів, ANPD може видавати попередження, вимагати коригувальних заходів, частково або повністю призупиняти діяльність з обробки та забороняти конкретні операції з обробки. Публікація порушення є стандартною супровідною санкцією і має репутаційну вагу на бразильському ринку.
Теми правозастосування
Дії ANPD у 2025 та на початку 2026 року групуються навколо повторюваних проблем: неоднозначні або відсутні банери згоди, відсутність повідомлення про конфіденційність португальською мовою, транскордонна передача даних без дійсного механізму відповідно до нового регулювання та невчасне реагування на запити суб'єктів даних у межах 15-денного вікна. Іноземні видавці були зазначені в усіх чотирьох категоріях.
Вимога до DPO
LGPD вимагає від контролерів призначити Офіцера з питань захисту даних (Encarregado de Tratamento de Dados Pessoais) та публікувати контактну інформацію DPO. Іноземні контролери, що обробляють бразильські дані у великому масштабі, потребують призначеного DPO, і контактна інформація має бути легко доступна в повідомленні про конфіденційність. ANPD посилався на відсутню або недоступну контактну інформацію DPO в кількох листах про правозастосування.
Перевірний список аудиту для бразильського трафіку у 2026 році
- Банер CMP подається португальською мовою з Aceitar, Recusar та Personalizar з рівною візуальною помітністю
- Цілі згоди деталізовані та відокремлюють будь-яку обробку чутливих категорій за власним процесом отримання згоди
- Повідомлення про конфіденційність (Aviso de Privacidade) доступне португальською мовою з повним розкриттям інформації про контролера, обробників, цілі, зберігання, права та контакт DPO
- Транскордонна передача даних спирається на затверджені ANPD стандартні договірні застереження, рішення про адекватність, BCR або спеціальний дозвіл — а не на застарілу логіку згоди на кожну передачу
- Журнали згоди мають часові мітки, їх можна експортувати, і вони зберігаються протягом терміну обробки плюс аудиторський запас
- Робочий процес обробки запитів суб'єктів даних може відповідати протягом 15 днів від початку до кінця португальською мовою
- DPO призначено, і контактна інформація опублікована в повідомленні про конфіденційність
- Список постачальників переглянуто на предмет необхідності; невикористані або зайві постачальники видалено для зменшення площі транскордонної передачі
- Сегменти аудиторії чутливих категорій захищені явною, окремо отриманою згодою
Прогноз на 2026 рік
Режим конфіденційності Бразилії перетворився з добре складеного законодавства з обмеженим правозастосуванням на один з найбільш вимогливих режимів у Північній і Південній Америці. Регулювання транскордонної передачі даних 2026 року закрило найбільш значну структурну прогалину, а позиція ANPD щодо правозастосування наздогнала амбіції закону. Для видавців, що вже підтримують стек згоди рівня GDPR, розрив до відповідності LGPD є операційним, а не архітектурним: CMP і повідомлення португальською мовою, механізми передачі, затверджені ANPD, 15-денний ритм реагування, призначення DPO та уважне ставлення до ширшого переліку чутливих даних. Розрив можна подолати за тижні, якщо це пріоритет — а Бразилія є найбільшим окремим ринком у Латинській Америці, тому пріоритизація, як правило, швидко окупається. Видавці, що ставилися до Бразилії як до ринку з м'якшим підходом протягом 2024 року, виявляють, що 2026 рік суттєво дорожчий, а ті, хто зволікатиме далі, виявлять, що 2027 рік буде ще гіршим.