Cấu trúc của LGPD năm 2026

LGPD là quy chế bảo vệ dữ liệu chính ở Brazil, và văn bản cốt lõi của nó đã cực kỳ ổn định kể từ khi ban hành. Điều đã thay đổi là cơ sở hạ tầng quy định xung quanh nó.

ANPD với tư cách là cơ quan quản lý trưởng thành

ANPD đã hoạt động đầy đủ vào năm 2021 và dành ba năm đầu để xây dựng năng lực thủ tục, ban hành hướng dẫn và thực hiện tham vấn. Đến năm 2024, họ đã chuyển sang thực thi tích cực, và đến năm 2025, họ đã ban hành một số khoản phạt hành chính đáng kể đầu tiên, kể cả đối với các nền tảng nước ngoài. Lập trường của cơ quan vào năm 2026 gần hơn với các đối tác châu Âu của nó so với giai đoạn tiếp cận nhẹ nhàng trước đó.

Quy định chuyển dữ liệu xuyên biên giới năm 2026

Sự phát triển quy định quan trọng nhất đối với các nhà xuất bản nước ngoài là quy định chuyển dữ liệu quốc tế của ANPD, được hoàn thiện vào cuối năm 2025 và có hiệu lực vào năm 2026. Quy định này giới thiệu khung thỏa đáng, các điều khoản hợp đồng mẫu được ANPD phê duyệt, các quy tắc công ty ràng buộc và chứng nhận, tất cả đều hoạt động tương tự như các cơ chế của Chương V GDPR. Trước quy định này, chuyển dữ liệu xuyên biên giới hoạt động theo một bộ quy tắc mơ hồ hơn nhiều mà các nhà xuất bản và nhà cung cấp công nghệ quảng cáo thường điều hướng thông qua các thỏa thuận thương mại song phương. Chế độ năm 2026 dễ thực hiện hơn đáng kể nhưng đòi hỏi về tài liệu nhiều hơn đáng kể.

Ai bị quản lý

LGPD áp dụng ngoài lãnh thổ. Bất kỳ nhà kiểm soát nào xử lý dữ liệu cá nhân của các cá nhân có mặt tại Brazil tại thời điểm thu thập, hoặc xử lý dữ liệu thu thập từ Brazil bất kể quá trình xử lý diễn ra ở đâu, đều thuộc phạm vi. Các nhà xuất bản nước ngoài phục vụ người dùng Brazil thông qua các trang web được bản địa hóa hoặc hàng tồn kho chương trình được mua đối với các IP của Brazil rõ ràng nằm trong tầm với, và ANPD đã viện dẫn điều khoản ngoài lãnh thổ trong một số vụ việc năm 2025.

Những gì được tính là dữ liệu cá nhân theo LGPD

Định nghĩa dữ liệu cá nhân của LGPD là rộng và theo sát GDPR. Dữ liệu cá nhân là thông tin liên quan đến một cá nhân tự nhiên đã được xác định hoặc có thể xác định, và ANPD đã liên tục coi cookie, mã định danh quảng cáo, địa chỉ IP, dấu vân tay thiết bị và hồ sơ hành vi là dữ liệu cá nhân khi chúng có thể được liên kết với một cá nhân trực tiếp hoặc bằng các phương tiện hợp lý.

Dữ liệu cá nhân nhạy cảm

LGPD chỉ định một danh sách rộng các danh mục nhạy cảm: nguồn gốc chủng tộc hoặc dân tộc, niềm tin tôn giáo, quan điểm chính trị, tư cách thành viên công đoàn hoặc tổ chức chính trị, niềm tin triết học hoặc tôn giáo, sức khỏe, đời sống tình dục, dữ liệu di truyền và dữ liệu sinh trắc học khi được sử dụng để nhận dạng duy nhất. Xử lý dữ liệu cá nhân nhạy cảm kích hoạt các yêu cầu đồng ý nghiêm ngặt hơn và nghĩa vụ bổ sung của nhà kiểm soát.

Tại sao điều này quan trọng đối với cookie

Một cookie lưu trữ mã định danh phiên thông thường là dữ liệu cá nhân thông thường. Một cookie cung cấp cho phân khúc đối tượng chạm vào danh sách nhạy cảm của LGPD — sở thích sức khỏe, liên kết tôn giáo, khuynh hướng chính trị — là xử lý dữ liệu cá nhân nhạy cảm và đòi hỏi luồng đồng ý nâng cao, không phải sự đồng ý quảng cáo chung. Các nhà xuất bản chạy các phân khúc đối tượng trùng lặp với danh sách nhạy cảm nên kiểm tra luồng đồng ý của họ cụ thể theo ranh giới này.

Sự đồng ý cookie theo LGPD năm 2026

LGPD cho phép nhiều cơ sở hợp pháp để xử lý, nhưng đối với cookie và các công nghệ tương tự không thực sự cần thiết cho việc cung cấp dịch vụ, hướng dẫn và thực thi của ANPD đã hội tụ về sự đồng ý như một đường cơ sở thực tế.

Năm yếu tố của sự đồng ý hợp lệ

Sự đồng ý theo LGPD phải:

• Tự do — được đưa ra mà không có sự ép buộc và không được gói cùng với việc cung cấp dịch vụ mà người dùng có quyền nhận
• Được thông báo — chủ thể dữ liệu hiểu dữ liệu nào được xử lý, bởi ai, với mục đích gì và với hậu quả gì
• Rõ ràng — được thể hiện thông qua một hành động khẳng định rõ ràng, không suy ra từ im lặng, hộp kiểm được đánh dấu trước hoặc cuộn trang là đồng ý
• Cụ thể — gắn với các mục đích được xác định rõ ràng thay vì sự đồng ý bao quát chung chung
• Được nhấn mạnh trong các trường hợp liên quan đến dữ liệu nhạy cảm, với sự đồng ý rõ ràng và riêng biệt cho việc xử lý nhạy cảm cụ thể

Một CMP tuân thủ trông như thế nào

Một CMP được cấu hình cho lưu lượng Brazil vào năm 2026 nên trình bày:

• Một banner hiển thị trước khi bất kỳ cookie hoặc trình theo dõi không cần thiết nào được kích hoạt, bằng tiếng Portuguese (Português) theo mặc định cho người dùng Brazil
• Độ nổi bật trực quan ngang nhau cho Aceitar (Chấp nhận), Recusar (Từ chối) và Personalizar (Tùy chỉnh) — ANPD đã cụ thể chỉ ra các thiết kế banner trong đó hành động Recusar kém nổi bật hơn
• Công tắc chi tiết theo mục đích: phân tích, quảng cáo, cá nhân hóa, chuyển dữ liệu xuyên biên giới và bất kỳ xử lý danh mục nhạy cảm nào
• Một luồng riêng biệt, được gắn nhãn rõ ràng cho việc xử lý dữ liệu cá nhân nhạy cảm, bị khóa sau hành động của chính nó
• Một cơ chế liên tục, dễ tìm để rút lại sự đồng ý sau lựa chọn ban đầu
• Một Aviso de Privacidade bằng tiếng Portuguese với đầy đủ thông tin về nhà kiểm soát, người xử lý, mục đích, người nhận, lưu giữ và quyền

Hồ sơ đồng ý

Các nhà kiểm soát phải duy trì bằng chứng về sự đồng ý — ai đã đồng ý, khi nào, với mục đích gì và thông qua giao diện nào. ANPD đã trích dẫn hồ sơ đồng ý không đầy đủ trong một số hành động thực thi, và nhật ký có dấu thời gian có thể xuất được là kỳ vọng cơ bản.

Chế độ chuyển dữ liệu xuyên biên giới năm 2026

Đây là lĩnh vực mà năm 2026 trông khác biệt đáng kể so với năm 2024. Quy định chuyển dữ liệu quốc tế của ANPD có hiệu lực vào đầu năm, và các tác động thực tế vẫn đang được các nhà xuất bản nước ngoài hấp thụ.

Các cơ chế chuyển dữ liệu mới

Quy định cung cấp bốn con đường chính để chuyển dữ liệu xuyên biên giới hợp pháp:

• Quyết định thỏa đáng do ANPD ban hành, công nhận các khu vực pháp lý hoặc ngành đích là cung cấp bảo vệ đầy đủ
• Điều khoản hợp đồng tiêu chuẩn được ANPD phê duyệt, hoạt động tương tự như SCC của GDPR
• Các quy tắc công ty ràng buộc để chuyển dữ liệu trong nhóm trong các tổ chức đa quốc gia
• Ủy quyền cụ thể cho các giao dịch chuyển dữ liệu không phù hợp với các con đường tiêu chuẩn, theo từng trường hợp cụ thể

Phương pháp thực tế năm 2026

Đối với hầu hết các nhà xuất bản nước ngoài, phương pháp làm việc trong năm 2026 là thực hiện các điều khoản hợp đồng tiêu chuẩn được ANPD phê duyệt với các bộ xử lý quốc tế, ghi lại cơ chế chuyển dữ liệu trong thông báo quyền riêng tư và bổ sung với ủy quyền dựa trên sự đồng ý chỉ khi cơ chế tiêu chuẩn không phù hợp. Điều này đơn giản hơn đáng kể so với chế độ trước năm 2026, thường dựa vào logic đồng ý theo từng lần chuyển tạo ra các CMP phức tạp.

Các quyết định thỏa đáng cho đến nay

ANPD đã ban hành các quyết định thỏa đáng cho một số khu vực pháp lý vào đầu năm 2026 và dự kiến sẽ mở rộng danh sách dần dần. Hoa Kỳ không có trong danh sách thỏa đáng tính đến đầu năm 2026, có nghĩa là các giao dịch chuyển dữ liệu đến các nhà cung cấp công nghệ quảng cáo và phân tích có trụ sở tại Mỹ yêu cầu điều khoản hợp đồng hoặc cơ chế hợp lệ khác.

Quyền của chủ thể dữ liệu

LGPD cấp một bộ quyền mạnh mẽ, được áp dụng thông qua khung Brazil:

• Quyền xác nhận xử lý
• Quyền truy cập dữ liệu được xử lý
• Quyền sửa chữa dữ liệu không đầy đủ, không chính xác hoặc lỗi thời
• Quyền ẩn danh, chặn hoặc xóa dữ liệu không cần thiết, quá mức hoặc được xử lý bất hợp pháp
• Quyền di chuyển dữ liệu sang nhà cung cấp dịch vụ khác
• Quyền xóa dữ liệu được xử lý trên cơ sở đồng ý
• Quyền nhận thông tin về các tổ chức công và tư đã chia sẻ dữ liệu
• Quyền nhận thông tin về khả năng từ chối đồng ý và hậu quả của việc từ chối
• Quyền rút lại sự đồng ý
• Quyền phản đối xử lý được thực hiện trên cơ sở một trong các cơ sở lợi ích hợp pháp khi có sự không tuân thủ
• Quyền xem xét các quyết định được đưa ra chỉ dựa trên xử lý tự động

Thời hạn phản hồi

Các nhà kiểm soát phải phản hồi các yêu cầu của chủ thể dữ liệu trong vòng 15 ngày theo quy định, với khả năng gia hạn trong các trường hợp có lý do chính đáng. Điều này chặt hơn cửa sổ 30 ngày của GDPR và là khoảng cách hoạt động lặp đi lặp lại đối với các nhà xuất bản nước ngoài được điều chỉnh theo nhịp độ châu Âu.

Hình phạt và lập trường thực thi năm 2026

Hoạt động thực thi của ANPD đã leo thang đáng kể trong năm 2024 và 2025, và năm 2026 đang đi trên quỹ đạo tương tự.

Phạt hành chính

LGPD cho phép phạt hành chính lên đến 2 phần trăm doanh thu của nhà kiểm soát từ hoạt động của họ tại Brazil trong năm tài chính trước, giới hạn ở BRL 50 triệu mỗi vi phạm. ANPD đã sử dụng mức giữa của phạm vi trong một số trường hợp năm 2025, bao gồm chống lại các nền tảng nước ngoài, và phương pháp xử phạt của cơ quan đã được công bố vào năm 2024 và hiện được áp dụng nhất quán.

Các chế tài khác

Ngoài tiền phạt, ANPD có thể đưa ra cảnh báo, yêu cầu biện pháp khắc phục, đình chỉ một phần hoặc toàn bộ hoạt động xử lý và cấm các hoạt động xử lý cụ thể. Công bố vi phạm là biện pháp trừng phạt kèm theo thông thường và mang trọng lượng uy tín trên thị trường Brazil.

Chủ đề thực thi

Các hành động của ANPD trong năm 2025 và đầu năm 2026 tập trung xung quanh các vấn đề tái diễn: banner đồng ý mơ hồ hoặc vắng mặt, thiếu thông báo quyền riêng tư bằng tiếng Portuguese, chuyển dữ liệu xuyên biên giới mà không có cơ chế hợp lệ theo quy định mới và không phản hồi các yêu cầu của chủ thể dữ liệu trong cửa sổ 15 ngày. Các nhà xuất bản nước ngoài đã được trích dẫn trong cả bốn danh mục.

Yêu cầu DPO

LGPD yêu cầu các nhà kiểm soát bổ nhiệm Cán bộ Bảo vệ Dữ liệu (Encarregado de Tratamento de Dados Pessoais) và công bố thông tin liên hệ của DPO. Các nhà kiểm soát nước ngoài xử lý dữ liệu Brazil ở quy mô lớn cần một DPO được chỉ định, và thông tin liên hệ phải dễ dàng truy cập trong thông báo quyền riêng tư. ANPD đã trích dẫn thông tin liên hệ DPO bị thiếu hoặc không thể truy cập trong một số thư thực thi.

Danh sách kiểm tra kiểm toán cho lưu lượng Brazil năm 2026

• Banner CMP được phục vụ bằng tiếng Portuguese với Aceitar, Recusar và Personalizar với độ nổi bật trực quan ngang nhau
• Mục đích đồng ý chi tiết và tách bất kỳ xử lý danh mục nhạy cảm nào phía sau luồng đồng ý của chính nó
• Thông báo quyền riêng tư (Aviso de Privacidade) có sẵn bằng tiếng Portuguese với đầy đủ thông tin về nhà kiểm soát, người xử lý, mục đích, lưu giữ, quyền và liên hệ DPO
• Chuyển dữ liệu xuyên biên giới dựa vào các điều khoản hợp đồng tiêu chuẩn được ANPD phê duyệt, quyết định thỏa đáng, BCR hoặc ủy quyền cụ thể — không phải logic đồng ý theo từng lần chuyển cũ
• Nhật ký đồng ý có dấu thời gian, có thể xuất và được lưu giữ trong thời gian xử lý cộng thêm biên độ có thể kiểm tra
• Quy trình công việc yêu cầu của chủ thể dữ liệu có thể phản hồi trong vòng 15 ngày từ đầu đến cuối bằng tiếng Portuguese
• DPO được chỉ định và thông tin liên hệ được công bố trong thông báo quyền riêng tư
• Danh sách nhà cung cấp đã được xem xét về sự cần thiết, với các nhà cung cấp không dùng hoặc dư thừa đã bị xóa để giảm diện tích chuyển dữ liệu xuyên biên giới
• Các phân khúc đối tượng danh mục nhạy cảm bị khóa phía sau sự đồng ý rõ ràng được thu thập riêng biệt

Triển vọng năm 2026

Chế độ quyền riêng tư của Brazil đã trưởng thành từ một quy chế được soạn thảo tốt với việc thực thi hạn chế thành một trong những chế độ đòi hỏi hơn ở châu Mỹ. Quy định chuyển dữ liệu xuyên biên giới năm 2026 đã đóng khoảng cách cấu trúc quan trọng nhất, và lập trường thực thi của ANPD đã bắt kịp tham vọng của luật. Đối với các nhà xuất bản đã chạy một ngăn xếp đồng ý cấp GDPR, khoảng cách đến tuân thủ LGPD là về hoạt động chứ không phải kiến trúc: CMP và thông báo bằng tiếng Portuguese, cơ chế chuyển dữ liệu được ANPD phê duyệt, nhịp độ phản hồi 15 ngày, chỉ định DPO và chú ý đến danh sách dữ liệu nhạy cảm rộng hơn. Khoảng cách có thể được thu hẹp trong vài tuần nếu được ưu tiên — và Brazil là thị trường lớn nhất duy nhất ở Mỹ Latinh, vì vậy việc ưu tiên thường mang lại kết quả nhanh chóng. Các nhà xuất bản coi Brazil là thị trường tiếp cận nhẹ nhàng hơn trong suốt năm 2024 đang thấy năm 2026 tốn kém hơn đáng kể, và những người tiếp tục trì hoãn sẽ thấy năm 2027 còn tệ hơn nữa.