Brazylijska ANPD wszczęła postępowanie kontrolne przeciwko 20 dużym firmom z różnych branż - w tym technologii, opieki zdrowotnej, edukacji i handlu detalicznego - za nieprzestrzeganie wymogów LGPD dotyczących inspektorów ochrony danych. Główne kwestie, na które zwrócono uwagę to:
Niewyznaczenie inspektora ochrony danych zgodnie z wymogami art. 41 LGPD
Zapewnienie nieefektywnych kanałów komunikacji, utrudniających osobom, których dane dotyczą, korzystanie z przysługujących im praw.
Działania te sygnalizują silniejszy nacisk na przestrzeganie przepisów i podkreślają ryzyko związane z ignorowaniem obowiązków w zakresie ochrony danych. Firmy mają teraz możliwość naprawienia tych niedociągnięć, zanim będą musiały stawić czoła sankcjom administracyjnym, w tym ostrzeżeniom i znacznym grzywnom na mocy art. 52 LGPD.
Z mojego doświadczenia wynika, że wyznaczenie inspektora ochrony danych to nie tylko wymóg prawny - to fundamentalna część zarządzania prywatnością. Jednak wiele organizacji traktuje to jako zadanie polegające na zaznaczeniu pola wyboru, nie zapewniając tego:
Inspektor ochrony danych jest operacyjny i zaangażowany - nie jest to tylko symboliczna rola.
Kanały komunikacji z osobami, których dane dotyczą, są funkcjonalne i przejrzyste.
Polityki ochrony danych są aktywnie wdrażane i egzekwowane.
W rzeczywistości egzekwowanie przepisów przez LGPD jest coraz częstsze. ANPD zwiększa swój nadzór, a otwarcie 213 nowych stanowisk w agencji pokazuje, że inspekcje staną się częstsze w 2025 roku.
Aby uniknąć kar regulacyjnych, firmy działające w Brazylii powinny zapewnić natychmiastową zgodność z IOD LGPD:
Formalne wyznaczenie inspektora ochrony danych
Rola ta może zostać przypisana osobie fizycznej lub prawnej, ale musi ona
- Posiadać wyraźną wiedzę specjalistyczną w zakresie przepisów o ochronie danych.
- Być dostępnym w przypadku zapytań ANPD i wniosków osób, których dane dotyczą.
- Zapewniać niezależność w podejmowaniu decyzji w celu zapobiegania konfliktom interesów.
Publicznie dostępne dane kontaktowe
Organizacje muszą wyraźnie wyświetlać dane kontaktowe inspektora ochrony danych na swojej stronie internetowej lub w innych oficjalnych kanałach.
Wewnętrzne środki zarządzania danymi
Inspektor ochrony danych powinien nadzorować:
Mapowanie danych w celu śledzenia działań związanych z przetwarzaniem danych osobowych.
Polityki prywatności i oceny ryzyka w celu zapewnienia zgodności.
Planowanie reakcji na incydenty w celu zarządzania potencjalnymi naruszeniami danych.
Nieprzestrzeganie może skutkować:
ostrzeżenia i środki naprawcze
wysokie grzywny - do 50 mln R$ (~10 mln USD)
Utrata reputacji i potencjalne działania prawne
Brazil’s Data Protection Authority Enforces LGPD: 20 Companies Under Investigation
Brazil's ANPD has launched an inspection proceeding against 20 major companies across multiple industries—including technology, healthcare, education, and retail—for failing to comply with LGPD’s DataProtectionOfficer requirements. The main issues flagged were:
Failure to appoint a DPO as required under Article 41 of LGPD
Providing ineffective communication channels, making it difficult for data subjects to exercise their rights.
This enforcement action signals a stronger push for compliance and highlights the risks of ignoring dataprotection obligations. Companies now have the opportunity to rectify these deficiencies before facing administrative sanctions, including warnings and significant fines under Article 52 of LGPD.
In my experience, appointing a DPO is not just a legal requirement—it’s a fundamental part of privacygovernance. Yet, many organizations treat it as a checkbox exercise, failing to ensure that:
The DPO is operational and engaged—not just a symbolic role.
Data subject communication channels are functional and transparent.
Data protection policies are actively implemented and enforced.
The reality is that LGPD enforcement is ramping up. The ANPD is increasing its oversight, and the opening of 213 new positions in the agency shows that inspections will become more frequent in 2025.
To avoid regulatory penalties, companies operating in Brazil should ensure immediate compliance with LGPD’s DPO:
Formal Appointment of a DPO
The role can be assigned to an individual or a legal entity, but they must:
- Have clear expertise in data protection laws.
- Be accessible for ANPD inquiries and data subject requests.
- Ensure independence in decision-making to prevent conflicts of interest.
Publicly Available Contact Information
Organizations must clearly display the DPO’s contact details on their website or other official channels.
Internal DataGovernance Measures
The DPO should oversee:
Data mapping to track personal data processing activities.
Privacy policies and risk assessments to ensure compliance.
Incident response planning to manage potential data breaches.
Failure to comply may result in:
Warnings and corrective measures
Hefty fines—up to R$ 50 million (~$10 million USD)
Reputational damage and potential legal actions
Autor: Sebastian Burgemejster
コメント