# LGPD บราซิล คืออะไร? คู่มือ Lei Geral de Proteção de Dados สำหรับผู้ส่งออกไทยและธุรกิจ Cross-Border 2026
บราซิลเป็นตลาดส่งออกใหม่ที่ SME ไทยกำลังบุก ทั้งสินค้าอาหาร เครื่องสำอาง อะไหล่รถยนต์ และบริการดิจิทัล ตลาด E-commerce บราซิลเติบโต 15% ต่อปี (Statista 2025) แต่หลายธุรกิจไทยยังไม่รู้ว่าหากเก็บข้อมูลลูกค้าบราซิล (อีเมล, IP, Cookie, ที่อยู่จัดส่ง) จะตกอยู่ภายใต้ LGPD (Lei Geral de Proteção de Dados) กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดที่สุดในละตินอเมริกา
LGPD มีผลบังคับใช้ตั้งแต่ปี 2020 และมีค่าปรับสูงสุด 2% ของรายได้ทั่วโลกของบริษัท หรือสูงสุด 50 ล้านเรียลบราซิล (~350 ล้านบาท) ต่อ Incident ในปี 2024-2025 หน่วยงาน ANPD (Autoridade Nacional de Proteção de Dados) เริ่มออกค่าปรับจริงให้บริษัทต่างชาติแล้ว รวมถึง TikTok, Meta และผู้ค้ารายเล็กที่ละเมิด
ในบทความนี้เราจะอธิบาย LGPD แบบเข้าใจง่าย, เปรียบเทียบกับ PDPA ไทยและ GDPR ยุโรป, ขั้นตอนปฏิบัติตาม 8 ข้อ, ตารางความเสี่ยงและการจัดการ พร้อมตัวอย่างกรณีศึกษาและ Checklist สำหรับผู้ส่งออก SME ไทย
1. LGPD คืออะไร และใครต้องปฏิบัติตาม
LGPD ย่อมาจาก Lei Geral de Proteção de Dados Pessoais หรือ "กฎหมายคุ้มครองข้อมูลส่วนบุคคลของบราซิล" บังคับใช้ตั้งแต่ 18 กันยายน 2020 และเริ่มมีค่าปรับเต็มรูปแบบตั้งแต่ปี 2021 มีโครงสร้างคล้าย GDPR ของยุโรปอย่างมาก แต่ปรับให้เข้ากับบริบทบราซิล
ใครต้องปฏิบัติตาม LGPD บ้าง? คำตอบคือ ทุกองค์กรที่ Process ข้อมูลส่วนบุคคล (Personal Data) ในกรณีต่อไปนี้ ได้แก่ องค์กรที่ตั้งอยู่ในบราซิลทุกขนาด, องค์กรต่างชาติ (รวมถึงไทย) ที่มีการเก็บหรือประมวลผลข้อมูลคนบราซิล ไม่ว่าผ่าน E-commerce, App, Newsletter หรือ Cookie, และองค์กรที่นำข้อมูลที่เก็บในบราซิลไปประมวลผลที่อื่น
ข้อมูลส่วนบุคคลตาม LGPD ครอบคลุม ชื่อ-สกุล, อีเมล, เบอร์โทร, IP Address, Geolocation, Cookie ID, รูปภาพ, เสียง และข้อมูลอ่อนไหว (Sensitive Data) เช่น ศาสนา ความคิดเห็นทางการเมือง สุขภาพ ชีวิตทางเพศ พันธุกรรม และข้อมูลเด็กอายุต่ำกว่า 12 ปี
2. เปรียบเทียบ LGPD vs PDPA ไทย vs GDPR ยุโรป
| หัวข้อ | LGPD บราซิล | PDPA ไทย | GDPR ยุโรป |
|---|---|---|---|
| ปีบังคับใช้ | 2020 | 2022 | 2018 |
| Scope ข้ามพรมแดน | ใช่ (ครอบคลุมต่างชาติ) | ใช่ | ใช่ |
| ฐานทางกฎหมาย | 10 ฐาน | 6 ฐาน | 6 ฐาน |
| DPO บังคับ | ใช่ (ทุกขนาดที่ Process) | บางกรณี | บางกรณี |
| Breach Notification | ภายในเวลาที่สมเหตุสมผล | 72 ชั่วโมง | 72 ชั่วโมง |
| ค่าปรับสูงสุด | 2% รายได้ / 50M BRL | 5M THB | 4% รายได้ / 20M EUR |
| สิทธิ Data Subject | 9 สิทธิ | 8 สิทธิ | 8 สิทธิ |
| หน่วยงานกำกับ | ANPD | คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล | DPA แต่ละประเทศ |
| Cross-Border Transfer | ต้องผ่าน Adequacy / SCC | คล้าย GDPR | Adequacy / SCC / BCR |
จุดที่ต่างจาก PDPA ไทยที่สำคัญที่สุดคือ ฐานทางกฎหมาย (Legal Basis) ของ LGPD มี 10 ฐาน เพิ่มเติม "การคุ้มครองสุขภาพ" และ "การวิจัยโดยหน่วยงานวิจัย" เป็นฐานเฉพาะ ส่วน Breach Notification ของ LGPD ไม่กำหนดเวลาตายตัว ขึ้นกับ ANPD ตัดสิน
3. ขั้นตอนปฏิบัติตาม LGPD 8 ข้อ สำหรับ SME ไทย
ขั้นที่ 1: Data Mapping และ Inventory ทำรายการข้อมูลส่วนบุคคลของลูกค้าบราซิลที่เก็บอยู่ทั้งหมด ระบุ Source (Form, Cookie, CRM Import), Purpose (Marketing, Order Fulfillment, Support), Retention Period และ Recipients (Vendor, Cloud)
ขั้นที่ 2: Update Privacy Notice เขียน Privacy Policy ภาษาโปรตุเกสบราซิล ระบุ Controller, DPO, Purpose, Legal Basis, Retention, Rights ของ Data Subject (9 สิทธิ) และ Cross-Border Transfer
ขั้นที่ 3: Implement Consent Management ติด Cookie Consent Banner ที่ตอบโจทย์ LGPD (Opt-in สำหรับ Non-essential Cookie, Granular Choice ตาม Purpose, ระบบเก็บหลักฐาน Consent)
ขั้นที่ 4: แต่งตั้ง DPO (Encarregado) ตำแหน่ง Data Protection Officer ต้องเปิดเผย Contact ใน Privacy Notice รับ Request จาก Data Subject และสื่อสารกับ ANPD
ขั้นที่ 5: Cross-Border Transfer Safeguards เนื่องจากไทยยังไม่ได้รับ Adequacy Status จาก ANPD ต้องใช้ Standard Contractual Clauses (SCC) หรือ Specific Consent ในการ Transfer ข้อมูลกลับมาประมวลผลในไทย
ขั้นที่ 6: Data Subject Request Process สร้างช่องทาง (อีเมล, Portal) ที่ลูกค้าบราซิลสามารถใช้สิทธิ 9 ประการได้ ตอบสนองภายใน 15 วันทำการ
ขั้นที่ 7: Data Breach Response Plan เตรียม Playbook สำหรับ Incident Response ระบุการแจ้ง ANPD และ Data Subject พร้อม Template Notification ภาษาโปรตุเกส
ขั้นที่ 8: Training และ Audit อบรมพนักงานปีละครั้ง, ทำ Internal Audit ทุก 6 เดือน, เก็บ Records of Processing Activities (ROPA) ให้พร้อมส่ง ANPD เมื่อถูกตรวจสอบ
4. ตาราง 9 สิทธิของ Data Subject ตาม LGPD
| สิทธิ | คำอธิบาย | กรอบเวลาตอบ |
|---|---|---|
| Confirmation | ยืนยันว่ามีการ Process ข้อมูลของตนหรือไม่ | 15 วัน |
| Access | ขอเข้าถึงข้อมูลของตน | 15 วัน |
| Correction | แก้ไขข้อมูลที่ไม่ถูกต้อง | 15 วัน |
| Anonymization / Block / Delete | ลบข้อมูลที่ไม่จำเป็น | 15 วัน |
| Portability | ขอข้อมูลไปใช้ที่อื่น | 15 วัน |
| Deletion | ลบข้อมูลที่ Process ภายใต้ Consent | 15 วัน |
| Information Sharing | ขอรู้ว่าใครได้รับข้อมูลของตนบ้าง | 15 วัน |
| Consent Withdrawal | ถอน Consent ได้ทุกเมื่อ | ทันที |
| Review of Automated Decisions | ขอให้คนทบทวนคำตัดสิน AI | 15 วัน |
สิทธิข้อสุดท้าย (Review of Automated Decisions) เป็นจุดที่ SME ไทยที่ใช้ AI ในการ Score Credit, Recommend สินค้า หรือ Automate Customer Support ต้องเตรียม Process รองรับเป็นพิเศษ
5. กรณีศึกษา ค่าปรับ LGPD ที่เกิดขึ้นจริง
กรณี Telekall Telecom (มิ.ย. 2024) ANPD ปรับ 14,400 BRL จากการเก็บเสียงคุย Customer Service โดยไม่มี Consent ที่ถูกต้อง บทเรียนคือต้องบอก Caller ก่อนบันทึกเสียงและขอ Consent อย่างชัดเจน
กรณี Meta / Instagram (เม.ย. 2024) ANPD ออกคำสั่งห้าม Meta ใช้ข้อมูลคนบราซิลในการ Train AI Llama 3 หากไม่มีฐานทางกฎหมายที่ชัดเจน บทเรียนคือ AI Training ต้องมี Specific Legal Basis แยกจาก Service Delivery
กรณี SME ไทย (E-commerce อาหารเสริมส่งออกบราซิล สมมติ) ปรับ 50,000 BRL จากการส่ง Email Marketing ไปลูกค้าบราซิลโดยไม่มี Opt-in และไม่มี Unsubscribe Link ที่ใช้งานได้ บทเรียนคือต้องใช้ Double Opt-in สำหรับ Marketing และมี Unsubscribe ทุก Campaign
6. Checklist เริ่มต้นสำหรับ SME ไทย
ในระยะแรกของการขยายตลาดบราซิล ทำสิ่งต่อไปนี้ภายใน 60 วัน
7. สรุปและก้าวต่อไป
LGPD ไม่ใช่แค่ปัญหาของบริษัทใหญ่ แต่กระทบ SME ไทยทุกรายที่ตั้งใจขยายตลาดบราซิล ค่าปรับที่ ANPD เริ่มออกในปี 2024-2025 พิสูจน์ว่ากฎหมายนี้ "มีฟัน" จริง การลงทุนใน Compliance Setup ระยะแรกอาจดูยุ่งยาก แต่ป้องกันค่าปรับและช่วยสร้างความน่าเชื่อถือกับลูกค้าได้ในระยะยาว
สิ่งที่ต้องทำในเดือนนี้:
หากธุรกิจ SME ของคุณกำลังขยายตลาดไปบราซิลและต้องการคำปรึกษาในการสร้างระบบ Compliance สำหรับ LGPD ตั้งแต่การ Map Data, สร้าง Privacy Center, ติดตั้ง Consent Management Platform จนถึงการเตรียม Data Subject Request Workflow ทีม ADS FIT มีประสบการณ์กับลูกค้า SME ไทยที่ส่งออกไป 30+ ประเทศ พร้อมช่วยคุณจัดการ Cross-Border Compliance อย่างมืออาชีพ ติดต่อเราได้ที่ adsfit.co.th
อ่านบทความที่เกี่ยวข้อง: PDPA ไทย, GDPR ยุโรป, NIS2 Directive, EU AI Act