RGPD vs. LGPD: Comparación entre las Leyes de Privacidad de la UE y Brasil (2026)
El RGPD de la UE y la LGPD de Brasil (Ley n.º 13.709/2018) comparten principios fundacionales pero se diferencian en tres puntos estructurales clave: la LGPD ofrece 10 bases jurídicas frente a las 6 del RGPD, limita las multas a los ingresos obtenidos en Brasil en lugar de a la facturación global, y canaliza toda la aplicación a través de una única autoridad nacional en lugar de más de 30 APD.
El Reglamento General de Protección de Datos (RGPD) de la UE y la Lei Geral de Proteção de Dados de Brasil (LGPD, Ley n.º 13.709/2018) son dos de los marcos de protección de datos más relevantes del mundo. La LGPD se inspiró directamente en el RGPD, y ambas leyes comparten una arquitectura común. Sin embargo, divergen de manera significativa: las bases jurídicas, las estructuras sancionadoras, los modelos de aplicación, los plazos de notificación de vulneraciones y los requisitos del encargado de protección de datos difieren entre sí.
Esta comparación abarca todas las diferencias estructurales relevantes entre ambos marcos, incluida la transformadora decisión de adecuación mutua de enero de 2026 que ahora permite el libre flujo de datos entre la UE y Brasil.
Respuesta Rápida: RGPD vs. LGPD de un Vistazo
El RGPD se aplica en todo el Espacio Económico Europeo. La LGPD se aplica a todo tratamiento de datos vinculado con Brasil. Ambas leyes comparten principios fundamentales (limitación de la finalidad, minimización de datos, transparencia, responsabilidad proactiva) y ambas exigen un encargado de protección de datos, derechos de los titulares de datos, notificación de vulneraciones y controles sobre las transferencias internacionales.
Las principales diferencias son las siguientes: la LGPD ofrece más bases jurídicas (10 frente a 6), limita las multas a los ingresos obtenidos en Brasil en lugar de a los ingresos globales, es aplicada por una única autoridad nacional en lugar de más de 30 APD, y históricamente exigía normas de independencia del encargado menos exigentes. A partir de enero de 2026, ambos regímenes se reconocen oficialmente como adecuados entre sí, el mayor avance desde que ambas leyes entraron en vigor.
Los Dos Regímenes de un Vistazo
| Característica | RGPD | LGPD |
|---|---|---|
| Jurisdicción | UE/EEE (27 Estados miembros + Noruega, Islandia, Liechtenstein) | Brasil |
| Promulgación | 14 de abril de 2016 | 14 de agosto de 2018 |
| Exigibilidad | 25 de mayo de 2018 | 18 de septiembre de 2020 (multas: 1 de agosto de 2021) |
| Autoridad de aplicación | Más de 30 APD nacionales + CEPD | ANPD (autoridad federal única) |
| Bases jurídicas | 6 (art. 6) | 10 (art. 7) |
| Multa máxima | 20 millones de euros o el 4% de los ingresos globales | 2% de los ingresos en Brasil, con un tope de 50 millones de reales por infracción |
| Notificación de vulneraciones | 72 horas a la APD | La ANPD recomienda 2 días hábiles (norma vinculante pendiente) |
| ¿Se requiere encargado? | Condicional (organismos públicos, tratamiento a gran escala o de alto riesgo) | Todos los responsables (con exención limitada para pymes según la Resolución 2/2022) |
| Adecuación mutua | Sí: Decisión de Ejecución (UE) 2026/179, 27 de enero de 2026 | Sí: Resolución CD/ANPD n.º 32, 26 de enero de 2026 |
ADN Compartido y Similitudes Estructurales
La LGPD tomó deliberadamente su arquitectura fundacional del RGPD. Los legisladores brasileños estudiaron el modelo europeo e incorporaron sus componentes centrales: los derechos de los titulares de datos, los roles de responsable/encargado, las bases jurídicas para el tratamiento, las categorías especiales de datos sensibles, las restricciones a las transferencias internacionales y una autoridad de supervisión dedicada.
Ambas leyes definen los datos personales de manera amplia para abarcar cualquier información relativa a una persona física identificada o identificable. Ambas reconocen una categoría distinta de datos sensibles que requiere protección reforzada. Ambas exigen que los responsables implementen medidas de seguridad técnicas y organizativas adecuadas, realicen evaluaciones de impacto para el tratamiento de alto riesgo y documenten sus actividades de tratamiento.
El resultado práctico es que un programa que cumple con el RGPD ofrece una base sólida para el cumplimiento de la LGPD. Pero las brechas son lo suficientemente relevantes como para que un programa basado únicamente en el RGPD no equivalga al cumplimiento de la LGPD.
Ámbito de Aplicación
El alcance territorial del RGPD es extraterritorial por diseño. Se aplica a cualquier organización que trate datos personales de personas en el EEE, sin importar dónde esté establecida. Una empresa de comercio electrónico con sede en Estados Unidos que vende a residentes de la UE queda sujeta al RGPD.
La LGPD se aplica a cualquier operación de tratamiento realizada en Brasil, dirigida a ofrecer bienes o servicios a personas en Brasil, o que involucre datos personales recopilados en Brasil. Al igual que el RGPD, no exige que la organización tenga presencia física en Brasil.
La LGPD se aplica tanto a organizaciones con fines de lucro como sin fines de lucro. Las excepciones incluyen el tratamiento puramente personal o doméstico, los fines periodísticos o artísticos, la investigación académica realizada en interés público, la seguridad pública, la defensa nacional y la investigación criminal. Una diferencia relevante: la LGPD se aplica al tratamiento de datos por parte del Estado, pero exime a los organismos públicos de las multas monetarias. Los organismos gubernamentales pueden recibir advertencias, obligación de divulgación pública de las infracciones y órdenes de suspensión del tratamiento, pero no las sanciones financieras de hasta 50 millones de reales que se aplican a las empresas privadas.
Comparación de Terminología
| Término del RGPD | Equivalente en la LGPD |
|---|---|
| Titular de los datos | Titular |
| Datos personales | Dados pessoais |
| Categorías especiales / datos sensibles | Dados pessoais sensíveis (art. 5, II) |
| Responsable del tratamiento | Controlador |
| Encargado del tratamiento | Operador |
| Delegado de Protección de Datos | Encarregado |
| Autoridad supervisora / APD | ANPD |
La definición de datos personales sensibles de la LGPD refleja de cerca las categorías especiales del RGPD, pero incluye explícitamente las convicciones filosóficas (además de las religiosas) y trata los datos de niños y adolescentes como una categoría sensible independiente que requiere un tratamiento especial en virtud del artículo 14 de la LGPD.
Bases Jurídicas para el Tratamiento: Seis vs. Diez
Esta es la diferencia estructural más significativa entre ambos marcos.
El RGPD prevé seis bases jurídicas en su artículo 6: el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el ejercicio de poderes públicos y el interés legítimo.
La LGPD prevé diez bases jurídicas en su artículo 7. Conserva las seis bases del RGPD y agrega cuatro más:
| Base Jurídica | RGPD | LGPD |
|---|---|---|
| Consentimiento | Sí (art. 6.1.a) | Sí (art. 7, I) |
| Ejecución de un contrato | Sí (art. 6.1.b) | Sí (art. 7, V) |
| Obligación legal o regulatoria | Sí (art. 6.1.c) | Sí (art. 7, II) |
| Intereses vitales | Sí (art. 6.1.d) | Cubierto bajo la protección de la salud y de la vida |
| Interés público / ejercicio de poderes públicos | Sí (art. 6.1.e) | Sí (art. 7, III) |
| Interés legítimo | Sí (art. 6.1.f) | Sí (art. 7, IX) |
| Estudios de organismos de investigación | Subsumido en el interés público | Sí, base independiente (art. 7, IV) |
| Ejercicio de derechos en procedimientos judiciales, administrativos o arbitrales | Subsumido en la obligación legal | Sí, base independiente (art. 7, VI) |
| Protección de la salud o de la vida | Subsumido en los intereses vitales | Sí, base independiente (art. 7, VIII) |
| Protección del crédito | No es una base independiente | Sí, exclusiva de la LGPD (art. 7, X) |
La base de protección del crédito es exclusiva del derecho brasileño. Refleja la importancia económica de los sistemas de puntuación crediticia y de datos financieros en el mercado brasileño. Una institución financiera que trate datos de clientes para realizar una verificación crediticia puede basarse directamente en esta base.
La base de protección de la salud cubre los procedimientos realizados por profesionales de la salud, servicios de salud o autoridades sanitarias. Funciona de manera similar a la excepción de intereses vitales del RGPD, pero se limita explícitamente al ámbito sanitario en lugar de cualquier emergencia que amenace la vida.
Para los datos personales sensibles, el RGPD exige el consentimiento explícito o una de las excepciones restringidas del artículo 9, apartado 2. El artículo 11 de la LGPD permite el tratamiento de datos sensibles sin consentimiento cuando sea indispensable para el cumplimiento de obligaciones legales, la aplicación de políticas públicas, la investigación, el ejercicio de derechos, la protección de la salud, la protección de la vida o la prevención del fraude.
Comparación de los Derechos de los Titulares de Datos
Ambos marcos otorgan a las personas derechos amplios sobre sus datos personales, con una considerable superposición.
| Derecho | RGPD | LGPD |
|---|---|---|
| Confirmación del tratamiento | Sí (art. 15) | Sí (art. 18, I) |
| Acceso a los datos | Sí (art. 15) | Sí (art. 18, II) |
| Rectificación | Sí (art. 16) | Sí (art. 18, III) |
| Supresión / eliminación | Sí, "derecho al olvido" (art. 17) | Sí (art. 18, VI) |
| Portabilidad de los datos | Sí (art. 20) | Sí (art. 18, V) |
| Limitación del tratamiento | Sí (art. 18) | Sin equivalente directo |
| Oposición al tratamiento | Sí (art. 21) | Sí (art. 18, IV: anonimización, bloqueo o eliminación) |
| Revisión de decisiones automatizadas | Sí, derecho a revisión humana (art. 22) | Sí (art. 20), pero la revisión humana no se exige explícitamente |
| Información sobre el intercambio de datos | Incluido en el derecho de acceso | Derecho independiente explícito (art. 18, VII) |
| Revocación del consentimiento | Sí (art. 7.3) | Sí (art. 18, IX) |
| Petición ante la autoridad | Sí | Sí (art. 18, párr. 1) |
Cabe destacar dos diferencias. En primer lugar, la LGPD no incluye un derecho explícito a la limitación del tratamiento comparable al artículo 18 del RGPD. Los titulares de datos pueden solicitar la anonimización, el bloqueo o la eliminación, pero no existe un mecanismo para simplemente pausar el tratamiento mientras se resuelve una disputa.
En segundo lugar, el artículo 20 de la LGPD otorga el derecho a solicitar una revisión de las decisiones automatizadas, pero, a diferencia del artículo 22 del RGPD, no exige explícitamente una revisión humana. La agenda regulatoria 2025-2026 de la ANPD incluye la emisión de directrices vinculantes sobre los derechos relativos a la toma de decisiones automatizadas, pero dichas directrices no se habían finalizado hasta mayo de 2026.
En cuanto a los plazos de respuesta, la LGPD impone un plazo de 15 días para responder de forma detallada a una solicitud de acceso de un titular de datos. El RGPD otorga a los responsables 30 días (prorrogables a tres meses para solicitudes complejas). El plazo más corto de la LGPD genera una presión operativa mayor para las organizaciones que gestionan un alto volumen de solicitudes.
Autoridades Supervisoras: la ANPD frente a las APD de la UE
La diferencia estructural en la arquitectura de aplicación es significativa.
En virtud del RGPD, la aplicación se distribuye entre más de 30 autoridades nacionales de protección de datos, coordinadas por el Comité Europeo de Protección de Datos (CEPD). Para el tratamiento transfronterizo que involucre a varios Estados miembros de la UE, el mecanismo de "ventanilla única" designa a una APD principal en el país del establecimiento del responsable en la UE, mientras que las demás APD actúan como "autoridades afectadas". Esto ha dado lugar a multas históricas por parte de la DPC de Irlanda (que supervisa a Meta, Google y Apple a efectos de la UE) y de la CNIL de Francia.
La LGPD es aplicada por una única autoridad federal: la ANPD. La ANPD se creó en 2020 y fue elevada a agencia reguladora federal plenamente independiente en febrero de 2025, otorgándole autonomía funcional, técnica, decisoria, administrativa y financiera. Esta independencia aísla a la ANPD de la presión política y la coloca al mismo nivel institucional que el Banco Central de Brasil y la autoridad de competencia (CADE).
La capacidad de aplicación de la ANPD sigue en desarrollo en comparación con las APD europeas más activas. Sus primeras acciones de aplicación significativas se produjeron en 2023 y 2024. Para 2025, el total de multas y sanciones de la ANPD alcanzó aproximadamente 98 millones de reales (alrededor de 20 millones de dólares).
Comparación de Sanciones
Los regímenes sancionadores difieren tanto en escala como en el método de cálculo.
| Aspecto de la Aplicación | RGPD | LGPD |
|---|---|---|
| Multa máxima | 20 millones de euros o el 4% de los ingresos anuales globales (lo que sea mayor) | 2% de los ingresos de la empresa en Brasil, con un tope de 50 millones de reales (aproximadamente 10 millones de dólares) por infracción |
| Base de ingresos | Facturación anual global | Solo ingresos brasileños (del grupo o conglomerado) |
| Multa diaria | Disponible en algunas jurisdicciones de los Estados miembros | Sí (sujeta al tope agregado de 50 millones de reales) |
| Sanciones no monetarias | Advertencias, prohibiciones de tratamiento, órdenes de eliminación de datos | Advertencias, divulgación pública, bloqueo/eliminación de datos, suspensión del tratamiento |
| Entidades gubernamentales | Sujetas a multas en la mayoría de los Estados miembros | Exentas de multas monetarias |
| Derecho de acción privada | Varía según el Estado miembro | Sí, bajo el derecho del consumidor y la responsabilidad civil |
Para las grandes multinacionales, la base del 4% de los ingresos globales del RGPD produce una exposición drásticamente mayor. Una empresa con 10 000 millones de dólares en ingresos globales enfrenta una multa máxima del RGPD de 400 millones de dólares; la multa máxima de la LGPD para esa misma empresa se limita a aproximadamente 10 millones de dólares, independientemente de su escala global.
La LGPD también incluye la suspensión del tratamiento como sanción, lo cual puede resultar operativamente significativo incluso sin una gran multa monetaria. La ANPD utilizó esta facultad en su caso contra Meta: en julio de 2024, la ANPD ordenó a Meta suspender de inmediato el uso de datos personales de usuarios brasileños para el entrenamiento de IA, respaldada por una multa diaria de 50 000 reales por incumplimiento. La suspensión se levantó a fines de agosto de 2024, después de que Meta aceptara un plan de cumplimiento supervisado. La ANPD determinó que Meta se había basado de manera inadecuada en el interés legítimo como base jurídica para el entrenamiento de IA, carecía de transparencia sobre los detalles del tratamiento y no protegía adecuadamente los datos de los menores.
Requisitos del DPD y del Encarregado
Ambas leyes exigen un delegado de protección de datos (la LGPD llama a esta figura "encarregado"), pero los requisitos difieren sustancialmente.
En virtud del RGPD, un DPD es obligatorio únicamente para: las autoridades y organismos públicos, las organizaciones cuyas actividades principales impliquen el monitoreo regular y sistemático de personas a gran escala, y las organizaciones que traten categorías especiales de datos o datos relativos a condenas penales a gran escala (artículo 37). El RGPD especifica que el DPD debe tener conocimientos especializados en derecho de protección de datos, debe actuar de manera independiente, debe reportar directamente a la alta dirección y no puede ser destituido ni sancionado por el desempeño de sus funciones.
En virtud de la LGPD, todos los responsables debían originalmente designar a un encarregado, sin importar su tamaño o el alcance de su tratamiento. La ANPD emitió posteriormente la Resolución CD/ANPD n.º 2/2022, que exime a los agentes de tratamiento de pequeña escala (pequeñas empresas, startups y emprendedores individuales) de este requisito, salvo que traten datos de alto riesgo. La LGPD no exige las calificaciones del encarregado con la misma especificidad que el RGPD, y los requisitos de independencia son menos rigurosos. El encarregado debe identificarse públicamente (su nombre e información de contacto deben publicarse), pero no existe la obligación de una línea de reporte directa a la junta directiva.
Una brecha práctica: una empresa que no es un organismo público y no realiza monitoreo sistemático a gran escala puede no necesitar un DPD conforme al RGPD, pero si trata datos personales de personas brasileñas como responsable, puede seguir necesitando un encarregado conforme a la LGPD (salvo que se aplique la exención para pequeñas empresas).
Notificación de Vulneraciones de Datos
El RGPD exige que los responsables notifiquen a la autoridad supervisora competente dentro de las 72 horas posteriores a tener conocimiento de una vulneración de datos personales que suponga un riesgo para los derechos de las personas. Las personas afectadas deben ser notificadas directamente sin dilación indebida cuando la vulneración suponga un alto riesgo.
El artículo 48 de la LGPD exige que los responsables notifiquen a la ANPD y a los titulares de datos afectados sobre los incidentes de seguridad que puedan causar un riesgo o daño significativo. La ley no especifica un plazo fijo de notificación. La ANPD ha recomendado un "plazo razonable" de dos días hábiles para la notificación, pero esto sigue siendo una recomendación y no un plazo legal vinculante hasta mayo de 2026. La ANPD ha manifestado su intención de emitir normas vinculantes sobre notificación de vulneraciones como parte de su agenda regulatoria, pero dicha normativa aún estaba pendiente.
Para las organizaciones multinacionales, el enfoque práctico consiste en aplicar el plazo de 72 horas del RGPD como estándar interno. Cualquier vulneración que requiera notificación conforme al RGPD debería activar simultáneamente el proceso de notificación de la LGPD si se ven afectados titulares de datos brasileños.
Evaluaciones de Impacto de Protección de Datos
Ambas leyes prevén evaluaciones de impacto, pero con distintos criterios y estructuras de cumplimiento.
El RGPD exige una Evaluación de Impacto relativa a la Protección de Datos (EIPD) en virtud del artículo 35 siempre que el tratamiento pueda entrañar un alto riesgo para los derechos de las personas. Tres categorías siempre requieren una EIPD: la evaluación sistemática que implique elaboración de perfiles, el tratamiento a gran escala de datos sensibles y el monitoreo sistemático a gran escala de zonas de acceso público. Los responsables deben documentar la EIPD y, en algunos casos, consultar a la autoridad supervisora antes de proceder.
El artículo 38 de la LGPD adopta un enfoque reactivo: la ANPD puede solicitar en cualquier momento que un responsable elabore un Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Los responsables no están obligados a elaborar de manera proactiva un RIPD antes de emprender un tratamiento de alto riesgo. Sin embargo, la agenda regulatoria 2025-2026 de la ANPD incluye las EIPD como tema prioritario para una nueva normativa vinculante, y las organizaciones que operan en Brasil deberían comenzar a elaborar RIPD para el tratamiento de alto riesgo desde ahora, en lugar de esperar a que el requisito se vuelva obligatorio.
Transferencias Internacionales de Datos
La Decisión de Adecuación Mutua de Enero de 2026
El 27 de enero de 2026, la Comisión Europea y Brasil adoptaron simultáneamente decisiones de adecuación mutua. La UE adoptó la Decisión de Ejecución (UE) 2026/179, que reconoce a Brasil como un país que ofrece un nivel de protección de datos esencialmente equivalente al RGPD conforme al artículo 45. Brasil correspondió mediante la Resolución CD/ANPD n.º 32 del 26 de enero de 2026, reconociendo a la UE como jurisdicción adecuada bajo la LGPD.
Las consecuencias prácticas son significativas en ambas direcciones:
Las transferencias de la UE a Brasil pueden ahora realizarse sin Cláusulas Contractuales Tipo, Normas Corporativas Vinculantes ni ningún otro mecanismo de salvaguarda del artículo 46. La decisión de adecuación abarca las transferencias tanto del sector público como del privado, con la exclusión estándar para fines de seguridad nacional, defensa e investigación criminal.
Las transferencias de Brasil a la UE pueden realizarse conforme a la determinación de adecuación de la ANPD sin salvaguardas contractuales adicionales.
La decisión está sujeta a una revisión formal cada cuatro años. El Dictamen 28/2025 del CEPD fue en general favorable, pero invitó a la Comisión Europea a seguir monitoreando la implementación por parte de Brasil de las EIPD, las normas de transferencia posterior, las restricciones de transparencia y las salvaguardas de acceso de las autoridades públicas.
La Resolución CD/ANPD n.º 19/2024 y el Marco de SCC
Antes de la decisión de adecuación, el marco clave para las transferencias salientes desde Brasil era la Resolución 19/2024 de la ANPD, publicada el 23 de agosto de 2024. Esa resolución estableció las Cláusulas Contractuales Tipo de Brasil para las transferencias internacionales de datos y fijó un período de gracia de un año para que las empresas las incorporaran. El período de gracia venció el 23 de agosto de 2025, tras lo cual las transferencias de Brasil a terceros países no adecuados requirieron SCC u otro mecanismo aprobado.
Para las transferencias de Brasil a organizaciones de la UE, la determinación de adecuación de la ANPD de enero de 2026 desplaza ahora el requisito de SCC. Para las transferencias a otras jurisdicciones, el marco de la Resolución 19/2024 (SCC, normas corporativas vinculantes o cláusulas contractuales específicas) sigue siendo la salvaguarda requerida.
Las organizaciones que hayan firmado SCC específicas de Brasil para los flujos entre Brasil y la UE pueden desear actualizar su documentación de transferencia para hacer referencia a la base de adecuación. Las SCC siguen siendo técnicamente válidas, pero ya no son legalmente exigibles para ese tramo de la transferencia.
Aplicación en la Práctica: el Historial de la ANPD
Las primeras acciones formales de aplicación de la ANPD se produjeron en 2023. En 2024, la autoridad aplicó sanciones contra tres entidades públicas brasileñas: la Secretaría de Educación del Distrito Federal (SEEDF), el Instituto Nacional del Seguro Social (INSS) y el Ministerio de Salud. Los tres casos involucraron fallas en la notificación de vulneraciones y medidas de seguridad inadecuadas. Debido a que se trata de organismos gubernamentales, las sanciones consistieron en advertencias y divulgación pública obligatoria, y no en multas monetarias.
La acción más destacada de la ANPD en el sector privado fue la suspensión, en julio de 2024, del entrenamiento de IA de Meta con datos de usuarios brasileños. La ANPD determinó que la política de privacidad actualizada de Meta se basaba de manera inadecuada en el interés legítimo como base jurídica para el entrenamiento de IA, carecía de transparencia, generaba obstáculos para el ejercicio de los derechos de los titulares de datos y carecía de salvaguardas adecuadas para los datos de los menores. La suspensión se aplicó con una multa diaria de 50 000 reales. Meta y la ANPD llegaron a un acuerdo a fines de agosto de 2024, por el cual Meta se comprometió a un plan de cumplimiento supervisado a cambio del levantamiento de la suspensión.
Para 2025, el total de la aplicación de la ANPD resultó en aproximadamente 98 millones de reales en multas y sanciones. La independencia institucional de la ANPD (asegurada en febrero de 2025) y sus prioridades de aplicación declaradas para 2026-2027 anticipan un período de aplicación más activo.
Avances Recientes: Agenda Regulatoria 2024-2026
Temas Prioritarios de la ANPD para 2026-2027
En diciembre de 2025, la ANPD publicó la Resolución CD/ANPD n.º 30, que establece su Mapa de Temas Prioritarios para el bienio 2026-2027, y la Resolución CD/ANPD n.º 31/2025, que actualiza su agenda regulatoria 2025-2026. Las cuatro áreas prioritarias de aplicación y regulación son las siguientes:
- Los derechos de los titulares de datos, con especial atención a los datos sensibles utilizados con fines publicitarios
- La protección de niños y adolescentes conforme al ECA Digital, incluida la verificación de edad y los requisitos de privacidad por defecto
- El cumplimiento por parte de las autoridades públicas de la LGPD, incluidas las normas de gobernanza y de intercambio de datos entre entidades gubernamentales
- La IA y las tecnologías emergentes, incluida la supervisión del uso de datos personales en sistemas de IA
Las normas vinculantes sobre EIPD, los derechos relativos a la toma de decisiones automatizadas y los plazos de notificación de vulneraciones figuran todas en la agenda para su emisión.
El Proyecto de Ley de IA de Brasil
El Senado brasileño aprobó el Proyecto de Ley de IA n.º 2338/2023 el 10 de diciembre de 2024, y lo remitió a la Cámara de Diputados en marzo de 2025. El proyecto adopta un enfoque basado en el riesgo, modelado estrechamente sobre la Ley de IA de la UE, que clasifica los sistemas de IA como de riesgo excesivo, alto riesgo o uso general. En virtud del proyecto, la ANPD actuaría como el regulador principal para los sistemas de IA que traten datos personales, con reguladores sectoriales desempeñando un papel concurrente.
La promulgación definitiva sigue siendo incierta. El consenso político en la Cámara de Diputados aún faltaba a comienzos de 2026, y el ciclo electoral de Brasil en 2026 reduce la probabilidad de aprobación antes de 2027. Las empresas deberían monitorear el avance legislativo, pero no deberían aún basar su cumplimiento en el proyecto de ley de IA.
Orientación para el Cumplimiento Dual
Las organizaciones que operan bajo el RGPD y la LGPD deberían tratar ambos marcos como complementarios y no como duplicados. Las siguientes áreas requieren atención específica de la LGPD incluso para los programas que cumplen con el RGPD.
Bases jurídicas. Mapee las bases de la LGPD para cada actividad de tratamiento de manera independiente de su mapeo del RGPD. Las actividades que se basan en el interés legítimo conforme al RGPD pueden contar con una base más específica de la LGPD (protección del crédito, protección de la salud, investigación por organismos de investigación). Documente ambas.
DPD / encarregado. Una empresa que no active el requisito condicional de DPD del RGPD puede seguir necesitando un encarregado conforme a la LGPD, salvo que se aplique la exención para pequeñas empresas de la Resolución CD/ANPD 2/2022. El encarregado debe estar identificado públicamente con información de contacto.
Notificación de vulneraciones. La LGPD no tiene un plazo legal fijo. Trate la recomendación de dos días hábiles de la ANPD como su estándar interno, en paralelo con el plazo de 72 horas del RGPD.
EIPD / RIPD. Elabore de manera proactiva los RIPD para el tratamiento de alto riesgo, aunque la LGPD aún no lo exija. La ANPD puede solicitarlos en cualquier momento, y se avecina un requisito proactivo vinculante.
Plazos de respuesta. El plazo de 15 días de la LGPD para las respuestas detalladas de acceso es más corto que los 30 días del RGPD. Configure los flujos de trabajo de solicitudes de acceso conforme al plazo más ajustado de la LGPD.
Transferencias internacionales. A partir del 27 de enero de 2026, los flujos de datos entre la UE y Brasil están cubiertos por la adecuación mutua en ambas direcciones. Actualice su Registro de Actividades de Tratamiento para reflejar la base de adecuación en lugar de las SCC para esos tramos de transferencia. Para las transferencias de Brasil a otros países no adecuados, las SCC de la Resolución 19/2024 siguen siendo obligatorias.
Contratistas gubernamentales. El tratamiento distinto que da la LGPD a las entidades públicas afecta a las empresas que tratan datos personales como operadores en nombre de agencias gubernamentales brasileñas. Se aplican normas específicas al intercambio de datos gubernamentales.
Para un análisis profundo del marco del RGPD, consulte nuestra guía completa sobre las leyes de privacidad de datos de la UE. Para la LGPD de Brasil de manera independiente, consulte nuestra guía sobre las leyes de privacidad de datos de Brasil.
Esta página refleja el estado del derecho a mayo de 2026. Tanto el RGPD como la LGPD continúan evolucionando a través de orientaciones regulatorias y decisiones de aplicación. Consulte a un abogado calificado para recibir asesoramiento específico para su organización.
Preguntas frecuentes
¿Es la LGPD básicamente una copia del RGPD?
La LGPD se inspiró profundamente en el RGPD, pero no es una copia directa. Comparte los mismos principios fundacionales (limitación de la finalidad, minimización de datos, transparencia, responsabilidad proactiva), pero diverge en varias áreas. La LGPD tiene 10 bases jurídicas frente a las 6 del RGPD, limita las multas al 2% de los ingresos en Brasil en lugar del 4% de los ingresos globales, es aplicada por una única autoridad en lugar de una red de más de 30 APD, y tiene un plazo de respuesta más corto para las solicitudes de acceso de los titulares de datos (15 días frente a 30 días).
¿Qué ley tiene multas más altas, el RGPD o la LGPD?
El RGPD tiene multas máximas sustancialmente más altas para las grandes empresas. Las sanciones del RGPD alcanzan los 20 millones de euros o el 4% de la facturación anual global, lo que resulte mayor. Las sanciones de la LGPD se limitan al 2% de los ingresos de la empresa en Brasil, con un tope de 50 millones de reales (aproximadamente 10 millones de dólares) por infracción. Para una multinacional con 5000 millones de dólares en ingresos globales, la exposición bajo el RGPD alcanza los 200 millones de dólares; la exposición bajo la LGPD se limita a 10 millones de dólares, sin importar la escala global.
¿La LGPD exige el consentimiento para todo el tratamiento de datos?
No. Al igual que el RGPD, la LGPD ofrece múltiples bases jurídicas para el tratamiento de datos personales. La LGPD ofrece de hecho más opciones que el RGPD, con 10 bases jurídicas que incluyen el consentimiento, el interés legítimo, la ejecución de un contrato, la obligación legal, la protección del crédito y la protección de la salud. El consentimiento es una opción entre muchas, no el requisito por defecto.
¿Brasil cuenta con una decisión de adecuación de la UE?
Sí. El 27 de enero de 2026, la Comisión Europea adoptó la Decisión de Ejecución (UE) 2026/179, reconociendo formalmente que Brasil ofrece una protección de datos adecuada conforme al artículo 45 del RGPD. Los datos personales ahora pueden fluir de la UE a Brasil sin necesidad de Cláusulas Contractuales Tipo ni otras salvaguardas del artículo 46. Brasil adoptó simultáneamente la Resolución CD/ANPD n.º 32, reconociendo a la UE como adecuada conforme a la LGPD.
¿Puede una empresa utilizar la misma política de privacidad para cumplir con el RGPD y la LGPD?
Una única política de privacidad global puede abordar ambos marcos, pero debe incluir divulgaciones específicas de la LGPD. La política debe hacer referencia a las bases jurídicas de la LGPD aplicables, nombrar al encarregado con su información de contacto, describir los derechos disponibles conforme al derecho brasileño, incluido el plazo de respuesta de 15 días para el acceso, y explicar cómo presentar una petición ante la ANPD. Muchas empresas multinacionales mantienen una única política con secciones específicas por jurisdicción.
¿La LGPD exige una Evaluación de Impacto relativa a la Protección de Datos?
No de manera proactiva por defecto. El artículo 38 de la LGPD otorga a la ANPD la facultad de solicitar en cualquier momento un Relatório de Impacto à Proteção de Dados Pessoais (RIPD), pero no exige a los responsables que elaboren uno antes de comenzar un tratamiento de alto riesgo. El artículo 35 del RGPD exige EIPD proactivas antes de ciertas actividades de alto riesgo. La agenda regulatoria 2025-2026 de la ANPD incluye un requisito proactivo vinculante de EIPD, por lo que las organizaciones deberían comenzar a elaborar RIPD para el tratamiento de alto riesgo desde ahora.
¿Cuál fue la acción de la ANPD contra Meta?
En julio de 2024, la ANPD ordenó a Meta suspender de inmediato el uso de datos personales de usuarios brasileños para el entrenamiento de IA, respaldada por una multa diaria de 50 000 reales por incumplimiento. La ANPD determinó que la política de privacidad actualizada de Meta se basaba de manera inadecuada en el interés legítimo como base jurídica para el entrenamiento de IA, carecía de transparencia y no protegía adecuadamente los datos de los menores. La suspensión se levantó a fines de agosto de 2024, después de que Meta aceptara un plan de cumplimiento supervisado.
Fuentes y referencias
- Decisión de Ejecución (UE) 2026/179 - Decisión de Adecuación de la UE para Brasil(eur-lex.europa.eu).gov
- Texto Completo de la LGPD - Ley n.º 13.709/2018(planalto.gov.br).gov
- Sitio Oficial de la ANPD - Autoridade Nacional de Proteção de Dados(gov.br).gov
- Comisión Europea - Panorama de la Protección de Datos(commission.europa.eu).gov
- Artículo 6 del RGPD - Licitud del Tratamiento(gdpr-info.eu)
- Artículo 9 del RGPD - Categorías Especiales de Datos(gdpr-info.eu)
- Artículo 35 del RGPD - Evaluación de Impacto relativa a la Protección de Datos(gdpr-info.eu)
- Artículo 37 del RGPD - Designación del DPD(gdpr-info.eu)
- Artículo 33 del RGPD - Notificación de una Violación de Seguridad a la Autoridad Supervisora(gdpr-info.eu)
- Comunicado de Prensa de la Comisión Europea - Decisión de Adecuación UE-Brasil, Enero de 2026(ec.europa.eu).gov
- Dictamen 28/2025 del CEPD - Proyecto de Decisión de Adecuación de la UE para Brasil(edpb.europa.eu).gov
- Administración de Comercio Internacional de EE. UU. - Nuevas Normas de Brasil sobre Transferencias Internacionales de Datos(trade.gov).gov
- IAPP - La ANPD se Convierte en Agencia Reguladora Independiente(iapp.org)