Parte de nuestra serie Compliance & Regulation
Leer la guía completaCumplimiento LGPD de Brasil: Protección de datos para operaciones en América Latina
La Lei Geral de Proteção de Dados Pessoais (LGPD – Ley N° 13.709/2018) de Brasil entró en vigor el 18 de septiembre de 2020, y la Autoridade Nacional de Proteção de Dados (ANPD) la aplicará a partir de agosto de 2021. Brasil es el quinto país más grande del mundo por población y la sexta economía más grande, lo que hace que el cumplimiento de la LGPD sea esencial para cualquier organización con operaciones, clientes y empresas brasileñas. o empleados.
Siguiendo estrechamente el modelo del GDPR de la UE, la LGPD introduce bases legales para el procesamiento, derechos de los interesados, un requisito de DPO, restricciones a las transferencias transfronterizas y multas de hasta el 2 % de los ingresos anuales brasileños con un límite de R$50 millones (~$10 millones de dólares) por infracción. La ANPD ha emitido sus primeras multas importantes y ha publicado directrices sectoriales específicas: la aplicación de la ley ya no es teórica.
Conclusiones clave
- La LGPD se aplica a cualquier organización que procese datos personales de personas en Brasil, independientemente de dónde tenga su sede la organización.
- Existen diez bases legales para el procesamiento; ninguna es un incumplimiento; Debes documentar las bases de cada actividad.
- El consentimiento según la LGPD debe ser libre, informado, inequívoco y para un propósito específico; las casillas marcadas previamente no califican
- Los datos personales sensibles (raza, religión, salud, datos biométricos, opiniones políticas, orientación sexual) requieren consentimiento explícito o excepciones específicas
- El nombramiento de un DPO (Encarregado) es obligatorio para la mayoría de responsables y encargados del tratamiento.
- Las transferencias transfronterizas están restringidas; los mecanismos permitidos incluyen decisiones de adecuación, cláusulas contractuales estándar y esquemas de certificación.
- Las multas de la ANPD alcanzan el 2% de los ingresos brasileños, con un límite de R$ 50 millones por infracción
- La LGPD fue actualizada por la Ley 13.853/2019, que fortaleció la independencia de la ANPD y aclaró las disposiciones de aplicación
Alcance y aplicación territorial de la LGPD
La LGPD se aplica a cualquier tratamiento de datos personales que:
- Se realiza en territorio brasileño
- Tiene por objeto ofrecer bienes o servicios a personas físicas ubicadas en Brasil
- Se trata de datos personales recopilados en Brasil
Al igual que el artículo 3 del RGPD, este alcance extraterritorial significa que una empresa estadounidense que gestione una tienda de comercio electrónico en idioma portugués que atienda a clientes brasileños debe cumplir con la LGPD en relación con los datos de esos clientes. Una multinacional con empleados brasileños debe cumplir con el tratamiento de datos de sus empleados.
Las exenciones de la LGPD incluyen:
- Tratamiento realizado exclusivamente con fines privados, no para actividad económica
- Tratamiento con fines periodísticos, artísticos o académicos
- Tramitación por motivos de seguridad pública, defensa nacional o investigación penal (cubiertos por legislación específica)
- Datos originados fuera de Brasil y no objeto de comunicación o uso compartido con agentes brasileños
Sin embargo, estas exenciones se interpretan de manera restrictiva. La mayor parte del procesamiento comercial no califica.
Bases Legales para el Tratamiento de Datos Personales
El artículo 7 de la LGPD establece diez bases legales para el tratamiento de datos personales. Esto difiere del GDPR (que tiene seis) y refleja el contexto legislativo específico de Brasil. Cada actividad de procesamiento debe documentarse contra una de estas bases:
| Base Legal | Descripción |
|---|---|
| Consentimiento | Consentimiento libre, informado, inequívoco y con finalidad específica |
| Obligación legal | Cumplimiento de una obligación legal o reglamentaria |
| Ejecución de políticas públicas | Tramitación por parte de las autoridades públicas de políticas públicas |
| Investigación por entidades de investigación | Con anonimización siempre que sea posible |
| Ejecución del contrato | Para ejecutar o preparar un contrato con el interesado |
| Ejercicio regular de derechos | En procedimientos judiciales, administrativos o arbitrales |
| Intereses legítimos | Cuando no prevalezcan los intereses/derechos fundamentales del interesado (se requiere prueba de proporcionalidad) |
| Protección de la vida | Protección de la vida o seguridad física del interesado o de terceros |
| Protección de la salud | Por profesionales de la salud o entidades sanitarias |
| Protección crediticia | Análisis crediticio y protección al consumidor |
Los intereses legítimos según la LGPD son más limitados que el RGPD: los responsables del tratamiento deben equilibrar el interés legítimo con los derechos y libertades fundamentales del interesado. La guía de la ANPD indica que esto requiere una prueba documentada de tres partes similar al RGPD, y que los fines comerciales por sí solos no califican automáticamente.
Datos personales sensibles (Artículo 11) incluye datos sobre origen racial o étnico, creencias religiosas, opiniones políticas, afiliación a organizaciones sindicales u religiosas, datos de salud, vida sexual, datos genéticos o biométricos. El procesamiento de datos sensibles requiere un consentimiento explícito o una de siete bases legales específicas (obligación legal, investigación, atención médica, etc.). El estándar de consentimiento para datos confidenciales es más estricto: explícito, independiente de otros consentimientos y con un propósito específico.
Derechos del interesado según la LGPD
El artículo 18 de la LGPD otorga a los interesados nueve derechos:
| Derecha | Descripción | Requisito de respuesta |
|---|---|---|
| Confirmación | Confirmar si se están procesando datos personales | Sin demoras indebidas |
| Acceso | Acceso a datos personales | Sin demoras indebidas |
| Corrección | Corregir datos incompletos, inexactos o desactualizados | Sin demoras indebidas |
| Anonimización, bloqueo o eliminación | De datos innecesarios/excesivos o tratados ilícitamente | Sin demoras indebidas |
| Portabilidad | Transferencia a otro proveedor de servicios/productos | Según normativa ANPD |
| Eliminación de datos consentidos | Eliminar datos procesados en base al consentimiento | Sin demoras indebidas |
| Información sobre compartir | Sepa con quién se comparten los datos | Sin demoras indebidas |
| Información sobre el rechazo | Consecuencias de rechazar el consentimiento | Sin demoras indebidas |
| Revocación del consentimiento | Revocar el consentimiento en cualquier momento y sin coste | Sin demoras indebidas |
Diferencias clave con el RGPD:
- LGPD incluye el derecho a conocer las consecuencias de rechazar el consentimiento, lo que requiere la divulgación previa a la recopilación de lo que sucede si un usuario lo rechaza.
- "Sin demoras indebidas" es menos prescriptivo que el cronograma de 30 días del GDPR; se espera que las regulaciones de la ANPD especifiquen cronogramas
- Los derechos de portabilidad están condicionados a la viabilidad técnica y a la normativa de la ANPD.
Ejercicio de derechos: Los interesados presentan solicitudes al responsable del tratamiento. El responsable del tratamiento deberá responder dentro de los 15 días (para solicitudes de confirmación y acceso) según Resolución ANPD CD/ANPD N° 4/2023. Para los demás derechos, los responsables del tratamiento deberán responder sin demoras indebidas según lo define la normativa de la ANPD.
Obligaciones del responsable y del encargado del tratamiento
Responsable del Tratamiento: Determina los fines y medios del tratamiento. Tiene obligaciones principales de LGPD que incluyen documentación de base legal, avisos de privacidad, cumplimiento de los derechos de los interesados, nombramiento de DPO, informes de ANPD y medidas de seguridad.
Procesador de datos (Operador): Procesa datos en nombre de un controlador bajo un contrato. Los procesadores comparten la responsabilidad por violaciones cuando no siguen las instrucciones del controlador o actúan en contra de la LGPD. Los responsables del tratamiento únicamente deben utilizar encargados del tratamiento que ofrezcan garantías suficientes de cumplimiento de la LGPD.
Requisitos del acuerdo del procesador (Artículo 39): Los controladores y procesadores deben tener un contrato escrito que cubra:
- Instrucciones de procesamiento de datos personales
- Obligaciones de seguridad
- Requisitos de confidencialidad
- Soporte de derechos del interesado
- Obligaciones de devolución o supresión de datos al finalizar el contrato
Corresponsables: la LGPD no aborda explícitamente los acuerdos de corresponsabilidad (a diferencia del artículo 26 del RGPD), pero las directrices de la ANPD indican que las situaciones de procesamiento conjunto deben abordarse contractualmente con una asignación clara de responsabilidades.
Delegado de Protección de Datos (Encarregado)
El artículo 41 exige que los responsables y encargados del tratamiento designen un Delegado de Protección de Datos (Encarregado). A diferencia del GDPR, la LGPD no proporciona umbrales; el requisito parece aplicarse ampliamente a los controladores y procesadores. La ANPD ha indicado que las organizaciones más pequeñas y las empresas unipersonales pueden tener obligaciones reducidas, y la Resolución ANPD CD/ANPD N° 2/2022 estableció disposiciones simplificadas para los pequeños procesadores de datos.
Responsabilidades del DPO (Encarregado):
- Actuar como canal de comunicación entre el responsable del tratamiento, los interesados y la ANPD
- Recibir quejas de los interesados y comunicarse con los interesados sobre sus derechos.
- Recibir comunicaciones de la ANPD y tomar las medidas oportunas
- Asesorar a los empleados internos sobre prácticas de protección de datos.
- Realizar otras funciones definidas por el responsable del tratamiento o establecidas en la normativa de la ANPD
Requisito de publicación: Los controladores deben revelar públicamente la identidad y la información de contacto del Encarregado, generalmente en la política de privacidad.
Puede ser interno o externo: a diferencia del RGPD, la LGPD no prohíbe los conflictos de intereses para el rol del DPO, aunque las mejores prácticas sugieren que el DPO debe tener suficiente independencia. Se utilizan ampliamente los servicios externos de DPO de consultores calificados.
Requisitos de seguridad
El artículo 46 obliga a los responsables y encargados del tratamiento a adoptar medidas de seguridad, técnicas y administrativas para proteger los datos personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento indebido o ilícito.
La Resolución ANPD CD/ANPD No. 4/2023 y las orientaciones asociadas especifican los requisitos mínimos de seguridad. Las medidas técnicas clave incluyen:
Controles de acceso:
- Mecanismos de autenticación proporcionales a la sensibilidad de los datos.
- Limitación de privilegios (acceso mínimo necesario)
- Registro de actividad para acceder a datos confidenciales
Cifrado:
- Cifrado de datos personales confidenciales almacenados.
- Cifrado para la transmisión de datos personales.
- Procedimientos de gestión de claves
Gestión del ciclo de vida de los datos:
- Períodos de retención documentados
- Eliminación segura o anonimización al final del período de retención
Medidas organizativas:
- Formación LGPD para todos los empleados que manejan datos personales
- Privacidad por consideración de diseño en nuevos sistemas
- Evaluaciones y auditorías periódicas de seguridad.
- Procedimientos de respuesta a incidentes
Notificación de infracción
El artículo 48 exige que los responsables del tratamiento notifiquen a la ANPD y a los interesados afectados los incidentes de seguridad que puedan generar riesgos o daños relevantes para los interesados. La LGPD no especifica un cronograma de notificación específico; la ley dice que la notificación debe realizarse "dentro de un período de tiempo razonable". La Resolución ANPD CD/ANPD N° 2/2023 sobre notificación de incidentes establece un requisito de notificación preliminar de 2 días hábiles para incidentes que afecten a un gran número de titulares o que involucren datos sensibles, con una notificación detallada dentro de 5 días hábiles.
Contenido de notificación a ANPD:
- Naturaleza de los datos afectados y número de interesados
- Posibles consecuencias del incidente.
- Medidas implementadas o planificadas para abordar la situación.
- Identificación del DPO (Encarregado)
Notificación a los interesados: Cuando el incidente pueda causar un daño significativo a los interesados, la ANPD podrá requerir una notificación a las personas afectadas, incluyendo la naturaleza del incidente y las medidas tomadas para mitigar los efectos.
Transferencias de datos transfronterizas
El artículo 33 de la LGPD restringe las transferencias internacionales de datos personales. Los mecanismos permitidos incluyen:
| Mecanismo | Descripción |
|---|---|
| Decisión de adecuación | Transferencia a un país con un nivel adecuado de protección de datos (según decisión de la ANPD) |
| Cláusulas contractuales tipo | Uso de SCC aprobados por la ANPD (la ANPD los está desarrollando) |
| Políticas corporativas globales | Normas corporativas vinculantes aprobadas por la ANPD |
| Consentimiento específico | Consentimiento informado y específico del interesado |
| Cooperación jurídica internacional | Entre organismos públicos |
| Intereses vitales | Para proteger la vida del interesado o de terceros |
| Obligación legal o ejercicio de derechos | Cumplimiento de obligaciones legales o ejercicio de derechos |
| Centro de datos/nube | Sujeto a condiciones específicas de la ANPD |
Estado actual de las decisiones de adecuación: A principios de 2026, la ANPD aún no había emitido decisiones de adecuación para países específicos (incluida la UE), aunque esto se está debatiendo. En la práctica, la mayoría de las organizaciones utilizan el consentimiento o cláusulas contractuales específicas a la espera de las cláusulas contractuales estándar de la ANPD.
Transferencias de la UE: A pesar de las similitudes del RGPD de la LGPD, no existe un reconocimiento mutuo de la adecuación. Las transferencias UE→Brasil requieren mecanismos compatibles con el RGPD. Las transferencias Brasil→UE requieren mecanismos compatibles con la LGPD. Los flujos de datos multinacionales requieren que se cumplan ambos marcos.
Ejecución y sanciones de la ANPD
La ANPD (Autoridade Nacional de Proteção de Dados) se independizó operativamente del gobierno federal en 2023 tras modificaciones legislativas. Los poderes de ejecución incluyen:
Sanciones administrativas (Artículo 52):
- Advertencia con indicación de acción correctiva y período de tiempo.
- Multa simple: hasta el 2% de los ingresos de la empresa en Brasil en su último año fiscal, limitado a R$50 millones (~$10 millones de dólares) por infracción
- Multa diaria por infracciones continuas (hasta R$ 50 millones en total)
- Publicación de la infracción
- Bloqueo del tratamiento de datos personales
- Eliminación de datos personales
Primeras multas importantes: La ANPD impuso sus primeras multas en 2023, dirigidas a un operador de telecomunicaciones y a una plataforma de salud, demostrando su voluntad de aplicarlas tanto a grandes corporaciones como a organizaciones más pequeñas. Las multas hasta la fecha oscilan entre R$ 14.400 y R$ 14,4 millones.
Proceso de investigación: La ANPD puede iniciar investigaciones de oficio, a partir de denuncias o mediante notificaciones obligatorias de incumplimiento. El proceso de sanción incluye notificación a la organización en cuestión, oportunidad de presentar defensas y sanciones graduales basadas en la cooperación y la remediación.
Lista de verificación de cumplimiento de LGPD
- Análisis de aplicabilidad de la LGPD completado
- Mapeo de datos / RoPA documentado para todas las actividades de procesamiento
- Base jurídica documentada para cada actividad de procesamiento
- Base jurídica separada documentada para datos personales sensibles
- Mecanismos de consentimiento revisados: casillas previamente marcadas eliminadas, con fines específicos
- Política/aviso de privacidad publicado en portugués (para usuarios brasileños) con todas las divulgaciones requeridas
- DPO (Encarregado) designado y datos de contacto publicados
- Procedimientos de derechos de los interesados documentados y probados (respuesta de 15 días para acceso/confirmación)
- Contratos de procesador revisados y actualizados con las disposiciones requeridas por la LGPD
- Mecanismos de transferencia transfronteriza evaluados para todos los flujos de datos internacionales
- Medidas de seguridad documentadas e implementadas proporcionales a la sensibilidad de los datos
- Procedimiento de respuesta a incidentes y notificación de incumplimiento (preliminar de 2 días, completo de 5 días) documentado
- [] Programas de retención documentados y eliminación automática configurada
- Formación de empleados sobre LGPD completada y documentada
- [] Revisión de privacidad por diseño para nuevos productos y características
Preguntas frecuentes
¿Se aplica la LGPD a mi empresa si no tenemos nuestra sede en Brasil?
Sí, si su procesamiento involucra datos recopilados en Brasil, o si ofrece bienes o servicios a personas en Brasil. El alcance extraterritorial de la LGPD es similar al enfoque del GDPR. Una empresa que opera completamente fuera de Brasil pero que administra un sitio web en portugués que atiende a clientes brasileños o que emplea trabajadores remotos brasileños debe cumplir con la LGPD para los datos de esas personas.
¿Cuál es la penalización LGPD en comparación con el GDPR?
La multa máxima de la LGPD es del 2% de los ingresos anuales brasileños, con un límite de R$50 millones (~$10 millones de dólares) por infracción. El máximo del RGPD es el 4% de los ingresos anuales globales o 20 millones de euros, lo que sea mayor. Para las grandes multinacionales, las multas del RGPD pueden ser sustancialmente más altas que las multas del LGPD. Sin embargo, el marco "por infracción" de la LGPD (donde cada interesado afectado podría ser potencialmente una infracción separada) significa que la exposición agregada puede ser muy significativa para incidentes a gran escala.
¿El consentimiento LGPD es lo mismo que el consentimiento GDPR?
Similar en concepto pero con algunas diferencias. Ambos requieren un consentimiento libre, informado, específico e inequívoco. El consentimiento de la LGPD debe proporcionarse por escrito o por otros medios que demuestren el acuerdo (la ANPD aún no ha finalizado la orientación sobre los formularios de consentimiento digitales). A diferencia del GDPR, la LGPD no tiene una prueba específica "dada libremente" para contextos laborales, aunque el desequilibrio de poder de las relaciones laborales es relevante para determinar si el consentimiento fue realmente libre. Para datos confidenciales, tanto la LGPD como el GDPR requieren un estándar de consentimiento explícito y reforzado.
¿Cómo se aplica la LGPD a los datos sanitarios en Brasil?
Los datos sanitarios se clasifican como datos personales sensibles según la LGPD. El procesamiento requiere consentimiento explícito o se rige por bases jurídicas específicas, incluida la protección de la salud (artículo 11, II, c, realizado por profesionales o entidades de la salud). Las organizaciones de atención médica en Brasil también deben cumplir con las regulaciones sectoriales específicas de la Agencia Brasileña de Regulación Sanitaria (ANVISA) y del Consejo Federal de Medicina (CFM). La LGPD y la normativa del sector salud operan en paralelo.
¿Existen obligaciones de cumplimiento simplificadas para las pequeñas empresas?
Sí. La Resolución ANPD CD/ANPD nº 2/2022 estableció obligaciones de cumplimiento simplificadas para los "pequeños procesadores de datos", definidos como personas físicas o jurídicas privadas con ingresos anuales de hasta R$ 4 millones, o hasta R$ 16 millones para algunos tipos. Las obligaciones simplificadas incluyen requisitos de presentación de informes reducidos y requisitos de DPO relajados. Sin embargo, siguen siendo aplicables las obligaciones básicas, incluida la documentación de la base legal, los derechos de los interesados y las medidas de seguridad.
Próximos pasos
Brasil es uno de los mercados digitales más grandes de América Latina, y los clientes empresariales brasileños y los procesos de adquisiciones gubernamentales exigen cada vez más el cumplimiento de la LGPD. Ya sea que se esté expandiendo a Brasil por primera vez o remediando brechas de cumplimiento existentes, el equipo de ECOSIRE puede ayudarlo a navegar los requisitos de LGPD.
Desde el mapeo de datos y la documentación de bases legales hasta la implementación de la privacidad por diseño en sus plataformas tecnológicas, nuestros servicios cubren el ciclo de vida completo del cumplimiento.
Más información: Servicios ECOSIRE
Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. Los requisitos de LGPD continúan evolucionando a través de las regulaciones y guías de cumplimiento de la ANPD. Consulte a un asesor legal brasileño calificado para obtener asesoramiento específico para su organización.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Más de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.