La Lei Geral de Protecao de Dados Pessoais (LGPD), Ley n.o 13.709/2018, es el marco integral de proteccion de datos personales de Brasil. En vigor desde septiembre de 2020, con sanciones administrativas aplicables desde agosto de 2021, la LGPD establece reglas claras sobre como las organizaciones deben recopilar, almacenar, tratar y compartir datos personales. Con la Autoridade Nacional de Protecao de Dados (ANPD) regulando y aplicando activamente la ley, comprender sus obligaciones ya no es opcional: es una necesidad operativa y legal. Para las empresas espanolas que operan en Brasil, esta ley se suma a las obligaciones ya impuestas por el RGPD y la Ley Organica de Proteccion de Datos y Garantia de los Derechos Digitales (LOPDGDD), supervisadas por la Agencia Espanola de Proteccion de Datos (AEPD).
Principios de la LGPD
El articulo 6 de la LGPD establece diez principios que deben guiar todas las actividades de tratamiento de datos personales:
1. Finalidad (Finalidade). El tratamiento debe realizarse para fines legitimos, especificos y explicitos comunicados al titular de los datos. No se pueden recopilar datos sin un objetivo claro y documentado.
2. Adecuacion (Adequacao). El tratamiento debe ser compatible con las finalidades comunicadas al titular. Los datos recogidos deben ser pertinentes y proporcionales a lo necesario.
3. Necesidad (Necessidade). El tratamiento debe limitarse al minimo necesario para alcanzar sus finalidades. Este principio, equivalente a la minimizacion de datos del RGPD, combate la recopilacion excesiva.
4. Libre acceso (Livre acesso). Los titulares deben tener acceso facil y gratuito a la informacion sobre la forma y duracion del tratamiento, asi como a la totalidad de sus datos personales.
5. Calidad de los datos (Qualidade dos dados). Se debe garantizar la exactitud, claridad, pertinencia y actualidad de los datos conforme a la finalidad del tratamiento.
6. Transparencia (Transparencia). Se debe proporcionar informacion clara, precisa y facilmente accesible sobre el tratamiento y los agentes de tratamiento respectivos. Este principio tiene su equivalente en los articulos 12 a 14 del RGPD.
7. Seguridad (Seguranca). Se deben utilizar medidas tecnicas y administrativas para proteger los datos personales contra accesos no autorizados y situaciones accidentales o ilicitas.
8. Prevencion (Prevencao). Se deben adoptar medidas para prevenir los danos derivados del tratamiento de datos personales.
9. No discriminacion (Nao discriminacao). El tratamiento no puede realizarse con fines discriminatorios ilicitos o abusivos.
10. Responsabilidad y rendicion de cuentas (Responsabilizacao e prestacao de contas). El agente de tratamiento debe demostrar la adopcion de medidas eficaces capaces de probar el cumplimiento de las normas.
Quien debe cumplir la LGPD
La LGPD tiene una amplia aplicacion extraterritorial (articulo 3). Se aplica a cualquier operacion de tratamiento de datos personales que:
- Se realice en territorio brasileno
- Tenga por objeto la oferta o prestacion de bienes o servicios a personas situadas en Brasil
- Involucre datos personales recogidos en territorio brasileno
Alcance extraterritorial. Una empresa con sede en Espana, Alemania o Estados Unidos que ofrezca productos o servicios a consumidores brasilenos o recopile datos de personas en Brasil esta sujeta a la LGPD. Este alcance es comparable al del RGPD europeo (articulo 3 del RGPD), que la AEPD aplica a las empresas espanolas.
Excepciones. La LGPD no se aplica al tratamiento realizado por una persona fisica con fines exclusivamente privados y no economicos, con fines exclusivamente periodisticos, artisticos o academicos, o por el Estado con fines de seguridad publica, defensa nacional e investigacion penal (articulo 4).
Bases legales del tratamiento
La LGPD establece diez bases legales en el articulo 7 que autorizan el tratamiento de datos personales. Cada operacion de tratamiento debe fundamentarse en al menos una de ellas:
1. Consentimiento del titular. Debe ser libre, informado, inequivoco y otorgado para una finalidad especifica. El consentimiento puede revocarse en cualquier momento.
2. Cumplimiento de una obligacion legal o reglamentaria.
3. Ejecucion de politicas publicas por la administracion publica.
4. Estudios de investigacion por organismos de investigacion.
5. Ejecucion de un contrato o procedimientos preliminares relacionados con un contrato del que el titular es parte.
6. Ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales.
7. Proteccion de la vida o de la seguridad fisica del titular o de un tercero.
8. Proteccion de la salud en procedimientos realizados por profesionales sanitarios o entidades de salud.
9. Interes legitimo del responsable del tratamiento o de un tercero. Requiere un test de proporcionalidad (articulo 10) que equilibre los intereses del responsable con los derechos y expectativas del titular. Este concepto es similar al interes legitimo del RGPD (articulo 6(1)(f)) y la LOPDGDD.
10. Proteccion del credito.
Para los datos sensibles (articulo 11), las bases legales son mas restrictivas: consentimiento especifico o necesidad para el cumplimiento de una obligacion legal, la ejecucion de politicas publicas, la investigacion, el ejercicio de derechos, la proteccion de la vida o la proteccion de la salud.
Derechos de los titulares de datos
El articulo 18 de la LGPD garantiza a los titulares un conjunto completo de derechos:
Confirmacion y acceso. El titular puede solicitar la confirmacion de la existencia de un tratamiento y el acceso a sus datos personales.
Correccion. Derecho a solicitar la correccion de datos incompletos, inexactos o desactualizados.
Anonimizacion, bloqueo o eliminacion. Derecho a solicitar la anonimizacion, bloqueo o eliminacion de datos innecesarios, excesivos o no conformes.
Portabilidad. Derecho a solicitar la portabilidad de datos a otro proveedor de servicios o productos, mediante solicitud expresa.
Eliminacion. Derecho a solicitar la eliminacion de datos personales tratados sobre la base del consentimiento.
Informacion sobre el intercambio. Derecho a obtener informacion sobre las entidades publicas y privadas con las que el responsable ha compartido datos.
Revocacion del consentimiento. Derecho a revocar el consentimiento en cualquier momento, mediante declaracion expresa.
Estos derechos son ampliamente equivalentes a los previstos por el RGPD (articulos 15 a 22), supervisados en Espana por la AEPD.
Delegado de proteccion de datos (Encarregado)
El articulo 41 de la LGPD obliga al responsable del tratamiento a designar un delegado de proteccion de datos (encarregado). Sus funciones incluyen:
- Aceptar reclamaciones y comunicaciones de los titulares y proporcionar aclaraciones
- Recibir comunicaciones de la ANPD y tomar las medidas apropiadas
- Asesorar a empleados y contratistas sobre practicas de proteccion de datos
- Realizar otras funciones asignadas por el responsable o establecidas por normativas complementarias
La ANPD puede establecer normas complementarias sobre la exencion de designacion del DPO para agentes de tratamiento de pequena escala. En Espana, la AEPD supervisa el rol equivalente del DPD segun lo definido por el RGPD y la LOPDGDD.
Informe de impacto de proteccion de datos
El articulo 38 de la LGPD preve que la ANPD puede exigir al responsable la elaboracion de un informe de impacto de proteccion de datos (RIPD). Este informe debe contener:
- Una descripcion de los tipos de datos recogidos
- La metodologia utilizada para la recogida
- Las medidas de seguridad de la informacion
- El analisis del responsable sobre las medidas, garantias y mecanismos de mitigacion de riesgos
Aunque la ANPD aun no ha regulado completamente los criterios de elaboracion obligatoria del RIPD, es altamente recomendable que las empresas que tratan datos a gran escala o manejan datos sensibles preparen este documento de manera proactiva. Esto es equivalente a la Evaluacion de Impacto relativa a la Proteccion de Datos (EIPD) exigida por el RGPD (articulo 35).
Transferencias internacionales de datos
La LGPD regula las transferencias internacionales de datos personales en el articulo 33. Las transferencias estan permitidas cuando:
- Se dirigen a paises u organizaciones internacionales que ofrecen un nivel de proteccion adecuado
- Cuando el responsable ofrece garantias de cumplimiento de los principios de la LGPD (clausulas contractuales especificas, clausulas tipo, normas corporativas vinculantes)
- Mediante el consentimiento especifico del titular
- Para el cumplimiento de una obligacion legal o reglamentaria
- Para la cooperacion juridica internacional
La ANPD esta trabajando en la regulacion de los mecanismos de transferencia, incluidas las clausulas contractuales tipo y los criterios de adecuacion, siguiendo los mecanismos europeos del RGPD. Las empresas espanolas que transfieren datos entre Espana, la UE y Brasil deben asegurarse de la conformidad bajo ambos regimenes.
Sanciones y penalidades
El articulo 52 de la LGPD establece un regimen de sanciones administrativas aplicables por la ANPD:
Advertencia. Con indicacion del plazo para la adopcion de medidas correctivas.
Multa simple. Hasta el 2 % de la facturacion de la entidad juridica privada, grupo o conglomerado en Brasil en su ultimo ejercicio fiscal, excluidos impuestos, limitada a un total de 50 millones de BRL por infraccion.
Multa diaria. Sujeta al mismo limite total de 50 millones de BRL.
Publicacion de la infraccion. Tras verificacion y confirmacion.
Bloqueo de los datos personales relacionados con la infraccion hasta su regularizacion.
Eliminacion de los datos personales relacionados con la infraccion.
Suspension parcial del funcionamiento de la base de datos por un maximo de 6 meses, prorrogable por un periodo equivalente.
Suspension de la actividad de tratamiento de datos por un maximo de 6 meses, prorrogable por un periodo equivalente.
Prohibicion parcial o total de las actividades relacionadas con el tratamiento de datos.
La ANPD ya ha aplicado sanciones a empresas brasilenos, incluyendo advertencias y ordenes de cumplimiento. En comparacion, la AEPD en Espana puede imponer multas de hasta 20 millones de euros o el 4 % de la facturacion mundial en virtud del RGPD.
Cuatro enfoques para el cumplimiento de la LGPD
Contratar a un abogado especializado
Coste: 15.000 a 50.000 BRL para un programa integral de cumplimiento. Plazo: 4 a 8 semanas.
Un abogado especializado en proteccion de datos puede realizar un mapeo completo de los flujos de datos, redactar politicas internas, formar equipos y estructurar la respuesta a incidentes. Recomendado para empresas con grandes volumenes de datos o datos sensibles.
Usar una herramienta de IA generica
Coste aparente: 0 BRL. Coste real: las brechas de cumplimiento que genera.
Las herramientas de IA genericas pueden generar texto que se asemeja a una politica de privacidad pero no pueden auditar sus flujos de datos reales ni garantizar la cobertura de las diez bases legales y principios de la LGPD.
Copiar una plantilla gratuita
Coste: 0 BRL. Riesgo: alto.
Las plantillas gratuitas son genericas, a menudo obsoletas y nunca adaptadas a su actividad especifica. La ANPD espera que su politica de privacidad refleje sus practicas de tratamiento reales.
Usar un generador de documentos legales especializado
Coste: 19,90 € a 49,90 €. Plazo: menos de 10 minutos.
Un generador especializado hace preguntas dirigidas sobre su actividad y produce una politica de privacidad que cumple con los requisitos de la LGPD, incluidas las bases legales, los derechos de los titulares y las obligaciones de transparencia.
Para verificar rapidamente la conformidad de su sitio, utilice nuestro escaner de conformidad gratuito. Consulte tambien nuestra comparacion LGPD vs RGPD para entender las diferencias clave, y nuestra guia sobre la politica de privacidad LGPD.
Conclusion
La LGPD ha transformado el panorama de la proteccion de datos en Brasil. Con principios claros, bases legales definidas, derechos integrales para los titulares y sanciones que pueden alcanzar los 50 millones de BRL, el cumplimiento ya no es opcional: es una obligacion legal con consecuencias reales. Para las empresas espanolas que operan en Brasil o tratan datos de residentes brasilenos, la LGPD se suma a las obligaciones del RGPD y la LOPDGDD supervisadas por la AEPD. La ANPD esta activa en la aplicacion y la regulacion, y el marco normativo continua evolucionando. Cada dia sin cumplimiento es un dia de exposicion innecesaria a riesgos regulatorios y reputacionales. Actue ahora para proteger su empresa y la confianza de sus clientes.