Si su empresa atiende a clientes tanto en Brasil como en la Union Europea, esta sujeta a dos de los marcos de proteccion de datos mas importantes del mundo: la Lei Geral de Protecao de Dados Pessoais (LGPD, Ley n.o 13.709/2018) de Brasil y el Reglamento General de Proteccion de Datos (RGPD) europeo. Si bien ambas leyes comparten objetivos similares y la LGPD fue influenciada por el RGPD, existen diferencias significativas que afectan directamente su estrategia de cumplimiento. Esta guia compara ambos marcos para ayudarle a construir un enfoque integrado, con atencion especial a la perspectiva espanola y el papel de la AEPD.
Origenes y fundamentos
RGPD. Adoptado en 2016 y en vigor desde mayo de 2018, el RGPD es un reglamento directamente aplicable en los 27 Estados miembros de la UE. Se fundamenta en el principio de que la proteccion de datos es un derecho fundamental (articulo 8 de la Carta de los Derechos Fundamentales de la UE). Es prescriptivo, detallado y acompanado de un extenso cuerpo de jurisprudencia y orientaciones de las autoridades nacionales. En Espana, la AEPD es la autoridad de control, complementada por la Ley Organica de Proteccion de Datos y Garantia de los Derechos Digitales (LOPDGDD).
LGPD. Promulgada en 2018 y en vigor desde septiembre de 2020, la LGPD se inspiro ampliamente en el RGPD pero se adapto al contexto juridico brasileno. Incorpora elementos del Codigo de Proteccion del Consumidor, del Marco Civil da Internet y de la Constitucion Federal (articulo 5, incisos X y XII). La ANPD, creada en 2020, aun esta construyendo el marco regulatorio completo.
Ambito de aplicacion
Personas protegidas
RGPD: Toda persona fisica (interesado) situada en la Union Europea, independientemente de su nacionalidad o residencia.
LGPD: Toda persona fisica cuyos datos personales son tratados en operaciones realizadas en territorio brasileno, dirigidas a ofrecer bienes o servicios a personas en Brasil, o que involucran datos recogidos en Brasil (articulo 3).
Que empresas deben cumplir
RGPD: Toda organizacion, en cualquier parte del mundo, que trate datos personales de personas en la UE, siempre que ofrezca bienes o servicios a residentes de la UE o monitoree su comportamiento (articulo 3). Sin umbral de facturacion ni volumen minimo de datos.
LGPD: Toda organizacion, en cualquier parte del mundo, que realice operaciones de tratamiento en las condiciones del articulo 3. Tampoco tiene umbral de facturacion.
Ambas leyes tienen alcance extraterritorial, lo que significa que empresas fuera de Brasil o de la UE pueden estar obligadas a cumplirlas. La AEPD ha tramitado casos que involucran a empresas no europeas.
Bases legales del tratamiento
Este es uno de los aspectos donde las dos leyes son mas similares, pero con diferencias importantes.
RGPD: Seis bases legales (articulo 6) — consentimiento, ejecucion de contrato, obligacion legal, intereses vitales, mision de interes publico e interes legitimo.
LGPD: Diez bases legales (articulo 7) — las seis del RGPD mas proteccion del credito, proteccion de la salud, estudios de investigacion por organismos de investigacion y ejercicio regular de derechos.
| Base legal | RGPD | LGPD |
|---|---|---|
| Consentimiento | Articulo 6(1)(a) | Articulo 7, I |
| Obligacion legal | Articulo 6(1)(c) | Articulo 7, II |
| Ejecucion de contrato | Articulo 6(1)(b) | Articulo 7, V |
| Interes legitimo | Articulo 6(1)(f) | Articulo 7, IX |
| Proteccion de la vida | Articulo 6(1)(d) | Articulo 7, VII |
| Mision de interes publico | Articulo 6(1)(e) | Articulo 7, III |
| Proteccion del credito | No previsto | Articulo 7, X |
| Proteccion de la salud | Incluida en intereses vitales | Articulo 7, VIII (base autonoma) |
| Investigacion | Incluida en interes publico | Articulo 7, IV (base autonoma) |
| Ejercicio de derechos | Incluido en obligacion legal | Articulo 7, VI (base autonoma) |
La LGPD es mas granular en sus bases legales, creando bases autonomas para situaciones que el RGPD trata como subcategorias de bases mas amplias.
Consentimiento
RGPD: Debe ser otorgado libremente, ser especifico, informado e inequivoco (articulo 7). La carga de la prueba recae en el responsable del tratamiento. El consentimiento para datos sensibles debe ser explicito (articulo 9).
LGPD: Debe ser libre, informado e inequivoco, proporcionado por escrito o por otros medios que demuestren la expresion de voluntad del titular (articulo 8). Para datos sensibles, el consentimiento debe ser especifico y destacado (articulo 11).
Las diferencias practicas son sutiles pero relevantes. El RGPD exige que el consentimiento sea “especifico” para cada finalidad, mientras que la LGPD lo requiere “para finalidades determinadas”. La LGPD tambien especifica que el consentimiento por escrito debe aparecer en una clausula diferenciada de las demas clausulas contractuales. La AEPD y la LOPDGDD complementan las orientaciones del RGPD sobre consentimiento con directrices adicionales para el contexto espanol.
Derechos de los interesados
Ambas leyes confieren un conjunto solido de derechos, pero con diferencias notables:
| Derecho | RGPD | LGPD |
|---|---|---|
| Acceso | Articulo 15 | Articulo 18, I y II |
| Rectificacion | Articulo 16 | Articulo 18, III |
| Supresion | Articulo 17 (derecho al olvido) | Articulo 18, IV (anonimizacion, bloqueo o eliminacion) |
| Portabilidad | Articulo 20 | Articulo 18, V |
| Oposicion | Articulo 21 | Articulo 18, IV (parcialmente) |
| Revision de decisiones automatizadas | Articulo 22 | Articulo 20 |
| Informacion sobre el intercambio | Implicito en los articulos 13-14 | Articulo 18, VII (derecho explicito) |
| Plazo de respuesta | 1 mes (prorrogable a 3) | 15 dias para la confirmacion; plazo razonable para los demas |
Diferencia notable: la LGPD garantiza explicitamente el derecho a la informacion sobre las entidades con las que se han compartido datos (articulo 18, VII), mientras que el RGPD lo trata como parte de las obligaciones de transparencia. La LGPD tambien preve la revision de decisiones automatizadas (articulo 20) pero sin la exigencia de intervencion humana que el RGPD establece en el articulo 22.
Datos sensibles
RGPD: Categorias especiales de datos (articulo 9) — origen racial o etnico, opiniones politicas, convicciones religiosas o filosoficas, afiliacion sindical, datos geneticos, datos biometricos, datos de salud, vida sexual u orientacion sexual. El tratamiento esta prohibido salvo excepciones especificas.
LGPD: Datos sensibles (articulo 5, II) — origen racial o etnico, conviccion religiosa, opinion politica, afiliacion sindical o a una organizacion religiosa, filosofica o politica, datos de salud, vida sexual, datos geneticos o biometricos.
Las categorias son similares pero no identicas. La LGPD incluye “conviccion filosofica” y “afiliacion a organizaciones filosoficas o politicas”, que no tienen equivalente directo en el RGPD. El RGPD incluye explicitamente las “opiniones politicas”, mientras que la LGPD utiliza “opinion politica”.
Transferencias internacionales de datos
RGPD: Las transferencias fuera del EEE requieren una decision de adecuacion, Clausulas Contractuales Tipo (CCT), Normas Corporativas Vinculantes (NCV) u otro mecanismo aprobado (capitulo V). El proceso es riguroso y bien regulado. La AEPD supervisa el cumplimiento de estos mecanismos por parte de las empresas espanolas.
LGPD: El articulo 33 lista varias condiciones para las transferencias internacionales, incluyendo paises con un nivel de proteccion adecuado, clausulas contractuales especificas, clausulas tipo, normas corporativas vinculantes y consentimiento especifico. La ANPD aun esta regulando los mecanismos, y el marco no esta tan desarrollado como el europeo.
En la practica, las empresas que ya disponen de CCT conforme al RGPD pueden adaptarlas para la LGPD, pero deberian esperar los reglamentos definitivos de la ANPD para garantizar una plena conformidad.
Sanciones y aplicacion
| Aspecto | RGPD | LGPD |
|---|---|---|
| Multa maxima | 20 M EUR o 4 % de la facturacion mundial | 50 millones BRL o 2 % de los ingresos en Brasil |
| Base de calculo | Facturacion mundial | Ingresos en Brasil (no mundiales) |
| Autoridad | APD nacionales (AEPD, etc.) | ANPD |
| Poder sancionador directo | Si | Si |
| Sanciones no monetarias | Prohibicion de tratamiento | Bloqueo, eliminacion, suspension, prohibicion |
| Accion privada | Si (articulo 82) | Si (Codigo Civil + Codigo del Consumidor) |
El RGPD preve sanciones pecuniarias potencialmente mucho mas elevadas (base mundial vs solo Brasil). La AEPD ha impuesto multas significativas a empresas espanolas y multinacionales. Sin embargo, la LGPD ofrece sanciones no monetarias severas — la suspension o prohibicion de las actividades de tratamiento puede ser mas devastadora para una empresa que una multa economica.
DPO / Encarregado
RGPD: Obligatorio para autoridades publicas, seguimiento sistematico a gran escala o tratamiento a gran escala de datos sensibles (articulo 37).
LGPD: Obligatorio para todos los responsables del tratamiento (articulo 41). La ANPD puede establecer exenciones para agentes de tratamiento de pequena escala.
La LGPD es mas amplia en este requisito: mientras el RGPD limita la obligacion a situaciones especificas, la LGPD la impone como regla general.
Estrategia de cumplimiento para empresas bi-jurisdiccionales
1. Comenzar con el cumplimiento del RGPD. Los requisitos europeos son generalmente mas restrictivos. Un solido cumplimiento del RGPD cubre la mayoria de las obligaciones de la LGPD. Las empresas espanolas que ya cumplen con las directrices de la AEPD y la LOPDGDD tienen una ventaja significativa.
2. Anadir los elementos especificos de la LGPD. Las cuatro bases legales adicionales, el plazo de respuesta de 15 dias para la confirmacion, el derecho explicito a la informacion sobre el intercambio y las sanciones no monetarias requieren atencion especifica.
3. Adaptar la base de calculo de las sanciones. El RGPD calcula sobre la facturacion mundial; la LGPD sobre los ingresos en Brasil. Esto puede afectar su analisis de riesgo.
4. Seguir a la ANPD. La autoridad brasilena aun esta construyendo su marco regulatorio. Las regulaciones sobre transferencias internacionales, informes de impacto y criterios de adecuacion estan en desarrollo.
5. Documentar todo. Los registros de tratamiento (articulo 30 del RGPD), los registros de incidentes (ambos) y los registros de solicitudes de los interesados (ambos) son esenciales para demostrar el cumplimiento.
Para verificar la conformidad de su sitio en segundos, utilice nuestro escaner de conformidad gratuito. Para profundizar, consulte nuestra guia completa de la LGPD y nuestra guia sobre la politica de privacidad LGPD.
Conclusion
La LGPD y el RGPD comparten origenes y objetivos pero difieren en detalles que importan en la practica. La LGPD tiene mas bases legales, un alcance mas amplio para los requisitos de DPO y sanciones no monetarias potencialmente mas severas. El RGPD preve sanciones financieras mas elevadas, derechos de los interesados mas detallados y un marco regulatorio mas maduro, con la experiencia de autoridades como la AEPD. Para las empresas que operan en ambas jurisdicciones, el enfoque mas eficaz es basarse en el cumplimiento del RGPD y complementarlo con las especificidades de la LGPD. La inaccion no es una opcion: los riesgos regulatorios a ambos lados del Atlantico siguen creciendo.