L'estructura de la LGPD el 2026

La LGPD és l'estatut principal de protecció de dades al Brasil, i el seu text principal ha estat notablement estable des de la seva promulgació. El que ha canviat és la infraestructura reguladora al seu voltant.

L'ANPD com a regulador madur

L'ANPD va començar a funcionar plenament el 2021 i va dedicar els seus primers tres anys a construir capacitat processal, emetre orientacions i dur a terme consultes. El 2024 ja havia passat a una aplicació activa, i el 2025 havia emès algunes de les seves primeres multes administratives significatives, incloses contra plataformes estrangeres. La postura de l'agència el 2026 és més propera a les seves homòlogues europees que al seu període anterior de toc suau.

La regulació de transferència transfronterera de 2026

El desenvolupament regulador més important per als editors estrangers va ser la regulació de transferència internacional de l'ANPD, que es va finalitzar a finals de 2025 i va entrar en vigor el 2026. La regulació introdueix un marc d'adequació, clàusules contractuals model aprovades per l'ANPD, regles corporatives vinculants i certificacions, totes funcionant de manera anàloga als mecanismes del Capítol V del GDPR. Abans d'aquesta regulació, les transferències transfrontereres operaven sota un conjunt de regles molt més vague que els editors i els proveïdors d'ad-tech normalment navegaven mitjançant acords comercials bilaterals. El règim de 2026 és substancialment més aplicable però substancialment més exigent pel que fa a la documentació.

Qui està regulat

La LGPD s'aplica extraterritorialment. Qualsevol responsable que tracti dades personals d'individus situats al Brasil en el moment de la recollida, o que tracti dades recollides del Brasil independentment d'on es faci el tractament, està dins l'àmbit. Els editors estrangers que serveixen usuaris brasilers mitjançant llocs localitzats o inventari programàtic comprat contra IP brasileres estan clarament a l'abast, i l'ANPD ha invocat la disposició extraterritorial en diversos casos de 2025.

Què compta com a dades personals segons la LGPD

La definició de dades personals de la LGPD és àmplia i segueix de prop la del GDPR. Les dades personals són informació relacionada amb una persona física identificada o identificable, i l'ANPD ha tractat consistentment les cookies, els identificadors publicitaris, les adreces IP, les empremtes digitals de dispositius i els perfils de comportament com a dades personals quan es poden vincular a un individu directament o per mitjans raonables.

Dades personals sensibles

La LGPD designa una llista àmplia de categories sensibles: origen racial o ètnic, creença religiosa, opinió política, afiliació a sindicats o organitzacions polítiques, conviccions filosòfiques o religioses, salut, vida sexual, dades genètiques i dades biomètriques quan s'utilitzen per a identificació única. El tractament de dades personals sensibles activa requisits de consentiment més estrictes i obligacions addicionals del responsable.

Per què això importa per a les cookies

Una cookie que emmagatzema un identificador de sessió rutinari és una dada personal ordinària. Una cookie que alimenta un segment d'audiència que toca la llista sensible de la LGPD — interessos de salut, afiliacions religioses, inclinacions polítiques — és tractament de dades personals sensibles i requereix el flux de consentiment reforçat, no el consentiment publicitari general. Els editors que executen segments d'audiència que es superposen amb la llista sensible haurien d'auditar els seus fluxos de consentiment específicament contra aquest límit.

Consentiment de cookies segons la LGPD el 2026

La LGPD permet múltiples bases legals per al tractament, però per a les cookies i tecnologies similars que no són estrictament necessàries per a la prestació del servei, l'orientació i l'aplicació de l'ANPD han convergit en el consentiment com a línia de base pràctica.

Els cinc elements del consentiment vàlid

El consentiment segons la LGPD ha de ser:

• Lliure — donat sense coerció i no agrupat amb la prestació d'un servei al qual l'usuari té dret d'una altra manera
• Informat — l'interessat entén quines dades es tracten, per qui, amb quina finalitat i amb quines conseqüències
• Inequívoc — expressat mitjançant un acte afirmatiu clar, no inferit del silenci, caselles premarcades o desplaçar-com-consentiment
• Específic — lligat a finalitats clarament identificades en lloc d'un consentiment paraigua general
• Destacat en casos que impliquen dades sensibles, amb consentiment explícit i separat per al tractament sensible específic

Com és una CMP conforme

Una CMP configurada per a trànsit brasiler el 2026 hauria de presentar:

• Un bàner visible abans que es disparin cookies o rastrejadors no essencials, en portuguès (Português) per defecte per als usuaris brasilers
• Prominència visual igual per a Aceitar (Acceptar), Recusar (Rebutjar) i Personalizar (Personalitzar) — l'ANPD ha assenyalat específicament dissenys de bàners on l'acció Recusar és menys visible
• Alternadors granulars per finalitat: analítica, publicitat, personalització, transferència transfronterera i qualsevol tractament de categoria sensible
• Un flux separat i clarament etiquetat per al tractament de dades personals sensibles, amb una barrera darrere de la seva pròpia acció
• Un mecanisme persistent i fàcil de trobar per retirar el consentiment després de l'elecció inicial
• Un Aviso de Privacidade en portuguès amb divulgacions completes del responsable, els encarregats, les finalitats, els destinataris, la retenció i els drets

Registres de consentiment

Els responsables han de mantenir proves del consentiment — qui ha consentit, quan, amb quina finalitat i a través de quina interfície. L'ANPD ha citat registres de consentiment inadequats en diverses accions d'aplicació, i els registres exportables amb marques de temps són l'expectativa bàsica.

El règim de transferència transfronterera de 2026

Aquesta és l'àrea on 2026 sembla significativament diferent de 2024. La regulació de transferència internacional de l'ANPD va entrar en vigor a principis d'any, i les implicacions pràctiques encara estan sent absorbides pels editors estrangers.

Els nous mecanismes de transferència

La regulació proporciona quatre vies principals per a la transferència transfronterera legítima:

• Decisions d'adequació emeses per l'ANPD que reconeixen jurisdiccions o sectors de destinació com a que proporcionen una protecció adequada
• Clàusules contractuals estàndard aprovades per l'ANPD, que funcionen de manera anàloga a les SCC del GDPR
• Regles corporatives vinculants per a transferències intragrup dins d'organitzacions multinacionals
• Autorització específica per a transferències que no encaixen en les vies estàndard, cas per cas

L'enfocament pràctic de 2026

Per a la majoria d'editors estrangers, l'enfocament de treball el 2026 és executar clàusules contractuals estàndard aprovades per l'ANPD amb els encarregats internacionals, documentar el mecanisme de transferència a l'avís de privadesa i complementar-ho amb autorització basada en consentiment només quan el mecanisme estàndard no s'adapta. Això és significativament més simple que el règim previ a 2026, que sovint es basava en una lògica de consentiment-per-transferència que produïa CMP poc manejables.

Decisions d'adequació fins ara

L'ANPD ha emès decisions d'adequació per a un grapat de jurisdiccions a principis de 2026, i s'espera que ampliï la llista de manera incremental. Els Estats Units no estan a la llista d'adequació a principis de 2026, la qual cosa significa que les transferències a proveïdors d'ad-tech i analítica amb seu als EUA requereixen clàusules contractuals o un altre mecanisme vàlid.

Drets de l'interessat

La LGPD atorga un conjunt robust de drets, aplicats a través del marc brasiler:

• Dret a la confirmació del tractament
• Dret d'accés a les dades tractades
• Dret a la rectificació de dades incompletes, inexactes o desactualitzades
• Dret a l'anonimització, bloqueig o supressió de dades innecessàries, excessives o tractades il·legalment
• Dret a la portabilitat de dades a un altre proveïdor de serveis
• Dret a la supressió de dades tractades sobre la base del consentiment
• Dret a la informació sobre entitats públiques i privades amb les quals s'han compartit les dades
• Dret a la informació sobre la possibilitat de denegar el consentiment i les conseqüències de la denegació
• Dret a revocar el consentiment
• Dret a oposar-se al tractament realitzat sobre la base d'una de les bases d'interessos legítims quan hi hagi incompliment
• Dret a la revisió de decisions preses únicament basades en el tractament automatitzat

Terminis de resposta

Els responsables han de respondre a les sol·licituds dels interessats en un termini de 15 dies segons la regulació, amb la possibilitat d'ampliació en casos justificats. Això és més estricte que la finestra de 30 dies del GDPR i ha estat una mancança operativa recurrent per als editors estrangers adaptats a la cadència europea.

Sancions i postura d'aplicació el 2026

L'activitat d'aplicació de l'ANPD ha escalat significativament durant 2024 i 2025, i 2026 està en una trajectòria similar.

Multes administratives

La LGPD permet multes administratives de fins al 2 per cent dels ingressos del responsable de la seva activitat al Brasil l'any fiscal anterior, limitades a 50 milions de BRL per infracció. L'ANPD ha utilitzat la part mitjana del rang en diversos casos de 2025, incloses contra plataformes estrangeres, i la metodologia de sanció de l'agència es va publicar el 2024 i ara s'aplica de manera consistent.

Altres sancions

Més enllà de les multes, l'ANPD pot emetre advertiments, requerir mesures correctives, suspendre parcialment o totalment les activitats de tractament i prohibir operacions de tractament específiques. La publicació de la infracció és una sanció acompanyant rutinària i té pes reputacional al mercat brasiler.

Temes d'aplicació

Les accions de 2025 i principis de 2026 de l'ANPD s'agrupen al voltant de qüestions recurrents: bàners de consentiment ambigus o absents, manca d'un avís de privadesa en portuguès, transferències transfrontereres sense un mecanisme vàlid segons la nova regulació i incapacitat de respondre a les sol·licituds dels interessats dins la finestra de 15 dies. Els editors estrangers han estat citats en les quatre categories.

El requisit del DPO

La LGPD exigeix als responsables que designin un delegat de protecció de dades (Encarregado de Tratamento de Dados Pessoais) i que publiquin la informació de contacte del DPO. Els responsables estrangers que tracten dades brasileres a escala necessiten un DPO designat, i la informació de contacte ha de ser fàcilment accessible a l'avís de privadesa. L'ANPD ha citat informació de contacte del DPO absent o inaccessible en diverses cartes d'aplicació.

Llista de verificació d'auditoria per al trànsit brasiler el 2026

• El bàner CMP es serveix en portuguès amb Aceitar, Recusar i Personalizar amb igual prominència visual
• Les finalitats del consentiment són granulars i separen qualsevol tractament de categoria sensible darrere del seu propi flux de consentiment
• L'avís de privadesa (Aviso de Privacidade) està disponible en portuguès amb divulgacions completes del responsable, els encarregats, les finalitats, la retenció, els drets i el contacte del DPO
• Les transferències transfrontereres es basen en clàusules contractuals estàndard aprovades per l'ANPD, una decisió d'adequació, BCR o autorització específica — no en la lògica heretada de consentiment-per-transferència
• Els registres de consentiment tenen marca de temps, són exportables i es conserven durant la durada del tractament més un marge auditable
• El flux de treball de sol·licitud de l'interessat pot respondre en 15 dies d'extrem a extrem, en portuguès
• El DPO està designat i la informació de contacte es publica a l'avís de privadesa
• S'ha revisat la llista de proveïdors per necessitat, eliminant els proveïdors no utilitzats o redundants per reduir la superfície de transferència transfronterera
• Els segments d'audiència de categoria sensible estan darrere d'un consentiment explícit i capturat per separat

Perspectiva del 2026

El règim de privadesa del Brasil ha madurat d'un estatut ben redactat amb aplicació limitada a un dels règims més exigents de les Amèriques. La regulació de transferència transfronterera de 2026 va tancar la bretxa estructural més conseqüent, i la postura d'aplicació de l'ANPD s'ha posat al nivell de les ambicions de la llei. Per als editors que ja executen una pila de consentiment de nivell GDPR, la bretxa cap al compliment de la LGPD és operativa en lloc d'arquitectònica: CMP i avís en portuguès, mecanismes de transferència aprovats per l'ANPD, cadència de resposta de 15 dies, designació de DPO i cura amb la llista més àmplia de dades sensibles. La bretxa es pot tancar en setmanes si es prioritza — i el Brasil és el mercat únic més gran d'Amèrica Llatina, de manera que la priorització normalment es paga ràpidament. Els editors que van tractar el Brasil com un mercat de toc més suau fins al 2024 estan trobant que 2026 és significativament més car, i els que retarden més trobaran que 2027 és encara pitjor.