La estructura de la LGPD en 2026

La LGPD es el estatuto principal de protección de datos en Brasil, y su texto central ha sido notablemente estable desde su promulgación. Lo que ha cambiado es la infraestructura regulatoria que la rodea.

La ANPD como regulador maduro

La ANPD se volvió plenamente operativa en 2021 y pasó sus primeros tres años construyendo capacidad procesal, emitiendo directrices y realizando consultas. Para 2024 había pasado a la aplicación activa, y para 2025 había emitido algunas de sus primeras multas administrativas significativas, incluso contra plataformas extranjeras. La postura de la agencia en 2026 está más cerca de sus contrapartes europeas que de su período anterior de enfoque suave.

La regulación de transferencia transfronteriza de 2026

El desarrollo regulatorio más importante para los editores extranjeros fue la regulación de transferencia internacional de la ANPD, que se finalizó a finales de 2025 y entró en vigor en 2026. La regulación introduce un marco de adecuación, cláusulas contractuales modelo aprobadas por la ANPD, reglas corporativas vinculantes y certificaciones, todas funcionando de manera análoga a los mecanismos del Capítulo V del GDPR. Antes de esta regulación, las transferencias transfronterizas operaban bajo un conjunto de reglas mucho más vago que los editores y proveedores de ad-tech solían navegar mediante acuerdos comerciales bilaterales. El régimen de 2026 es sustancialmente más viable pero sustancialmente más exigente en cuanto a documentación.

Quién está regulado

La LGPD se aplica extraterritorialmente. Cualquier responsable que trate datos personales de personas ubicadas en Brasil en el momento de la recogida, o que trate datos recogidos desde Brasil independientemente de dónde ocurra el tratamiento, está dentro del ámbito. Los editores extranjeros que atienden a usuarios brasileños a través de sitios localizados o inventario programático comprado contra IP brasileñas están claramente dentro del alcance, y la ANPD ha invocado la disposición extraterritorial en varios casos de 2025.

Qué cuenta como datos personales según la LGPD

La definición de datos personales de la LGPD es amplia y sigue de cerca al GDPR. Los datos personales son información relacionada con una persona física identificada o identificable, y la ANPD ha tratado consistentemente las cookies, los identificadores publicitarios, las direcciones IP, las huellas digitales de dispositivos y los perfiles de comportamiento como datos personales cuando pueden vincularse a un individuo directa o razonablemente.

Datos personales sensibles

La LGPD designa una amplia lista de categorías sensibles: origen racial o étnico, creencia religiosa, opinión política, afiliación a sindicatos u organizaciones políticas, convicciones filosóficas o religiosas, salud, vida sexual, datos genéticos y datos biométricos cuando se utilizan para identificación única. El tratamiento de datos personales sensibles desencadena requisitos de consentimiento más estrictos y obligaciones adicionales del responsable.

Por qué esto importa para las cookies

Una cookie que almacena un identificador de sesión rutinario son datos personales ordinarios. Una cookie que alimenta un segmento de audiencia que toca la lista sensible de la LGPD — intereses de salud, afiliaciones religiosas, inclinaciones políticas — es tratamiento de datos personales sensibles y requiere el flujo de consentimiento reforzado, no el consentimiento publicitario general. Los editores que ejecutan segmentos de audiencia que se solapan con la lista sensible deben auditar sus flujos de consentimiento específicamente contra este límite.

Consentimiento de cookies bajo la LGPD en 2026

La LGPD permite múltiples bases legales para el tratamiento, pero para las cookies y tecnologías similares que no son estrictamente necesarias para la prestación del servicio, las directrices y la aplicación de la ANPD han convergido en el consentimiento como la base de referencia práctica.

Los cinco elementos del consentimiento válido

El consentimiento bajo la LGPD debe ser:

• Libre — otorgado sin coacción y no agrupado con la prestación de un servicio al que el usuario tiene derecho de otro modo
• Informado — el interesado entiende qué datos se tratan, por quién, con qué finalidad y con qué consecuencias
• Inequívoco — expresado mediante un acto afirmativo claro, no inferido del silencio, casillas premarcadas o desplazar-como-consentimiento
• Específico — vinculado a finalidades claramente identificadas en lugar de un consentimiento paraguas general
• Destacado en casos que involucran datos sensibles, con consentimiento explícito y separado para el tratamiento sensible específico

Cómo se ve una CMP conforme

Una CMP configurada para tráfico brasileño en 2026 debe presentar:

• Un banner visible antes de que se disparen cookies o rastreadores no esenciales, en portugués (Português) de forma predeterminada para usuarios brasileños
• Prominencia visual igual para Aceitar (Aceptar), Recusar (Rechazar) y Personalizar (Personalizar) — la ANPD ha señalado específicamente diseños de banner donde la acción Recusar es menos visible
• Interruptores granulares por finalidad: analítica, publicidad, personalización, transferencia transfronteriza y cualquier tratamiento de categoría sensible
• Un flujo separado y claramente etiquetado para el tratamiento de datos personales sensibles, bloqueado detrás de su propia acción
• Un mecanismo persistente y fácil de encontrar para retirar el consentimiento después de la elección inicial
• Un Aviso de Privacidade en portugués con divulgaciones completas del responsable, los encargados, las finalidades, los destinatarios, la conservación y los derechos

Registros de consentimiento

Los responsables deben mantener pruebas del consentimiento — quién consintió, cuándo, con qué finalidad y a través de qué interfaz. La ANPD ha citado registros de consentimiento inadecuados en varias acciones de aplicación, y los registros exportables con marca de tiempo son la expectativa base.

El régimen de transferencia transfronteriza de 2026

Esta es el área donde 2026 se ve significativamente diferente a 2024. La regulación de transferencia internacional de la ANPD entró en vigor al comienzo del año, y las implicaciones prácticas aún están siendo absorbidas por los editores extranjeros.

Los nuevos mecanismos de transferencia

La regulación proporciona cuatro vías principales para la transferencia transfronteriza legítima:

• Decisiones de adecuación emitidas por la ANPD que reconocen jurisdicciones o sectores de destino como proveedores de protección adecuada
• Cláusulas contractuales estándar aprobadas por la ANPD, que funcionan de manera análoga a las SCC del GDPR
• Reglas corporativas vinculantes para transferencias intragrupo dentro de organizaciones multinacionales
• Autorización específica para transferencias que no se ajustan a las vías estándar, caso por caso

El enfoque práctico de 2026

Para la mayoría de los editores extranjeros, el enfoque de trabajo en 2026 es ejecutar cláusulas contractuales estándar aprobadas por la ANPD con encargados internacionales, documentar el mecanismo de transferencia en el aviso de privacidad y complementar con autorización basada en consentimiento solo donde el mecanismo estándar no encaja. Esto es significativamente más simple que el régimen anterior a 2026, que a menudo se basaba en lógica de consentimiento-por-transferencia que producía CMP difíciles de manejar.

Decisiones de adecuación hasta la fecha

La ANPD ha emitido decisiones de adecuación para un puñado de jurisdicciones hasta principios de 2026, y se espera que amplíe la lista de forma incremental. Estados Unidos no está en la lista de adecuación a principios de 2026, lo que significa que las transferencias a proveedores de ad-tech y analítica con sede en EE.UU. requieren cláusulas contractuales u otro mecanismo válido.

Derechos del interesado

La LGPD otorga un conjunto robusto de derechos, aplicados a través del marco brasileño:

• Derecho a la confirmación del tratamiento
• Derecho de acceso a los datos tratados
• Derecho a la rectificación de datos incompletos, inexactos o desactualizados
• Derecho a la anonimización, bloqueo o supresión de datos innecesarios, excesivos o tratados ilegalmente
• Derecho a la portabilidad de datos a otro proveedor de servicios
• Derecho a la supresión de datos tratados sobre la base del consentimiento
• Derecho a la información sobre entidades públicas y privadas con las que se han compartido los datos
• Derecho a la información sobre la posibilidad de denegar el consentimiento y las consecuencias de la denegación
• Derecho a revocar el consentimiento
• Derecho a oponerse al tratamiento llevado a cabo sobre la base de una de las bases de intereses legítimos cuando hay incumplimiento
• Derecho a la revisión de decisiones tomadas únicamente sobre la base de tratamiento automatizado

Plazos de respuesta

Los responsables deben responder a las solicitudes de los interesados dentro de los 15 días bajo la regulación, con capacidad de extensión en casos justificados. Esto es más estricto que la ventana de 30 días del GDPR y ha sido una brecha operativa recurrente para los editores extranjeros sintonizados con la cadencia europea.

Sanciones y postura de aplicación en 2026

La actividad de aplicación de la ANPD se ha intensificado significativamente a lo largo de 2024 y 2025, y 2026 está en una trayectoria similar.

Multas administrativas

La LGPD permite multas administrativas de hasta el 2 por ciento de los ingresos del responsable por su actividad en Brasil en el ejercicio fiscal anterior, limitadas a BRL 50 millones por infracción. La ANPD ha utilizado la parte media del rango en varios casos de 2025, incluso contra plataformas extranjeras, y la metodología de sanciones de la agencia se publicó en 2024 y ahora se aplica de manera consistente.

Otras sanciones

Más allá de las multas, la ANPD puede emitir advertencias, exigir medidas correctivas, suspender parcial o totalmente las actividades de tratamiento y prohibir operaciones de tratamiento específicas. La publicación de la infracción es una sanción complementaria rutinaria y conlleva peso reputacional en el mercado brasileño.

Temas de aplicación

Las acciones de la ANPD de 2025 y principios de 2026 se agrupan en torno a cuestiones recurrentes: banners de consentimiento ambiguos o ausentes, falta de aviso de privacidad en portugués, transferencias transfronterizas sin mecanismo válido bajo la nueva regulación y fallo en responder a las solicitudes de los interesados dentro de la ventana de 15 días. Se ha citado a editores extranjeros en las cuatro categorías.

El requisito del DPO

La LGPD exige a los responsables designar un delegado de protección de datos (Encarregado de Tratamento de Dados Pessoais) y publicar la información de contacto del DPO. Los responsables extranjeros que tratan datos brasileños a escala necesitan un DPO designado, y la información de contacto debe ser fácilmente accesible en el aviso de privacidad. La ANPD ha citado información de contacto del DPO faltante o inaccesible en varias cartas de aplicación.

Lista de verificación de auditoría para tráfico brasileño en 2026

• El banner de CMP se sirve en portugués con Aceitar, Recusar y Personalizar con igual prominencia visual
• Las finalidades de consentimiento son granulares y separan cualquier tratamiento de categoría sensible detrás de su propio flujo de consentimiento
• El aviso de privacidad (Aviso de Privacidade) está disponible en portugués con divulgaciones completas del responsable, los encargados, las finalidades, la conservación, los derechos y el contacto del DPO
• Las transferencias transfronterizas se basan en cláusulas contractuales estándar aprobadas por la ANPD, una decisión de adecuación, BCR o autorización específica — no en la lógica heredada de consentimiento-por-transferencia
• Los registros de consentimiento tienen marca de tiempo, son exportables y se conservan durante la duración del tratamiento más un margen auditable
• El flujo de trabajo de solicitudes de interesados puede responder dentro de los 15 días de extremo a extremo, en portugués
• El DPO está designado y la información de contacto se publica en el aviso de privacidad
• La lista de proveedores ha sido revisada por necesidad, eliminando proveedores no utilizados o redundantes para reducir la superficie de transferencia transfronteriza
• Los segmentos de audiencia de categoría sensible están bloqueados detrás de un consentimiento explícito y capturado por separado

Perspectiva para 2026

El régimen de privacidad de Brasil ha madurado de un estatuto bien redactado con aplicación limitada a uno de los regímenes más exigentes de las Américas. La regulación de transferencia transfronteriza de 2026 cerró la brecha estructural más consecuente, y la postura de aplicación de la ANPD se ha puesto al día con las ambiciones de la ley. Para los editores que ya ejecutan una pila de consentimiento de nivel GDPR, la brecha hacia el cumplimiento de la LGPD es operativa en lugar de arquitectónica: CMP y aviso en portugués, mecanismos de transferencia aprobados por la ANPD, cadencia de respuesta de 15 días, designación de DPO y cuidado con la lista más amplia de datos sensibles. La brecha se puede cerrar en semanas si se prioriza — y Brasil es el mayor mercado único de América Latina, por lo que la priorización normalmente se paga rápidamente. Los editores que trataron Brasil como un mercado de enfoque más ligero hasta 2024 están encontrando que 2026 es significativamente más caro, y los que retrasan más encontrarán que 2027 es aún peor.