A estrutura da LGPD en 2026

A LGPD é o principal estatuto de protección de datos no Brasil, e o seu texto central foi notablemente estable desde a súa promulgación. O que cambiou é a infraestrutura regulatoria que a rodea.

A ANPD como regulador maduro

A ANPD ficou plenamente operativa en 2021 e pasou os seus primeiros tres anos construíndo capacidade procesual, emitindo orientacións e realizando consultas. En 2024 xa pasara á aplicación activa, e en 2025 emitira algunhas das súas primeiras sancións administrativas significativas, incluídas contra plataformas estranxeiras. A postura da axencia en 2026 é máis próxima aos seus homólogos europeos que ao seu anterior período de toque suave.

O regulamento de transferencias transfronteirizas de 2026

O desenvolvemento regulatorio máis importante para os editores estranxeiros foi o regulamento de transferencias internacionais da ANPD, que foi finalizado a finais de 2025 e entrou en vigor en 2026. O regulamento introduce un marco de adecuación, cláusulas contractuais modelo aprobadas pola ANPD, normas corporativas vinculantes e certificacións, todas funcionando de xeito análogo aos mecanismos do Capítulo V do GDPR. Antes deste regulamento, as transferencias transfronteirizas operaban baixo un conxunto de normas moito máis vago que os editores e os provedores de tecnoloxía publicitaria navegaban normalmente a través de arranxos comerciais bilaterais. O réxime de 2026 é substancialmente máis viable pero substancialmente máis esixente en documentación.

Quen está regulado

A LGPD aplícase extraterritorialmente. Calquera responsable do tratamento que procese datos persoais de persoas situadas no Brasil no momento da recollida, ou que procese datos recollidos do Brasil independentemente do lugar onde se produza o tratamento, está dentro do ámbito de aplicación. Os editores estranxeiros que serven a usuarios brasileiros a través de sitios localizados ou inventario programático comprado contra IPs brasileiras están claramente ao alcance, e a ANPD invocou a disposición extraterritorial en varios casos de 2025.

Que conta como datos persoais baixo a LGPD

A definición de datos persoais da LGPD é ampla e segue de preto o GDPR. Os datos persoais son información relacionada cunha persoa física identificada ou identificable, e a ANPD tratou de xeito consistente as cookies, os identificadores de publicidade, os enderezos IP, as pegadas dixitais dos dispositivos e os perfís de comportamento como datos persoais cando se poden vincular a un individuo directamente ou por medios razoables.

Datos persoais sensibles

A LGPD designa unha ampla lista de categorías sensibles: orixe racial ou étnica, crenza relixiosa, opinión política, afiliación a sindicato ou organización política, conviccións filosóficas ou relixiosas, saúde, vida sexual, datos xenéticos e datos biométricos cando se usan para identificación única. O tratamento de datos persoais sensibles activa requisitos de consentimento máis estritos e obrigas adicionais do responsable do tratamento.

Por que isto importa para as cookies

Unha cookie que almacena un identificador de sesión de rutina son datos persoais ordinarios. Unha cookie que alimenta un segmento de audiencia que toca a lista sensible da LGPD — intereses de saúde, afiliación relixiosa, inclinacións políticas — é tratamento de datos persoais sensibles e require o fluxo de consentimento elevado, non o consentimento xeral de publicidade. Os editores que executan segmentos de audiencia que se solapan coa lista sensible deben auditar os seus fluxos de consentimento especificamente contra este límite.

Consentimento de cookies baixo a LGPD en 2026

A LGPD permite múltiples bases xurídicas para o tratamento, pero para as cookies e tecnoloxías similares que non son estritamente necesarias para a prestación do servizo, a orientación e aplicación da ANPD converxeron no consentimento como liña base práctica.

Os cinco elementos do consentimento válido

O consentimento baixo a LGPD debe ser:

• Libre — dado sen coacción e non condicionado á prestación dun servizo ao que o usuario ten dereito
• Informado — o interesado comprende que datos se tratan, por quen, para que finalidade e con que consecuencias
• Sen ambigüidade — expresado mediante un acto afirmativo claro, non inferido do silencio, caixas previamente marcadas ou o desprazamento como consentimento
• Específico — vinculado a finalidades claramente identificadas en lugar dun consentimento xenérico
• Destacado en casos que involucren datos sensibles, con consentimento explícito e separado para o tratamento sensible específico

Como é un CMP compatible

Un CMP configurado para o tráfico brasileiro en 2026 debería presentar:

• Un banner visible antes de que se active calquera cookie ou rastreador non esencial, en portugués (Português) por defecto para os usuarios brasileiros
• Igual prominencia visual para Aceitar (Aceptar), Recusar (Rexeitar) e Personalizar (Personalizar) — a ANPD sinalou especificamente os deseños de banner onde a acción Recusar é menos visible
• Controis granulares por finalidade: análise, publicidade, personalización, transferencia transfronteiriza e calquera tratamento de categoría sensible
• Un fluxo separado e claramente etiquetado para o tratamento de datos persoais sensibles, protexido coa súa propia acción
• Un mecanismo persistente e de fácil localización para retirar o consentimento despois da elección inicial
• Un Aviso de Privacidade en portugués con plena divulgación do responsable do tratamento, procesadores, finalidades, destinatarios, retención e dereitos

Rexistros de consentimento

Os responsables do tratamento deben manter evidencia do consentimento — quen consentiu, cando, para que finalidade e a través de que interface. A ANPD citou rexistros de consentimento inadecuados en varias accións de aplicación, e os rexistros con marca de tempo exportables son a expectativa de referencia.

O réxime de transferencias transfronteirizas de 2026

Esta é a área onde 2026 parece significativamente diferente de 2024. O regulamento de transferencias internacionais da ANPD entrou en vigor ao comezo do ano, e os editores estranxeiros aínda están asimilando as implicacións prácticas.

Os novos mecanismos de transferencia

O regulamento ofrece catro vías principais para a transferencia transfronteiriza lexítima:

• Decisións de adecuación emitidas pola ANPD que recoñecen as xurisdicións ou sectores de destino como que proporcionan protección adecuada
• Cláusulas contractuais estándar aprobadas pola ANPD, que funcionan de xeito análogo ás SCC do GDPR
• Normas corporativas vinculantes para transferencias intragrupais dentro de organizacións multinacionais
• Autorización específica para transferencias que non se axustan ás vías estándar, caso a caso

O enfoque práctico de 2026

Para a maioría dos editores estranxeiros, o enfoque de traballo en 2026 é executar cláusulas contractuais estándar aprobadas pola ANPD con procesadores internacionais, documentar o mecanismo de transferencia no aviso de privacidade e complementar coa autorización baseada no consentimento só onde o mecanismo estándar non se adapte. Isto é significativamente máis sinxelo que o réxime anterior a 2026, que a miúdo se baseaba na lóxica de consentimento por transferencia que producía CMP inxeribles.

Decisións de adecuación ata agora

A ANPD emitiu decisións de adecuación para un puñado de xurisdicións ata principios de 2026 e espérase que amplíe a lista de xeito incremental. Os Estados Unidos non están na lista de adecuación a principios de 2026, o que significa que as transferencias a provedores estadounidenses de tecnoloxía publicitaria e analítica requiren cláusulas contractuais ou outro mecanismo válido.

Dereitos dos interesados

A LGPD outorga un sólido conxunto de dereitos, aplicados a través do marco brasileiro:

• Dereito á confirmación do tratamento
• Dereito de acceso aos datos tratados
• Dereito á rectificación de datos incompletos, inexactos ou desactualizados
• Dereito á anonimización, bloqueo ou eliminación de datos innecesarios, excesivos ou tratados de xeito ilegal
• Dereito á portabilidade dos datos a outro provedor de servizos
• Dereito á eliminación dos datos tratados con base no consentimento
• Dereito á información sobre entidades públicas e privadas coas que se compartiron os datos
• Dereito á información sobre a posibilidade de denegar o consentimento e as consecuencias da denegación
• Dereito a revogar o consentimento
• Dereito a opoñerse ao tratamento levado a cabo con base nunha das bases de intereses lexítimos cando hai incumprimento
• Dereito a revisar as decisións tomadas unicamente con base no tratamento automatizado

Prazos de resposta

Os responsables do tratamento deben responder ás solicitudes dos interesados no prazo de 15 días conforme ao regulamento, coa posibilidade de ampliar en casos xustificados. Isto é máis estrito que a ventá de 30 días do GDPR e foi unha brecha operativa recorrente para os editores estranxeiros sintonizados co ritmo europeo.

Sancións e postura de aplicación en 2026

A actividade de aplicación da ANPD escalou significativamente ao longo de 2024 e 2025, e 2026 está nunha traxectoria similar.

Multas administrativas

A LGPD permite multas administrativas de ata 2 por cento dos ingresos do responsable do tratamento pola súa actividade no Brasil no exercicio fiscal anterior, con límite de BRL 50 millóns por infracción. A ANPD utilizou o rango medio en varios casos de 2025, incluídos contra plataformas estranxeiras, e a metodoloxía de penalización da axencia publicouse en 2024 e agora aplícase de xeito coherente.

Outras sancións

Máis aló das multas, a ANPD pode emitir avisos, esixir medidas correctoras, suspender parcial ou totalmente as actividades de tratamento e prohibir operacións de tratamento específicas. A publicación da infracción é unha sanción acompañante habitual e ten un peso reputacional no mercado brasileiro.

Temas de aplicación

As accións da ANPD en 2025 e principios de 2026 céntranse en problemas recorrentes: banners de consentimento ambiguos ou ausentes, falta dun aviso de privacidade en portugués, transferencias transfronteirizas sen un mecanismo válido baixo o novo regulamento, e fracaso ao responder ás solicitudes dos interesados dentro da ventá de 15 días. Os editores estranxeiros foron citados nas catro categorías.

O requisito do DPO

A LGPD esixe que os responsables do tratamento designen un Delegado de Protección de Datos (Encarregado de Tratamento de Dados Pessoais) e publiquen a información de contacto do DPO. Os responsables do tratamento estranxeiros que procesan datos brasileiros a gran escala necesitan un DPO designado, e a información de contacto debe ser fácilmente accesible no aviso de privacidade. A ANPD citou información de contacto do DPO que faltaba ou era inaccesible en varias cartas de aplicación.

Lista de comprobación de auditoría para o tráfico brasileiro en 2026

• O banner do CMP sérvese en portugués con Aceitar, Recusar e Personalizar con igual prominencia visual
• As finalidades de consentimento son granulares e separan calquera tratamento de categoría sensible detrás do seu propio fluxo de consentimento
• O aviso de privacidade (Aviso de Privacidade) está dispoñible en portugués con plena divulgación do responsable do tratamento, procesadores, finalidades, retención, dereitos e contacto do DPO
• As transferencias transfronteirizas dependen de cláusulas contractuais estándar aprobadas pola ANPD, unha decisión de adecuación, BCR ou autorización específica — non da lóxica herdada de consentimento por transferencia
• Os rexistros de consentimento teñen marca de tempo, son exportables e se conservan durante a duración do tratamento máis un marxe auditable
• O fluxo de traballo de solicitudes dos interesados pode responder dentro dos 15 días de extremo a extremo, en portugués
• O DPO está designado e a información de contacto publicada no aviso de privacidade
• A lista de provedores revisouse para determinar a necesidade, eliminando provedores non usados ou redundantes para reducir a superficie de transferencia transfronteiriza
• Os segmentos de audiencia de categoría sensible están protexidos detrás dun consentimento explícito capturado por separado

A perspectiva de 2026

O réxime de privacidade do Brasil evolucionou dun estatuto ben redactado con aplicación limitada a un dos réximes máis esixentes das Américas. O regulamento de transferencias transfronteirizas de 2026 pechou a brecha estrutural máis relevante, e a postura de aplicación da ANPD alcanzou as ambicións da lei. Para os editores que xa executan unha pila de consentimento de nivel GDPR, a brecha cara ao cumprimento da LGPD é operativa en lugar de arquitectónica: CMP e aviso en portugués, mecanismos de transferencia aprobados pola ANPD, a cadencia de resposta de 15 días, designación do DPO e coidado coa lista máis ampla de datos sensibles. A brecha pódese pechar en semanas se se prioriza — e Brasil é o maior mercado único de América Latina, polo que a priorización normalmente se amortiza rapidamente. Os editores que trataron Brasil como un mercado máis lixeiro ata 2024 están descubrindo que 2026 é significativamente máis caro, e os que se retrasen máis descubrirán que 2027 será aínda peor.