La struttura della LGPD nel 2026

La LGPD è la principale normativa sulla protezione dei dati in Brasile e il suo testo fondamentale è rimasto notevolmente stabile dall'entrata in vigore. Ciò che è cambiata è l'infrastruttura normativa che la circonda.

L'ANPD come regolatore maturo

L'ANPD è diventata pienamente operativa nel 2021 e ha trascorso i suoi primi tre anni a costruire capacità procedurale, emettere linee guida e condurre consultazioni. Nel 2024 era passata all'applicazione attiva e nel 2025 aveva emesso alcune delle sue prime sanzioni amministrative significative, anche contro piattaforme straniere. La postura dell'agenzia nel 2026 è più vicina alle sue controparti europee che al suo precedente periodo morbido.

Il regolamento sui trasferimenti transfrontalieri del 2026

Lo sviluppo normativo più importante per gli editori stranieri è stato il regolamento sui trasferimenti internazionali dell'ANPD, finalizzato alla fine del 2025 ed entrato in vigore nel 2026. Il regolamento introduce un quadro di adeguatezza, clausole contrattuali tipo approvate dall'ANPD, norme vincolanti d'impresa e certificazioni, tutte funzionanti in modo analogo ai meccanismi del Capitolo V del GDPR. Prima di questo regolamento, i trasferimenti transfrontalieri operavano secondo un insieme di regole molto più vaghe che editori e vendor ad-tech navigavano tipicamente attraverso accordi commerciali bilaterali. Il regime del 2026 è sostanzialmente più gestibile ma sostanzialmente più esigente in termini di documentazione.

Chi è soggetto alla normativa

La LGPD si applica extraterritorialmente. Qualsiasi titolare che tratti dati personali di individui ubicati in Brasile al momento della raccolta, o che tratti dati raccolti dal Brasile indipendentemente da dove avvenga il trattamento, rientra nell'ambito di applicazione. Gli editori stranieri che servono utenti brasiliani tramite siti localizzati o inventario programmatico acquistato su IP brasiliani sono chiaramente nell'ambito di applicazione e l'ANPD ha invocato la disposizione extraterritoriale in diversi casi del 2025.

Cosa conta come dato personale ai sensi della LGPD

La definizione di dato personale nella LGPD è ampia e segue da vicino il GDPR. Il dato personale è un'informazione relativa a una persona fisica identificata o identificabile e l'ANPD ha costantemente trattato cookie, identificatori pubblicitari, indirizzi IP, impronte digitali dei dispositivi e profili comportamentali come dati personali quando possono essere collegati a un individuo direttamente o con mezzi ragionevoli.

Dati personali sensibili

La LGPD designa un ampio elenco di categorie sensibili: origine razziale o etnica, convinzione religiosa, opinione politica, appartenenza a sindacati o organizzazioni politiche, convinzioni filosofiche o religiose, salute, vita sessuale, dati genetici e dati biometrici quando utilizzati per l'identificazione univoca. Il trattamento di dati personali sensibili comporta requisiti di consenso più severi e ulteriori obblighi per i titolari.

Perché questo è rilevante per i cookie

Un cookie che memorizza un identificatore di sessione routinario è un dato personale ordinario. Un cookie che alimenta un segmento di audience che tocca l'elenco sensibile della LGPD — interessi sanitari, affiliazioni religiose, tendenze politiche — è trattamento di dati personali sensibili e richiede il flusso di consenso rafforzato, non il consenso pubblicitario generale. Gli editori che gestiscono segmenti di audience che si sovrappongono all'elenco sensibile dovrebbero verificare i propri flussi di consenso specificamente rispetto a questo confine.

Consenso ai cookie ai sensi della LGPD nel 2026

La LGPD consente molteplici basi giuridiche per il trattamento, ma per i cookie e le tecnologie simili non strettamente necessari per l'erogazione del servizio, le linee guida e l'applicazione dell'ANPD hanno convergito sul consenso come base pratica.

I cinque elementi del consenso valido

Il consenso ai sensi della LGPD deve essere:

• Libero — prestato senza coercizione e non condizionato alla fornitura di un servizio a cui l'utente ha altrimenti diritto
• Informato — l'interessato comprende quali dati vengono trattati, da chi, per quale scopo e con quali conseguenze
• Inequivocabile — espresso tramite un chiaro atto affermativo, non desunto dal silenzio, da caselle pre-selezionate o dal consenso tramite scorrimento
• Specifico — legato a finalità chiaramente identificate piuttosto che a un consenso generico onnicomprensivo
• Evidenziato nei casi che coinvolgono dati sensibili, con consenso esplicito e separato per il trattamento sensibile specifico

Come appare un CMP conforme

Un CMP configurato per il traffico brasiliano nel 2026 dovrebbe presentare:

• Un banner visibile prima che si attivi qualsiasi cookie o tracker non essenziale, in portoghese (Português) per impostazione predefinita per gli utenti brasiliani
• Uguale rilievo visivo per Aceitar (Accetta), Recusar (Rifiuta) e Personalizar (Personalizza) — l'ANPD ha specificamente criticato i design dei banner in cui l'azione Recusar è meno visibile
• Toggle granulari per finalità: analisi, pubblicità, personalizzazione, trasferimento transfrontaliero e qualsiasi trattamento di categorie sensibili
• Un flusso separato e chiaramente etichettato per il trattamento di dati personali sensibili, protetto dalla propria azione
• Un meccanismo persistente e facilmente reperibile per revocare il consenso dopo la scelta iniziale
• Un Aviso de Privacidade in lingua portoghese con divulgazione completa di titolare, responsabili del trattamento, finalità, destinatari, conservazione e diritti

Registrazioni del consenso

I titolari devono conservare prove del consenso — chi ha acconsentito, quando, a quale finalità e tramite quale interfaccia. L'ANPD ha citato registrazioni del consenso inadeguate in diverse azioni esecutive e i registri con timestamp esportabili sono l'aspettativa minima.

Il regime dei trasferimenti transfrontalieri del 2026

Questo è il settore in cui il 2026 appare significativamente diverso dal 2024. Il regolamento sui trasferimenti internazionali dell'ANPD è entrato in vigore all'inizio dell'anno e le implicazioni pratiche sono ancora in fase di assimilazione da parte degli editori stranieri.

I nuovi meccanismi di trasferimento

Il regolamento prevede quattro percorsi principali per i trasferimenti transfrontalieri legittimi:

• Decisioni di adeguatezza emesse dall'ANPD che riconoscono giurisdizioni o settori di destinazione come fornitori di protezione adeguata
• Clausole contrattuali standard approvate dall'ANPD, che funzionano in modo analogo alle SCC del GDPR
• Norme vincolanti d'impresa per i trasferimenti infragruppo all'interno di organizzazioni multinazionali
• Autorizzazione specifica per i trasferimenti che non rientrano nei percorsi standard, caso per caso

L'approccio pratico del 2026

Per la maggior parte degli editori stranieri, l'approccio operativo nel 2026 è eseguire clausole contrattuali standard approvate dall'ANPD con i responsabili del trattamento internazionali, documentare il meccanismo di trasferimento nell'informativa sulla privacy e integrare con l'autorizzazione basata sul consenso solo dove il meccanismo standard non si adatta. Questo è significativamente più semplice del regime pre-2026, che spesso si basava su una logica di consenso per trasferimento che produceva CMP poco maneggevoli.

Decisioni di adeguatezza fino ad oggi

L'ANPD ha emesso decisioni di adeguatezza per alcune giurisdizioni fino all'inizio del 2026 e si prevede di espandere l'elenco in modo incrementale. Gli Stati Uniti non figurano nell'elenco di adeguatezza all'inizio del 2026, il che significa che i trasferimenti verso vendor ad-tech e analytics con sede negli USA richiedono clausole contrattuali o un altro meccanismo valido.

Diritti degli interessati

La LGPD garantisce un robusto insieme di diritti, applicati attraverso il quadro brasiliano:

• Diritto alla conferma del trattamento
• Diritto di accesso ai dati trattati
• Diritto alla rettifica di dati incompleti, inesatti o non aggiornati
• Diritto all'anonimizzazione, al blocco o alla cancellazione di dati non necessari, eccessivi o trattati illegalmente
• Diritto alla portabilità dei dati verso un altro fornitore di servizi
• Diritto alla cancellazione dei dati trattati sulla base del consenso
• Diritto all'informazione sulle entità pubbliche e private con cui i dati sono stati condivisi
• Diritto all'informazione sulla possibilità di negare il consenso e le conseguenze del diniego
• Diritto di revocare il consenso
• Diritto di opporsi al trattamento svolto sulla base di una delle basi di interessi legittimi quando vi è non conformità
• Diritto alla revisione delle decisioni prese esclusivamente sulla base del trattamento automatizzato

Tempistiche di risposta

I titolari devono rispondere alle richieste degli interessati entro 15 giorni ai sensi del regolamento, con la possibilità di prorogare in casi giustificati. Questo è più stringente della finestra di 30 giorni del GDPR e ha rappresentato un ricorrente gap operativo per gli editori stranieri sintonizzati sul ritmo europeo.

Sanzioni e postura applicativa nel 2026

L'attività applicativa dell'ANPD è aumentata significativamente nel corso del 2024 e del 2025 e il 2026 è su una traiettoria simile.

Sanzioni amministrative

La LGPD consente sanzioni amministrative fino al 2 percento del fatturato del titolare dalla sua attività in Brasile nell'anno fiscale precedente, con un massimale di BRL 50 milioni per infrazione. L'ANPD ha utilizzato la parte centrale dell'intervallo in diversi casi del 2025, anche contro piattaforme straniere, e la metodologia sanzionatoria dell'agenzia è stata pubblicata nel 2024 e viene ora applicata in modo coerente.

Altre sanzioni

Oltre alle sanzioni pecuniarie, l'ANPD può emettere avvertimenti, richiedere misure correttive, sospendere parzialmente o completamente le attività di trattamento e vietare specifiche operazioni di trattamento. La pubblicazione della violazione è una sanzione accessoria ordinaria e ha un peso reputazionale nel mercato brasiliano.

Temi applicativi

Le azioni dell'ANPD del 2025 e dei primi mesi del 2026 si concentrano intorno a problemi ricorrenti: banner di consenso ambigui o assenti, assenza di un'informativa sulla privacy in lingua portoghese, trasferimenti transfrontalieri privi di un meccanismo valido ai sensi del nuovo regolamento e mancato rispetto delle richieste degli interessati entro la finestra di 15 giorni. Gli editori stranieri sono stati citati in tutte e quattro le categorie.

Il requisito del DPO

La LGPD richiede ai titolari di nominare un Responsabile della Protezione dei Dati (Encarregado de Tratamento de Dados Pessoais) e di pubblicare i relativi recapiti. I titolari stranieri che trattano dati brasiliani su larga scala necessitano di un DPO designato e i recapiti devono essere facilmente accessibili nell'informativa sulla privacy. L'ANPD ha citato recapiti DPO mancanti o inaccessibili in diverse lettere di applicazione.

Checklist di audit per il traffico brasiliano nel 2026

• Il banner CMP viene presentato in portoghese con Aceitar, Recusar e Personalizar in uguale rilievo visivo
• Le finalità del consenso sono granulari e separano qualsiasi trattamento di categorie sensibili dietro il proprio flusso di consenso
• L'informativa sulla privacy (Aviso de Privacidade) è disponibile in portoghese con divulgazione completa di titolare, responsabili del trattamento, finalità, conservazione, diritti e recapiti del DPO
• I trasferimenti transfrontalieri si basano su clausole contrattuali standard approvate dall'ANPD, una decisione di adeguatezza, BCR o autorizzazione specifica — non sulla logica legacy di consenso per trasferimento
• I registri del consenso sono con timestamp, esportabili e conservati per la durata del trattamento più un margine verificabile
• Il flusso di lavoro per le richieste degli interessati è in grado di rispondere entro 15 giorni end-to-end, in portoghese
• Il DPO è nominato e i recapiti sono pubblicati nell'informativa sulla privacy
• L'elenco dei vendor è stato esaminato per necessità, con vendor inutilizzati o ridondanti rimossi per ridurre la superficie dei trasferimenti transfrontalieri
• I segmenti di audience di categorie sensibili sono protetti da un consenso esplicito e separatamente acquisito

Le prospettive del 2026

Il regime della privacy brasiliano è maturato da un testo legislativo ben redatto con applicazione limitata a uno dei regimi più esigenti delle Americhe. Il regolamento sui trasferimenti transfrontalieri del 2026 ha colmato il divario strutturale più rilevante e la postura applicativa dell'ANPD ha raggiunto le ambizioni della legge. Per gli editori che già gestiscono uno stack di consenso di livello GDPR, il divario rispetto alla conformità LGPD è operativo piuttosto che architetturale: CMP e informativa in lingua portoghese, meccanismi di trasferimento approvati dall'ANPD, ritmo di risposta di 15 giorni, nomina del DPO e attenzione all'elenco più ampio di dati sensibili. Il divario può essere colmato in settimane se viene prioritizzato — e il Brasile è il singolo mercato più grande dell'America Latina, quindi la prioritizzazione di solito si ripaga rapidamente. Gli editori che hanno trattato il Brasile come un mercato con minori esigenze fino al 2024 stanno trovando il 2026 significativamente più costoso e chi rimanda ulteriormente troverà il 2027 ancora peggio.