Loading…
Si ya cumple con el GDPR, ha recorrido el 80 % del camino hacia la LGPD. Ambos comparten diez principios rectores, derechos de los interesados similares y un régimen de notificación de brechas de aproximadamente 72 horas. La divergencia está en la aritmética de las sanciones (la LGPD limita las multas al 2 % de los ingresos en Brasil o R$50M por infracción), la exención para pequeños responsables definida por la Resolución CD/ANPD N.º 2/2022 de la ANPD y la ausencia de un derecho de portabilidad o de oposición a las decisiones automatizadas. Esta guía le indica exactamente dónde puede reutilizar el trabajo del GDPR y dónde necesita una diferencia.
| Dimensión | 🇪🇺 GDPR | 🇧🇷 LGPD |
|---|---|---|
| Instrumento legal | Reglamento (UE) 2016/679 | Lei nº 13.709/2018 |
| Fecha de entrada en vigor | 25 may 2018 | Disposiciones sustantivas: ago 2020; sanciones administrativas: ago 2021 |
| Ámbito territorial | UE + extraterritorial (Art. 3) | Tratamiento en Brasil, o dirigido a personas en Brasil, o cuando los datos se recopilaron en Brasil (Art. 3) |
| Bases legales | Seis (Art. 6) + condiciones de categoría especial (Art. 9) | Diez (Art. 7) — incluidos intereses legítimos, contrato, obligación legal, salud pública, protección crediticia |
| Principios | Seis (Art. 5) | Diez (Art. 6) — finalidad, adecuación, necesidad, libre acceso, calidad de los datos, transparencia, seguridad, prevención, no discriminación, responsabilidad proactiva |
| Delegado de Protección de Datos | Obligatorio en casos definidos (Art. 37) | Obligatorio para todos los responsables; exención para pequeños responsables mediante la Res. CD/ANPD N.º 2/2022 de la ANPD |
| Multa máxima | €20M o el 4 % de la facturación global (Art. 83(5)) | Hasta el 2 % de los ingresos en Brasil del ejercicio fiscal anterior, con un tope de R$50M por infracción |
| Multas diarias | No es una estructura estándar | Permitidas conforme al Art. 52(III) — hasta R$50M por infracción al día |
| Otras sanciones | Advertencia, prohibición del tratamiento (Art. 58) | Aviso público de infracción, bloqueo de datos, eliminación de datos, suspensión parcial/total (Art. 52) |
| Notificación de brechas | 72 horas a la Autoridad de Control (Art. 33) | 3 días hábiles a la ANPD conforme a la Resolución CD/ANPD N.º 15/2024 cuando haya riesgo/daño razonable |
| Regulador | 27 APD de los Estados miembros de la UE + EDPB | Autoridade Nacional de Proteção de Dados (ANPD) |
| DPO/Encarregado | Delegado de Protección de Datos | Encarregado de Proteção de Dados |
| Representante local | Representante en la UE del Artículo 27 obligatorio | No requerido formalmente, pero la ANPD espera un punto de contacto en Brasil |
| Derecho a la portabilidad | Sí (Art. 20) | Sí (Art. 18, V) |
| Derecho a oponerse a las decisiones automatizadas | Sí (Art. 22) | Derecho a la revisión por una persona física (Art. 20) |
| Derecho a información sobre la compartición | Implícito (Arts. 13 a 15) | Explícito (Art. 18, VII) — lista de entidades públicas/privadas con las que se compartieron los datos personales |
| Transferencia transfronteriza | SCCs/BCR/adecuación (Capítulo V) | Mecanismos aprobados por la ANPD — Resolución CD/ANPD N.º 19/2024 |
| Datos de menores | Edad de consentimiento predeterminada de 16 años (variación según el Estado miembro) | Consentimiento específico del padre/tutor legal para menores de 12 años (Art. 14) |
| Anonimización | Fuera del ámbito si es irreversible (Considerando 26) | Fuera del ámbito (Art. 12) — pero con un estándar de irreversibilidad más estricto que el del GDPR |
| Inicio de las sanciones | Mayo de 2018 | Ago 2021 (comenzaron las advertencias iniciales y multas pequeñas de la ANPD) |
Cercana — misma finalidad, estructura similar, gran parte del mismo vocabulario — pero con 10 bases legales en lugar de 6, 10 principios en lugar de 6 y una aritmética de sanciones diferente. El estilo de aplicación de la ANPD también sigue en desarrollo.
En su mayor parte. La diferencia es: designar un Encarregado de Proteção de Dados, presentar el artefacto de notificación a la ANPD por brechas materiales dentro de los 3 días hábiles, asegurar que su aviso de privacidad refleje los 10 principios de la LGPD y utilizar mecanismos aprobados por la ANPD (Res. 19/2024) para las transferencias transfronterizas.
La multa administrativa máxima es del 2 % de los ingresos en Brasil por infracción, con un tope de R$50M (~$10M USD). Las multas diarias pueden acumularse rápidamente. La ANPD también tiene facultades cautelares (bloqueo de datos, orden de eliminación) que pueden ser más disruptivas que la sanción económica.
Sí — el Artículo 3(II) abarca «la actividad de tratamiento que tiene por objetivo ofrecer o proporcionar bienes o servicios» a personas en Brasil, independientemente de dónde esté establecido.
La aplicación se ha intensificado desde 2023. La ANPD ha emitido múltiples Resoluciones que aclaran la notificación de brechas, los entornos de pruebas (sandboxes) y las exenciones para pequeños responsables. Los niveles de sanción siguen siendo modestos en comparación con el GDPR, pero la trayectoria apunta claramente hacia una aplicación más activa.
La LGPD no lo exige estrictamente, pero resulta operativo. El Encarregado debe responder de forma significativa ante la ANPD y los titulares de los datos; un punto de contacto local o un servicio de representación (como RegulatoryBridge Brasil) cubre esa necesidad.
Mapea los controles una vez y cumple dos veces. RegulatoryBridge te ofrece un único flujo de DSAR, un único DPO y un único manual de respuesta ante brechas, abarcando ambos marcos.