La protección de datos en Brasil: de promesa normativa a realidad institucional
Desde la entrada en vigor de la Ley General de Protección de Datos Personales (LGPD) en septiembre de 2020 [1], Brasil ha recorrido una transición crítica: de un país con un mosaico legal fragmentado en materia de privacidad, a uno con una arquitectura normativa integral para proteger datos personales. Inspirada en el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la LGPD no sólo importó principios como el consentimiento y la transparencia, sino que los adaptó al contexto brasileño, marcado por desigualdades tecnológicas, informalidad económica y estructuras de poder concentradas.
A diferencia de otras leyes sectoriales previas, la LGPD se aplica a cualquier operación de tratamiento de datos personales realizada en el territorio nacional o que tenga por objeto ofrecer bienes o servicios a individuos en Brasil. Establece derechos para los titulares de datos —como el acceso, la corrección, la eliminación y la portabilidad— e impone obligaciones estrictas a los controladores y operadores. Además, contempla sanciones administrativas relevantes, incluyendo multas de hasta el 2% del volumen de negocios de la empresa [2].
La LGPD surgió como una promesa de modernización institucional. Pero una ley, por sí sola, no transforma realidades. Su aplicación efectiva requiere de una autoridad con capacidad técnica, legitimidad social e independencia política. Ahí emerge la Autoridad Nacional de Protección de Datos (ANPD): como garante, como articuladora, como reguladora.
Este artículo ofrece un análisis crítico de la consolidación de la ANPD como institución clave en la defensa de los derechos digitales. Examina sus fases de actuación, su influencia normativa y política, sus decisiones emblemáticas, así como los límites estructurales que aún enfrenta para proyectarse como una agencia de primer orden en el escenario global.
La ANPD en la práctica: de la pedagogía regulatoria al ejercicio de autoridad
Durante sus primeros años de existencia, la ANPD adoptó una estrategia pedagógica. Reconociendo el bajo nivel de madurez en protección de datos en muchos sectores, optó por fomentar una cultura de cumplimiento mediante la educación, la transparencia y la orientación. Publicó guías técnicas, respondió a consultas públicas, promovió eventos formativos, y adoptó una postura tolerante con microempresas y entidades públicas que enfrentaban dificultades estructurales para adaptarse a la LGPD.
Este enfoque no fue ingenuo: fue estratégico. La autoridad entendió que la aceptación cultural de la regulación sería tan importante como su cumplimiento jurídico. La pedagogía no implicaba debilidad, sino visión de largo plazo.
A partir de 2023, sin embargo, la ANPD comenzó a marcar con más fuerza su papel fiscalizador. La primera sanción administrativa, impuesta a una microempresa por no designar un responsable de protección de datos ni establecer un canal de atención al titular, marcó un punto de inflexión [3]. Se trató de una señal clara: la autoridad ya no era solo una mediadora, sino también una ejecutora.
Ese mismo año, con la publicación de la Resolución CD/ANPD n.º 4/2023, la ANPD instituyó lineamientos para la notificación obligatoria de incidentes de seguridad, estableciendo criterios objetivos de contenido, plazo y procedimiento. En una época donde las filtraciones masivas son moneda corriente, este paso reforzó la exigencia de responsabilidad proactiva en la gestión de riesgos digitales [4].
Una nueva fase institucional: la ANPD como autarquía de naturaleza especial
La conversión de la ANPD en una autarquía de naturaleza especial —formalizada por la Ley n.º 14.460/2022— marcó una evolución fundamental en su estructura institucional. Dejó de estar subordinada directamente a la Presidencia de la República, y pasó a contar con independencia administrativa, autonomía técnica y personalidad jurídica propia.
Esto no fue un mero cambio formal. La nueva condición permitió a la ANPD contratar directamente personal especializado, definir su agenda regulatoria sin interferencia política, y estructurar un modelo de gobernanza basado en criterios técnicos. Desde entonces, la autoridad intensificó su producción normativa, su fiscalización estratégica y su presencia en foros internacionales.
Ha desempeñado también un rol destacado en el Consejo Nacional de Protección de Datos Personales y de la Privacidad, donde ha impulsado el debate multisectorial sobre temas complejos como la biometría, la vigilancia estatal y el uso de inteligencia artificial por el poder público.
Sin embargo, como reconoce el propio informe de Balanço de 4 Anos, la ANPD aún necesita expandir su presencia territorial, robustecer su infraestructura técnica y garantizar financiamiento estable para enfrentar los desafíos de un ecosistema digital en constante mutación [5]. La consolidación de su legitimidad dependerá en gran medida de su autonomía institucional, como destacan estudios sobre su diseño organizacional.
Meta bajo la lupa: soberanía regulatoria de la ANPD en tiempos de inteligencia artificial
La decisión de la ANPD en julio de 2024 de suspender cautelarmente el tratamiento de datos por parte de Meta fue una afirmación contundente de soberanía regulatoria. No solo por el tamaño del actor implicado, sino por el tipo de tecnología en cuestión: modelos de inteligencia artificial generativa entrenados con datos personales masivos recolectados en plataformas como Facebook e Instagram.
La medida se basó en tres pilares: el uso indebido de la base legal de “interés legítimo”, la falta de transparencia hacia los titulares, y los riesgos específicos para grupos vulnerables, especialmente menores de edad. Meta no ofrecía mecanismos eficaces para que los usuarios se opusieran al uso de sus datos para el entrenamiento de algoritmos [6].
La ANPD, al actuar con rapidez y firmeza, envió un mensaje nítido: los derechos fundamentales de los brasileños no están subordinados al interés comercial de las big tech. Además de suspender el tratamiento de datos, impuso una multa diaria en caso de incumplimiento, abriendo un precedente normativo inédito en América Latina [7].
Nuevas fronteras: regulación de IA, legitimidad social y reconocimiento internacional
El futuro inmediato de la ANPD está marcado por dos tensiones clave. La primera es su eventual expansión de competencias para supervisar sistemas de inteligencia artificial de alto riesgo, conforme al Proyecto de Ley n.º 2.338/2023 [8]. Este proyecto, en tramitación en el Senado, propone un marco normativo para el desarrollo ético y responsable de la IA en Brasil. Se basa en un enfoque de gestión de riesgos, inspirado en el AI Act europeo, e impone obligaciones proporcionales según el nivel de riesgo del sistema.
Entre los sistemas de alto riesgo se incluyen aquellos utilizados en sectores sensibles como salud, educación, finanzas, seguridad pública y recursos humanos. Estos deberán someterse a auditorías, evaluaciones de impacto algorítmico, y mecanismos de gobernanza robustos. La ANPD está señalada como una de las autoridades encargadas de fiscalizar estos sistemas cuando involucren tratamiento de datos personales.
La segunda tensión es el proceso pendiente de reconocimiento por parte de la Unión Europea como país con nivel adecuado de protección de datos. Lograr esa equivalencia significaría un enorme avance para Brasil en términos de intercambio internacional de datos y competitividad digital. Pero ese estatus solo se alcanzará si la ANPD consolida una actuación autónoma, previsible y técnicamente robusta, sustentada en un modelo institucional independiente que garantice su legitimidad y eficacia regulatoria [9].
Reflexión final: hacia un ecosistema de derechos sostenibles
La experiencia brasileña revela una lección clara: las normas son imprescindibles, pero las instituciones son las que las hacen vivir. La ANPD ha recorrido un camino notable en poco tiempo. Ha demostrado que es posible construir una autoridad con vocación democrática, sensibilidad técnica y creciente autoridad moral.
Sin embargo, este proceso está lejos de estar completo. El ritmo de adopción tecnológica, la complejidad de los entornos digitales y la asimetría de poder entre usuarios y plataformas exigen una regulación ambiciosa, con visión estratégica y legitimidad social. Brasil tiene ante sí la oportunidad de convertirse en una referencia internacional, pero sólo lo logrará si continúa invirtiendo en capacidad estatal, justicia digital y protección estructural de los derechos fundamentales.
Como afirmó Giovanni Buttarelli, ex Supervisor Europeo de Protección de Datos: “la protección de datos no es una cuestión técnica: es una cuestión de dignidad humana.” [10]
Esta frase resuena con especial fuerza en Brasil, donde la defensa de la privacidad es también una defensa de la ciudadanía. Y en un mundo modelado por algoritmos invisibles, proteger datos es proteger la posibilidad misma de ser.
Ana Luiza Klingl es abogada brasileña-austriaca, graduada por el Centro Universitário de Brasília (UNICEUB), en la capital de Brasil, con formación en derecho digital, ciberseguridad y políticas públicas. Actualmente concluye el Máster en Ciberseguridad y Entornos Digitales en la Universidad de León (España) y es candidata 2025–2027 al EMILDAI – European Master in Law, Data and Artificial Intelligence, un programa conjunto de excelencia financiado por la Unión Europea.
Su trayectoria combina experiencia en cumplimiento normativo, protección de datos y regulación de tecnologías emergentes, con una visión global sobre los desafíos del entorno digital. Desde una perspectiva ética y legal, busca consolidar una carrera internacional en la intersección entre derecho y tecnología, apostando por soluciones que respeten los derechos fundamentales y fortalezcan instituciones en un mundo cada vez más algorítmico.
_________________________________________________
Recuerda seguirnos por todas las redes sociales a través del usuario @datalawrd y nuestro canal de Youtube para ver más sobre nuestro contenido.
__________________________________________________________
Referencias
[1] Brasil. Ley n.º 13.709/2018. Ley General de Protección de Datos Personales (LGPD). Disponible en:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
[2] Artículos 52 a 54 de la LGPD. Ver también: Capítulo VIII – Sanciones Administrativas.
[3] ANPD. “ANPD aplica a primeira multa por descumprimento à LGPD.” Disponible en:
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd
y
https://www.gov.br/anpd/pt-br/assuntos/noticias/2022-62-dou-imprensa-nacional.pdf
[4] ANPD. “Resolução CD/ANPD nº 4/2023 – Regulamento de Dosimetria.” Disponible en:
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf
[5] ANPD. Balanço de 4 Anos de Atuação (2020–2024). Disponible en:
https://www.gov.br/anpd/pt-br/centrais-de-conteudo/outros-documentos-e-publicacoes-institucionais/anpd-balanco-4-anos.pdf
[6] ANPD. “ANPD determina suspensão cautelar do tratamento de dados pessoais para treinamento da IA da Meta.”
Disponible en:
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-determina-suspensao-cautelar-do-tratamento-de-dados-pessoais-para-treinamento-da-ia-da-meta
[7] ANPD. Despacho Decisório n.º 20/2024/PR/ANPD.
Disponible en:
https://www.in.gov.br/en/web/dou/-/despacho-decisorio-n-20/2024/pr/anpd-569297245
y
Voto n.º 11/2024/DIR-MW/CD.
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-determina-suspensao-cautelar-do-tratamento-de-dados-pessoais-para-treinamento-da-ia-da-meta/SEI_0130047_Voto_11.pdf
[8] Brasil. Projeto de Lei n.º 2.338/2023. Marco Legal da Inteligência Artificial. Disponible en:
https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
[9] Borges Bezerra, M. R. (2019). Autoridade Nacional de Proteção de Dados Pessoais: a importância do modelo institucional independente para a efetividade da lei. Caderno Virtual, 2(44), IDP, 2019. Disponible en: hCaderno Virtual, 2(44). Recuperado de: https://www.portaldeperiodicos.idp.edu.br/cadernovirtual/article/view/3828
[10] Buttarelli, G. (2018). Choose humanity: Opening Speech, 40th International Conference of Data Protection and Privacy Commissioners.
Disponible en:
https://www.edps.europa.eu/sites/default/files/publication/18-10-24_choose_humanity_speech_en_1.pdf
