La Autoridade Nacional de Proteção de Dados (ANPD) de Brasil entró en modo de ejecución activa en 2024, emitiendo sus primeras multas importantes bajo la Lei Geral de Proteção de Dados (LGPD) — Ley No. 13,709/2018. Con 215 millones de brasileños cubiertos por el marco y Brasil albergando la mayor economía digital de América Latina (180 millones de usuarios de internet), el cumplimiento de la LGPD es ahora una realidad de ejecución, no una preocupación futura.
LGPD: El GDPR de Brasil con Disposiciones Específicas Brasileñas
La LGPD se modeló en el GDPR pero incluye disposiciones que difieren significativamente en alcance y aplicación:
Multas máximas: 2% de los ingresos anuales brasileños (no ingresos globales), hasta R$50 millones (≈€9M) por violación. A diferencia del límite del 4% de ingresos globales del GDPR, la base de ingresos de Brasil de la LGPD crea sanciones máximas más bajas para empresas multinacionales, pero una mayor exposición relativa para negocios solo en Brasil.
Categorías de datos sensibles: Las categorías de datos sensibles de la LGPD reflejan de cerca el Artículo 9 del GDPR pero añaden disposiciones específicas para origen racial/étnico, opinión política, creencias religiosas, datos de salud, datos genéticos, datos biométricos y — notablemente — orientación sexual y vida sexual. La guía de la ANPD de 2024 extendió las protecciones de datos sensibles al requisito de consentimiento del Artículo 11 de la LGPD para cualquier procesamiento de datos sensibles.
Derechos de los titulares de datos: Similar al GDPR — acceso, corrección, anonimización, portabilidad, eliminación e información sobre el intercambio de datos. La LGPD de Brasil añade un derecho específico a saber si se utilizó IA en decisiones de procesamiento de datos.
Inicio de la ejecución de la ANPD: Primeras sanciones formales emitidas en 2024. Las telecomunicaciones, los servicios financieros y las organizaciones de salud fueron los principales objetivos de ejecución. La ANPD ha señalado que las empresas multinacionales que operan en Brasil serán un enfoque en 2025.
Identificadores de PII Brasileños: El Desafío de la Detección
El sistema de identificación nacional de Brasil es más complejo que el de la mayoría de los países de la UE, en parte porque Brasil es una república federal donde los sistemas de identificación varían según el estado de emisión para algunos documentos.
CPF (Cadastro de Pessoas Físicas): Número de registro de contribuyente individual de 11 dígitos, formato XXX.XXX.XXX-XX, con dos dígitos de verificación validados utilizando una aritmética modular específica. El CPF es el identificador universal principal de Brasil — utilizado para banca, empleo, impuestos, salud y servicios gubernamentales. Todos los 215 millones de brasileños tienen un CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica): Número de registro de empresa de 14 dígitos, formato XX.XXX.XXX/XXXX-XX, con dos dígitos de verificación. Aparece junto a los datos personales de los representantes de la empresa en documentos comerciales.
RG (Registro Geral): Documento de identidad civil emitido por el estado. Críticamente: el formato del RG varía según el estado de emisión. El formato del RG de São Paulo difiere del de Río de Janeiro, que difiere del de Minas Gerais, y así sucesivamente en 26 estados + Distrito Federal. Una herramienta de PII que solo reconoce el formato de RG de un estado pierde la mayoría de los números de RG brasileños en documentos de otros estados.
CNH (Carteira Nacional de Habilitação): Número de licencia de conducir de 11 dígitos con dígito de verificación.
Título de Eleitor: Número de registro de votante de 12 dígitos que codifica información geográfica sobre la zona de registro del votante.
PIS/PASEP: Número de programa de integración social de 11 dígitos utilizado en registros de empleo y nómina.
Número SUS (Cartão SUS): Número de 15 dígitos asignado a cada brasileño para el sistema de salud unificado — aparece en todos los documentos de salud.
LGPD vs. GDPR: Diferencias Clave para Organizaciones Brasileño-Europeas
Las organizaciones que operan bajo la LGPD y el GDPR enfrentan diferencias importantes:
Bases legales para el procesamiento: La LGPD proporciona 10 bases legales (en comparación con las 6 del GDPR), incluyendo "interés legítimo", "protección de la salud" y "protección del crédito" — esta última siendo única para la LGPD y reflejando la cultura de crédito impulsada por fintech en Brasil.
Sin mecanismo de adecuación para Brasil: La UE no ha otorgado a Brasil una decisión de adecuación. Las transferencias de datos entre la UE y Brasil requieren Cláusulas Contractuales Estándar o reglas corporativas vinculantes — el mismo mecanismo requerido para transferencias a EE. UU. u otros países no adecuados.
Requisitos de consentimiento brasileños: La LGPD requiere que el consentimiento sea específico, informado, inequívoco y dado libremente — similar al GDPR. Sin embargo, la LGPD permite que el consentimiento para datos sensibles sea más amplio que el requisito de consentimiento explícito del GDPR para cada propósito específico, siempre que el propósito se comunique claramente.
Enfoque de Ejecución de la ANPD para 2025
Basado en las prioridades de ejecución publicadas por la ANPD y los resultados de las investigaciones de 2024:
Datos de salud: El Artículo 11 de la LGPD requiere consentimiento explícito o una base legal específica para el procesamiento de datos de salud. La ANPD encontró múltiples proveedores de salud y aplicaciones de salud que carecían de una base legal adecuada para procesar números SUS y registros médicos.
Servicios financieros: Los números de CPF en documentos financieros — solicitudes de préstamos, informes de crédito, pólizas de seguros — son objetivos principales de ejecución. La ANPD está auditando si las políticas de retención de datos de las instituciones financieras se alinean con los propósitos documentados.
Cumplimiento de plataformas tecnológicas: Las plataformas tecnológicas internacionales (redes sociales, comercio electrónico, servicios de streaming) que operan en Brasil son el enfoque de la ANPD para 2025, particularmente en prácticas de perfilado y transferencias de datos transfronterizas.
Para organizaciones que procesan datos personales brasileños: la detección de CPF y CNPJ con dígitos de verificación validados es la base técnica. Agregar detección de RG con reconocimiento de formato específico por estado, CNH, Título de Eleitor y soporte para el número SUS proporciona una cobertura integral de PII brasileña conforme a la LGPD.
Fuentes: