¿Qué es la LGPD (Ley General de Protección de Datos de Brasil)?
La LGPD (Ley General de Protección de Datos Personales de Brasil, Ley N.º 13.709/2018), el equivalente brasileño del GDPR europeo, es la ley federal que regula cómo las empresas y los organismos públicos recopilan, usan, almacenan y comparten datos personales. Exige una base legal documentada para cada tratamiento de datos, otorga derechos al titular (acceso, corrección, eliminación) y es fiscalizada por la Autoridad Nacional de Protección de Datos (ANPD), que puede aplicar una multa de hasta el 2% de la facturación, con un tope de R$ 50 millones por infracción.
Cómo funciona la LGPD en la práctica
La ley no exige instalar sistemas, define reglas para cualquier tratamiento de dato personal, desde el registro de un cliente hasta una planilla de RR. HH. El ciclo tiene cuatro partes que se repiten en cualquier operación.
Toda recopilación necesita una base legal
La empresa solo puede tratar un dato personal si cuenta con uno de los fundamentos previstos en la ley: consentimiento, ejecución de contrato, cumplimiento de obligación legal, interés legítimo, entre otros. Recopilar datos “porque siempre se hizo así” no es una base legal.
El titular tiene derechos que la empresa debe atender
Confirmar que el dato existe, acceder a él, corregirlo, portarlo y eliminarlo son solicitudes que la ley otorga al dueño del dato, y la empresa tiene un plazo para responder.
Un incidente de seguridad debe comunicarse
Una filtración que genere un riesgo relevante para el titular debe comunicarse a la ANPD y a las personas afectadas en un plazo razonable, no ocultarse hasta que se filtre a la prensa.
La empresa responde también por sus proveedores
Quien trata datos personales en nombre de la empresa (el operador) entra en la cadena de responsabilidad. Contratar a un proveedor sin cláusula de protección de datos no exime a la empresa contratante.
Fuente: Ley N.º 13.709/2018 (LGPD) y Autoridad Nacional de Protección de Datos (ANPD) de Brasil.
Los derechos que la LGPD garantiza al titular de los datos
- Confirmación y acceso Saber si una empresa trata sus datos y obtener una copia de lo recopilado, de forma gratuita y en un formato claro.
- Corrección Solicitar la actualización de un dato incompleto, inexacto o desactualizado.
- Eliminación y anonimización Solicitar la eliminación del dato tratado con consentimiento, o su anonimización cuando la eliminación no sea posible.
- Portabilidad Llevar sus datos a otro proveedor, en un formato interoperable, sin depender de la buena voluntad de quien los guarda.
- Revocación del consentimiento Retirar la autorización otorgada en cualquier momento, con efecto inmediato sobre tratamientos futuros.
Por qué el cumplimiento de datos dejó de ser opcional
La LGPD no es un caso aislado. En enero de 2025 ya eran 144 los países con leyes nacionales de protección de datos, que cubren cerca del 82% de la población mundial (IAPP). Una empresa que opera o vende en más de un mercado suele responder a varias a la vez: la LGPD en Brasil, el GDPR en Europa, la CCPA en California, la PIPL en China, además de leyes equivalentes en otros países de América Latina y de Asia. Y las multas escalan: la LGPD prevé hasta el 2% de la facturación, mientras que el GDPR llega al 4% de la facturación global. Pero la cuenta real de un incidente va mucho más allá de la multa. El costo promedio global de una filtración de datos fue de US$ 4,44 millones (IBM, 2025), sumando la notificación a los titulares, la investigación, el daño reputacional y, cada vez más, demandas de responsabilidad civil.
Cómo se prepara una empresa para la LGPD
El cumplimiento de la LGPD no es un proyecto que termina, es una disciplina que se sostiene. El camino más directo:
- Mapee los datos que trataListe qué dato personal recopila la empresa, de dónde viene, dónde se almacena y quién tiene acceso. Sin ese mapa, no se puede definir la base legal ni responder a una solicitud del titular.
- Defina la base legal de cada tratamientoCada uso de un dato necesita un fundamento legal documentado, no un consentimiento genérico pegado en todas partes.
- Designe un encargado de datos (DPO)La mayoría de las leyes de protección de datos prevé un canal de comunicación entre la empresa, los titulares y el regulador. Alguien debe ser ese punto de contacto.
- Tenga listo un plan de respuesta a incidentesDescubrir el proceso de notificación en medio de una filtración cuesta un tiempo que la empresa no tiene. El plan probado de antemano es lo que acorta ese plazo.
En la práctica
La pregunta que revela el riesgo real: si un regulador de datos pidiera hoy que la empresa muestre la base legal de un dato específico, ¿alguien podría responder en minutos, o pasaría días buscando?
Cómo trata Zamak el cumplimiento de la LGPD
Zamak Technologies apoya la adecuación a la LGPD como parte de la Gobernanza y Conformidad del Método Zamak: mapeo de controles, gestión de evidencia y trazabilidad de auditoría sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la empresa.