Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.
El quinto aniversario de actuación de la Autoridad Nacional de Protección de Datos constituye una oportunidad para evaluar su consolidación institucional, la evolución de su marco regulatorio y el nuevo papel de Brasil en la gobernanza global de los datos personales.
Entre 2020 y 2025, la ANPD dejó de ser un órgano de reciente creación, vinculado a la Presidencia, y se convirtió en una agencia reguladora con competencias normativas, de supervisión y sancionadoras comparables a las de autoridades extranjeras.
Evolución institucional: autonomía y ampliación del alcance
La ANPD fue creada en 2018 por la Ley General de Protección de Datos Personales, bajo la denominación de ANPD y vinculada a la Presidencia de la República, con la misión de velar por, implementar y fiscalizar el cumplimiento de la LGPD en todo el país.
No obstante, su entrada efectiva en operación se produjo en 2020, tras la aprobación de su estructura regimental, la definición del Consejo Director como órgano máximo de decisión y la organización de sus coordinaciones generales técnicas. Esta primera etapa se caracterizó por la instalación del equipo, la elaboración del plan estratégico y la priorización de instrumentos de orientación, como guías y notas técnicas.
El primer hito de consolidación institucional ocurrió en 2022, con la transformación de la ANPD en una autarquía de naturaleza especial. La agencia pasó a contar con autonomía técnica y decisoria, mayor independencia administrativa y financiera, alejándose de la imagen de órgano gubernamental sujeto a cambios coyunturales y aproximándose al modelo de autoridad independiente.
El ciclo 2024–2025 marca una segunda inflexión: la ANPD es designada como autoridad administrativa responsable de la protección de niños, niñas y adolescentes en entornos digitales, en el contexto del Estatuto Digital de la Infancia y la Adolescencia. Enseguida, es formalmente reestructurada como agencia reguladora por la Medida Provisional N.º 1.317/2025. Esta evolución consolida a la ANPD como reguladora transversal en protección de datos personales y refuerza garantías de independencia, al tiempo que explicita sus competencias en la protección de menores en el entorno digital.
Principales logros regulatorios
La producción normativa de la ANPD en sus primeros cinco años revela un modelo de regulación responsiva que combina reglas y orientación. Guías, reglamentos temáticos, consultas públicas y radares tecnológicos han venido densificando la LGPD sin renunciar al diálogo con los agentes regulados. En este período, la ANPD ha sido prolífica en la emisión de normas, guías y estudios esenciales para la seguridad jurídica y la difusión del conocimiento.
En cifras, este esfuerzo es significativo: se han emitido ocho reglamentos y enunciados, publicado 12 guías orientativas, realizado cinco ediciones de Radar Tecnológico y conducido siete consultas públicas. Este volumen refleja la opción de la agencia por una regulación responsiva que combina producción normativa con un fuerte componente de orientación y participación social.
Uno de los pilares de esta arquitectura es el Reglamento del Proceso de Supervisión y del Proceso Administrativo Sancionador, que definió el ciclo de fiscalización y detalló los procedimientos de inspección, instrucción, contradicción y recursos.
Otra pieza relevante es la resolución que reglamenta la aplicación de la LGPD a los agentes de tratamiento a pequeña escala, estableciendo un régimen asimétrico basado en el riesgo, con flexibilización de determinadas obligaciones, permitiendo una implementación proporcional de la LGPD en micro y pequeñas empresas, startups y entidades del tercer sector.
También merece destaque el Reglamento de Comunicación de Incidentes de Seguridad, que orienta al responsable del tratamiento en la gestión de incidentes de protección de datos personales. Al establecer criterios, plazos y contenido mínimo para la comunicación a la ANPD y a los titulares, el reglamento ofrece una guía para la mitigación de daños y es considerado un hito en el fortalecimiento de la cultura de protección de datos y de la transparencia.
El paso decisivo hacia un modelo con mayor capacidad de cumplimiento ocurrió en 2023, con la aprobación del Reglamento de Dosimetría y Aplicación de Sanciones Administrativas. Este reglamento clasifica las infracciones según su gravedad y define parámetros objetivos para el cálculo de multas, considerando factores como facturación, gravedad de la conducta, reincidencia y existencia de programas de gobernanza en privacidad.
En 2024, la ANPD aprobó el reglamento sobre la actuación del delegado de protección de datos, detallando atribuciones, perfil y posición institucional del encargado.
Completa este núcleo el Reglamento de Transferencias Transfronterizas de Datos Personales, que también disciplina las cláusulas contractuales tipo. El texto establece las condiciones para las transferencias transfronterizas, define requisitos mínimos para los mecanismos de salvaguarda y organiza el procedimiento de aprobación de soluciones adicionales. Con ello, refuerza la seguridad jurídica de las operaciones transfronterizas y aproxima el régimen brasileño a las exigencias de la Unión Europea.
Cumplimiento
La ANPD aplicó su primera multa administrativa por infracción a la LGPD en julio de 2023, estableciendo un precedente claro de que la ley será eficazmente aplicada, independientemente del tamaño de la empresa.
Desde entonces, la actividad de supervisión se ha intensificado, con grandes empresas de tecnología, telecomunicaciones y comercio minorista siendo sancionadas por uso indebido de datos personales y por violación de principios como transparencia y necesidad.
En el sector público, la ANPD también ha actuado de manera relevante, aplicando sanciones no pecuniarias, como advertencias y exigencia de publicación de la infracción, —una sanción reputacional severa— en casos de exposición indebida de datos o comunicación tardía de incidentes de seguridad. En estos casos, la atención se ha centrado especialmente en la falta de comunicación adecuada de incidentes y en la ausencia de demostración de una base legal para el tratamiento.
Actuación institucional: de la actuación local a la cooperación internacional
La madurez institucional de la ANPD se manifiesta tanto en su proyección internacional como en su actuación local.
Con el objetivo de reforzar su actuación interna, la Agencia realizó el segundo Encuentro de DPOs, una iniciativa que reunió a diversos sectores de la sociedad para discutir la figura del DPO a partir del intercambio de experiencias, desafíos y soluciones.
En el ámbito internacional, en 2021 la ANPD pasó a integrar la Red Global para la Aplicación de la Ley en Materia de Privacidad, red dedicada a la cooperación en acciones transfronterizas de fiscalización.
En 2023, fue admitida como miembro pleno de la Asamblea Global de Privacidad, principal foro mundial de autoridades de protección de datos, pasando a participar en debates sobre flujos internacionales de datos, certificación, IA y protección de niños y adolescentes en el entorno digital.
En el plano regional, en 2025 la ANPD asumió la presidencia de la Red Iberoamericana de Protección de Datos para el bienio 2025–2027, lo que reconoce la madurez regulatoria de la LGPD y de la propia ANPD, y proyecta a Brasil como exportador de referencias normativas para los países iberoamericanos.
Asimismo, en 2025, la ANPD celebró otros dos acuerdos importantes: el primero, una asociación con la Agencia de Protección de Datos de Angola, que establece las bases para el intercambio de conocimientos con el fin de promover asistencia mutua y cooperación técnica. Además, la Agencia firmó un memorando de entendimiento con la Oficina del Comisario de Información del Reino Unido, destinado a promover la cooperación mutua en gobernanza digital entre ambas partes.
El punto culminante de este movimiento internacional se produjo con la publicación, por parte de la Comisión Europea, del borrador de decisión de adecuación que reconoce que Brasil asegura un nivel de protección de datos personales esencialmente equivalente al del RGPD. Una vez concluido el proceso, la decisión eliminará la necesidad de instrumentos adicionales, como las cláusulas contractuales tipo, para las transferencias de datos entre la UE y Brasil.
Al cumplir sus primeros cinco años de actuación, es posible afirmar que la ANPD recorrió el camino desde un órgano vinculado a la Presidencia hasta consolidarse como una agencia reguladora autónoma, con un diseño institucional estable y un papel central en la implementación de la LGPD.
Conclusión
Los próximos cinco años tienden a estar marcados por la implementación concreta de las nuevas competencias derivadas del ECA Digital, especialmente en lo relativo a la protección de niños, niñas y adolescentes en plataformas digitales y a la regulación del diseño de servicios en línea accesibles al público infantil y juvenil.
Además, se prevé una intensificación de la actuación de la ANPD en materia de IA, en coordinación con otras autoridades sectoriales y foros internacionales.
En perspectiva, los primeros cinco años de la ANPD marcan el fin de la fase de instalación y el comienzo de un ciclo más exigente de madurez regulatoria. La agencia se afirma como referencia relevante en la arquitectura global de protección de datos y deja claro que el cumplimiento de la LGPD ya no es un ejercicio meramente formal. Para las organizaciones, esto implica incorporar la protección de datos en la estrategia de negocio, es decir, como condición para operar con seguridad jurídica, mantener acceso a mercados y sostener relaciones de confianza con titulares y socios internacionales.
Ana Silvia Martins, CDPO/BR, es socia de Failla Lima Advogados y abogada especializada en protección de datos, privacidad e IA, con experiencia en cumplimiento normativo y en la implementación y gestión de programas de gobernanza de datos.
Maria Eduarda Andrade, CDPO/BR, es abogada especializada en protección de datos y privacidad, con experiencia en cumplimiento de la LGPD y en la gestión de programas de gobernanza de datos.
