← Todos los análisis

Cumplimiento · EU → BR

La UE y Brasil ya reconocen sus leyes de datos mutuamente: qué elimina realmente la adecuación

Jul 17, 2026 · 6 min read

In short

A finales de enero de 2026, Brasil y la UE reconocieron mutuamente sus regímenes de protección de datos como adecuados: la Resolución CD/ANPD n.º 32 se publicó el 26 de enero y entró en vigor en la fecha de su publicación, y la Comisión Europea adoptó su decisión de adecuación sobre Brasil el 27 de enero, con lo que Brasil se convirtió en la decimoséptima jurisdicción con adecuación reconocida por la UE. En la práctica, los datos personales ya pueden circular entre Brasil y el EEE sin cláusulas contractuales tipo ni otros mecanismos adicionales de transferencia: los exportadores europeos se apoyan en el artículo 45 del GDPR en lugar de las SCC, y los exportadores brasileños en el artículo 33(I) de la LGPD. La decisión no cubre las transferencias realizadas exclusivamente con fines de seguridad pública, defensa nacional, seguridad del Estado o investigación y persecución penal, y no elimina ninguna obligación sustantiva: base legal, delegado de protección de datos, contratos de tratamiento, transparencia, seguridad y gestión de incidentes siguen vigentes. Se revisa en un ciclo de cuatro años y puede reabrirse antes si alguno de los regímenes cambia de forma relevante.

Las cláusulas contractuales tipo han dejado de ser el precio de mover datos personales entre Brasil y Europa. A finales de enero de 2026, ambas jurisdicciones reconocieron sus regímenes como adecuados: la Resolución CD/ANPD n.º 32 se publicó el 26 de enero y entró en vigor ese mismo día, y la Comisión Europea adoptó su propia decisión de adecuación sobre Brasil el 27 de enero. Los datos ya circulan en ambos sentidos apoyándose en las decisiones mismas. Para una empresa europea con filial brasileña, un portal de distribuidores o una base de clientes repartida a lo largo del corredor, la pregunta sobre el mecanismo de transferencia que aparecía en cada contrato con proveedores se ha quedado en buena medida sin objeto.

Lo que se elimina es concreto. El exportador europeo que envía datos personales a Brasil se apoya en el artículo 45 del GDPR en lugar de negociar SCC; el exportador brasileño que envía datos a Europa se apoya en el artículo 33(I) de la LGPD en lugar de adoptar las cláusulas tipo de la ANPD, que solo pasaron a ser obligatorias para los contratos existentes en agosto de 2025. La decisión brasileña abarca a los Estados miembros de la UE, a los países del EEE — Islandia, Liechtenstein y Noruega — y a las instituciones europeas. Es la primera vez que la Comisión acuerda un arreglo mutuo de este alcance, que cubre a la vez el sector público y el privado y todas las categorías de datos, incluidos los sensibles. En términos de compras, quita una negociación del onboarding de proveedores.

Conviene ser preciso sobre lo que no ha cambiado, porque la decisión es un puente institucional y no un sello de cumplimiento. La adecuación rige la transferencia, no el tratamiento: siguen haciendo falta una base legal, transparencia hacia los titulares, un delegado de protección de datos cuando se exija, contratos de tratamiento con los proveedores, medidas de seguridad y un proceso de incidentes que funcione. Ambos regímenes se aplican íntegramente a cada lado del puente. La decisión además excluye las transferencias realizadas exclusivamente con fines de seguridad pública, defensa nacional, seguridad del Estado o investigación y persecución penal: esas siguen necesitando su propio fundamento.

La cuestión de la durabilidad es la que merece planificación. El Dictamen 28/2025 del EDPB, de 5 de noviembre de 2025, fue favorable, pero pidió a la Comisión seguir vigilando varios puntos: cómo trata Brasil las evaluaciones de impacto, los límites a la transparencia cuando se invoca el secreto comercial e industrial, las reglas sobre transferencias ulteriores desde Brasil, el alcance de la ley brasileña sobre la actividad policial y la extensión del concepto brasileño de seguridad nacional. La decisión se reevalúa en un plazo de cuatro años y puede reabrirse antes si alguno de los regímenes se mueve. Quien haya seguido Safe Harbour y Privacy Shield sacará la conclusión evidente: trate la adecuación como el estándar, mantenga sus flujos de datos mapeados y conserve las SCC como un plan B ejecutable, no como algo que improvisar con prisa.

La lectura comercial es modesta, pero real. La adecuación no abre un mercado y no va a decidir si Brasil merece la entrada. Lo que hace es quitar una fricción recurrente — el anexo contractual, la evaluación de impacto de la transferencia, la revisión jurídica que sumaba semanas a cada integración — de un corredor donde esa fricción rara vez era la parte interesante del negocio. Los obstáculos que de verdad determinan una entrada siguen siendo los de producto: quién posee el registro, quién actúa como importador y qué le hace a su precio el coste de nacionalización. Si está sopesando el corredor brasileño, nuestro Opportunity Scan es el punto de partida para esas preguntas.

Inteligencia de negocios, no asesoramiento legal ni fiscal.

El Opportunity Scan · 5 minutos

Tráenos la oportunidad. Nosotros la enrutamos.

5 minIniciar el Scan →