El 27 de enero de 2026, Brasil y la Unión Europea anunciaron en Brasilia una decisión que, en la práctica, borra una frontera invisible: a partir de ese día, los datos personales pueden circular entre el Espacio Económico Europeo y Brasil con la misma libertad con la que viajan de París a Berlín o de São Paulo a Lisboa. Es una decisión de adecuación mutua —cada parte reconoce que la otra protege los datos personales de forma “esencialmente equivalente” a la propia—, y su alcance no tiene precedentes: cubre a la vez el sector público y el privado, es la primera adecuación que Brasil obtiene en su historia y, según los juristas que la han analizado, la más completa que la Comisión Europea ha adoptado nunca bajo el Reglamento General de Protección de Datos.
Conviene situar la magnitud antes de entrar en los matices. La medida reduce barreras regulatorias sobre una base combinada de unos 670 millones de personas. Para las empresas, los gobiernos y los investigadores que mueven datos entre ambas orillas del Atlántico, significa que ya no necesitan los mecanismos adicionales que hasta ahora exigía cada transferencia —las cláusulas contractuales tipo de la UE, las evaluaciones de impacto de transferencia—. El dato se vuelve, jurídicamente, tan transferible dentro del bloque UE-Brasil como lo es entre dos países europeos.
Cuatro meses después, en la semana en que se escribe este análisis, la conversación brasileña sobre datos ha girado hacia otro punto: los decretos que el gobierno firmó el 20 de mayo para ampliar los poderes de la Autoridad Nacional de Protección de Datos (ANPD) —la misma agencia que sostiene la adecuación europea— hacia la fiscalización de las plataformas digitales. La coincidencia temporal de ambos hechos —el reconocimiento externo y la expansión interna de la autoridad— es lo que vuelve este momento analíticamente interesante. Vale la pena examinar cada pieza por separado y luego la tensión entre ellas.
Qué se firmó, exactamente, y bajo qué normas
La adecuación no es un único acto, sino dos decisiones unilaterales, independientes y jurídicamente autónomas, adoptadas de forma coordinada y anunciadas juntas. La precisión importa porque define quién responde de qué.
| Lado | Instrumento | Base legal | Fecha |
|---|---|---|---|
| Unión Europea | Decisión de Ejecución (UE) 2026/179 | Artículo 45 del GDPR | 26 ene 2026 |
| Brasil | Resolución CD/ANPD N.º 32/2026 | Artículo 33, I, de la LGPD | 26 ene 2026 |
| Ambos | Anuncio público conjunto | — | 27 ene 2026 |
Del lado europeo, la Comisión concluyó —tras un dictamen del Comité Europeo de Protección de Datos del 4 de noviembre de 2025 y la aprobación de los Estados miembros— que Brasil ofrece un nivel de protección “esencialmente equivalente” al europeo. Del lado brasileño, fue la propia ANPD quien adoptó la decisión recíproca, reconociendo a la UE como territorio adecuado según el mecanismo del artículo 33 de la LGPD, la ley brasileña de protección de datos vigente desde 2020.
Hay un límite que conviene subrayar, porque acota el alcance real del acuerdo: la adecuación no cubre las transferencias de datos realizadas con fines exclusivos de seguridad pública, defensa nacional, seguridad del Estado o investigación y persecución penal. Esa frontera —la misma que el propio marco brasileño ya establecía— deja fuera precisamente los usos más sensibles desde el punto de vista de los derechos civiles. Es un recordatorio de que “adecuación” no significa “sin zonas grises”, sino equivalencia en el terreno comercial y administrativo ordinario.
Ambas decisiones incorporan, además, una cláusula de vigilancia: deberán reevaluarse en un plazo máximo de cuatro años. La Comisión se comprometió a monitorear de forma continua los desarrollos en Brasil, y la Resolución brasileña prevé lo simétrico respecto a la UE. La adecuación, en otras palabras, no es un cheque en blanco perpetuo, sino un reconocimiento condicionado a que el nivel de protección se mantenga.
Por qué Brasil y por qué ahora: la lógica del “efecto Bruselas”
La adecuación brasileña es un caso de manual de lo que los académicos llaman el “efecto Bruselas”: la capacidad de la UE de exportar sus estándares regulatorios sin imponerlos formalmente, simplemente por el peso de su mercado. La LGPD brasileña de 2018 se diseñó, desde el principio, en estrecha sintonía con el GDPR europeo —comparten arquitectura, principios y buena parte del vocabulario jurídico—. Esa convergencia deliberada es la que ahora rinde fruto: el Comité Europeo de Protección de Datos destacó “la estrecha armonización” entre ambos marcos y con la jurisprudencia del Tribunal de Justicia de la UE como base para su dictamen favorable.
Para dimensionar lo singular del caso brasileño conviene compararlo con el panorama de adecuaciones existentes. La UE ha otorgado adecuación a una lista corta de jurisdicciones —entre ellas Argentina, Uruguay, Canadá, Japón, Reino Unido, Suiza o Israel—, pero la mayoría se adoptaron de forma unilateral (solo la UE reconoce al tercer país) y muchas con alcance limitado. La de Japón de 2019, por ejemplo, se circunscribió esencialmente al sector privado. La de Brasil es la primera que es mutua —ambas partes se reconocen— y de las pocas que cubren a la vez la esfera pública y la privada. Esa amplitud es la que la convierte, según los análisis jurídicos, en la más completa del catálogo del GDPR.
La casa por ordenar: los decretos del 20 de mayo
Mientras Brasil exhibe el sello de oro europeo, en el plano interno la conversación es más turbulenta. El 20 de mayo de 2026, el presidente Luiz Inácio Lula da Silva firmó dos decretos que endurecen las reglas para las redes sociales y amplían el poder de fiscalización del gobierno sobre las grandes tecnológicas. Las medidas reglamentan decisiones recientes del Supremo Tribunal Federal sobre el Marco Civil de Internet, y colocan a la ANPD como responsable de monitorear si las plataformas cumplen las nuevas obligaciones: moderación de contenido, canales de denuncia, transparencia de anuncios e impulsos pagados, redes artificiales y riesgos sistémicos.
Aquí surge la observación que han planteado varios juristas brasileños, y que conviene reproducir con precisión porque es el núcleo del debate. La ANPD fue creada originalmente con un mandato acotado: proteger los datos personales y velar por el cumplimiento de la LGPD. Los nuevos decretos la transforman, según la lectura crítica, en algo más cercano a una agencia reguladora de contenidos y plataformas. La profesora de Derecho Electoral Francieli Campos, especialista en inteligencia artificial, advirtió que el gobierno convirtió a la ANPD, por decreto, en una suerte de árbitro del debate público digital. El detalle que añade tensión: los decretos entran en vigor 60 días después de su publicación, lo que sitúa su aplicación cerca del momento álgido de la disputa electoral de octubre, en la que Lula es probable candidato a la reelección.
La tensión, expuesta sin resolverla
El valor analítico de este momento está en sostener las dos imágenes a la vez sin colapsarlas en una sola. Conviene exponer las dos lecturas con peso comparable.
Para una lectura, no hay contradicción real, sino una señal de madurez institucional. Quienes la sostienen argumentan que la adecuación europea es precisamente la prueba de que el marco brasileño funciona y de que su autoridad de datos goza de credibilidad internacional; que ampliar las competencias de la ANPD para fiscalizar a las plataformas es coherente con la tendencia global —la propia UE atribuye funciones de supervisión digital a sus autoridades— y responde a decisiones del Supremo, no a un capricho del Ejecutivo. Bajo esta lectura, Brasil estaría construyendo una gobernanza digital robusta en dos frentes complementarios: la protección de datos hacia afuera y la rendición de cuentas de las plataformas hacia adentro.
Para la lectura contraria, la coincidencia revela un riesgo. Sus defensores —juristas electorales, organizaciones de sociedad civil— sostienen que cargar a la autoridad de datos con la fiscalización del debate público, en vísperas electorales y mediante decreto del propio Ejecutivo cuyo líder se presenta a la reelección, tensiona la independencia que la adecuación europea presupone. El argumento de fondo es que la credibilidad internacional de la ANPD descansa sobre su autonomía, y que expandir sus poderes hacia un terreno tan politizado como la moderación de contenidos podría, con el tiempo, erosionar justamente la confianza que le valió el sello europeo. La cláusula de revisión cada cuatro años de la adecuación vuelve esta cuestión más que teórica: la UE se comprometió a vigilar los desarrollos en Brasil, y la arquitectura institucional de su autoridad de datos es uno de esos desarrollos.
No corresponde a este medio dictaminar cuál lectura prevalecerá. Sí constatar el hecho que ambas comparten: Brasil ha alcanzado un reconocimiento externo que casi ningún país del Sur global posee, y lo ha hecho en el mismo trimestre en que redefine, internamente y a contrarreloj electoral, qué hace exactamente la autoridad que lo sostiene. El sello de oro y la casa por ordenar conviven, por ahora, en la misma dirección.
Nota metodológica. La “amplitud relativa” de la portada es una estimación propia en escala 0-100, construida para comparar el alcance de distintas decisiones de adecuación del GDPR, no una medición oficial. Pondera dos factores documentados: la cobertura sectorial (si la adecuación abarca sector público y privado o solo uno) y la reciprocidad (si es mutua o unilateral). Brasil obtiene el valor máximo por ser mutua y cubrir ambos sectores; las demás se sitúan por debajo según su alcance documentado (la de Japón, por ejemplo, se limitó esencialmente al sector privado). Las fechas, instrumentos legales y el límite relativo a seguridad pública proceden de los textos oficiales: la Decisión de Ejecución (UE) 2026/179 y la Resolución CD/ANPD N.º 32/2026, así como del dictamen del Comité Europeo de Protección de Datos de noviembre de 2025. La cifra de 670 millones de personas y el detalle de los decretos del 20 de mayo proceden de la cobertura de prensa citada. Cierre de datos: 23 de mayo de 2026.