LGPD en 2025: Cinco años de evolución, cambios clave y cómo mantener tu empresa en cumplimiento
En 2025, la LGPD (Ley General de Protección de Datos) cumple cinco años de vigencia. El texto, publicado en 2018 en el Diario Oficial de la Unión, regula el tratamiento de datos personales en América Latina, garantizando la seguridad y la privacidad de la información de los individuos. El principal objetivo es otorgar autoridad al propietario de los datos para decidir cómo y por cuánto tiempo esa información puede ser utilizada por una empresa.
Aunque es una ley reciente, ya ha sufrido algunos cambios para adecuarse a la realidad de las compañías. A continuación, explicamos más sobre la legislación y los principales cambios desde su aprobación. ¡Revísalos y asegura que tu empresa esté al día!
Qué dice la LGPD
La LGPD fue creada para establecer una relación más transparente entre personas físicas y empresas, garantizando, básicamente, que la información proporcionada por un individuo a una compañía esté segura. Además, la persona debe estar consciente de cómo, por cuánto tiempo y con qué fin serán utilizados sus datos.
Según la legislación, los datos personales son cualquier información que permita identificar a una persona física, directa o indirectamente. Esto abarca información básica como nombre, CPF, RG, fecha de nacimiento, dirección, correo electrónico, entre otros.
La legislación también creó la categoría de datos sensibles, que son informaciones con potencial discriminatorio, como origen racial o étnico, convicciones religiosas o políticas, datos de salud, información genética o biométrica, y orientación sexual.
Por ello, las empresas deben adoptar protocolos estrictos de protección y seguridad de datos, y el incumplimiento puede generar sanciones como multas de hasta el 2% del facturado y hasta la prohibición de actividades que involucren el tratamiento de datos. La fiscalización es responsabilidad de la ANPD (Autoridad Nacional de Protección de Datos).
En favor de la transparencia, el texto también establece que las organizaciones están obligadas a informar cuando surja algún problema, como filtraciones de archivos o ciberataques que comprometan la seguridad de los documentos.
Principales cambios desde la implementación
Nuevas reglas para el DPO:
El DPO (Data Protection Officer), o encargado del tratamiento de datos, es una de las figuras creadas por la LGPD. Es el punto de contacto entre la organización que realiza el tratamiento de datos y la ANPD, funcionando como canal de comunicación con los titulares de los datos personales.
La Resolución 18, editada por la autoridad de protección de datos en 2024, complementa el texto original sobre el papel del DPO. Por ejemplo, esta persona debe ser designada mediante un acto formal, con la firma de un Término de Nombramiento que detalle todas las actividades y responsabilidades del encargado.
Además, el encargado del tratamiento de datos puede ser una persona física, integrante o no de la empresa que trata los datos, así como una persona jurídica, sin necesidad de inscripción en alguna entidad o certificación. El único requisito es que sea capaz de comunicarse con los titulares de los datos y la ANPD.
La Resolución también determina que no debe existir conflicto de intereses entre el DPO y la forma en que se tratan los datos. En la práctica, esto significa que, en la mayoría de los casos, lo ideal es recurrir a un encargado de tratamiento de datos externo a la compañía.
Determinaciones para MEIs, pequeñas y medianas empresas:
La Resolución 2, publicada en 2022, simplificó las reglas de la LGPD para MEIs (Microemprendedores Individuales), pequeñas y medianas empresas. También abarca startups, profesionales liberales e instituciones sin fines de lucro.
Aunque se clasifican como agentes de tratamiento de datos de pequeño porte, deben adoptar políticas rígidas de protección y seguridad de datos, además de transparencia en el tratamiento de la información personal, per