Global Privacy Playbook: protección de datos en Iberia y Latinoamérica

Analizamos de forma comparada los principales marcos normativos en materia de protección de datos personales, abordando derechos de los titulares, obligaciones de las organizaciones, estándares de cumplimiento y enfoques regulatorios a nivel internacional.

Privacidad y cumplimiento, país por país

La protección de datos personales se ha consolidado como un eje estratégico para las organizaciones que operan en entornos cada vez más digitales, regulados y en constante transformación. En Iberoamérica, este desafío se intensifica ante la coexistencia de marcos normativos en evolución, con distintos niveles de madurez regulatoria y exigencias de cumplimiento.

Con el objetivo de ofrecer una visión clara, práctica y regional, se realiza nuestro Global Privacy Playbook que reúne las guías comparativas desarrolladas por las distintas oficinas de ECIJA. En este documento, se acompaña un análisis sistematizado de la normativa aplicable en cada una de las jurisdicciones, los principales deberes y obligaciones de cumplimiento de las organizaciones, los derechos de los titulares y los estándares de cumplimiento aplicables en cada país. De esa forma, el Dossier se estructura sobre la base de una metodología común y organizada en torno a preguntas transversales que permiten una lectura clara, ordenada y comparable de cada uno de los marcos normativos.

Imagen panorámica de la ciudad con el Obelisco de Buenos Aires como figura central.

Argentina

En Argentina, la protección de datos personales se rige por la Ley N.º 25.326 y se refuerza constitucionalmente a través de la acción de Habeas Data. La normativa reconoce los derechos de acceso, rectificación, actualización y supresión, e impone a las empresas obligaciones de confidencialidad, seguridad y transparencia en el tratamiento de los datos. 

El tratamiento de datos sensibles exige, con carácter general, el consentimiento del titular, salvo excepciones legales. No existe obligación expresa de notificar incidentes de seguridad ni de realizar evaluaciones de impacto, aunque ambas prácticas son recomendadas por la autoridad de control. El incumplimiento puede dar lugar a sanciones administrativas y penales, incluida la clausura de bases de datos. 

Una vista panorámica de montañas y una ciudad al atardecer con un cielo anaranjado.

Brasil

En Brasil, la protección de datos personales se rige por la Ley General de Protección de Datos (Ley N.º 13.709/2018) y se reconoce como un derecho fundamental en la Constitución. La normativa garantiza amplios derechos a los titulares —incluyendo acceso, rectificación, portabilidad y eliminación— e impone a las empresas un enfoque de responsabilidad proactiva, orientado a la seguridad, transparencia y uso legítimo de los datos. 

El tratamiento de datos sensibles requiere consentimiento específico, con excepciones legales tasadas. Es obligatoria la llevanza de registros de actividades, la notificación de incidentes de seguridad cuando exista riesgo relevante y la realización de evaluaciones de impacto en tratamientos de alto riesgo. El incumplimiento puede conllevar multas de hasta 50 millones de reales, así como el bloqueo o eliminación de datos.

La imagen muestra un rascacielos moderno iluminado al atardecer en una ciudad rodeada de montañas.

Chile

En Chile, la protección de datos personales se rige por la Ley N.º 19.628, modificada por la Ley N.º 21.719, y se encuentra garantizada constitucionalmente. La normativa reconoce los derechos BARSOP (bloqueo, acceso, rectificación, supresión, oposición y portabilidad) e impone a las empresas obligaciones reforzadas de transparencia, secreto, seguridad y protección de datos desde el diseño y por defecto

El tratamiento de datos sensibles exige consentimiento expreso, con excepciones legales. Es obligatoria la notificación de incidentes de seguridad y la realización de evaluaciones de impacto en tratamientos de alto riesgo, mientras que el registro de actividades no es obligatorio, aunque sí recomendado como buena práctica. El incumplimiento puede dar lugar a multas de hasta 20.000 UTM, que pueden incrementarse en caso de reiteración.

Vista panorámica de la ciudad de Bogotá con sus edificios y montañas al fondo.

Colombia

En Colombia, la protección de datos personales se rige por la Ley 1581 de 2012, aplicable al tratamiento de datos en bases de datos o archivos públicos y privados, en línea con las garantías constitucionales. La normativa reconoce derechos del titular como acceso/conocimiento, rectificación, supresión y revocatoria/oposición, además de poder solicitar prueba del consentimiento y presentar quejas ante la SIC. Las empresas deben garantizar estos derechos, mantener medidas de seguridad, gestionar adecuadamente a los encargados y contar con un manual interno de políticas y procedimientos, así como reportar a la autoridad incidentes o violaciones de seguridad.

El tratamiento de datos sensibles exige autorización expresa y reforzada, sin que pueda condicionarse un servicio a su entrega (p. ej., biométricos). No se exige un registro de actividades (RAT), pero sí el registro de bases de datos ante la SIC. Las brechas deben reportarse a la SIC en un máximo de 15 días hábiles desde su detección; informar a los titulares no es obligatorio, aunque es una buena práctica. El incumplimiento puede conllevar multas de hasta 2.000 salarios mínimos y medidas como suspensión o cierre de actividades.

La imagen muestra una plaza con una fuente ornamental y una iglesia al fondo, rodeada de árboles y un cielo despejado.

Ecuador

En Ecuador, la protección de datos personales está garantizada por la Constitución (art. 66.19) y se regula por la LOPDP, su Reglamento y las resoluciones de la SPDP. La normativa reconoce derechos ARCO+ (información, acceso, rectificación, actualización, eliminación, oposición, suspensión, portabilidad y a no ser objeto de decisiones automatizadas), y permite a los titulares realizar consultas al Registro Nacional de Protección de Datos Personales. Las empresas deben cumplir los principios aplicables y adoptar medidas técnicas, organizativas y legales acordes al riesgo, incorporando protección de datos desde el diseño y por defecto.

Los datos sensibles requieren, por regla general, consentimiento explícito, con excepciones tasadas. El uso de encargados exige contrato y, al finalizar el encargo, los datos deben devolverse o destruirse en 5 días. El RAT es obligatorio para responsables con 100 o más trabajadores o cuando el tratamiento no sea ocasional y/o implique riesgo o categorías especiales. Las brechas deben notificarse a la SPDP y a ARCOTEL en 5 días y, si existe riesgo para los titulares, informarles en 3 días; además, se exige EIPD en tratamientos de riesgo (p. ej., perfilado automatizado, biometría o gran escala). Las multas pueden alcanzar el 1% del volumen de negocios del ejercicio anterior.

Una estatua de caballo con un jinete frente a dos torres bajo un cielo azul.

El Salvador

En El Salvador, la protección de datos personales se regula por el Decreto N.º 144, que contiene la Ley para la Protección de Datos Personales, la cual establece los requisitos para el tratamiento legítimo de los datos y el marco normativo aplicable. La normativa reconoce los derechos ARCO-POL (acceso, rectificación, cancelación, oposición, portabilidad y limitación), que deben ejercerse ante el Delegado de Protección de Datos, con un plazo de 20 días hábiles para responder, prorrogables por otros 20.

Las empresas deben tratar los datos conforme a los principios legales y aplicar medidas técnicas, organizativas y de seguridad que garanticen su confidencialidad, integridad, disponibilidad y resiliencia durante todo el ciclo de vida de la información. Los datos sensibles requieren consentimiento expreso e inequívoco, con excepciones limitadas (protección de la vida, fines médicos, interés general o mandato legal). No es obligatorio contar con un Registro de Actividades de Tratamiento, aunque se recomienda como buena práctica. Las brechas de seguridad deben notificarse a la Agencia de Ciberseguridad del Estado, a la Fiscalía General de la República y a los titulares afectados en un plazo máximo de 72 horas. El incumplimiento puede conllevar multas de hasta 40 salarios mínimos mensuales del sector comercio.


Vista panorámica de la ciudad de Madrid al atardecer con edificios emblemáticos.

España

En España, la protección de datos personales se regula por el RGPD y la Ley Orgánica 3/2018 (LOPDGDD), que garantiza los derechos digitales conforme a la Constitución. La normativa reconoce los derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición y a no ser objeto de decisiones automatizadas, con un plazo general de un mes para que el responsable responda a las solicitudes.

Las empresas deben aplicar los principios del RGPD, realizar análisis de riesgos, adoptar medidas de seguridad adecuadas y, cuando proceda, designar un Delegado de Protección de Datos. El tratamiento de categorías especiales de datos está prohibido con carácter general, salvo excepciones legales. Es obligatorio contar con un Registro de Actividades de Tratamiento en determinados supuestos, notificar las brechas de seguridad a la AEPD en 72 horas y realizar evaluaciones de impacto en tratamientos de alto riesgo. Las sanciones pueden alcanzar 20 millones de euros o el 4% de la facturación anual global.

Una vista panorámica de un paisaje montañoso con flores rojas y edificios blancos al atardecer.

Honduras

En Honduras, no existe aún una ley específica de protección de datos personales, aunque actualmente se encuentra en discusión legislativa. No obstante, ciertos aspectos se regulan de forma dispersa en normas vigentes como la Ley de Transparencia y Acceso a la Información Pública, la Ley del Registro Nacional de las Personas y, a nivel constitucional, el artículo 76, que garantiza el derecho al honor, la intimidad personal y familiar y la propia imagen. Asimismo, el derecho de habeas data permite a los titulares acceder, actualizar y rectificar su información contenida en bases de datos públicas o privadas.

Las empresas deben actuar conforme a buenas prácticas, protegiendo la intimidad y el honor de los titulares, teniendo en cuenta que la divulgación indebida de información personal puede generar responsabilidad penal. No existe una regulación específica sobre datos sensibles, encargados de tratamiento, registro de actividades, notificación de brechas ni evaluaciones de impacto, por lo que se recomienda adoptar estándares internacionales, como el RGPD, como referencia. Actualmente, no se prevén sanciones administrativas ni multas específicas por incumplimientos en materia de protección de datos.


Una vista de una avenida en la Ciudad de México con el ángel de la independencia al fondo.

México

En México, la protección de datos personales en posesión de particulares se regula por la LFPDPPP, reformada en 2025, que desarrolla el derecho constitucional a la privacidad y reconoce los derechos ARCO (acceso, rectificación, cancelación y oposición), cuyo ejercicio debe habilitarse mediante mecanismos claros y definidos en el aviso de privacidad.

Las empresas deben cumplir los principios legales y aplicar medidas de seguridad administrativas, técnicas y físicas acordes al riesgo. Los datos sensibles requieren consentimiento expreso y por escrito, con excepciones legales. La relación con encargados debe formalizarse por contrato y el registro de actividades, aunque no obligatorio, es una buena práctica. Las brechas de seguridad deben notificarse a los titulares cuando puedan afectar significativamente sus derechos. Las sanciones pueden alcanzar 320.000 UMA, con incrementos por uso de datos sensibles y reincidencia.

Una vista de un edificio amarillo con cúpulas rojas y banderas, en un entorno urbano.

Nicaragua

En Nicaragua, la protección de datos personales se rige por la Ley N.º 787 (2012), que protege a personas naturales y jurídicas frente al tratamiento de datos en ficheros públicos y privados, en desarrollo del derecho constitucional a la privacidad personal y familiar. La normativa reconoce amplios derechos del titular —entre otros, acceso, oposición, rectificación, supresión, bloqueo y cancelación—, que deben ejercerse por escrito y resolverse en 10 días hábiles, e incluye el derecho al olvido digital.

Las empresas deben tratar los datos solo para las finalidades declaradas, aplicar medidas técnicas y organizativas de seguridad y garantizar el ejercicio de los derechos del titular. El tratamiento de datos sensibles está restringido y solo se permite en supuestos tasados (interés general con consentimiento, mandato judicial o uso estadístico/científico anonimizado), prohibiéndose la creación de ficheros de datos sensibles salvo habilitación legal. El tratamiento por encargados requiere contrato y medidas de seguridad. No es obligatorio un RAT, aunque se recomienda. Los incidentes deben reportarse a la DIPRODAP (no operativa en la práctica). Las EIPD no son obligatorias, pero se recomiendan. Las sanciones incluyen apercibimientos, suspensión de operaciones y clausura o cancelación de ficheros.

La imagen muestra una vista panorámica de una ciudad moderna al atardecer, con rascacielos y palmeras en primer plano.

Panamá

En Panamá, la protección de datos personales se regula por la Ley 81 de 2019 y su Decreto Ejecutivo N.º 285/2021, que establecen los principios, derechos y obligaciones para el tratamiento de datos en respeto a la vida privada. La normativa reconoce derechos irrenunciables de acceso, rectificación, cancelación, oposición y portabilidad, que deben ejercerse conforme a principios de licitud, finalidad, proporcionalidad, seguridad, transparencia y confidencialidad.

Las empresas deben tratar los datos de forma lícita, leal y segura, garantizando el ejercicio de los derechos de los titulares. Los datos sensibles se rigen por las mismas bases legales que los datos comunes, aunque el consentimiento debe ser previo, expreso e inequívoco. La relación con encargados exige mandato con protocolos y medidas técnicas y organizativas. No se regula expresamente el RAT, pero sí la documentación de tratamientos, especialmente si hay transferencias a terceros. Las brechas deben notificarse a la ANTAI y a los titulares en 72 horas. Las EIPD no están reguladas expresamente. Las sanciones pueden alcanzar 10.000 balboas, incluyendo clausura de bases de datos y suspensión o inhabilitación de la actividad.

Una plaza iluminada al atardecer con una hermosa arquitectura de fondo en Cusco, Perú.

Perú

En Perú, la protección de datos personales se regula por la Ley N.º 29.733 y su Reglamento (actualizado en 2024), que desarrollan el derecho constitucional a la protección de datos. La normativa reconoce derechos como acceso, información, rectificación, cancelación, oposición y portabilidad, y exige a los responsables facilitar su ejercicio mediante procedimientos claros.

Las empresas deben cumplir los principios legales, implementar medidas de seguridad y, en ciertos casos, designar un Oficial de Datos Personales. Los datos sensibles requieren consentimiento escrito, salvo excepciones legales. No es obligatorio contar con un RAT, aunque se recomienda. Las brechas graves deben notificarse a la autoridad en 48 horas y a los titulares. Las sanciones pueden alcanzar 100 UIT o hasta el 10% de los ingresos netos del año anterior.

Una vista panorámica de la ciudad con edificios coloridos a la orilla del agua bajo un cielo despejado.

Portugal

En Portugal, la protección de datos personales se regula por la Ley n.º 58/2019, que adapta la aplicación del RGPD al ordenamiento jurídico portugués. La normativa reconoce los derechos del RGPD —acceso, rectificación, supresión, limitación, portabilidad, oposición y a no ser objeto de decisiones automatizadas— y exige a los responsables habilitar canales para su ejercicio y responder en un mes, prorrogable.

Las empresas deben cumplir los principios del RGPD, aplicar medidas técnicas y organizativas adecuadas y garantizar la confidencialidad. Es obligatoria la designación de un Delegado de Protección de Datos en tratamientos a gran escala o de datos sensibles. El tratamiento de datos sensibles requiere consentimiento explícito o habilitación legal. La relación con encargados debe formalizarse por contrato y el Registro de Actividades de Tratamiento (RAT) es obligatorio para empresas de más de 250 empleados y en otros supuestos de riesgo. Las brechas deben notificarse a la CNPD en 72 horas y realizar EIPD en tratamientos de alto riesgo. Las sanciones pueden alcanzar 20 millones de euros o el 4% de la facturación anual global.


Una colorida calle con edificios de diferentes tonalidades y plantas en los balcones.

Puerto Rico

En Puerto Rico, la protección de datos personales se regula de forma sectorial, mediante leyes locales específicas y la legislación federal estadounidense, sin un catálogo uniforme de derechos, apoyándose en el derecho constitucional a la intimidad y en normas aplicables según la industria.

Las empresas deben aplicar medidas de seguridad razonables, evitar divulgaciones no autorizadas y notificar brechas al Departamento de Asuntos del Consumidor en un máximo de 10 días, así como informar a los titulares afectados. La información de menores requiere consentimiento expreso del menor y de sus representantes legales. No es obligatorio un RAT ni EIPD para el sector privado, aunque se recomiendan como buenas prácticas. Las sanciones pueden alcanzar USD 50.000 a nivel local y hasta USD 1.500.000 por infracciones federales.

Vista aérea de una hermosa playa con palmeras y un hotel cercano.

República Dominicana

En República Dominicana, la protección de datos personales se rige por la Ley N.º 172-13, en desarrollo del derecho constitucional a la intimidad y al honor (art. 44). La normativa protege los datos contenidos en archivos y bases públicas o privadas y reconoce los derechos ARCO (acceso, rectificación, cancelación y oposición), así como el hábeas data y el derecho a indemnización por daños y perjuicios.

Las empresas deben cumplir los principios legales, guardar secreto, aplicar medidas de seguridad y usar los datos solo para las finalidades declaradas. Los datos sensibles requieren consentimiento expreso y por escrito, con excepciones (salud y determinadas entidades). No se regula el RAT, la notificación de brechas ni las EIPD, aunque se recomiendan como buenas prácticas. Las sanciones pueden alcanzar 150 salarios mínimos y, para personas físicas, penas de prisión; a partir de 2026, el nuevo Código Penal prevé responsabilidad penal de las personas jurídicas, con atenuación si existen programas de prevención.


Vista aérea de una ciudad costera al atardecer con edificios y barcos en el agua.

Uruguay

En Uruguay, la protección de datos personales se regula por la Ley N.º 18.331 (2008) y sus modificativas, que reconocen este derecho como inherente a la persona humana conforme a la Constitución. La normativa reconoce derechos amplios del titular, como información, acceso, rectificación, actualización, inclusión, comunicación, supresión e impugnación de valoraciones personales, que deben atenderse en un plazo de 5 días hábiles.

Las empresas deben cumplir los principios de protección de datos, aplicar medidas técnicas y organizativas, garantizar privacidad desde el diseño y por defecto, gestionar y notificar incidentes de seguridad, y realizar evaluaciones de impacto cuando sea exigible (obligatorias, por ejemplo, en tratamientos biométricos). Los datos sensibles requieren consentimiento expreso y documentado, con excepciones legales. Es obligatorio llevar un registro de actividades e inscribir las bases de datos ante la URCDP. Las brechas deben notificarse en 72 horas a la autoridad y a los titulares afectados. Las sanciones pueden alcanzar 500.000 unidades indexadas y la suspensión o clausura de bases de datos.

Conclusión

La comparación de los marcos de protección de datos en Iberia y Latinoamérica evidencia un avance generalizado hacia una mayor protección de la privacidad, aunque con importantes diferencias en el grado de desarrollo y exigencia regulatoria entre países. Mientras algunas jurisdicciones cuentan con sistemas consolidados y alineados con estándares internacionales, otras se encuentran aún en fases de transición o con regulaciones parciales.

En este escenario, la protección de datos se consolida como un elemento estratégico para las organizaciones, especialmente en contextos transfronterizos. El Global Privacy Playbook de ECIJA ofrece una visión clara y comparada que permite comprender las obligaciones clave, anticipar riesgos y diseñar estrategias de cumplimiento eficaces y adaptadas a cada jurisdicción.

Descarga el informe completo
Una vista desde abajo de una estructura circular con luces que emanan de las paredes en un patrón radial.

Privacidad y Protección de Datos

Asesoramos a las compañías que lideran la transformación digital en datos, privacidad e inteligencia artificial, combinando expertise legal, visión estratégica y un profundo conocimiento de entornos tecnológicos altamente regulados.

Conoce más sobre el área
SIGN UP
Recibe las últimas tendencias en tu correo.
Apúntate a nuestra Newsletter