Key Takeaways
- La LGPD (Lei nº 13.709/2018) es la ley de protección de datos de Brasil, vigente desde septiembre de 2020 y aplicada desde agosto de 2021; el regulador es la ANPD.
- Un estudio de la FGV halló que las siete grandes plataformas de IA en la nube (ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek, Meta AI) no cumplen plenamente la LGPD en 14 criterios.
- Una falla común en la nube: políticas de privacidad no disponibles en portugués, un requisito claro de la LGPD.
- La IA en la nube normalmente transfiere datos fuera de Brasil durante la inferencia — la LGPD restringe las transferencias internacionales sin salvaguardas.
- Ejecutar LLMs localmente mantiene los datos en el país en el momento de la inferencia, atacando el problema de la transferencia de raíz.
- La IA local no es una solución mágica de cumplimiento: aún necesitas una base legal, procesos para el titular y un DPO cuando se requiera.
- Esto es informativo, no es asesoramiento legal. Consulta a un DPO o abogado para tu situación específica.
¿Qué es la LGPD?
La LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018) es la ley general de protección de datos de Brasil. Entró en vigor en septiembre de 2020, con sanciones administrativas aplicables desde agosto de 2021. El regulador es la ANPD (Autoridade Nacional de Proteção de Dados).
La LGPD se aplica a cualquier organización que trate datos personales de individuos en Brasil, sin importar dónde esté ubicada la propia organización. Al igual que el GDPR de la UE, tiene alcance extraterritorial.
Obligaciones centrales relevantes para el uso de IA: una base legal para cada actividad de tratamiento, derechos del titular (acceso, corrección, eliminación, portabilidad), minimización de datos y restricciones a las transferencias internacionales sin salvaguardas adecuadas. Una política de privacidad debe estar disponible en portugués.
Las sanciones alcanzan hasta el 2% de los ingresos de la empresa en Brasil, con un tope de R$ 50 millones por infracción, además de advertencias, suspensión del tratamiento de datos y divulgación pública de la infracción.
La LGPD (Lei nº 13.709/2018) es la ley de protección de datos de Brasil, aplicada por la ANPD, que exige una base legal, derechos del titular y restricciones a la transferencia de datos personales fuera de Brasil.
La LGPD es la versión brasileña de una ley de privacidad como el GDPR europeo. Si tu empresa maneja información personal de personas en Brasil — nombres, correos, documentos, cualquier cosa que identifique a alguien — la LGPD dice que debes tener una razón legal para hacerlo, dejar que las personas vean y eliminen sus datos, y tener cuidado al enviar esos datos a otros países. El organismo que la aplica se llama ANPD. Las multas pueden alcanzar el 2% de tus ingresos en Brasil, hasta R$ 50 millones por infracción.
Por qué la IA en la nube tiene dificultades con la LGPD
Un estudio del Centro de Tecnología y Sociedad de la FGV Direito Rio (parte de su proyecto Gobernanza de Plataformas y Regulación de Datos) evaluó cómo las grandes plataformas de IA generativa cumplen las obligaciones de la LGPD. Examinó 14 criterios en ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek y Meta AI — y constató que ninguna cumplía plenamente. Gemini, Claude y Meta AI obtuvieron los mejores resultados, cumpliendo cada una 10 de 14 criterios.
La falla más constante fue la transparencia: muchas plataformas no ponen sus políticas de privacidad a disposición en portugués, lo que contradice directamente un requisito de la LGPD. La ANPD también publicó un estudio preliminar sobre IA generativa, señalando atención regulatoria al sector.
Un segundo problema estructural es la ubicación de los datos. Cuando envías un prompt a un servicio de IA en la nube, esos datos normalmente salen de Brasil y se procesan en servidores en el extranjero. La LGPD restringe las transferencias internacionales de datos personales salvo que se apliquen salvaguardas específicas — por lo que el uso rutinario de IA en la nube extranjera para datos personales o sensibles conlleva riesgo de transferencia.
Esto no es asesoramiento legal. La tabla siguiente resume factores de riesgo observables públicamente; consulta a un DPO o abogado antes de confiar cualquier plataforma con datos regulados.
| Plataforma de IA en la nube | ¿Política de privacidad en PT? | ¿Los datos salen de Brasil? | Riesgo LGPD |
|---|---|---|---|
| ChatGPT | No | Sí | Alto |
| Gemini | Parcial* | Sí | Alto |
| Claude | Parcial* | Sí | Alto |
| Copilot | Parcial* | Sí | Alto |
| DeepSeek | No | Sí | Alto |
| Grok | No | Sí | Alto |
| Meta AI | Parcial* | Sí | Alto |
*"Parcial" refleja una cobertura mixta o incompleta en portugués en el momento del estudio de la FGV; verifica el estado actual directamente con cada proveedor. Las siete plataformas tuvieron fallas en los 14 criterios de la LGPD examinados. Esta tabla resume factores de riesgo y no es asesoramiento legal.
Cómo la IA local aborda la soberanía de datos
Ejecutar un LLM localmente significa que la inferencia ocurre en hardware que tú controlas — una laptop, una estación de trabajo o un servidor on-premise. Los prompts que envías, los documentos que introduces y las respuestas generadas nunca salen de tu infraestructura. No hay transferencia internacional de datos en el momento de la inferencia, lo que elimina el mayor punto de fricción de la LGPD con la IA en la nube.
Para una configuración local rápida, Ollama ejecuta modelos con un solo comando en Windows, macOS o Linux. Para servidores solo con CPU o entornos aislados (air-gapped), llama.cpp ofrece un control granular. Ambos mantienen todo el procesamiento local.
La IA local no es, por sí sola, una solución completa de cumplimiento. Aún necesitas una base legal para tratar datos personales, procesos para honrar los derechos del titular sobre cualquier dato que almacenes en logs o bases de datos, una política de retención de datos y gobernanza interna de datos. Cuando tu escala y tipos de datos lo exijan, aún necesitas un DPO. Lo que la inferencia local elimina es el problema de la transferencia transfronteriza — no elimina tus demás obligaciones de la LGPD.
Esto es informativo, no es asesoramiento legal. Un despliegue local debe ser revisado por tu DPO o asesoría legal como parte de un programa general de cumplimiento.
Configuración recomendada para empresas brasileñas
Un stack de IA local práctico y amigable con la LGPD para la mayoría de las empresas brasileñas combina un runtime fácil con un modelo capaz en portugués. Para la parte de modelos específicamente, consulta nuestra guía complementaria sobre los mejores LLMs locales para portugués brasileño.
- Runtime — Ollama (recomendado): instalación y gestión de modelos con un comando en Windows, macOS o Linux. Mejor punto de partida para la mayoría de los equipos.
- Runtime — LM Studio: una interfaz gráfica para usuarios no técnicos; admite cargar modelos GGUF directamente.
- Modelo — Qwen3 8B: portugués brasileño fuerte, funciona con 8GB de VRAM. `ollama run qwen3:8b`.
- Modelo — Qwen3 14B: mayor calidad para portugués con matices, necesita ~9GB de VRAM. `ollama run qwen3:14b`.
- Modelo — Llama 3.1 8B: alternativa competitiva en portugués, también en Ollama. `ollama run llama3.1:8b`.
- Hardware: cualquier máquina con 8GB+ de RAM ejecuta modelos pequeños solo con CPU; 16GB de RAM (o una GPU con 8GB+ de VRAM) da velocidad interactiva utilizable para modelos 8B; 16GB+ de VRAM para modelos 14B.
IA en la nube vs LLM local para la LGPD
La comparación siguiente se centra en las diferencias relevantes para la LGPD entre usar un servicio de IA en la nube extranjero y ejecutar un LLM local en tu propia infraestructura.
| Factor | IA en la nube (ChatGPT/Gemini/Claude) | LLM local (Ollama + Qwen3) |
|---|---|---|
| Ubicación de los datos | Servidores en el extranjero | Tu propio hardware en Brasil |
| Política de privacidad en portugués | A menudo ausente o parcial | Tú controlas la documentación |
| Riesgo de transferencia internacional | Alto (los datos salen de Brasil) | Ninguno en la inferencia |
| Control de datos en la inferencia | Controlado por el proveedor | Totalmente tuyo |
| Costo de implementación | Baja configuración, tarifas por uso | Hardware inicial, sin tarifas por uso |
| Exposición a auditoría de la ANPD | Mayor (transferencia + brechas de transparencia) | Menor para residencia de datos |
| Necesidad de supervisión de DPO | Sí | Sí (la IA local no elimina esto) |
El despliegue local reduce el riesgo de residencia y transferencia de datos, pero no entrega, por sí solo, un cumplimiento total de la LGPD. Esta tabla es informativa, no es asesoramiento legal.
FAQ
¿Ejecutar un LLM local hace que mi empresa cumpla la LGPD?
No — no por sí solo. Ayuda mucho con la residencia de datos, porque los datos nunca salen de tu infraestructura en el momento de la inferencia. Pero aún necesitas una base legal para el tratamiento, procesos para los derechos del titular, políticas de retención de datos y un DPO cuando se requiera. Esto es informativo, no es asesoramiento legal.
¿Es ilegal que las empresas brasileñas usen ChatGPT o Gemini?
No automáticamente. Usar IA en la nube no está prohibido, pero las organizaciones pueden enfrentar escrutinio de la ANPD — especialmente al tratar datos personales sensibles mediante servicios que transfieren datos al extranjero sin salvaguardas adecuadas o que carecen de una política de privacidad en portugués. Evalúa el riesgo con tu DPO.
¿Qué datos quedan locales cuando ejecuto un LLM localmente?
Todo lo relacionado con la inferencia: los prompts que envías, cualquier documento que introduces al modelo y las respuestas que genera. Nada de esto sale de tu máquina o servidor durante el procesamiento.
¿Sigo necesitando un DPO si uso IA local?
Depende de tu escala de tratamiento y de los tipos de datos que manejes. La IA local simplifica el panorama de residencia de datos, pero no elimina las obligaciones de DPO. Confirma tu requisito específico con asesoría legal.
¿Qué modelo de LLM local funciona mejor para el portugués?
Qwen3 8B es la opción práctica más fuerte para la mayoría de los usuarios, y Sabiá-3 de Maritaca AI ofrece la mayor calidad en portugués. Consulta nuestra guía complementaria: mejores LLMs locales para portugués brasileño.
¿Puedo ejecutar IA local en una laptop empresarial estándar?
Sí. Qwen3 8B funciona en una máquina con 16GB de RAM a aproximadamente 2–4 tokens/seg solo con CPU vía Ollama. Con una GPU (8GB+ de VRAM), la velocidad interactiva salta a 15–20 tokens/seg.
¿Qué es la ANPD?
La ANPD (Autoridade Nacional de Proteção de Dados) es la autoridad nacional de protección de datos de Brasil, establecida bajo la LGPD para supervisar y aplicar la ley. La orientación oficial está en gov.br/anpd.
¿El estudio de la FGV es orientación oficial del gobierno?
No. El estudio proviene del Centro de Tecnología y Sociedad de la FGV Direito Rio, una institución académica. Para orientación oficial, consulta a la ANPD en gov.br/anpd.
¿Y la LGPD para datos de RR. HH. y de empleados en herramientas de IA?
Los datos de empleados y candidatos son datos personales bajo la LGPD, y el tratamiento de RR. HH. a menudo implica categorías sensibles. Introducir esos datos en IA en la nube plantea cuestiones de transferencia y base legal; la IA local los mantiene internos, pero aún necesitas gobernanza. Revísalo con tu DPO.
¿Cómo se compara la LGPD con el GDPR?
Comparten una estructura: ambas otorgan derechos al titular, exigen una base legal y restringen las transferencias internacionales. Las sanciones de la LGPD alcanzan hasta el 2% de los ingresos en Brasil, con un tope de R$ 50 millones por infracción — topes nominales menores que los del GDPR, pero aplicadas por la ANPD de Brasil.
Lecturas relacionadas
- Mejores LLMs locales para portugués brasileño (2026) — Qué modelos producen la mejor salida en PT-BR y cómo ejecutarlos
- Local AI and LGPD — English Version
- IA Local e LGPD — Versão em Português
- Lista de verificación de seguridad y privacidad de LLM local — Cómo proteger un despliegue de IA local
- Cumplimiento empresarial: GDPR, HIPAA, SOC2 — Cómo los LLMs locales encajan en otros marcos regulatorios
- ¿Qué son los LLMs locales?
- Configuración de LLM local para equipos — Desplegar IA local en una empresa
- LLMs locales On-Prem y Air-Gapped — Máximo aislamiento de datos para cargas reguladas
Fuentes
- FGV Direito Rio, Center for Technology and Society. "Study assesses how generative AI platforms fulfill legal obligations in the processing of personal data." Platform Governance and Data Regulations project — https://portal.fgv.br/en/noticias/study-assesses-how-generative-ai-platforms-fulfill-legal-obligations-processing-personal
- ANPD (Autoridade Nacional de Proteção de Dados). Estudio preliminar sobre IA generativa — referenciado vía análisis del Future of Privacy Forum, fpf.org
- Brasil. Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD). Texto oficial — planalto.gov.br