Notas de la IAPP América Latina: Brasil marca el ritmo mientras la región acelera su regulación en IA y protección de datos

Saludos desde América Latina, una región que, en los primeros meses de 2026, no ha dado respiro a quienes seguimos de cerca la intersección entre IA, privacidad y gobernanza digital. 

Si tuviéramos que elegir un protagonista de este trimestre, ese lugar lo debería ocupar sin dudas Brasil. El 8 de abril de 2026 marcó un hito institucional: la Autoridade Nacional de Proteção de Dados se consolidó formalmente como agencia regulatoria autónoma, con patrimonio propio, sede en el Distrito Federal y, lo más importante, independencia funcional, técnica y financiera. Para quienes seguimos este tema de cerca, podemos ver en este decreto una señal clara de Brasil en lo que hace a la protección de los datos personales.

En paralelo, el 17 de marzo venció el período de gracia del Estatuto Digital de Niños y Adolescentes (ECA Digital), que introduce obligaciones específicas para proveedores de servicios digitales en materia de IA generativa, verificación de edad y evaluaciones de riesgo algorítmico. Días después, la ANPD publicó sus Directrices Preliminares sobre Mecanismos Confiables de Evaluación de Edad —un primer paso regulatorio que anticipa lo que será una oleada de normativa secundaria durante el segundo semestre del año. 

El mapa de temas prioritarios para 2026–2027, aprobado a fines de 2025, ya dejaba clara la hoja de ruta: protección de datos de menores, IA y toma de decisiones automatizada, y gobernanza del sector público.

En México, la reforma a la ley federal de protección de datos del sector privado entró en vigor, aunque mantiene en gran medida la estructura de 2010. La nueva autoridad de datos personales aún no ha emitido regulación secundaria ni sanciones públicas, pero hay indicios de investigaciones preliminares sobre el manejo de datos sensibles y la gestión de incidentes de seguridad. En paralelo, el gobierno avanza en la implementación de un sistema de identidad digital biométrica y presentó un Plan Nacional de Ciberseguridad 2025–2030. El año se perfila como un período de transición en el que las organizaciones deberán tomar decisiones de cumplimiento sin contar aún con criterios de aplicación definitivos.

Argentina sigue operando bajo una ley de protección de datos del año 2000 que no ha sido actualizada. El debate legislativo sobre su modernización continúa abierto, sin que haya un proyecto con suficiente avance parlamentario como para anticipar una reforma en el corto plazo. En la práctica, los tribunales han comenzado a resolver casos concretos vinculados al uso de sistemas de reconocimiento facial por parte del Estado, generando jurisprudencia en ausencia de una legislación específica sobre IA. 

La autoridad de datos, la AAIP, ha impulsado iniciativas de transparencia y ha creado un programa de protección de datos en el contexto de IA, pero con una capacidad limitada en cuanto a su cumplimiento y aplicación efectiva. La brecha entre el ritmo de adopción de tecnología y el marco normativo vigente aparece, para muchos, como el principal desafío. 

A nivel regional, la Cumbre Global de la IAPP, celebrada en Washington a fines de marzo, reunió a autoridades de distintos países, incluyendo Brasil, Argentina y Ecuador, para compartir prioridades de aplicación y avanzar en la construcción del Observatorio Iberoamericano de Protección de Datos —un espacio de cooperación técnica que podría marcar un antes y un después en la armonización regulatoria latinoamericana.

El mensaje que emerge de estos primeros meses es consistente: América Latina ya no está en modo de promesa regulatoria. Está en modo de ejecución.