A recente promulgação da nova Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP) marca uma inflexão relevante na governança da privacidade no México. Em contraste, o Brasil consolida sua experiência com a Lei Geral de Proteção de Dados (LGPD), reconhecida como um marco mais alinhado a padrões internacionais e a uma estrutura institucional autônoma. A comparação entre os dois países revela caminhos regulatórios distintos quanto à institucionalidade, ao protagonismo do consentimento e ao acesso efetivo à proteção de direitos.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
A nova LFPDPPP foi publicada em 20 de março de 2025 e entrou em vigor no dia seguinte, revogando a legislação de 2010. A reforma integra um movimento mais amplo de reorganização constitucional, por meio de uma modificação do artigo 6º da Constituição Mexicana, voltada à simplificação administrativa do Estado. Nesse processo, o Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) foi extinto, e suas atribuições foram transferidas à recém-criada Secretaria Anticorrupção e Bom Governo (SABG), que agora exerce o papel de autoridade reguladora no tema.
A SABG assume essa função por meio de uma Diretoria-Geral de Dados Pessoais no Setor Privado, concentrando as funções regulatórias no âmbito do Poder Executivo. Essa centralização é um dos pontos mais controversos da nova legislação mexicana, sobretudo por substituir um órgão constitucional autônomo por uma secretaria vinculada diretamente à Presidência. A eliminação da obrigação de prestação de contas ao Congresso também é vista como um enfraquecimento institucional e democrático, com impactos potenciais na efetividade das garantias fundamentais.
No Brasil, o cenário é diferente. A Autoridade Nacional de Proteção de Dados (ANPD) desempenha papel central na consolidação da LGPD. Inicialmente vinculada à Presidência, a ANPD foi convertida em autarquia de natureza especial em 2022 (Lei nº 14.460/2022), com autonomia técnica, estrutura colegiada e vinculação ao Ministério da Justiça. Cabe à ANPD interpretar e aplicar a LGPD, regulamentar normas, fiscalizar agentes de tratamento e promover a cultura da proteção de dados. O reconhecimento do direito à proteção de dados como garantia fundamental (Emenda Constitucional nº 115/2022) reforça esse arcabouço e posiciona a privacidade como um dos pilares do Estado democrático de direito no país.
No plano conceitual, a nova LFPDPPP amplia a definição de dado pessoal para abranger qualquer informação relativa a uma pessoa identificada ou identificável, sem restringir expressamente sua aplicação a pessoas físicas. Essa ausência abre margem para interpretações que incluam pessoas jurídicas como titulares de dados — algo que contrasta com a doutrina e a prática internacional. Além disso, a nova redação do conceito de tratamento passa a incluir expressamente operações manuais e automatizadas, alinhando-se, nesse ponto, à abrangência já prevista na LGPD.
Informações direto ao ponto sobre o que realmente importa: assine gratuitamente a JOTA Principal, a nova newsletter do JOTA
Uma das mudanças centrais na lei mexicana está a adoção do consentimento tácito como regra geral para o tratamento de dados pessoais — mudança significativa em relação à legislação anterior, que adotava o consentimento expresso como padrão. Pela nova lógica, considera-se que o titular consente com o tratamento caso não se oponha após o recebimento do aviso de privacidade, exceto nos casos que envolvam dados sensíveis ou patrimoniais. Ainda que essa abordagem facilite rotinas operacionais, ela reduz o grau de controle conferido ao titular, especialmente diante de contextos marcados por assimetrias informacionais – onde a ausência de oposição dificilmente pode ser equiparada a uma manifestação de vontade livre e informada.
A LGPD, por sua vez, destaca-se por não conferir primazia ao consentimento como base legal. A lei prevê dez bases legais para dados pessoais (art. 7º) e oito para dados sensíveis (art. 11), todas juridicamente equivalentes, cabendo ao controlador avaliar qual é a mais adequada em cada caso. O consentimento, embora possível, não é a principal via de legitimação e, na prática, tende a ser menos utilizado por trazer mais riscos jurídicos: pode ser revogado a qualquer momento (art. 8º, §5º), exige manifestação livre, informada e específica, e pode ser questionado quanto à sua validade. Por isso, muitas organizações preferem fundamentar seus tratamentos em bases como execução de contratos, cumprimento de obrigações legais ou interesse legítimo.
Outro aspecto importante da LFPDPPP está na reformulação do conceito de dado pessoal sensível. A nova redação mantém a indicação de categorias clássicas — como dados sobre saúde, convicções religiosas ou origem étnica —, mas deixa explícito que se trata de um rol exemplificativo, algo não definido expressamente na LGPD. Embora essa abertura traga flexibilidade interpretativa e facilite a incorporação de novos contextos tecnológicos e sociais, a retirada de certas referências explícitas, como a filiação sindical, pode gerar incertezas quanto à abrangência da proteção e abrir margem para interpretações que fragilizem garantias tradicionalmente consolidadas.
Há também diferenças na forma como se estruturam os mecanismos de resolução de conflitos entre titulares e responsáveis pelo tratamento de dados. No México, a nova LFPDPPP passou a prever o juízo de amparo como meio principal de impugnação das decisões da autoridade reguladora. Trata-se de uma ação constitucional que exige conhecimento técnico, representação jurídica e acesso ao Poder Judiciário, o que tende a tornar o processo mais formal, oneroso e distante da realidade da maior parte da população. Ainda que estejam previstos tribunais especializados, a substituição de um mecanismo administrativo por uma via essencialmente judicial reduz a capilaridade da proteção e a acessibilidade ao exercício dos direitos.
No Brasil, o titular tem a opção de buscar a via administrativa gratuita junto à ANPD caso não tenha seu pedido atendido pelo controlador (art. 18, §1º). Essa possibilidade não impede o acesso direto ao Judiciário, mas oferece uma alternativa acessível, que dispensa advogado e permite a mediação técnica por parte da autoridade. Com poderes orientadores e sancionadores, a ANPD também contribui para a construção contínua de entendimentos regulatórios por meio de guias, pareceres e notas técnicas. Esse modelo favorece a disseminação de boas práticas, reforça a segurança jurídica e amplia o acesso à proteção de dados, especialmente para titulares em situação de vulnerabilidade.
Nesse contexto, a LGPD tem fortalecido a imagem do Brasil como um país comprometido com padrões internacionais de proteção de dados, sendo bem recebida por autoridades estrangeiras e pelo setor privado global. Em contrapartida, a reforma mexicana pode enfraquecer a imagem do país nesse aspecto, especialmente junto a parceiros europeus e latino-americanos, devido à substituição do INAI por um órgão vinculado ao Executivo e à ausência de uma autoridade técnica independente — fatores que podem comprometer a confiança no nível de proteção de dados do país.
Conclui-se que, embora Brasil e México compartilhem o reconhecimento formal do direito à proteção de dados, as escolhas institucionais de cada país apontam caminhos distintos. Enquanto o Brasil fortalece sua autoridade reguladora e se aproxima de padrões internacionais de governança, o México opta por uma recentralização no Executivo que, embora ainda incipiente, já levanta preocupações. Acompanharemos os próximos desdobramentos.
