Nova lei mexicana amplia a definição de dado pessoal para abranger qualquer informação relativa a uma pessoa identificada
A recente promulgação da nova Lei Federal de Proteção de Dados Pessoais em Posse de Particulares (LFPDPPP) marca uma inflexão relevante na governança da privacidade no México. Em contraste, o Brasil consolida sua experiência com a Lei Geral de Proteção de Dados (LGPD), reconhecida como um marco mais alinhado a padrões internacionais e a uma estrutura institucional autônoma. A comparação entre os dois países revela caminhos regulatórios distintos quanto à institucionalidade, ao protagonismo do consentimento e ao acesso efetivo à proteção de direitos.
Uma das mudanças centrais na lei mexicana está a adoção do consentimento tácito como regra geral para o tratamento de dados pessoais — mudança significativa em relação à legislação anterior, que adotava o consentimento expresso como padrão. Pela nova lógica, considera-se que o titular consente com o tratamento caso não se oponha após o recebimento do aviso de privacidade, exceto nos casos que envolvam dados sensíveis ou patrimoniais. Ainda que essa abordagem facilite rotinas operacionais, ela reduz o grau de controle conferido ao titular, especialmente diante de contextos marcados por assimetrias informacionais – onde a ausência de oposição dificilmente pode ser equiparada a uma manifestação de vontade livre e informada.
A LGPD, por sua vez, destaca-se por não conferir primazia ao consentimento como base legal. A lei prevê dez bases legais para dados pessoais (art. 7º) e oito para dados sensíveis (art. 11), todas juridicamente equivalentes, cabendo ao controlador avaliar qual é a mais adequada em cada caso. O consentimento, embora possível, não é a principal via de legitimação e, na prática, tende a ser menos utilizado por trazer mais riscos jurídicos: pode ser revogado a qualquer momento (art. 8º, §5º), exige manifestação livre, informada e específica, e pode ser questionado quanto à sua validade. Por isso, muitas organizações preferem fundamentar seus tratamentos em bases como execução de contratos, cumprimento de obrigações legais ou interesse legítimo.
Outro aspecto importante da LFPDPPP está na reformulação do conceito de dado pessoal sensível. A nova redação mantém a indicação de categorias clássicas — como dados sobre saúde, convicções religiosas ou origem étnica —, mas deixa explícito que se trata de um rol exemplificativo, algo não definido expressamente na LGPD. Embora essa abertura traga flexibilidade interpretativa e facilite a incorporação de novos contextos tecnológicos e sociais, a retirada de certas referências explícitas, como a filiação sindical, pode gerar incertezas quanto à abrangência da proteção e abrir margem para interpretações que fragilizem garantias tradicionalmente consolidadas.
Há também diferenças na forma como se estruturam os mecanismos de resolução de conflitos entre titulares e responsáveis pelo tratamento de dados. No México, a nova LFPDPPP passou a prever o juízo de amparo como meio principal de impugnação das decisões da autoridade reguladora. Trata-se de uma ação constitucional que exige conhecimento técnico, representação jurídica e acesso ao Poder Judiciário, o que tende a tornar o processo mais formal, oneroso e distante da realidade da maior parte da população. Ainda que estejam previstos tribunais especializados, a substituição de um mecanismo administrativo por uma via essencialmente judicial reduz a capilaridade da proteção e a acessibilidade ao exercício dos direitos.
No Brasil, o titular tem a opção de buscar a via administrativa gratuita junto à ANPD caso não tenha seu pedido atendido pelo controlador (art. 18, §1º). Essa possibilidade não impede o acesso direto ao Judiciário, mas oferece uma alternativa acessível, que dispensa advogado e permite a mediação técnica por parte da autoridade. Com poderes orientadores e sancionadores, a ANPD também contribui para a construção contínua de entendimentos regulatórios por meio de guias, pareceres e notas técnicas. Esse modelo favorece a disseminação de boas práticas, reforça a segurança jurídica e amplia o acesso à proteção de dados, especialmente para titulares em situação de vulnerabilidade.
Nesse contexto, a LGPD tem fortalecido a imagem do Brasil como um país comprometido com padrões internacionais de proteção de dados, sendo bem recebida por autoridades estrangeiras e pelo setor privado global. Em contrapartida, a reforma mexicana pode enfraquecer a imagem do país nesse aspecto, especialmente junto a parceiros europeus e latino-americanos, devido à substituição do INAI por um órgão vinculado ao Executivo e à ausência de uma autoridade técnica independente — fatores que podem comprometer a confiança no nível de proteção de dados do país.
Conclui-se que, embora Brasil e México compartilhem o reconhecimento formal do direito à proteção de dados, as escolhas institucionais de cada país apontam caminhos distintos. Enquanto o Brasil fortalece sua autoridade reguladora e se aproxima de padrões internacionais de governança, o México opta por uma recentralização no Executivo que, embora ainda incipiente, já levanta preocupações. Acompanharemos os próximos desdobramentos.