Durante años, el consenso informal en el sector fue que la regulación de privacidad era un problema europeo. El GDPR llegó en 2018, sacudió la infraestructura de consent management en toda la cadena programática y, a distancia prudente, LATAM observó sin modificar demasiado sus prácticas. Ese período terminó.
Brasil tiene una ley de datos vigente y una autoridad que ya aplica sanciones. Chile publicó en diciembre de 2024 una norma que entra en vigor en diciembre de 2026. Colombia tiene en el Congreso un proyecto estatutario que reformaría una ley de 2012 hoy insuficiente para el entorno de publicidad automatizada. En paralelo, los estándares técnicos que gobiernan cómo fluye el consentimiento entre DSPs, SSPs y publishers están en proceso de actualización obligatoria.
Para los profesionales de programática en la región, entender este mapa no es opcional. Afecta directamente qué datos se pueden usar para segmentación, cómo deben estructurarse los consent flows y qué riesgos asumen los operadores de campañas que no ajusten sus procesos.
Brasil: la ANPD ya sanciona
La Lei Geral de Proteção de Dados Pessoais (LGPD), en vigor desde septiembre de 2020, pasó sus primeros tres años en modo de transición. La Autoridade Nacional de Proteção de Dados (ANPD) acumuló capacidad institucional, emitió guías y corrió consultas públicas. En julio de 2023, aplicó su primera sanción de multa contra la empresa Telekall Infoservice, por infracción al artículo 7° de la LGPD. El tono del regulador cambió.
En 2024 y 2025, la ANPD escaló su postura hacia fiscalización activa. La Nota Técnica 54/2025, que fija el Mapa de Temas Prioritarios 2026-2027, coloca la publicidad dirigida (perfilización) entre las áreas de supervisión prioritaria. Los sistemas de DSP que construyen audiencias a partir de datos de comportamiento sin base legal documentada están directamente en el campo de visión del regulador.
El marco de sanciones es concreto. Según el texto oficial publicado en el portal de la ANPD, la LGPD permite multas de hasta el 2 % de la facturación de la empresa en Brasil en el ejercicio anterior. El tope es de R$ 50 millones por infracción (aproximadamente USD 9,65 millones al tipo de cambio de junio de 2026). En 2024, la autoridad publicó además la Resolución CD/ANPD No. 19/2024 sobre transferencias internacionales de datos. La norma exige cláusulas contractuales estándar aprobadas por la ANPD para cualquier transferencia de datos de usuarios brasileños hacia el exterior.
El plazo de adecuación a ese mecanismo venció en agosto de 2025. Los ad tech vendors que procesan datos de usuarios brasileños en servidores fuera del país (práctica habitual en programática global) necesitaban tener esas cláusulas en sus contratos.
Chile: la cuenta regresiva para diciembre de 2026
El 13 de diciembre de 2024, Chile publicó en el Diario Oficial la Ley No. 21.719, que reemplaza íntegramente la antigua Ley 19.628 de 1999. La nueva norma entra en vigor el 1 de diciembre de 2026 y crea la Agencia de Protección de Datos Personales (APDP), el primer regulador especializado que tendrá el país.
Para el sector de publicidad digital, los cambios son estructurales. La ley establece que el consentimiento para publicidad personalizada debe ser explícito, específico y documentable. Introduce la figura del Delegado de Protección de Datos obligatorio para organizaciones que realizan tratamiento a gran escala o de datos sensibles. Las sanciones alcanzan hasta 20.000 UTM (Unidades Tributarias Mensuales, la unidad de cuenta indexada a la inflación que Chile usa para fijar multas) para infracciones graves, lo que equivale a aproximadamente USD 1,55 millones al tipo de cambio de junio de 2026. Las multas se registran públicamente, lo que afecta directamente la reputación de las empresas sancionadas.adas.
El período de transición de 24 meses (diciembre 2024 a diciembre 2026) existe, pero los reglamentos de desarrollo se publicaron durante 2025, lo que acorta el tiempo real de adaptación. Las plataformas de publicidad programática que sirven a anunciantes chilenos o que procesan datos de usuarios en Chile tienen una ventana concreta antes de que el regulador empiece a fiscalizar.
El impacto en la cadena programática es directo. Los publishers chilenos que monetizan vía programática abierta necesitan revisar sus consent management platforms (CMPs) y sus acuerdos con SSPs. También deben documentar la base legal que justifica el procesamiento de datos de comportamiento para targeting. Las agencias que operan desde DSPs globales, por su parte, deben verificar que los vendors en su supply chain tengan mecanismos de consentimiento compatibles con el nuevo estándar.
Colombia: una reforma que lleva tiempo esperando
Colombia tiene desde 2012 la Ley 1581, conocida como la ley de habeas data. Es funcional para el comercio electrónico básico, pero insuficiente para el entorno de publicidad automatizada actual. No contempla perfilización algorítmica, no regula el tratamiento de datos de comportamiento para targeting, y sus mecanismos de sanción no tienen la escala necesaria para disciplinar a plataformas de alcance masivo.
En agosto de 2025, el Gobierno Nacional radicó en el Congreso un Proyecto de Ley Estatutaria para actualizar ese marco. Según el reporte de novedades regulatorias de diciembre de 2025 de IAB Colombia, el proyecto introduce representación local obligatoria para actores de gran escala. Además, amplía las definiciones de tratamiento automatizado y establece nuevas obligaciones de transparencia algorítmica con impacto directo sobre la publicidad automatizada y la segmentación digital.
El proyecto sigue en trámite legislativo, lo que significa que las fechas de entrada en vigor no están definidas. Colombia avanza hacia un estándar más cercano al GDPR europeo que al régimen de 2012. Para los operadores de campañas en el mercado colombiano, este es el momento de revisar prácticas antes de que se fijen obligaciones con plazos.
El problema técnico que une a los tres mercados
Más allá de las diferencias entre cada legislación, hay un problema operativo común. Los sistemas programáticos fueron construidos asumiendo que el consentimiento era irrelevante o gestionable de forma genérica. Las bid requests no siempre incluyen señales de consentimiento consistentes. Los DSPs y SSPs procesan datos de usuarios sin verificar si la base legal del publisher de origen es compatible con cada propósito de tratamiento declarado.
El IAB Tech Lab aborda este problema técnico desde su Global Privacy Platform (GPP), una API unificada para señales de privacidad que puede gestionar múltiples marcos regulatorios en paralelo. Según el roadmap 2025 del IAB Tech Lab, la GPP está diseñada para que una misma bid request transporte señales de consentimiento compatibles con distintos marcos jurisdiccionales de forma simultánea. Esto incluye marcos todavía en construcción en mercados de Asia y LATAM.
En paralelo, IAB Europe publicó en junio de 2025 el TCF v2.3, cuya adopción obligatoria cierra el 28 de febrero de 2026. La actualización hace obligatoria la sección “Disclosed Vendors” dentro del TC string. Con esto, se resuelve una ambigüedad técnica en la que los vendors no podían determinar con fiabilidad si habían sido informados al usuario en la interfaz de consentimiento. Para publishers y SSPs que operan tanto en Europa como en LATAM, esta actualización implica revisar la configuración de sus CMPs.
La convergencia entre los nuevos marcos legales de Brasil, Chile y Colombia, y la evolución de los estándares técnicos del IAB, apunta en la misma dirección. El targeting programático basado en datos de comportamiento sin consentimiento explícito documentado tiene los días contados en la región.
Próximos pasos
El mapa regulatorio de LATAM no está completo. Argentina, México y Perú tienen sus propios marcos en distintos estados de madurez, y ningún país de la región cuenta todavía con una decisión de adecuación mutua que facilite la transferencia de datos entre jurisdicciones. Pero las tres reformas analizadas aquí marcan la trayectoria.
Las implicaciones prácticas varían según el mercado. La prioridad en Brasil es documentar las bases legales de cada procesamiento de datos y verificar que los contratos con ad tech vendors incluyan las cláusulas de la Resolución 19/2024 de la ANPD. En Chile, el plazo hasta diciembre de 2026 se reduce cuando se considera que los reglamentos ya están publicados y que la agencia reguladora necesita tiempo para ponerse operativa. Para Colombia, el momento de anticiparse es antes de que el proyecto de ley se convierta en obligación.
La pregunta más útil que puede hacerse hoy un operador programático es sencilla. Qué datos está procesando sin base legal documentada.
Nota sobre los datos de este artículo: este artículo se basa en textos legales oficiales, documentos de la ANPD (Brasil), el Diario Oficial de Chile y publicaciones de IAB Colombia e IAB Tech Lab. No se incluyen cifras de inversión programática por ausencia de datos verificados con desglose específico de impacto regulatorio para LATAM en fuentes Nivel 1. Las referencias a proyectos de ley en Colombia corresponden al estado conocido a junio de 2026; el trámite legislativo puede haber avanzado.