Briefing Legal Latinoamérica: Derecho Digital, Datos y Ciberseguridad

CETID

Actualizado: 12 de julio de 2026

Briefing Legal Latinoamérica: Derecho Digital, Datos y Ciberseguridad

Panorama regional semanal de desarrollos normativos y jurisprudenciales en protección de datos, comercio electrónico, propiedad intelectual, ciberseguridad e inteligencia artificial.

Esta edición reúne siete desarrollos de especial relevancia registrados entre junio y julio de 2026 en Colombia, Brasil, Chile, Costa Rica, Perú y Ecuador. No se registraron novedades sustanciales en las últimas 24-48 horas en todas las categorías monitoreadas, por lo que la ventana de revisión se amplió a los desarrollos más recientes de cada jurisdicción, conforme a nuestra metodología de seguimiento continuo.

Cuadro comparativo

PaísMateriaInstrumentoFecha claveEstado
ColombiaDatos / Violencia digitalSentencia T-184 de 2026, Corte Constitucional8 jul. 2026Vigente; exhorto legislativo pendiente
BrasilProtección de datosLey 15.352/2026 (transforma la ANPD en agencia reguladora)25 feb. 2026En vigor; fiscalización activa
ChileProtección de datosLey 21.719, Agencia de Protección de Datos Personales1 dic. 2026Período de implementación
Costa RicaComercio electrónicoLey N.º 10946, Gobernanza de Servicios Digitales24 jun. 2027 (vigencia)Publicada; vacatio legis de 12 meses
PerúComercio electrónicoDecreto Legislativo 1729; reglamento en consulta (Indecopi)10 jul. 2026Consulta pública cerrada
PerúPropiedad intelectual IAResolución 1111-2025/DDA, IndecopiConfirmada jun. 2026Precedente administrativo firme
EcuadorCiberseguridadLey Orgánica para el Fortalecimiento de la Ciberseguridad22 may. 2026Publicada; reglamentación en curso (plazo 12 meses)

Análisis por jurisdicción

01 · Protección de datos y violencia digital

Corte Constitucional redefine el consentimiento en la difusión de contenido íntimo

Colombia

Mediante la Sentencia T-184 de 2026 (Sala Segunda de Revisión, magistrado ponente Carlos Camargo Assis), la Corte Constitucional colombiana amparó a una mujer cuyo contenido íntimo fue divulgado en plataformas digitales sin su pleno consentimiento. La Corte estableció que la autorización para difundir este tipo de contenido no tiene carácter irrevocable: puede retirarse en cualquier momento y esa decisión debe respetarse de forma inmediata, incluso si el material ya circula en línea. Adicionalmente, calificó la difusión no consentida como una forma de violencia digital y sexual, y exhortó al Congreso a tipificar penalmente esta conducta, ante la ausencia de un tipo penal específico en la legislación colombiana vigente.

Qué cambia en la práctica

  • El consentimiento válido exige informar usos, alcance de comercialización y consecuencias personales, familiares y laborales de la difusión.
  • Se fija un término de ratificación periódica del consentimiento; su ausencia lo invalida.
  • Se ordena a la Defensoría del Pueblo y al Ministerio TIC crear una guía digital de prevención para víctimas.

Relevancia para la práctica legal

  • Eleva el estándar de debida diligencia de intermediarios y plataformas frente a solicitudes de retiro de contenido.
  • Abre la puerta a acciones de tutela como vía expedita mientras no exista tipo penal.
  • Anticipa un proyecto de ley penal en la próxima legislatura: tema a monitorear para litigio y compliance.

Base normativa citada: Constitución Política de Colombia, arts. 15 y 42; Ley Estatutaria 1581 de 2012 (habeas data); jurisprudencia previa sobre dignidad e intimidad digital.

02 · Protección de datos — institucionalidad

La ANPD se transforma en agencia reguladora con potestad sancionatoria reforzada

Brasil

La Ley 15.352/2026, sancionada el 25 de febrero, transformó a la Autoridade Nacional de Proteção de Dados (ANPD) en agencia reguladora plena, equiparándola a entes como Anatel o Aneel, con autonomía funcional, técnica, decisoria, administrativa y financiera. La reforma responde en parte a la próxima entrada en vigor del ECA Digital (Estatuto Digital de la Infancia y Adolescencia), que la ANPD deberá reglamentar y fiscalizar. La ley crea 200 cargos técnicos permanentes de especialista en regulación, provistos por concurso público, y un órgano de auditoría interna. En junio de 2026 la agencia abrió 19 nuevos procesos sancionadores bajo la LGPD, frente a un historial previo de apenas nueve procesos concluidos desde 2023.

Datos clave

  • Multas de hasta 2% de la facturación local, con tope de R$ 50 millones por infracción.
  • La infracción más recurrente históricamente: omisión de notificar incidentes a titulares y a la ANPD.
  • Requisición de servidores públicos para la ANPD prorrogada hasta el 31 de diciembre de 2028.

Relevancia para la práctica legal

  • Se anticipa fiscalización más agresiva y sistemática, no solo reactiva ante denuncias.
  • Urge revisar protocolos internos de gestión y notificación de incidentes de seguridad.
  • Empresas que operan con datos de menores deben anticipar obligaciones del ECA Digital.

Base normativa citada: Lei Geral de Proteção de Dados (Lei 13.709/2018); Lei 15.352/2026; Estatuto Digital da Criança e do Adolescente (ECA Digital), vigencia 17 marzo 2026.

03 · Protección de datos — cuenta regresiva regulatoria

Se instala la Agencia de Protección de Datos Personales antes de la entrada en vigor de la Ley 21.719

Chile

Publicada el 13 de diciembre de 2024, la Ley 21.719 alcanza plena vigencia el 1 de diciembre de 2026, fecha en que la nueva Agencia de Protección de Datos Personales (APDP) —que viene instalándose operativamente desde febrero— asumirá su potestad sancionatoria. El régimen crea derechos ARCO ampliados, deber de notificar brechas de seguridad en 72 horas, y un Registro Nacional de Sanciones público por cinco años.

Régimen sancionatorio

  • Infracciones leves: 5.000–10.000 UTM.
  • Infracciones graves: 10.000–20.000 UTM.
  • Infracciones gravísimas: 20.000–40.000 UTM; reincidencia hasta 60.000 UTM o 4% de ingresos anuales.

Relevancia para la práctica legal

  • El DPO no es obligatorio en todos los casos, salvo para organismos públicos y tratamiento a gran escala de datos sensibles o monitoreo sistemático.
  • Se exige registro documentado de actividades de tratamiento y actualización de políticas de privacidad antes del 1 de diciembre de 2026.
  • Ventana de cumplimiento acotada: se recomienda auditoría de brechas y bases de licitud durante el segundo semestre de 2026.

Base normativa citada: Ley 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (Chile).

04 · Comercio electrónico y consumo digital

Costa Rica se convierte en el primer país centroamericano con marco integral de servicios digitales

Costa Rica

La Ley N.º 10946, de Gobernanza de los Servicios Digitales y el Comercio Electrónico, fue publicada el 24 de junio de 2026 en La Gaceta. Regula plataformas de internet, transacciones electrónicas y responsabilidad de intermediarios, con particular énfasis en la prohibición de patrones oscuros (dark patterns), restricciones a suscripciones y cobros automáticos sin consentimiento verificable, y veto al uso de datos de menores de 13 años para publicidad conductual.

Régimen sancionatorio (CNC)

  • Faltas leves: US$ 850 a US$ 8.500.
  • Faltas graves: hasta US$ 42.500.
  • Autoridad de aplicación: Comisión Nacional del Consumidor.

Relevancia para la práctica legal

  • Vacatio legis de 12 meses (vigencia plena: 24 de junio de 2027) para emitir reglamento y adecuar plataformas.
  • Obliga a revisar interfaces de suscripción, cancelación y consentimiento publicitario dirigido a menores.
  • Introduce régimen de debida diligencia reforzada para plataformas de alojamiento y comercio electrónico, incluida transparencia algorítmica.

Base normativa citada: Ley N.º 10946, Ley para la Gobernanza de los Servicios Digitales y el Comercio Electrónico (Costa Rica), expediente legislativo 23.184.

05 · Comercio electrónico y consumo digital

Indecopi cierra consulta pública sobre suscripciones involuntarias y compras por defecto

Perú

El Decreto Legislativo 1729 modificó el Código de Protección y Defensa del Consumidor para frenar prácticas que restringen la libertad de elección en entornos digitales, como suscripciones activadas por defecto o compras adicionales preseleccionadas. Indecopi mantuvo abierta hasta el 10 de julio de 2026 una consulta pública sobre el reglamento que precisará su implementación, con énfasis en diseño de interfaces, canales de atención de reclamos y plazos de respuesta.

Relevancia para la práctica legal

  • El reglamento definitivo determinará estándares de diseño de interfaz (UX) exigibles a plataformas de e-commerce y suscripción.
  • Convergencia regional evidente con Costa Rica (patrones oscuros) y con la agenda de la Red de Protección al Consumidor de la región.
  • Se recomienda a comercios electrónicos con operación en Perú anticipar ajustes contractuales y de cancelación de servicios antes de la reglamentación final.

Base normativa citada: Decreto Legislativo N.º 1729; Código de Protección y Defensa del Consumidor (Ley 29571), Perú.

06 · Propiedad intelectual e inteligencia artificial

Indecopi niega derechos de autor a obra generada íntegramente con IA

Perú

La Dirección de Derecho de Autor de Indecopi, mediante la Resolución 1111-2025/DDA, rechazó el registro del libro «Universo Peregrino», generado con ChatGPT, al concluir que la inteligencia artificial no puede ser autora por carecer de la impronta creativa humana que exige la legislación peruana. La resolución precisa, sin embargo, que el uso de herramientas de IA no excluye per se la protección: lo determinante es el grado de intervención creativa humana, y el mero ingreso de instrucciones (prompts) no equivale a un acto de creación.

Estándar fijado

  • Autoría reservada a personas humanas con decisiones libres y creativas.
  • La IA como herramienta de apoyo es admisible si hay transformación o aporte intelectual propio.
  • El prompting aislado, sin intervención editorial sustantiva, no genera derechos de autor.

Relevancia para la práctica legal

  • Primer precedente administrativo explícito en Perú sobre límites de la protección autoral frente a contenido generado por IA.
  • Referencia comparada para Colombia, México y Chile, donde el debate sobre autoría de obras asistidas por IA sigue abierto.
  • Relevante para cláusulas de cesión de derechos y due diligence de propiedad intelectual en contratos que involucren contenido generado por IA.

Base normativa citada: Decisión Andina 351 (Régimen Común sobre Derecho de Autor); Decreto Legislativo N.º 822, Ley sobre el Derecho de Autor (Perú).

07 · Ciberseguridad y delitos informáticos

Entra en aplicación progresiva la Ley Orgánica para el Fortalecimiento de la Ciberseguridad

Ecuador

Publicada el 22 de mayo de 2026 en el Registro Oficial N.º 290 (Quinto Suplemento), la Ley Orgánica para el Fortalecimiento de la Ciberseguridad constituye el primer marco normativo integral de ciberseguridad en Ecuador. Alcanza a prestadores de servicios digitales y a personas jurídicas privadas responsables de infraestructura crítica digital o cuya actividad incida en la continuidad de servicios esenciales, exigiéndoles sistemas de gestión de seguridad de la información alineados a estándares como ISO 27001 y un punto de contacto técnico permanente disponible 24/7 con el CSIRT Nacional.

Obligaciones y plazos

  • Notificación de incidentes relevantes en un máximo de 72 horas desde su detección.
  • Estándares mínimos nacionales y reglamento de notificación de incidentes: a publicarse dentro de los primeros 6 meses.
  • Normativa técnica y Catálogo Nacional de Servicios Esenciales e Infraestructura Crítica: plazo máximo de 12 meses para el ente rector.

Relevancia para la práctica legal

  • El CSIRT Nacional actúa con autonomía operativa ante incidentes críticos, sin requerir autorización previa.
  • Empresas de infraestructura crítica digital deben iniciar diagnóstico de brecha (gap analysis) frente a ISO 27001 antes de que venzan los plazos reglamentarios.
  • Se suma a la tendencia regional (Chile, El Salvador, Guyana) de crear agencias y CSIRT nacionales dedicados.

Base normativa citada: Ley Orgánica para el Fortalecimiento de la Ciberseguridad, Registro Oficial N.º 290, Quinto Suplemento (Ecuador), 22 de mayo de 2026.

Lectura transversal: los siete desarrollos comparten un mismo eje — el fortalecimiento institucional de las autoridades de control (Colombia, Brasil, Chile, Ecuador) y la extensión de estándares de transparencia y consentimiento informado al entorno digital (Colombia, Costa Rica, Perú), con la inteligencia artificial como frontera regulatoria emergente en propiedad intelectual y protección de datos.

Fuentes

  1. Corte Constitucional de Colombia. (2026, 8 de julio). Sentencia T-184 de 2026corteconstitucional.gov.co
  2. Infobae Colombia. (2026, 8 de julio). Corte Constitucional exhortó al Congreso a crear un delito que castigue la difusión de fotos y videos íntimos sin consentimientoinfobae.com
  3. Instituto Sigilo. (2026). ANPD se torna Agência Reguladora: O que muda com a nova Lei 15.352/2026? sigilo.org.br
  4. Senado Notícias (Brasil). (2026, 26 de febrero). Sancionada lei que cria a Agência Nacional de Proteção de Dadossenado.leg.br
  5. Efectus. (2026). Agencia de Protección de Datos Chile: funciones, facultades y sanciones que las empresas deben conocerefectus.cl
  6. LegalFit. (2026). Ley 21.719 Chile: Cumplimiento, DPO y Modelo de Prevenciónlegalfit.cl
  7. KPMG Costa Rica. (2026, 30 de junio). Ley N.º 10946, para la Gobernanza de los Servicios Digitales y Comercio Electrónicokpmg.com
  8. El Financiero (Costa Rica). (2026). Nueva ley de comercio electrónico en Costa Rica: guía para adaptar su negocio en los 12 meses que tiene de plazoelfinancierocr.com
  9. Indecopi (Perú). (2026, 30 de junio). Indecopi inicia consulta pública para mejorar reglas del comercio electrónico y frenar prácticas engañosasconsumidor.gob.pe
  10. Infobae Perú. (2026, 24 de junio). Peruano intentó registrar libro escrito con ChatGPT e Indecopi lo rechazó: La IA no genera derechos de autorinfobae.com
  11. CorralRosales (Ecuador). (2026). Ley Orgánica para el Fortalecimiento de la Ciberseguridad — Publicación en el Registro Oficial y obligaciones para el sector privadocorralrosales.com
  12. NMS Abogados (Ecuador). (2026, 1 de junio). Entra en vigencia la Ley Orgánica para el Fortalecimiento de la Ciberseguridadnmslaw.com.ec

Este briefing tiene fines informativos y de actualización profesional; no constituye asesoría legal para un caso concreto. La información corresponde a fuentes públicas y especializadas citadas y refleja el estado normativo a la fecha de publicación indicada.

Centro de Estudios Tecnológicos en Informática y Derecho (CETID) · www.cetid.abogados.ec 

Actualizado: 12 julio, 2026 — 4:12 pm

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *