Ley General de Protección de Datos de Brasil

En su último intento por establecer orden y progreso, Brasil aprobó la Lei Geral de Proteção de Dados (LGPD) o la Ley General de Protección de Datos Personales. La legislación es una forma de proteger la información personal y la privacidad de los ciudadanos brasileños al proporcionar pautas sobre cómo esos datos pueden ser procesados y recopilados por las organizaciones. (Pista: ¡Solo con permiso!) Ayuda a estandarizar y aclarar más de 40 estatutos anteriores (a veces conflictivos) que regulaban los datos personales, y se aplica tanto a empresas y organizaciones brasileñas como internacionales.

Términos importantes para la LGPD de Brasil 

• Datos Personales: Cualquier información que identifique o sea específica de un individuo, como su nombre, apellido, apodo, número de identificación, etc.
• Titular de los Datos o Sujeto de los Datos: El individuo sobre el cual se tratan los datos personales.
• Procesamiento de Datos: Cualquier operación realizada utilizando datos personales, como la recopilación, almacenamiento, uso o divulgación de información.
• Controlador de Datos: La persona responsable de las decisiones sobre cómo se utilizan o procesan los datos personales. Son en última instancia responsables del cumplimiento o incumplimiento de los estándares de la LGPD de su empresa.
• Consentimiento: permiso o acuerdo libre e informado. En este caso, el permiso del titular de los datos para que su información sea procesada para un propósito determinado.
• Autoridade Nacional de Proteção de Dados (ANPD) o Autoridad Nacional de Protección de Datos: Rama del gobierno federal brasileño encargada de supervisar la regulación, el cumplimiento y la aplicación de la LGPD.
• Oficiales de Protección de Datos: Persona que representa a la organización que procesa datos personales, responsable de la comunicación entre su empresa, la ANPD y los titulares de los datos. Por lo general, tienen experiencia en derecho o tecnología de la información.

Funciones de la LGPD 

La LGPD requiere que los Controladores de Datos adopten prácticas técnicas y administrativas que regulen cómo y por qué se pueden procesar los datos personales (electrónicamente o físicamente) y proteger los datos personales que procesan contra accesos no autorizados, pérdidas, alteraciones y/o exposiciones.

Diez derechos de los sujetos de datos

La LGPD de Brasil describe diez derechos de los sujetos de datos, que son la base de todos los requisitos de procesamiento exigidos a las empresas u organizaciones:

1. El derecho a confirmar que sus datos fueron procesados;
2. El derecho a acceder a sus datos;
3. El derecho a corregir datos incompletos, inexactos o desactualizados;
4. El derecho a anonimizar, bloquear o eliminar datos innecesarios o excesivos o datos que no se estén procesando de acuerdo con la LGPD;
5. El derecho a trasladar sus datos a otro proveedor de servicios o productos;
6. El derecho a eliminar datos personales procesados con su consentimiento;
7. El derecho a información sobre terceros públicos y privados con los cuales el controlador ha compartido sus datos;
8. El derecho a información sobre qué sucede si niegan el consentimiento;
9. El derecho a revocar su consentimiento.
10. El derecho a la portabilidad de datos, permitiendo al titular solicitar una copia completa de sus datos en un formato utilizable por competidores.

Requisitos para controladores de datos/organizaciones

La LGPD requiere que los controladores de datos/organizaciones:

• Designen un Oficial de Protección de Datos para gestionar solicitudes o quejas de clientes cuya identidad e información de contacto sean públicas y clear, preferiblemente en su sitio web;
• Mantengan un registro de las operaciones de procesamiento que realizan;
• Informen, corrijan, eliminen, anonimicen o trasladen datos personales según lo solicite el sujeto de datos;
• Eliminen los datos una vez finalizada la relación;
• Implementen medidas administrativas y de seguridad para proteger la seguridad de los datos contra robos, accesos no autorizados, accidentes u otros problemas;
• Informen cualquier violación de datos a los sujetos de datos, autoridades locales y a la ANPD.

Existen diez bases bajo las cuales las empresas pueden procesar legalmente datos personales. Los datos pueden procesarse:

1. Para fines legítimos, específicos y explícitos a los que el sujeto de datos haya consentido;
2. Para cumplir con una obligación legal o regulatoria;
3. Para ejecutar políticas públicas basadas en contratos legales, acuerdos o similares;
4. Para ejecutar un contrato a solicitud del sujeto de datos (como una compra o transacción);
5. Para llevar a cabo investigaciones y garantizar siempre que sea posible que los datos personales se hayan anonimizado;
6. Para el ejercicio de derechos en procedimientos judiciales, administrativos o de arbitraje;
7. Para proteger la vida o la seguridad física del sujeto de datos o de un tercero;
8. Para proteger la salud, como lo realizan los profesionales de la salud o entidades de salud;
9. Cuando sea necesario para cumplir con los intereses legítimos del controlador o de un tercero;
10. Para la protección del crédito.

Funciones de la ANPD 

La Autoridade Nacional de Proteção de Dados (ANPD) o Autoridad Nacional de Protección de Datos es la rama a formarse del gobierno federal brasileño encargada de supervisar la regulación, el cumplimiento y la aplicación de la LGPD. Aunque esté bajo la dirección del presidente, la ANPD tiene poderes de toma de decisiones. Estará compuesta por un consejo asesor de 28 miembros dividido en varios grupos: la Junta Directiva, el Consejo Nacional, una Oficina de Asuntos Internos y otras unidades especializadas para tareas legales y de cumplimiento.

Serán responsables de:

• Proporcionar interpretación y pautas prácticas sobre cómo implementar la LGPD;
• Investigar y auditar quejas o violaciones reportadas y trabajar con el Oficial de Protección de Datos en una resolución;
• Emitir sanciones por violaciones en el procesamiento de datos;
• Realizar estudios, debates públicos y audiencias sobre la protección de datos personales.

Fecha de entrada en vigor de la LGPD 

La ley entrará en vigor el 1 de enero de 2021.

Las sanciones por violaciones de cumplimiento de la LGPD se han pospuesto hasta el 1 de agosto de 2021.

Recomendaciones 

• En primer lugar, esperar hasta el último minuto para cumplir podría ser un error costoso. El incumplimiento podría resultar en multas de hasta el 2% de sus ingresos en Brasil, del año fiscal anterior, con un máximo de 50 millones de reales brasileños por infracción (aproximadamente 12.9 millones de USD o 11.2 millones de EUR).
• Designar un Oficial de Protección de Datos para monitorear el procesamiento y la seguridad de los datos, y publicar claramente su nombre e información de contacto en su sitio web.
• Siempre solicitar consentimiento. Ser clear y transparente sobre cómo y por qué se están procesando los datos de los clientes, y facilitar la posibilidad de optar por participar o no.
• Almacenar datos solo durante el tiempo necesario para procesar una transacción, y no más.
• Asegurarse de documentar toda su cadena de procesamiento: ¿cómo está recopilando, almacenando, utilizando y compartiendo datos personales? Podrían pedirle que presente esa documentación, así que es mejor tenerla preparada.
• Programar auditorías regulares. Las filtraciones de datos son enormemente costosas en recursos y reputación. Estar alerta le permitirá detectar errores o depredadores más rápido, y ser proactivo siempre es mejor que ser descubierto.

Más información 

• Sitio web oficial de la LGPD

Preguntas frecuentes