02
octubre
2019

Ley de Protección de Datos en Brasil

security-3

En agosto de 2018 Brasil aprobó la Ley General de Protección de Datos Personales (LGPD), que entrará en vigor en febrero de 2020, y que en consonancia con el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de origen europeo, brinda una definición amplia de datos personales, considerando que es aquel referido a una persona identificada o identificable, lo que incluye números de identificación, datos de ubicación o identificadores electrónicos.

Uno de los aspectos fundamentales de la ley es el requisito de consentimiento del titular para el tratamiento de sus datos, el cual debe ser libre e inequívoco. Por otro lado, la entidad que busque tratar la información debe informar expresamente no solo sobre la recopilación, sino también sobre los usos específicos de los datos recopilados, y no puede hacerlo en términos generales o vagos. Además, este consentimiento también debe ser revocable en cualquier momento.

Su aplicación abarca a todas las instituciones brasileñas que manejan datos personales en sus operaciones, o al ofrecer sus productos y servicios, tanto del sector público como del privado. Propone además su aplicación para entidades extranjeras con sede en Brasil, que practican actividades de recolección de datos.

También crea una Autoridad de Protección de Datos, como agencia gubernamental independiente vinculada al Ministerio de Justicia, con el objetivo de salvaguardar la vigilancia y la aplicación de sanciones, entre otras funciones.

Aquellos que infrinjan la ley están sujetos a una advertencia, altas multas, suspensión parcial o total de la operación, entre otras sanciones. Las filtraciones de datos deberán ser informadas inmediatamente a la Autoridad de Protección de Datos.

La Ley por dentro

La Ley General de Protección de Datos Personales, contiene 10 capítulos con 65 artículos que determinan cómo pueden ser recogidos y tratados los datos personales en Brasil, especialmente en lo que se refiere a los derechos en los medios digitales.

La regulación trata como dato personal cualquier información relacionada a una persona que, aisladamente o en conjunto con otros detalles, permite identificarla. Algunos ejemplos de datos son: nombre, apodo, dirección residencial, dirección de correo electrónico, dirección IP, fotos propias, formularios de registro y números de documento.

Las organizaciones públicas y privadas solo podrán recopilar datos personales si tienen el consentimiento del titular. La solicitud deberá ser hecha de manera clara para que el ciudadano sepa exactamente lo que va a ser recolectado, para qué fines serán usados y si serán compartidos. Cuando haya implicación de menores de edad, los datos solo podrán ser tratados con el consentimiento de los padres o responsables legales.

Si hay cambios de propósito o traspaso de datos a terceros, un nuevo consentimiento deberá ser solicitado. El usuario podrá, cuando desee, revocar su autorización, así como solicitar acceso, exclusión, portabilidad, complementación o corrección de los datos. En caso de que el uso de la información lleve a una decisión automatizada indeseada, por ejemplo, el rechazo de financiamiento por parte de un banco, el usuario podrá solicitar una revisión humana del procedimiento.

Hay una categoría clasificada como "datos sensibles". Ella se refiere a informaciones como creencias religiosas, posicionamientos políticos, características físicas, condiciones de salud y vida sexual. El uso de estos datos será más restrictivo. Ninguna organización podrá hacer uso de ellos para fines discriminatorios. También será necesario asegurarse de que se protejan adecuadamente.

En general, la idea es proteger al ciudadano del uso abusivo e indiscriminado de sus datos. Además de pedir consentimiento de manera clara y atender a las demandas del usuario sobre el mantenimiento o eliminación de los datos, las organizaciones solo podrán solicitar los datos que realmente son necesarios al final propuesto. En ese sentido, el usuario podrá cuestionar si la exigencia de determinado dato tiene sentido o utilidad.

Hay excepciones. Las reglas no valen para datos personales tratados con fines académicos, artísticos o periodísticos, así como para aquellos que involucra seguridad pública, defensa nacional, protección de la vida y políticas gubernamentales. Estos casos deben ser tratados por leyes específicas.

Las fugas o problemas de seguridad que comprometen datos personales deberán ser informados a las autoridades competentes a su debido tiempo. Tras el análisis de la situación, las autoridades indicarán los próximos pasos, como determinar que el problema se divulgue a la prensa.

El castigo por incumplir la ley depende de la gravedad de la situación. Si se comprueba la infracción, la empresa u organización responsable podrá recibir desde advertencias hasta una multa equivalente al 2% de su facturación. También podrá tener las actividades ligadas al tratamiento de datos total o parcialmente suspendidas, además de responder judicialmente a otras violaciones previstas por ley, cuando sea el caso.

El origen de la empresa u organización no es un factor de excepción. La propuesta vale para operaciones de tratamiento de datos realizadas en Brasil o en otro país, siempre que la recolección de datos sea hecha en territorio brasileño. Lo que significa que si Google o Facebook, por ejemplo, recogen datos de un usuario dentro de Brasil, pero los procesa en Estados Unidos, tendrá que seguir la legislación brasileña.

En caso necesario, la empresa podrá transferir los datos a una filial o una sede extranjera, a condición de que el país de destino también tenga leyes exhaustivas de protección de datos o pueda garantizar mecanismos de tratamiento equivalentes a los que se exigen en Brasil.

En caso de que los datos ya no sean necesarios, por ejemplo, cuando una cuenta o servicio haya finalizado, la organización tendrá que borrarlos, a menos que haya obligación legal u otra razón justificable para su preservación.

Para fiscalizar y sancionar la aplicación de la ley, se establece la creación de la Autoridad Nacional de Protección de Datos (ANPD), ligada al Ministerio de Justicia.

Similitud y Diferencia con el reglamento europeo

En su conjunto, la Ley General de Protección de Datos (LGPD) brasileña es consistente con la tendencia internacional establecida por el Reglamento General de Protección de Datos (GDPR) europeo; sin embargo, no puede ser considerada como una copia, sino que atempera las buenas prácticas en este sentido. A continuación, se presentan algunos requisitos claves dentro de la misma:

Oficial de Protección de Datos

Al igual que el GDPR, la nueva ley de Brasil exige que las empresas designen un oficial de protección de datos para supervisar el cumplimiento y los esfuerzos de protección de datos dentro de la organización.

Notificaciones de violación de datos

A diferencia del GDPR, la ley de Brasil no especifica una línea de tiempo específica para la notificación de violación de datos, pero sí requiere que las entidades reguladas notifiquen a los usuarios cualquier violación de datos que afecte a su información. Dichas notificaciones deben incluir una descripción del tipo de datos personales afectados, así como detalles sobre las medidas de seguridad tomadas para proteger los datos y los riesgos resultantes del incidente, como el robo de identidad.

Consentimiento para el procesamiento de datos

De acuerdo con la nueva ley de Brasil, dondequiera que se procesen los datos personales, el interesado debe dar su consentimiento previo. Ese consentimiento solo se puede utilizar para un propósito específico del procesamiento de datos, y no se puede tomar como consentimiento para el procesamiento de datos en gran escala. Sin embargo, hay algunas excepciones a la regla de consentimiento, como cuando se requiere el procesamiento de datos como en el cumplimiento de un requisito legal o de obligación, como un contrato, por ejemplo. Básicamente, el procesamiento de datos solo puede llevarse a cabo cuando existe una base legal necesaria para ello.

Requisitos de seguridad y privacidad mejorados

De acuerdo con la Ley, las organizaciones reguladas deben adoptar medidas de protección contra los ataques cibernéticos y deben implementar dichas medidas cada vez que creen nuevos productos. La Autoridad de Protección de Datos de Brasil tiene la capacidad de realizar auditorías de privacidad para garantizar que las organizaciones cumplan con estos requisitos.

Requisitos de grabación

La ley requiere que todo el procesamiento de datos personales que se lleva a cabo se registre, con detalles que indiquen el tipo de datos recopilados, el propósito previsto, la base legal, el tiempo de retención y las prácticas de seguridad empleadas en el almacenamiento, como el cifrado.

Requisitos de transferencia de datos y restricciones

La ley de Brasil impone restricciones significativas a la transferencia de datos personales, especialmente a través de las fronteras. Las transferencias transfronterizas solo se permiten a las naciones que la Autoridad de Protección de Datos de Brasil determina que tienen un nivel de protección de datos igual o adecuado. Otras bases legales para la transferencia de datos a través de la frontera incluyen cláusulas contractuales estándar entre los controladores de datos y el sujeto, y los casos en que el interesado ha dado su consentimiento específico.

Hasta inicios de 2020

Tanto la comunidad jurídica como el medio empresarial ligado a las tecnologías digitales, están muy atentos al tema de la entrada en vigor de la nueva Ley General de Protección de Datos a inicios de 2020.

Brasil constituye una de las mayores economías del mundo que no tiene, y nunca ha tenido, una Ley General de Protección de Datos, lo que puede generar oportunidades para invertir en la prestación de servicios y soluciones dirigidas a atender las demandas de un futuro mercado interno

En lo adelante, y con la nueva Ley, Brasil se suma a aquellos países que refieren particular interés en la protección de los datos personales de sus ciudadanos, aplicando legislaciones modernas, actualizadas y en conformidad con las mejores prácticas y ejemplos internacionales.