En agosto de 2018, apenas tres meses después de que el Reglamento General de Protección de Datos (RGPD) de la Unión Europea se convirtiera en ley, se aprobó otro nuevo marco legal que regula el uso de los datos personales.
A 6.000 millas de Bruselas, con una población de más de 212 millones de habitantes, Brasil está considerado como el país más poblado del mundo que cuenta con una ley nacional de protección de datos.
La nueva ley de privacidad del país, la Lei Geral de Proteção de Dados (LGPD), comenzó su proceso legislativo en 2010. En ese momento, Brasil ya contaba con más de 40 normas jurídicamente vinculantes que regulaban la privacidad y los datos personales en un sistema sectorial. Sin embargo, la LGPD sustituirá y/o complementará el marco normativo sectorial, que a menudo fue criticado por considerarse conflictivo y carente de seguridad jurídica. En una sociedad cada vez más orientada a los datos, esto obstaculizaba los esfuerzos del país por ser competitivo en la escena mundial.
Tras 8 años de debate interno y unas 18 adaptaciones, la LGPD sustituye el anterior mosaico de normativas sectoriales de Brasil y crea un nuevo marco jurídico para el uso de los datos personales, tanto en línea como fuera de ella. La unificación de normativas anteriormente dispares es solo una de las similitudes que la LGPD comparte con el GDPR, en el que claramente se inspira.
Otra similitud es el alcance de la LGPD. La nueva ley se aplica a cualquier empresa u organización que recoja y/o procese los datos personales de personas residentes en Brasil, independientemente de la ubicación de dicha empresa u organización. Para ser claros, cualquier organización que tenga clientes en Brasil estará obligada a cumplir la LGPD.
Las empresas con experiencia en lograr el cumplimiento del GDPR tienen una ventaja, ya que ya habrán realizado la mayor parte del trabajo necesario para cumplir con la LGPD.
Aunque la nueva ley entra en vigor en febrero de este año, el periodo de cumplimiento se ha ampliado hasta el 15 de agosto de 2020. Esto da a las empresas que aún no cumplen un muy necesario "periodo de gracia" antes de que se aplique la LGPD.
Nuevos derechos para los residentes en Brasil
Como la mayoría de las leyes de privacidad, la LGPD de Brasil pretende garantizar nuevos derechos a los residentes del país. Los derechos básicos de los brasileños, que se amplían con la nueva ley, deben garantizarse de forma accesible y efectiva.
También fomentará la tecnología y el desarrollo económico a través de "normas claras y completas para el uso adecuado de los datos personales". Se espera que esta ley de protección de datos de ámbito nacional permita a Brasil sumarse a los más de 120 países que se consideran con niveles adecuados de protección de la privacidad en el uso de los datos personales.
El artículo 18 de la LGPD les resultará sin duda familiar a las organizaciones que han logrado cumplir con el GDPR. Hay nueve derechos básicos que se conceden a los interesados, entre ellos:
-
el derecho a la información (confirmando la existencia y el alcance del tratamiento de datos);
-
el derecho de acceso a los datos;
-
el derecho de rectificación de datos en relación con los datos incompletos, inexactos o anticuados;
-
el derecho a la anonimización, el bloqueo o la eliminación de los datos excesivos o tratados ilegalmente;
-
el derecho a la portabilidad de los datos de un responsable del tratamiento a otro;
-
el derecho a la eliminación de los datos tratados con el consentimiento del interesado;
-
el derecho a ser informado de los destinatarios con los que el responsable del tratamiento ha compartido los datos;
-
el derecho a ser informado de la posibilidad de rechazar un consentimiento y de las consecuencias correspondientes; y
-
el derecho a solicitar una revisión de las decisiones tomadas únicamente sobre la base del tratamiento automatizado de datos personales que afecten al interesado de determinada manera.
Datos personales: Conceptos y definiciones
La LGPD tiene un concepto amplio de lo que define como "Datos Personales" relativos a una persona física identificable. Cualquier dato, ya sea de forma aislada o agregada a otros datos, que pueda utilizarse para identificar a una persona física o someterla a un determinado comportamiento.
Vivimos en la era del "Big Data" que permite la interrelación de grandes fuentes de datos estructurados y no estructurados. Ahora es posible que casi cualquier dato acabe siendo considerado personal. Por lo tanto, está sujeto a las leyes de privacidad de datos.
Datos personales sensibles
Los datos sensibles son una subcategoría de los datos personales dentro de la LGPD y se definen como datos que pueden someter al interesado a prácticas discriminatorias. Entre estos tipos de datos se encuentran:
-
origen racial o étnico;
-
creencias religiosas u opiniones políticas;
-
la pertenencia a un sindicato o a una organización religiosa, filosófica o política
-
datos relativos a la salud o a la vida sexual; o
datos que permitan la identificación inequívoca y persistente del interesado, como por ejemplo
-
datos genéticos (con ambas facetas, discriminación e identificación);
-
datos biométricos.
Estos datos deben tratarse de forma diferenciada, con capas de seguridad adicionales y con bases legales diferentes, como el consentimiento expreso del interesado.
-
Datos anónimos
Los datos anonimizados se definen como datos personales que no pueden ser identificados teniendo en cuenta el uso de un tiempo razonable, el coste y los medios técnicos disponibles. En este caso, los datos anonimizados se considerarían fuera del ámbito de aplicación de la LGPD, a menos que el proceso de anonimización pueda revertirse, o si los datos se utilizan exclusivamente para la elaboración de perfiles de comportamiento. Los datos anonimizados se utilizan esencialmente para tecnologías dentro del ámbito del internet de las cosas, el aprendizaje automático, la inteligencia artificial, el desarrollo de ciudades inteligentes y los grandes análisis de comportamiento.
Datos públicos
Se ha debatido mucho sobre la limitación del uso de los datos personales de acceso público, como la información almacenada en las bases de datos administradas por las autoridades locales, las publicaciones oficiales y los registros públicos, o los que los propios interesados hacen públicos expresamente, como los perfiles personales en las plataformas de las redes sociales.
La LGPD aborda estas situaciones dándoles un tratamiento diferente, e imponiendo limitaciones, como la de limitar su uso a los fines específicos que dieron lugar a la divulgación de los datos personales de acceso público.
¿A quién se aplica la LGPD?
El artículo 3 de la LGPD deja claro que la ley se aplica a:
-
Tratamiento de datos en el territorio de Brasil;
-
Tratamiento de datos de personas físicas que se encuentren en el territorio de Brasil, independientemente del lugar del mundo en el que se encuentre el encargado del tratamiento; y
-
Tratamiento de los datos recogidos en Brasil
Esto significa que la LGPD ofrece protección no sólo a los ciudadanos brasileños, sino a cualquier persona cuyos datos hayan sido recogidos o tratados durante su estancia en Brasil.
Las organizaciones cubiertas deben documentar todo el tratamiento de datos personales, desde su recogida hasta su eliminación, y proporcionar una descripción completa de los datos recogidos, así como la finalidad de la recogida y el tratamiento, los plazos de conservación de los datos y con quién se comparten. La responsabilidad por el incumplimiento y los incidentes de seguridad de los datos puede recaer conjunta o separadamente en los responsables o encargados del tratamiento.
Exenciones
La LGPD no se aplica en los casos en que:
-
los datos personales son tratados por una persona con fines estrictamente personales;
-
los datos personales se utilizan exclusivamente con fines periodísticos, artísticos, literarios o académicos; o si
-
los datos personales se utilizan exclusivamente para la seguridad nacional, la defensa nacional, la seguridad pública, las investigaciones penales o las actividades de castigo.
Base legal para el tratamiento
Al recoger y tratar datos personales, las organizaciones cubiertas deben establecer una base jurídica específica. La LGPD enumera diez precedentes que autorizan el uso de datos personales, cuatro más que los seis previstos en el RGPD de la UE.
Las 10 bases jurídicas de la LGPD (artículo 7) para el tratamiento lícito de los datos personales son:
-
Con el consentimiento del interesado,
-
Para cumplir con una obligación legal o reglamentaria del responsable del tratamiento,
-
Ejecutar las políticas públicas previstas en las leyes o reglamentos, o basadas en contratos, acuerdos o instrumentos similares,
-
Realizar estudios por parte de entidades de investigación que garanticen, siempre que sea posible, la anonimización de los datos personales,
-
Ejecutar un contrato o los procedimientos preliminares relacionados con un contrato del que el interesado es parte,
-
Ejercer derechos judiciales, administrativos o de arbitraje,
-
Para proteger la vida o la seguridad física del interesado o de un tercero,".
-
Para proteger la salud, en un procedimiento realizado por profesionales de la salud o por entidades sanitarias,
-
Cumplir los intereses legítimos del responsable del tratamiento o de un tercero, excepto cuando prevalezcan los derechos y libertades fundamentales del interesado que requieren la protección de los datos personales,
-
Para proteger el crédito.
Consentimiento
Cabe destacar que el consentimiento es el número 1 en la lista de bases legales para el procesamiento de la LGPD. Para muchas empresas, esto es especialmente importante debido a sus implicaciones en cuanto a la forma en que los sitios web están autorizados a instalar cookies, procesar los datos de los usuarios y compartir esos datos con terceros.
El artículo 8 de la LGPD es muy claro en cuanto a que el consentimiento debe ser explícito y no obtenerse mediante una "autorización genérica". En términos sencillos; el consentimiento otorgado debe referirse a una finalidad concreta.
Esto significa que las empresas y los sitios web que gestionan deben obtener primero el consentimiento específico e inequívoco del interesado antes de se permite el tratamiento de los datos personales.
Además, los interesados deben poder retirar su consentimiento en cualquier momento y deben hacerlo "por escrito o por otros medios", por ejemplo, un banner de consentimiento en un sitio web.
Al procesar datos personales, la empresa, organización o sitio web debe presentar una base legal específica.
Interés legítimo
La base jurídica conocida como "interés legítimo", -#9 en la lista, estaba ausente en la anterior legislación de protección de datos de Brasil. Ésta prevé la utilización de los datos personales para fines distintos de los originalmente autorizados por los interesados, o de los que precedieron a la divulgación de los datos.
El interés legítimo se explica en el artículo 10 de la LGPD. Al igual que el interés legítimo previsto en el RGPD, los responsables del tratamiento deben identificar las actividades específicas para las que tratan los datos personales. También deben revelar la forma en que se protegen los derechos de los interesados.
Los responsables del tratamiento deben asegurarse de que los interesados sean plenamente conscientes de que sus datos personales serán tratados, es decir, debe haber una expectativa razonable de tratamiento de datos por parte del interesado. Los responsables del tratamiento deben demostrar un nivel de transparencia, y la autoridad de control puede solicitar que se realice una evaluación del impacto sobre la privacidad (PIA) cuando un responsable del tratamiento se base en un interés legítimo.
ANPD: Autoridad de Protección de Datos de Brasil
La versión final de la LGPD, sancionada por el presidente de Brasil Jair Bolsonaro en julio de 2019, estableció una nueva autoridad de protección de datos, formalmente conocida como Autoridade Nacional de Proteção de Dados (ANPD).
Los objetivos principales de la ANPD son establecer normas técnicas, educar sobre la LGPD y sus aplicaciones correctas, supervisar y auditar, responder a las notificaciones de violaciones de datos y aplicar las sanciones de la ley.
La ANPD está directamente vinculada al Gabinete de la Presidencia y cuenta con dos órganos: el Consejo de Administración, formado por 5 miembros con conocimientos y experiencia en materia de privacidad y protección de datos, y el Consejo Nacional, una junta consultiva de 23 miembros que representan al gobierno, la sociedad civil, las instituciones de investigación y el sector privado.
Transferencias transfronterizas de datos
Al igual que el GDPR, la LGPD exige que los datos personales sólo puedan ser transferidos:
-
a condados que la ANPD ha considerado que tienen un nivel aceptable de protección de datos; o
-
en situaciones en las que existen mecanismos sancionados por la ANPD, como las cláusulas contractuales estándar
La LGPD introduce una serie de medidas que permiten la transferencia transfronteriza de datos personales. Curiosamente, entre los destinatarios de las transferencias de datos pueden figurar incluso países que no se consideran con un nivel de protección adecuado. La nueva ley hace posible la transferencia transfronteriza de datos sobre la base del consentimiento expreso del interesado, que debe darse por adelantado y de forma separada de otros fines y requisitos de consentimiento.
Los datos también pueden transferirse si el responsable del tratamiento garantiza, mediante acuerdos contractuales y cláusulas estándar, que cumplirá los principios, los derechos de los interesados y el régimen de protección de datos previsto por la ley.
Al igual que el GDPR, la ley brasileña permite la transferencia mediante la adopción de sellos, certificados y códigos de conducta emitidos y autorizados por la ANPD.
Ejecución y sanciones por incumplimiento
Las infracciones de la LGPD pueden dar lugar a una multa de hasta el 2% del volumen de negocios anual de la empresa infractora, con un máximo de 50 millones de reales (12,25 millones de US$ u 11 millones de euros). La ANPD también puede incluir en la aviso de ejecución una orden de bloqueo o supresión de los datos relativos a la infracción. En determinados casos, la ANPD puede emitir una advertencia.
Notificaciones
A diferencia del GDPR, la nueva ley de Brasil es bastante vaga en lo que respecta a las notificaciones. El artículo 48 de la LGPD establece que una notificación de violación debe presentarse "en un plazo razonable, que será definido por la autoridad nacional."
El aviso debe contener, como mínimo, la siguiente información:
-
Descripción de la naturaleza de los datos personales afectados
-
Información sobre los interesados
-
Indicación de las medidas de seguridad utilizadas
-
Los riesgos generados por el incidente
-
Los motivos del retraso de la comunicación (si los hay)
-
Las medidas que se han adoptado o se adoptarán
La ANDP verificará la gravedad de la violación y, si es necesario para salvaguardar los derechos del interesado, podrá ordenar al responsable del tratamiento que adopte medidas para revertir o mitigar los efectos de la violación.
Conclusión:
No cabe duda de que la LGPD proporciona un marco jurídico completamente nuevo para la protección de datos que va mucho más allá de la anterior legislación sectorial de Brasil. La nueva ley incluye disposiciones para toda la recogida y el tratamiento de datos que afectan a los residentes del país, y podría muy bien alcanzar una decisión de adecuación con la Unión Europea, basándose en la estrecha similitud de la LGPD con el GDPR.
Las nuevas leyes de protección de datos siempre suponen un golpe para las empresas por el coste financiero y los recursos necesarios para cumplirlas. Sin embargo, hay buenas noticias...
Las empresas y organizaciones que ya han realizado el trabajo necesario para cumplir con el RGPD es más que probable que ya estén operando de una manera que cumple con la LGPD también.
Dicho esto, las empresas afectadas deberían consultar a su propio profesional de la privacidad de datos y a su asesor legal antes del 16 de agosto de 2020 para estar seguros de que cumplen con la nueva ley de Brasil.
NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en protección de datos, así como de un asesor legal, cuando se preparen para cumplir con las leyes de protección de datos y privacidad.