Tras una serie de trámites en el congreso brasileño y una moratoria de dos años, la Ley General de Protección de Datos de Brasil (Lei Geral de Proteção de Dados, LGPD) entra en vigor el mes de septiembre de 2020.
Esta ley se aprobó en agosto de 2018 y viene a actualizar la legislación brasileña al reemplazar más de 40 leyes relacionadas con la protección de datos personales y la privacidad de las personas.
La próxima entrada en vigencia de la LGPD no ha estado exenta de dificultades. Aunque iba a comenzar a regir en agosto de este año, debido a que la pandemia por coronavirus entrabaría la implementación de las medidas que la ley exige a las empresas, el gobierno brasileño propuso su postergación para mayo del próximo año. Luego, la Cámara de Diputados ratificó el texto, pero modificó la fecha para diciembre de este año y, finalmente, en su tramitación en el Senado, este determinó dejar sin efecto el aplazamiento, entrando en vigor de inmediato.
Inspirada en la regulación que dio la Unión Europea (General Data Protection Regulation, GDPR), la ley brasileña crea la Autoridad Nacional de Protección de Datos (Autoridade Nacional de Proteção de Dados, ANPD), entidad pública dependiente del Poder Ejecutivo y encargada de aplicar la normativa a las entidades que procesan datos, sean públicas o privadas. Sus principales funciones dicen relación con velar, implementar y fiscalizar la observancia de la Ley 13.709 o Ley General de Protección de Datos en todo el territorio de Brasil.
La ANPD será dirigida por un Director General. Tendrá una Junta Directiva de 5 miembros, que son designados por el poder ejecutivo y ratificados por el Senado, con mandato por 4 años, renovable por un período de igual duración.
Dentro de las competencias principales de la ANPD está garantizar el resguardo de datos personales y la privacidad, fiscalizar y sancionar ante faltas a la LGPD, y fomentar adopción de estándares para protección de datos y evitar ciberataques.
Qué dice la Ley 13.709
En su primer disposición, la Ley General de Protección de Datos indica que su propósito es regular el tratamiento de los datos personales, incluyendo los medios digitales, tanto de las personas físicas como de las personas jurídicas de derecho público o privado, y que su objetivo es resguardar los derechos esenciales de libertad, privacidad y libre desarrollo de las personas.
La LGPD establece que están sujetos a la normativa todas las entidades que procesen datos, es decir que los recopilen, almacenen y transfieran, ya sean personas naturales o personas jurídicas de derecho público o privado. Esta aplicación es independiente del medio utilizado y extraterritorial; es decir, del país donde estén localizados los datos, toda vez que su procesamiento se haga en territorio de Brasil.
La ley, sin embargo, hace algunas excepciones al tratamiento de datos personales que hagan las personas naturales para fines meramente particulares y no económicos, o los realizados para fines periodísticos o artísticos. También quedan fuera el tratamiento de datos con fines académicos, de defensa y seguridad nacional, de seguridad pública, y de investigación y sanción de delitos penales.
Qué datos considera la LGPD
La normativa estable tres categorías de datos:
- Dato personal: son los que identifican a la persona (nombre, dirección, número de identificación).
- Dato personal sensible: son los que identifican su origen étnico o racial, opinión política, filiación a sindicato u de carácter organización religiosa, filosófica o política, información referente a la salud o vida sexual, datos biométricos, cuando está vinculado a una persona natural.
- Dato anónimo: son datos concernientes con un titular que no puede ser identificado.
La regulación considera dos maneras para la obtención de los datos personales: con el consentimiento expreso del titular y por el acatamiento de una obligación legal o reglamentaria por parte del responsable del tratamiento de los datos. De esta forma, la LGPD define quienes son los titulares de los datos, establece las condiciones para su uso y sanciona irregularidades. Las multas para las empresas que hagan mal uso de los datos o tengan un incidente que los revele puede llagar a los 50 millones de reales por infracción y a la suspensión parcial o total del ejercicio de actividades de procesamiento de datos.
Según dictamina la normativa de protección de datos, las empresas deberán contar con un oficial de protección, que será el responsable al interior de la organización que esta se cumpla. El encargado de protección recibirá las quejas y dudas de los titulares, tomará medidas preventivas, recibirá comunicaciones y orientaciones de la autoridad nacional e implementará buenas prácticas al interior de la organización.
Las empresas estarán obligadas a notificar cuando ocurran irregularidades con datos a sus usuarios, con detalle de los datos afectados, las medidas adoptadas para asegurar su seguridad y protección, así como advertir de los riesgos que implica el incidente.
También en la LGPD queda definido que el registro de grabación de datos debe hacerse indicando el tipo de dato a recopilar, el propósito de su uso, la base legal que sustenta su obtención, el tiempo de retención y los procedimientos de seguridad que se aplicarán en su registro y almacenamiento.
Queda también definido que en los casos en que se haya alcanzado la finalidad con que fueron obtenidos, o que dejaron de ser necesarios o que haya expirado el tiempo de tratamiento, los datos personales deben dejar de ser usados. También establece el derecho de revocación del titular y la anulación por parte de la autoridad si hay violación a la LGPD.
La establece la protección de datos para niños y adolescentes. En términos generales, su procesamiento debe contar con el consentimiento de uno de sus padres o tutor legal. La entidad que registra los datos debe hacer todo el esfuerzo razonable para verificar esta autorización, teniendo en cuenta las tecnologías disponibles.