La Ley General de Protección de Datos (LGPD) de Brasil, conocida oficialmente como Lei Geral de Proteção de Dados, es el marco legislativo brasileño que regula el tratamiento de los datos personales de los residentes en el país. Determina cómo los individuos, las organizaciones y los gobiernos deben recoger, utilizar y divulgar los datos personales de los brasileños, independientemente de la ubicación de la entidad que los procesa. Los ciudadanos tienen ahora derecho a solicitar información sobre los datos que las empresas tienen sobre ellos, a pedir que se supriman y a ser informados en caso de violación de los datos.
Una breve historia de la LGPD en Brasil
El viaje de Brasil hacia la protección de datos personales comenzó en agosto de 2018, cuando el Congreso Nacional de Brasil promulgó la LGPD, inspirada en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Antes de la LGPD, el marco legal para la privacidad digital en Brasil estaba fragmentado y definía vagamente los derechos de los residentes. Por ello, las autoridades estatales se movilizaron para elaborar este marco unificado, que garantiza un enfoque global de la protección de datos. El período de transición, necesario para que las organizaciones alinearan sus procesos con los requisitos de la ley, duró dos años, y la LGPD entró en vigor el 15 de agosto de 2020. Con el establecimiento de la LGPD, el gobierno brasileño creó la Autoridad Nacional de Protección de Datos (ANPD), que ahora supervisa los mecanismos de aplicación y garantiza que los procesadores de datos recopilen, utilicen y compartan los datos de los residentes brasileños de conformidad con la LGPD.
Principales disposiciones y requisitos de la LGPD
¿Qué son los datos personales y cómo deben tratarse? He aquí un resumen de la ley brasileña de protección de datos.
Derechos personales: Las personas cuyos datos se recogen y procesan tienen nuevos derechos en virtud de la LGPD, entre ellos el acceso a sus datos personales recogidos, su supresión y la portabilidad de los datos. La portabilidad de los datos significa que los interesados tienen derecho a acceder a su información personal y transferirla a otro lugar. Las empresas deben responder a las solicitudes en un plazo de 15 días.
Notificación de violación de datos: según la nueva ley, las empresas deben notificar a la Autoridad Nacional de Datos en caso de violación de datos personales. También deben informar a las personas afectadas. Al igual que con el GDPR, ahora las empresas están obligadas a nombrar a un responsable de protección de datos para supervisar el tratamiento de la información.
Tratamiento de datos: La LGPD establece 10 principios para el tratamiento de datos, incluida la responsabilidad, la no discriminación, la finalidad legítima, la transparencia, la seguridad y la exactitud. También especifica las circunstancias en las que pueden tratarse los datos, siendo el consentimiento el principal criterio.
Jurisdicción legal brasileña: la LGPD se aplica a las empresas con sede en Brasil o que atienden a clientes brasileños. Aunque la empresa tenga su sede en el extranjero, debe cumplir la Ley de Protección de Datos cuando trate con ciudadanos del país.
Cartografía de datos: Las organizaciones deben registrar todas las actividades de tratamiento de datos en un informe. También deben realizar una evaluación del impacto sobre la privacidad del tratamiento de datos personales.
Sanciones: Las sanciones por incumplimiento pueden alcanzar el 2 por ciento de las ventas brutas de la empresa en Brasil en el año anterior, o 50 millones de reales por infracción, o aproximadamente 12,9 millones de dólares estadounidenses. La ley establece algunas excepciones, entre ellas para fines de seguridad nacional, investigación, periodismo y arte.
Nueve derechos de las personas en virtud de la LGPD en Brasil
La LGPD define nueve derechos para los interesados:
- El derecho a confirmar el tratamiento de datos personales.
- Derecho a acceder a los datos privados que una organización recopile sobre ellos.
- Derecho a rectificar los datos personales incompletos, inexactos u obsoletos.
- Derecho a solicitar la anonimización, el bloqueo o la supresión de datos innecesarios o excesivos o tratados en violación de la LGPD.
- Derecho a transferir sus datos personales a otro responsable del tratamiento.
- Derecho a solicitar la supresión de los datos en caso de incumplimiento de la LGPD.
- Derecho a conocer con quién (entidades públicas o privadas) ha compartido sus datos el responsable del tratamiento.
- Derecho a recibir información sobre la posibilidad de denegar el consentimiento y sus consecuencias.
- Derecho a revocar el consentimiento.
Ventajas de la LGPD
La LGPD no es una capa más de burocracia. Promueve la confianza, refuerza los derechos de los consumidores y eleva a las empresas a un nivel superior de responsabilidad en el tratamiento de la información de los usuarios en Brasil. Además de los muchos beneficios asociados al cumplimiento legal, sus ventajas van mucho más allá.
Beneficios para las organizaciones: La LGPD se creó en respuesta a la creciente preocupación por la seguridad de los datos personales. Sin embargo, también aporta muchos otros beneficios a las organizaciones que gestionan los datos de los brasileños. La LGPD ayuda a las organizaciones a reforzar su reputación y aumentar la confianza de sus clientes, empleados y aliados comerciales al garantizar la seguridad de sus datos. Además, un sistema unificado de gestión de datos optimiza los procedimientos internos de tratamiento de datos, reduciendo las posibilidades de que se produzcan incidentes de seguridad que puedan dar lugar a multas y posibles procedimientos judiciales.
Ventajas para los particulares: El objetivo último de la LGPD es proteger los datos de los residentes brasileños. También ofrece a los particulares un mayor control sobre la forma en que las instituciones gestionan su información privada. La LGPD permite a los particulares acceder a sus datos y hacerlos transferibles entre distintos procesadores de datos, eliminar información excesiva en línea o corregir datos inexactos. La ley obliga a las organizaciones a obtener el consentimiento de los individuos cuando recojan y procesen información personal y a informarles del motivo por el que recogen los datos. Esto significa que los brasileños pueden cambiar de opinión sobre compartir sus datos y revocar su consentimiento para ello. Un sistema transparente de recogida y gestión de datos puede ayudar a organizaciones y clientes a generar confianza y establecer relaciones mutuamente beneficiosas.