
Ya sea que viva en Brasil o haga Negocios en Brasil, probablemente habrá oído hablar de la nueva Ley de Protección de Datos del país, la Lei Geral de Proteção de Dados Pessoais (Ley General de Protección de Datos Personales), o LGPD para abreviar.
Brasil es el mayor centro tecnológico de América Latina y tiene la octava economía más grande del mundo por PIB. Es esencial conocer a fondo la normativa LGPD para hacer Negocios allí.
¿Qué es LGPD?
LGPD es la nueva Ley General de Protección de Datos Personales de Brasil, a continuación podrá consultar los detalles para conocer su ámbito de aplicación completo). El Parlamento de Brasil aprobó la normativa LGPD como Ley n.º 13.709 en agosto de 2018. Desde entonces, la ley se ha modificado dos veces y entró en vigor el 15 de agosto de 2020.
LGPD no es la primera ley de protección de datos de Brasil. Brasil es un país muy activo en investigación académica y legislación sobre protección de datos. Incluso antes de que se firmara LGPD, ya existían en el país unas 40 leyes y reglamentos relativos a la protección de datos.
Conceptos y términos de la normativa LGPD
Antes de explicar las reglas y el impacto de LGPD, presentaremos algunos conceptos y términos relacionados a esta ley.
Datos personales: Estos son datos “sobre” una persona. Son los datos que se almacenan en una computadora (o en papel) y que se etiquetan expresamente como referidos a una persona o que, con una cantidad limitada de trabajo, pueden identificarse como referidos a una persona en particular. Algunos ejemplos son: nombres, fechas de nacimiento, números de cuentas bancarias, datos sobre lo que una persona hizo el jueves pasado entre las 14 y las 15 horas, sus datos genéticos, información sobre su pertenencia a un sindicato, etc.
Sujeto de los datos o interesado: El “sujeto de los datos o interesado” es la persona acerca de la cual “tratan” los datos personales. Por ejemplo, si yo soy un banco y tengo su número de cuenta bancaria en mi sistema bancario, entonces usted es el titular de los datos. Todos somos titulares de datos.
Protección de datos: Protección de los datos personales contra el uso indebido de ellos.
Recopilación de datos: Cualquier forma de obtener datos personales, por ejemplo: pedirle a una persona datos personales en un formulario web, rastrear su comportamiento en línea, medir su temperatura corporal, etc.
Procesamiento: El procesamiento de datos personales significa recopilar, almacenar o distribuir esos datos, o realizar análisis sobre ellos.
Controlador: Un controlador es cualquier persona u organización que recopila datos personales. Por ejemplo, si yo soy un banco y usted tiene una cuenta con nosotros, naturalmente tengo datos sobre usted, como su número de cuenta bancaria. Eso me convierte en un controlador de datos.
Procesador: Un procesador es toda persona u organización a la que el controlador haya encomendado el procesamiento de datos personales. Por ejemplo, si soy un banco y almaceno su número de cuenta en la nube, entonces el proveedor de servicios en la nube es un procesador de datos.
Agentes de procesamiento: Es el término que la normativa LGPD aplica a la combinación de controlador y procesador. En el ejemplo anterior, mi banco y el proveedor de servicios en la nube que utilizo son ambos agentes de procesamiento.
Propósito de LGPD
“Protección de datos” es un término algo confuso. La protección de datos es en realidad la protección de las personas. El objetivo es proteger la privacidad de las personas mediante la protección de sus datos. LGPD proporciona (o exige) ese tipo de protección e impone deberes y limitaciones a los agentes de procesamiento para hacer cumplir la protección.
Lo que es nuevo con LGPD en comparación con las leyes y reglamentos brasileños anteriores, a algunos de los cuales complementa, es el amplio ámbito de aplicación que tiene. LGPD se modeló a semejanza del Reglamento General de Protección de Datos (GDPR o RGPD) de la Unión Europea, que a su vez se basa en las convenciones de las Naciones Unidas. La idea central tanto de LGPD como de GDPR es que la protección de los datos personales es un derecho humano. Esto significa que la protección de los datos no se limita a áreas específicas. La anterior legislación de protección de datos de Brasil había sido “sectorial”; es decir, se aplicaba a ámbitos personales como el sistema de salud, la industria financiera, etc. La normativa LGPD es algo diferente: exige la protección de los datos en cualquier ámbito de la vida y afecta a casi todas las áreas de Negocios y administración.
¿Cuándo se aplica LGPD?
LGPD se aplica en cualquiera de los siguientes escenarios:
- Cuando el procesamiento de datos personales: a) se realiza en Brasil y b) la finalidad del procesamiento es ofrecer o proporcionar bienes o servicios.
- Cuando se procesan los datos personales de individuos que estaban en Brasil cuando se recopiló dicha información.
Lo más notable, y en línea nuevamente con el enfoque de GDPR, es que LGPD define un derecho a la protección de datos independientemente del condado en el que se procesen. Si, por ejemplo, mi banco recopila datos sobre usted mientras vive o está de visita en São Paulo, LGPD se aplica al procesamiento de mi banco, independientemente de que el banco esté registrado o procese físicamente sus datos en São Paulo, San Francisco (California) o Saarbrücken (Alemania).
Quedan excluidas o parcialmente excluidas de LGPD las actividades de procesamiento en varias áreas, como la defensa nacional, las fuerzas de la ley, el periodismo, y las estadísticas. Además, los datos que se procesan con fines puramente privados no entran en el ámbito de la ley.
¿Cuándo se permite el procesamiento de datos personales?
El procesamiento de datos personales está prohibido por defecto. Solo se permite si existe una causa legítima. LGPD especifica una lista de causas legítimas en el artículo 7. Las causas más importantes son:
- El titular de los datos dio su consentimiento para el procesamiento de los datos. El consentimiento debe ser informado, sin ambigüedades y voluntario.
- El procesamiento es necesario para la aplicación de un contrato que el titular de los datos estableció (esencialmente, una especie de consentimiento indirecto).
- El controlador tiene la obligación legal de procesar los datos.
- Para el ejercicio de la aplicación de la ley.
- Para proteger la vida o la Seguridad física de una persona.
- Para asuntos de protección de crédito.
La lista contenida en LGPD es completa, es decir, si la única causa para procesar datos personales es que “beneficiará nuestros resultados”, mala suerte, no está permitido.
¿Cuáles son los derechos del titular de los datos?
El titular de los datos puede exigir lo siguiente del controlador:
- Confirmación de la existencia de un procesamiento de datos personales (siempre sobre el propio titular de los datos, por supuesto).
- Acceso a los datos personales del titular de los datos.
- Corrección de datos incompletos, imprecisos u obsoletos.
- Anonimización, bloqueo o eliminación de datos innecesarios o excesivos, o de datos procesados ilegalmente.
- Portabilidad de los datos a otro proveedor de servicios o productos (por ejemplo, la portabilidad de los datos cuando se pasa de un seguro médico a otro).
- Eliminación de los datos personales procesados con el consentimiento del titular de los datos.
- Información sobre cualquier organización con la que el controlador haya compartido los datos (incluidos los procesadores).
- Información sobre la posibilidad de denegar el consentimiento y las consecuencias de dicha denegación.
- Revocación del consentimiento.
Tenga en cuenta que el controlador es la parte con la que el titular de los datos debe contactar, no con el procesador. El controlador es el punto de contacto al que el titular de los datos debe dirigir cualquiera de las solicitudes anteriores.
Instituciones con competencias sobre la normativa LGPD
A nivel federal, Brasil ha creado una agencia nacional de protección de datos, la Autoridade Nacional de Proteção de Dados (ANPD). Este organismo puede exigir a las organizaciones información sobre el procesamiento de datos personales, imponer sanciones y, por lo general, se encarga de garantizar el cumplimiento de LGPD.
A nivel organizativo, cada controlador debe designar un Oficial de Protección de Datos (OPD). El trabajo de los OPD es conseguir que la organización para la que trabajan implementen la normativa LGPD. También se encargan de gestionar las solicitudes de derechos de los titulares de los datos que la organización reciba, y son su punto de contacto para la ANPD.
Responsabilidades de los agentes de procesamiento
Los agentes encargados del procesamiento están obligados a “adoptar medidas de Seguridad, técnicas y administrativas capaces de proteger los datos personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier tipo de procesamiento indebido o ilícito” (artículo 46). En otras palabras, deben hacer un esfuerzo razonable para proteger los datos personales. Los controladores tienen además la obligación de asegurarse de que los procesadores sean conscientes de esta responsabilidad (por ejemplo, incluyéndola en los contratos con el procesador).
Los agentes de procesamiento también están obligados a mantener el procesamiento de datos mínimo necesario en los casos en los que haya causas legítimas. No deben recopilar ni conservar datos que no sean necesarios para, por ejemplo, el cumplimiento de su contrato con el titular de los datos. Los datos que ya no sean necesarios deben eliminarse o inutilizarse.
Si sufren una vulneración de la Seguridad, los controladores están obligados a informar tanto a las autoridades como a los titulares de los datos. Esta información debe hacerse en un “período de tiempo razonable” a partir del descubrimiento de la vulneración. LGPD no define qué es “razonable”; se espera que la ANPD, que en el momento de redactar el presente documento aún está en fase de establecimiento, proporcione una definición.
Los controladores están obligados a proporcionar a la ANPD lo siguiente, a petición y con la debida documentación:
- Sus actividades de procesamiento de datos personales
- Los riesgos asociados a las actividades
- Las medidas (organizativas y técnicas) adoptadas para reducir los riesgos
Sanciones de LGPD
Si una organización incumple LGPD, la ANPD tiene una serie de medidas disciplinarias que puede aplicar a la organización infractora. Lo más importante es que la ANPD puede imponer una sanción de hasta el dos por ciento de los ingresos totales de la organización infractora (o de su grupo) en Brasil, por un máximo de 50 millones de reales brasileños (unos 11 millones de dólares estadounidenses). Si una empresa sufre múltiples vulneraciones de la Seguridad, se cobrará esa cantidad por cada vulneración.
Además, si un procesador de datos incumple la ley de protección de datos, y al hacerlo causa daños a los titulares de los datos o a cualquier otra persona, el procesador de datos puede ser considerado responsable de los daños ante los tribunales (artículos 42 a 45). Esta sección de LGPD parece estar influida por las leyes de Estados Unidos, donde el derecho de responsabilidad civil se ha aplicado durante mucho tiempo como sustituto de una ley general de protección de datos.
Papel de la tecnología en LGPD
No hay una sola tecnología que permita a las organizaciones “apretar un botón” para cumplir con LGPD de forma instantánea. La implementación de un paradigma fundamental, como el de LGPD, es un proceso en varios pasos. Requiere que las organizaciones reconsideren cómo llevan a cabo sus operaciones cotidianas. Solo entonces podrán decidir cómo utilizar las tecnologías para alcanzar sus objetivos.
En definitiva, estos son los pasos básicos necesarios a seguir para que una organización cumpla con LGPD:
- Entender los objetivos de LGPD.
- En base a los objetivos de LGPD, así como procesos existentes y organización de los datos, ajustar la definición de los procesos para que tiendan a proteger los datos personales
- Basándose en el diseño de los nuevos procesos, implementar medidas para reforzar los nuevos procesos.
En el tercer paso juegan un papel importante las soluciones de Ciberseguridad, reportes de Cumplimiento, Automatización, copias de Seguridad de datos, etc. Por ejemplo, un banco puede:
- Comprender que el acceso a los datos de las cuentas de sus clientes debe ser limitado.
- Definir qué personas y procesos deben tener acceso a los datos personales y cuáles no.
- Utilizar la encriptación como tecnología para hacer cumplir el acceso previsto.
En organizaciones más complejas, esos tres pasos se dividirían a su vez en pasos más pequeños, con acciones como un proceso de descubrimiento y evaluaciones del impacto de la protección de datos.
¿Cuál es el futuro de LGPD?
LGPD seguramente revolucionará la forma en que las empresas hacen Negocios en Brasil y con los brasileños. Además, como dijo Gilberto Gil: “Brasil estuvo, está y estará de moda”. Se espera que otros países de América Latina adopten una legislación similar en los próximos años.
Ahora que ya conoce los conceptos básicos de la normativa LGPD, puede empezar a considerar qué pasos debe tomar su organización para cumplir con esta ley. Esté atento a futuros artículos que profundizarán en lo que significa la LGBG para los equipos de IT.
Un buen punto de partida es revisar la salud de la Ciberseguridad de su organización.
¿Necesita cumplir con LGPD, GDPR u otras normativas de cumplimiento?
Nuestros expertos pueden ayudarlo a proteger sus datos sensibles y cumplir las normativas que necesite gracias a nuestra gama de soluciones de Ciberseguridad y Automatización. Solicite una reunión de forma gratuita y sin compromiso ahora.