LGPD Brasil | Ley de Protección de Datos: ¡explicada en 13 puntos! | CookieFirst

LGPD Brasil – A partir de agosto de 2020, mucho cambiará en Brasil para las organizaciones públicas y privadas que recogen, tratan, almacenan, procesan, comercializan, entre otras operaciones, los datos personales de millones de brasileños.

La Ley nº 13.709/18 (Ley de Protección de Datos – LGPD) entrará plenamente en vigor, regulando la política de protección de datos personales y de privacidad, modificando algunos de los artículos del Marco Civil de Internet[1] e impactando en otras normas, transformando drásticamente la forma en que las empresas y los organismos públicos tratan la privacidad y la seguridad de la información de los usuarios y clientes.

En Europa, el Reglamento General de Protección de Datos (RGPD)[2], que inspira la legislación brasileña, está en vigor desde el 25 de mayo de 2018, lo que hace que las entidades y empresas de la Unión Europea se adapten antes de que entre en vigor.

Pero puede relajarse: ¡muchos de los cambios serán positivos tanto para las personas como para las empresas!

Este artículo responderá a algunas preguntas fundamentales, como: qué es la ley; cómo, por qué y en qué aspectos afectará a su vida; qué medidas deben tomarse; a quién recurrir en caso de violación; entre otros temas. Venga con nosotros!

1. ¿Qué son la LGPD y la GDPR? | LGPD Brasil

Ambos son conjuntos de normas legales para la recolección, almacenamiento y procesamiento de datos personales determinados o determinables, llevados a cabo por individuos, empresas y organizaciones del Estado.

La brasileña (LGPD), aún no está en vigor (se espera que entre en vigor, con todos sus efectos, el 15/08/20). Sin embargo, algunos de sus aspectos jurídicos están comenzando a debatirse a la luz del Marco Civil de Internet y, sobre todo, del Código de Protección al Consumidor (CDC), siguiendo el ejemplo de la reciente fuga de datos de la empresa Netshoes, en la que la MPDFT acordó un Acuerdo de Ajuste de Conducta (TAC) con la empresa.

Está en vigor la Ley Europea (GDPR), que establece las normas relativas al tratamiento de los datos personales de las personas que se encuentran en la Unión Europea. Cabe recordar que las empresas brasileñas y los organismos estatales que hacen negocios con países europeos tendrán la obligación de asegurar que sus políticas de procesamiento de datos cumplan con la GDPR, bajo el riesgo de sanciones, así como de pérdida de clientela, valor de la marca y credibilidad en el mercado internacional.

2. ¿Cómo afectará la Ley General de Protección de Datos a tu vida? | LGPD Brasil

La LGPD tendrá un impacto de lo más significativo que una legislación nacional haya promulgado jamás.

Millones de empresas brasileñas trabajan directa o indirectamente con los datos personales de sus clientes. En unas pocas decenas de miles, estos datos son vitales para el funcionamiento de la empresa en sí, como los bancos, compañías de seguros, e-comercios. No es exagerado decir que la seguridad de la información de los consumidores es esencial para todas las transacciones realizadas por estas empresas.

La legislación es categórica: todos los datos manejados por entidades legales públicas y privadas, cuyos propietarios se encuentren en el territorio nacional; o su recolección se haya realizado en el país; o incluso si el propósito es ofrecer productos o servicios en Brasil, deben ser preparados.

Por lo tanto, no es una opción, sino una obligación de las empresas para cumplir con las normas brasileñas de protección de datos personales.

Asimismo, en el caso de una persona física, su privacidad y su libertad estarán protegidas contra posibles violaciones de la seguridad que puedan dar lugar a riesgos de exposición o fuga de datos, por ejemplo; o el derecho a que sus datos sean eliminados de una determinada base de datos, entre otras posibilidades.

El comportamiento de las empresas y los clientes cambiará drásticamente: las primeras tendrán que contar con políticas y planes de protección de datos comprometidos con la protección de la privacidad y la seguridad de los clientes y usuarios; mientras que las personas observarán mucho más la conducta de las empresas y serán más exigentes con la seguridad que las instituciones pueden ofrecer a sus datos.

3. ¿Qué deben hacer los gobiernos, las entidades estatales y las empresas para garantizar la privacidad? | LGPD Brasil

Esta pregunta dominará el ranking de los debates jurídicos, económicos y sociales de los próximos años, ya que el aumento del tráfico y los riesgos de ataques y fugas de datos afectan prácticamente a toda la iniciativa pública y privada de un país.

Millones de información personal circulan por las redes virtuales cada día. La exposición de datos en gran escala es cada vez más frecuente, lo que pone de manifiesto las deficiencias de los sistemas y protocolos, incluso por parte de quienes deben supervisar la seguridad de las operaciones: el Estado.

Las empresas se verán profundamente afectadas, ya que las empresas e instituciones se encargarán de protegerse de eventuales sanciones y, lo que es tan importante, de protegerse de la opinión pública negativa a quienes no se adapten, demostrando una falta de fiabilidad al mercado al no poder garantizar la protección de sus bases de datos.

4. ¿Por qué la necesidad de una ley para proteger los datos personales? | LGPD Brasil

El derecho a la protección de datos tiene una base genérica en la Constitución Federal de 1988[3]. Recientemente, el Senado Federal aprobó una Propuesta de Enmienda a la Constitución (PEC Nº 17/2019) para incluir la protección de los datos disponibles en los medios digitales en la lista de garantías individuales de la Carta Magna. El Hito Civil de Internet[4] reconoce este derecho, sin embargo, todavía de manera vaga. Corresponde entonces a la LGPD regular la protección y la privacidad de los datos personales para permitir su ejercicio.

Como ya se ha mencionado, miles de empresas brasileñas recogen, almacenan y procesan datos personales de millones de usuarios y clientes. ¿Se ha preguntado alguna vez qué hacen estas empresas con sus datos? ¿Están almacenados en lugares seguros? ¿Cómo se protege la privacidad de sus datos personales? ¿Existen planes y protocolos para minimizar los daños en caso de exposición indebida, ataques o violaciones de la seguridad?

Estas y otras cuestiones están dentro del ámbito de acción reguladora de la Ley de Protección de Datos. A partir de ella, todas y cada una de las operaciones que impliquen el tratamiento de datos personales en Brasil – ya sea en el mundo virtual o, de hecho, con grandes conglomerados o pequeñas empresas – tendrán que adaptarse al LGDP.

Administrador para consentimiento de cookies | Pruébalo gratis durante 2 semanas

Evalúa gratis nuestros planes de pago durante 2 semanas o crea una cuenta gratuita …

Crea una cuentaConoce nuestros planes

5. ¿Y qué son las violaciones de datos? | LGPD Brasil

Existen varios tipos de ciberataques[5] y las bases de datos conectadas a Internet se encuentran en un cierto grado de vulnerabilidad. Uno de los casos más emblemáticos de negligencia informativa fue la fuga de datos de millones de usuarios de Facebook a la empresa británica de marketing político, Cambridge Analytica.

En Brasil, se han confirmado dos casos recientes: Netshoes (visto arriba) y el Banco Inter; y otro en investigación, la empresa de protección de crédito Boa Vista.

Las violaciones de los datos personales, según la legislación europea, se caracterizan por:

«una violación de la seguridad que conduce a la destrucción, la pérdida, la alteración, la divulgación o el acceso no autorizados de los datos personales transmitidos, almacenados o procesados de cualquier otra manera[6]».

Aunque el incidente sólo haya dado lugar a que los datos sean visibles para terceros, la violación de la seguridad a la que se refiere la ley ya se ha producido.

Por lo tanto, la empresa u organización debe asegurarse de que el daño causado se reduzca al mínimo y satisfaga las expectativas de los interesados y la sociedad de manera satisfactoria.

6. ¿Cuáles son sus derechos protegidos por la ley? | LGPD Brasil

La LGPD proporciona una protección total de tu libertad, privacidad, seguridad, consentimiento expreso, acceso a tu información para su corrección y un servicio rápido si quieres borrar tus datos, entre otros.

Los datos personales protegidos por la ley son aquellos determinados o determinables. Es decir, cualquier dato que permita o haga posible la identificación de una persona física, como por ejemplo:

  • Nombre;
  • Apellido;
  • Correo electrónico;
  • Numeración de documentos y tarjetas de crédito;
  • Datos bancarios;
  • Información médica;
  • Ubicación;
  • Direcciones IP;
  • Y las llamadas «declaraciones de conexión», más conocidas como cookies.

También se incluyen «datos personales sensibles» (aquellos potencialmente susceptibles de ser discriminados si se exponen o filtran) como el origen racial o étnico, las convicciones religiosas, las opiniones políticas, la pertenencia a sindicatos u organizaciones religiosas, filosóficas o políticas, relacionados con la salud o la vida sexual, genética o biomédica.

Sus derechos son: el acceso a todos los datos personales, la posibilidad (mediante simple solicitud) de rectificación, actualización, eliminación, bloqueo, portabilidad (la remisión de sus datos personales a otras empresas), el listado de entidades públicas y privadas con las que compartió sus datos, entre otros. Sin perjuicio de la eventual reparación de los daños en la Justicia.

La ley no sólo protegerá los datos personales digitales, sino también los procedentes de colecciones de papel, como los formularios de inscripción y los cupones promocionales. Los datos recogidos a través de imágenes y sonidos también se incluirán en la protección.

7. ¿Qué significa «consentimiento» a la ley y qué tiene que ver con tus derechos? | LGPD Brasil

El «consentimiento» a la LGPD es una condición fundamental para la viabilidad de las operaciones de procesamiento de datos de un individuo. Representa una «declaración libre, informada e inequívoca por la cual el interesado consiente el tratamiento de sus datos personales para un fin determinado[7]».

Por lo tanto, los usuarios deben tener a su disposición de forma expresa, clara, con lenguaje accesible, toda la información sobre el tratamiento que tendrán sus datos, como: la finalidad para la que se recogen; los medios de captura; el período de tiempo en que se almacenarán; la identificación del responsable del tratamiento con el respectivo contacto; si serán compartidos con terceros; cuáles son las responsabilidades de los agentes que realizarán el tratamiento; entre otras.

El titular de los datos tiene derecho a retirar o revocar el consentimiento, así como a dar un nuevo consentimiento si se produce un cambio en la finalidad de los datos originalmente recogidos.

Asimismo, el titular tiene derecho a corregir o modificar sus datos. Esas opciones a disposición del usuario o cliente deben facilitarse y ponerse a disposición de forma gratuita.

El famoso «haga clic aquí para finalizar su registro» y luego «al hacer clic aquí acepta las condiciones de uso y la política de privacidad» – ya no será aceptable. El usuario o cliente debe dar su consentimiento, por ejemplo, marcando una casilla de diálogo.

8. ¿Cómo saber si sus datos personales están seguros? | LGPD Brasil

Es deber de las empresas y organizaciones proporcionar tecnologías seguras para la protección de los datos personales, utilizar procesos de anonimización[8] sin reversión[9] y otras técnicas como: la encriptación y la seudonimización[10]. En caso de filtraciones, comunicar a los interesados, así como mantener un oficial de protección de datos, elaborar planes de riesgo y tratar de anticipar el impacto del incidente, entre otras medidas.

Una de las medidas más inmediatas en caso de exposición y fuga es notificar a la Autoridad Nacional de Protección de Datos (ANPD) en un plazo razonable (que será definido por la propia autoridad).

Varias empresas ya se están adaptando a la legislación. Un ejemplo son los mensajes de navegación y de uso de cookies de marketing, así como las disposiciones sobre la política de privacidad en la página de inicio, que alertan a los usuarios y clientes de que hay transparencia en la información recogida y en la protección de los datos personales tratados.

Es importante mencionar que ya hay empresas que trabajan con la certificación digital de los sitios web corporativos e institucionales, como forma de mejorar la fiabilidad durante la navegación, al certificar que el sitio web cumple con la LGPD.

 LGPD Brasil: CookieFirst es un CMP que hace que su sitio web cumpla con LGPD

¿Eres una agencia, diseñador web u otro distribuidor?

Obtén una comisión del 30%, échale un vistazo a nuestro modelo para distribuidores o contáctanos para números superiores a 500 clientes

Calcula tus ingresos

9. ¿Qué debo hacer para denunciar prácticas irregulares o ilegales? | LGPD Brasil

Cualquier persona física que posea datos personales puede solicitar a la empresa o a la institución gubernamental que controla sus datos a la ANPD la violación de las normas de protección de datos.

Se recomienda intentar primero contactar con la compañía u organización cuando se solicite expresamente información u otra acción con respecto a sus datos. Dicha solicitud no supondrá ninguna carga para el titular. Asimismo, es posible solicitar a los organismos de protección al consumidor en caso de silencio u omisión.

Las empresas pueden ser consideradas administrativamente responsables con sanciones que van desde una advertencia a una simple multa del 2% de los ingresos anuales hasta un límite de R$ 50 millones por violación. Además, por supuesto, a la exposición negativa en los medios de comunicación, un efecto secundario de la publicación de la mala gestión de datos.

Por último, en los casos de irregularidades, inconformidades jurídicas o actos ilícitos, el titular de los datos también puede ejercer sus derechos ante los tribunales, si es necesario para obtener una indemnización por los daños materiales o morales sufridos.

10. ¿Qué es la Autoridad Nacional de Protección de Datos? ¿Para qué sirve? | LGPD Brasil

La Ley 13.853/19 creó la Autoridad Nacional de Protección de Datos (ANPD), previamente establecida en la Medida Provisoria 869/18, como parte de la Política Nacional de Protección de Datos Personales y Privacidad.

Se trata de un órgano indirecto de la administración pública federal, bajo una autoridad especial, vinculado a la Presidencia de la República con los objetivos de: velar por la protección de los datos personales; inspeccionar y aplicar sanciones administrativas; promover y divulgar información sobre las normas y políticas públicas en materia de protección de datos personales y medidas de seguridad; y promover acciones de cooperación con las autoridades de protección de datos personales de otros países; entre otras competencias.

En virtud de la misma norma se creó también el Consejo Nacional de Protección de Datos Personales y Privacidad, con representantes de los poderes ejecutivo, legislativo y judicial; el Ministerio Público; la sociedad civil; las instituciones científicas; y el sector empresarial.

Este Consejo tiene entre sus competencias: la propuesta de directrices estratégicas; la elaboración de informes anuales de evaluación de la ejecución de las acciones de la Política Nacional de Protección de Datos; la realización de estudios y debates, etc.[11].

La ANPD se encuentra en fase de conformación política para la selección de sus miembros, directrices estructurales, reglamentación y detalles técnicos para su funcionamiento. También está a la espera de la plena aplicación de la LGPD, que tendrá lugar en agosto de 2020.

11. ¿Quiénes son los agentes responsables del tratamiento de los datos personales y cuáles son sus funciones y responsabilidades?

La ley brasileña enumera los sujetos, cargos y responsabilidades de los llamados «agentes de tratamiento». Son ellos:

El controlador – persona física o jurídica, de derecho público o privado, que es responsable de las decisiones relativas al tratamiento de datos personales[12]. Una empresa o un organismo estatal que tiene una colección de datos personales es un ejemplo de controlador.
El operador – persona física o jurídica, de derecho público o privado, que realiza el tratamiento de datos personales por cuenta del responsable del tratamiento[13]. Un ejemplo de operador sería un subcontratista del controlador, contratado para procesar los datos del controlador.
Esos agentes son los encargados de adoptar decisiones en materia de tratamiento de datos personales (el responsable del tratamiento) y de la ejecución efectiva de las operaciones de tratamiento por cuenta de otro (el operador).

Para ambos, la ley asigna cargos importantes, tales como: el mantenimiento y la conservación de registros de las operaciones de tratamiento que realizan; la elaboración de informes de impacto; la comunicación a la ANPD y al titular de los datos en caso de un incidente de seguridad que pueda causar un riesgo o un daño; la aplicación de buenas prácticas y la gobernanza; entre otros.

En cuanto a la responsabilidad, los agentes de tratamiento son responsables solidarios cuando causan daños materiales, morales, individuales o colectivos, en caso de violación de la legislación sobre protección de datos personales, incluida la indemnización. También son responsables cuando no adoptan las medidas de seguridad previstas en la legislación, en los casos de vulneración de la seguridad por parte de terceros, causando el daño.

Los agentes no sólo son responsables cuando prueban que no han realizado el tratamiento que se les ha asignado; que aunque lo hayan realizado, no ha habido infracción de la ley; o que el daño resulta de la culpa exclusiva del interesado o de terceros[14].

También existe la figura del Responsable de Protección de Datos[15] (Responsable de Privacidad de Datos para la RBD). Es el intermediario entre los usuarios (los titulares de los datos personales), las empresas e instituciones gubernamentales (los controladores) y la Autoridad Nacional de Protección de Datos, actuando como un canal de comunicación entre ellos. Esta posición es fundamental para que la empresa pueda tomar decisiones correctas, aplicando buenas prácticas y un cumplimiento institucional adecuado.

Ante tantas obligaciones[16], es fundamental que las empresas y organismos mantengan mecanismos y herramientas técnicas, informativas y legales para salvaguardar la organización en caso de incidentes, irregularidades o conductas indebidas.

12. ¿Qué recomiendan los expertos para el cumplimiento de la LGPD? | LGPD Brasil

Todavía quedan algunos meses para que las empresas y organizaciones estatales cumplan con la Ley de Protección de Datos, implementen buenas y duraderas prácticas de gobierno y privacidad, protocolos de comunicación dentro y fuera de la institución, entre otras adaptaciones.

Los expertos recomiendan aprovechar el escaso tiempo para rediseñar la gestión organizativa, haciendo hincapié en algunos puntos: el nombramiento de un responsable de la protección de datos; la realización de una auditoría completa de los datos; la compilación de mapas temporales o del ciclo de vida de los datos; la revisión de las políticas de seguridad; la revisión de los contratos con los proveedores y socios; y la preparación de un informe sobre el impacto en la privacidad.

Lo bueno es que hay bufetes de abogados especializados en este cumplimiento. Al contratar especialistas, se puede negociar la aplicación en todos los aspectos que exige la legislación, además de la vigilancia durante un determinado período de tiempo o la contratación por actos o fases, lo que puede ser una idea factible cuando no se dispone de suficiente dinero en efectivo en el momento.

13. Relaciones entre la Ley de Protección de Datos, el Marco Civil de Internet y el Registro Positivo.

La LGPD complementa el alcance legal del Marco Civil de Internet en lo que respecta a derechos y garantías, como la libertad de expresión, la protección de la privacidad en línea y la seguridad de la información personal.

La aplicación de la Ley de Protección de Datos a las relaciones entre clientes y empresas tiende a mejorar los servicios, haciéndolos éticamente sostenibles y facilitando los canales de comunicación entre todos los sujetos implicados.

En cuanto al Registro Positivo (Ley nº 12.414/11), después de los cambios introducidos por la Ley Complementaria nº 166/2019 será necesario ser compatible con la LGPD, porque en las operaciones de consultas a las bases de datos de personas físicas y jurídicas hay un intercambio regular de varias informaciones personales recogidas de diferentes fuentes (datos bancarios y de crédito, del IRS, de concesionarios, etc.) de forma obligatoria (todos los consumidores están automáticamente en el registro), a menos que el consumidor exprese lo contrario.

Incluso si se imaginan los aspectos positivos del registro, como la disponibilidad de créditos más baratos y accesibles, las empresas dispondrán de millones de datos personales de los ciudadanos, con todos los riesgos de exposición, filtración y posible comisión de actos ilícitos.

Es plausible prever la posibilidad de demandas individuales o colectivas ante la ANPD y/o el Poder Judicial, con base en el Código de Defensa del Consumidor, debido a dificultades de exclusión, o incluso irregularidades o violaciones de las normas de la LGPD.

Conclusión | LGPD Brazil

La adaptación al cumplimiento de la LGPD y la regulación de la patria será más que una necesidad para todas las empresas pequeñas, medianas y grandes. Un salto positivo será redimensionar sus operaciones de datos, añadiendo a los valores empresariales y de marca de la sostenibilidad informativa, la ética y la transparencia.

Para los usuarios y clientes significará el pleno ejercicio de la autodeterminación informativa sobre el tratamiento de sus datos personales. Por último, el Brasil ganará en fiabilidad internacional, mostrando a las demás naciones que trata los datos personales de sus nacionales con seriedad y respeto.

¿Y ha entendido todo sobre la Ley de Protección de Datos? ¿Qué opina de ella?

CookieFirst

Obtenga el consentimiento antes de cargar scripts de seguimiento de terceros

CookieFirst tiene como objetivo hacer que la conformidad con ePrivacy y GDPR sea fácil y rápida de implementar. La plataforma CookieFirst ofrece script de terceros y gestión de consentimiento, estadísticas, escaneos periódicos de cookies, declaración automatizada de cookies, personalización de banners, múltiples opciones de idioma y más. Evite multas importantes y obtenga el consentimiento antes de cargar scripts de seguimiento de terceros: ¡pruebe CookieFirst!