¿Qué es la ley LGPD? La versión brasileña del GDPR | CookieFirst
El Lei Geral de Proteção de Dados (o LGPD) de Brasil aporta aclaraciones muy necesarias al marco legal brasileño. El LGPD intenta unificar los más de 40 estatutos diferentes que actualmente gobiernan los datos personales, tanto en línea como fuera de línea, reemplazando ciertas regulaciones y complementando otras. Esta unificación de regulaciones previamente dispares y a menudo contradictorias es solo una similitud que comparte con el Reglamento General de Protección de Datos de la UE, un documento del que claramente se inspira.
Otra similitud es que la LGPD se aplica a cualquier empresa u organización que procese los datos personales de personas en Brasil, independientemente de dónde se encuentre esa empresa u organización. Entonces, si su empresa tiene clientes o clientes en Brasil, debe comenzar a prepararse para el cumplimiento de LGPD. Afortunadamente, todavía tiene tiempo antes de que la ley entre en vigencia. Y si ya cumple con GDPR, ya ha realizado la mayor parte del trabajo necesario para cumplir con LGPD.
Administrador para consentimiento de cookies | Pruébalo gratis durante 2 semanas
Evalúa gratis nuestros planes de pago durante 2 semanas o crea una cuenta gratuita …
Similitudes entre el ley GDPR y el ley LGPD
Además de su aplicación extraterritorial, el LGPD y el GDPR acuerdan varios conceptos básicos en lo que respecta a la protección de datos.
Información personal | ley LGPD
Si bien el LGPD no tiene una definición única para datos personales, si lee la totalidad del texto, puede ver ecos de la definición de datos personales del GDPR. La LGPD establece en varios lugares que los datos personales pueden significar cualquier dato que, por sí solo o combinado con otros datos, pueda identificar a una persona física o someterla a un tratamiento específico. Si bien esta definición probablemente se aclarará a medida que Brasil se acerque a la implementación de la LGPD, como se indicó actualmente, la LGPD tiene una visión amplia de qué datos califican como datos personales, incluso más expansivos que el GDPR.
Derechos del sujeto de datos | ley LGPD
El Artículo 18 es otra sección de la LGPD que resultará familiar para las empresas que se han ocupado del cumplimiento del GDPR. Explica los nueve derechos fundamentales que tienen los interesados, que incluyen:
- El derecho a la confirmación de la existencia del procesamiento;
- El derecho a acceder a los datos;
- El derecho a corregir datos incompletos, inexactos o desactualizados;
- El derecho a anonimizar, bloquear o eliminar datos innecesarios o excesivos o datos que no se procesan de conformidad con la LGPD;
- El derecho a la portabilidad de los datos a otro proveedor de servicios o productos, mediante una solicitud expresa.
- El derecho a eliminar datos personales procesados con el consentimiento del interesado;
- El derecho a la información sobre entidades públicas y privadas con las que el controlador ha compartido datos;
- El derecho a la información sobre la posibilidad de negar el consentimiento y las consecuencias de dicha negación; y
- El derecho a revocar el consentimiento.
Si bien el GDPR es conocido por otorgar a sus interesados ocho derechos fundamentales, son esencialmente los mismos derechos que menciona el LGPD. Parece que la LGPD dividió «El derecho a la información sobre entidades públicas y privadas con las que el controlador ha compartido datos» del «Derecho a ser informado» más general del GDPR para hacerlo más explícito.
Diferencias entre LGPD y GDPR
A pesar de sus objetivos similares y la aparente influencia que tuvo el GDPR en los legisladores brasileños, hay algunas diferencias clave a tener en cuenta entre las dos leyes.
Oficiales de protección de datos | ley LGPD
Ambas leyes requieren que las empresas y organizaciones contraten a un Oficial de Protección de Datos (DPO). Sin embargo, mientras que el GDPR describe cuándo se requiere un DPO, el Artículo 41 de la LGPD simplemente dice: «El controlador designará a un oficial para que se encargue del procesamiento de datos», lo que sugiere que cualquier organización que procese los datos de personas en Brasil necesitará contratar un DPO. Esta es otra área que probablemente recibirá más aclaraciones, pero como está escrito, es una de las pocas áreas donde el LGPD es más estricto que el GDPR.
Base legal para el procesamiento de datos.
Posiblemente, la diferencia más significativa entre el LGPD y el GDPR se refiere a lo que califica como base legal para el procesamiento de datos. El GDPR tiene seis bases legales para el procesamiento, y un controlador de datos debe elegir una de ellas como justificación para usar la información de un sujeto de datos. Sin embargo, en el Artículo 7, la LGPD enumera 10. Son:
- Con el consentimiento del interesado;
- Para cumplir con una obligación legal o reglamentaria del controlador;
- Para ejecutar políticas públicas previstas en leyes o reglamentos, o basadas en contratos, acuerdos o instrumentos similares;
- Realizar estudios de entidades de investigación que garanticen, siempre que sea posible, el anonimato de los datos personales;
- Para ejecutar un contrato o procedimientos preliminares relacionados con un contrato del cual el interesado es parte, a solicitud del interesado;
- Ejercer derechos en procedimientos judiciales, administrativos o de arbitraje;
- Para proteger la vida o la seguridad física del interesado o de un tercero;
- Para proteger la salud, en un procedimiento realizado por profesionales de la salud o por entidades de salud;
- Para cumplir con los intereses legítimos del controlador o de un tercero, excepto cuando prevalecen los derechos y libertades fundamentales del interesado, que requieren protección de datos personales; o
- Para proteger el crédito (refiriéndose a un puntaje de crédito).
Tener la protección del crédito como base legal para el procesamiento de datos es, de hecho, una desviación sustancial del GDPR.
¿Eres una agencia, diseñador web u otro distribuidor?
Obtén una comisión del 30%, échale un vistazo a nuestro modelo para distribuidores o contáctanos para números superiores a 500 clientes
Informar violaciones de datos | ley LGPD
Si bien tanto el GDPR como el LGPD requieren que las organizaciones denuncien las violaciones de datos a la autoridad local de protección de datos, el nivel de especificidad varía ampliamente entre las dos leyes. El GDPR es explícito: una organización debe informar una violación de datos dentro de las 72 horas de su descubrimiento (aunque diferentes organizaciones ya están probando ese plazo).
La LGPD no da ningún plazo firme: el artículo 48 simplemente establece que «el controlador debe comunicar a la autoridad nacional y al interesado la ocurrencia de un incidente de seguridad que pueda crear riesgos o daños relevantes para los interesados … en un tiempo razonable período, según lo definido por la autoridad nacional «. Dado que la agencia nacional de protección de datos aún no se ha establecido, no existe una guía para lo que constituye un «período de tiempo razonable».
Multas | ley LGPD
Una regulación es tan fuerte como sus dientes. Es por eso que las multas máximas de GDPR son sustanciales, lo que requiere que las organizaciones que cometen violaciones graves de GDPR paguen hasta € 20 millones o el 4% de los ingresos globales anuales, lo que sea mayor.
Las multas bajo la LGPD son mucho menos severas. El artículo 52 establece que la multa máxima por una violación es «2% de los ingresos de una entidad jurídica privada, grupo o conglomerado en Brasil, para el año fiscal anterior, excluidos los impuestos, hasta un máximo total de 50 millones de reales» (esto funciona a aproximadamente € 11 millones). Las multas de LGPD están en línea con las multas de GDPR por infracciones menos graves, pero 11 millones de euros no afectarán a los mayores procesadores de datos del mundo.
Esta no es una descripción exhaustiva de la LGPD, pero debería tranquilizar a los dueños de negocios de que, en la mayoría de los aspectos, si ha logrado el cumplimiento de la GDPR, ya está en camino de cumplir con la LGPD. Las leyes de protección de datos están comenzando a considerarse en todo el mundo, desde la India hasta los Estados Unidos. GDPR.eu estará aquí para ayudarlo a mantenerse al día con los últimos desarrollos y lograr el cumplimiento.