Ley General de Protección de Datos de Brasil LGPD

La Ley General de Protección de Datos de Brasil o LGPD, por sus siglas, es una ley integral de privacidad de datos que fue aprobada con el fin de proteger la regulación y el uso de los datos personales y la información de los ciudadanos brasileños. Al igual que otras leyes de privacidad de datos que se han aprobado en todo el mundo en los últimos años, como el GDPR de la Unión Europea y la Ley de Derechos de Privacidad de California o CCPA, la LGPD proporciona una definición específica para la información personal en virtud de la ley, así como la base legal para que dicha información pueda ser recogida, procesada y divulgada. Sin embargo, la LGPD se diferencia de otras leyes de privacidad en que no se aplica a empresas de un determinado tamaño o umbral financiero. Aún así, estas son pocas excepciones pues la mayoría de las empresas brasileñas deben cumplir con lo normado por dicha ley.

¿Qué tipos de datos personales están protegidos por la LGPD?

Según la LGPD, se consideran datos personales cualquier información relacionada con una persona natural identificable. Esta definición es notable porque no incluye únicamente las formas tradicionales de datos personales, como el nombre y los apellidos o los números de la seguridad social, sino también los identificadores en línea. Por lo tanto, cualquier tipo de dato recogido, relativo a un ciudadano brasileño, puede ser categorizado como información personal bajo la definición de la LGPD. Además, la LGPD también contiene disposiciones específicas destinadas a proteger los datos personales que son objeto de prácticas discriminatorias.

Con este fin, las siguientes formas de información personal están específicamente protegidas contra la discriminación:

• datos personales relacionados con el origen racial o étnico
• información religiosa, filosófica o sindical
• opiniones o asociaciones políticas
• datos sobre la salud o la vida sexual
• datos biométricos o genéticos

¿Qué normas deben seguir las empresas brasileñas al recoger y procesar la información personal de los ciudadanos brasileños?

Al igual que otras leyes de privacidad de datos de todo el mundo, la LGPD limita la recogida, el uso y la divulgación de la información personal de un consumidor a los fines específicos para los que se obtuvo dicha información. Además, la ley también establece que las empresas deben obtener un consentimiento válido antes de recoger cualquier tipo de dato o información personal. Este consentimiento debe ser claro e incluir la finalidad del procesamiento, la duración del mismo, la identidad del responsable del procesamiento e información sobren terceros u otras entidades que pudieran acceder a dichos datos. Además, el documento debe recoger los derechos del individuo cuya información han sido procesada e informar al consumidor de la posibilidad de denegar su consentimiento.

Por el contrario, la LGPD permite el tratamiento de datos en situaciones limitadas en ausencia de un consentimiento válido. Por ejemplo, se permite que los responsables del procesamiento procesen la información personal de un ciudadano brasileño sin un consentimiento válido, si dicho procesamiento es necesario para satisfacer las necesidades legítimas de dicho responsable. Sin embargo, los derechos del responsable del procesamiento no pueden prevalecer sobre los derechos de los ciudadanos brasileños en virtud de la LGPD. En los casos en que estos derechos puedan entrar en conflicto, los derechos de los ciudadanos prevalecerán sobre los derechos de los responsables del procesamiento en virtud de la ley.

Los datos personales de los ciudadanos brasileños pueden ser procesados sin su consentimiento en las siguientes circunstancias:

• para cumplir con una obligación legal
• para ejecutar o cumplir un contrato a petición del interesado
• por razones o fines sanitarios
• para proteger la seguridad física o la vida del individuo
• para ejercer derechos administrativos o judiciales
• para proteger la puntuación de crédito de un ciudadano brasileño
• En el caso en que los datos personales se recogen y anonimizan, de ser posible, en el contexto de una investigación.
• Cuando la recogida de datos sea necesaria por parte de la administración pública para la ejecución de políticas públicas o en base a determinados contratos o acuerdos.

Además, la LGPD también obliga a las empresas que procesan los datos personales de los consumidores brasileños a establecer un responsable de protección de datos o DPO, por sus siglas en inglés. Sin embargo, este DPO no tiene que ser necesariamente una persona natural, ya que los comités, las compañías y otros grupos internos dentro de las empresas también pueden servir como DPO en virtud de las disposiciones de la LGPD. Además, las empresas también pueden subcontratar el cargo de RPD a un tercero, como un bufete de abogados u otra empresa especializada.

¿Cuáles son los derechos de los ciudadanos brasileños en virtud de la LGPD?

En virtud de la LGPD, los ciudadanos brasileños pueden ejercer los siguientes derechos en relación con la recogida, el procesamiento y la divulgación de su información y datos personales:

• derecho a confirmar la existencia de un procesamiento de datos
• derecho a acceder a sus datos personales
• derecho a corregir cualquier información incompleta, inexacta o desactualizada
• derecho a la anonimización
• derecho a bloquear o suprimir cualquier dato innecesario, excesivo o procesado en incumplimiento de las disposiciones de la LGPD
• derecho a la portabilidad de los datos personales a otro proveedor de servicios o productos, mediante una solicitud expresa y la inclusión del secreto comercial e industrial de acuerdo con la normativa del organismo de control
• derecho a la supresión de sus datos personales tratados con su consentimiento, salvo en los supuestos previstos en el artículo 16 de la LGPD.
• derecho a conocer sobre las entidades privadas y públicas con las que el responsable de procesamiento ha compartido sus datos personales
• derecho a acceder a información que detalle su capacidad de negar el consentimiento, así como las posibles implicaciones o consecuencias de dicha negación
• derecho a revocar su consentimiento

Junto al establecimiento de la LGDP, el Gobierno Federal de Brasil también creó la Autoridade Nacional de Proteção de Dados o ANPD para servir como autoridad del país en materia de protección de datos. La ANPD se encargará de hacer cumplir la LGPD como política gubernamental y su autoridad entrará en vigor en enero de 2022. Las multas e infracciones relacionadas con la violación de la LGPD van desde simples advertencias hasta sanciones monetarias de hasta 50 millones de reales brasileños (9 millones de dólares estadounidenses).

La LGPD es una de las muchas leyes integrales de privacidad de datos que se han aprobado en todo el mundo en la última década. A medida que los límites de la comunicación y el comercio en línea sigan alcanzando nuevas cotas, esta legislación se expandirá en los próximos años. De este modo, lo que significa para un país mantener la privacidad de sus ciudadanos seguramente cambiará con la llegada de los identificadores en línea, ya que la definición de información personal ha crecido y cambiado con los tiempos. Con leyes como la LGPD, los ciudadanos brasileños están un paso más cerca de tener sus datos personales y privacidad protegidos en todo momento cuando se relacionan con entidades y organizaciones comerciales.