LGPD – Empresas tienen 18 meses para adecuarse a la nueva Ley General de Protección de Datos (Lei Geral de Proteção de Dados) de Brasil
El 15 de agosto de 2018 fue publicada la Ley nº 13.709, de 14 de agosto de 2018, también conocida como Ley General de Protección de Datos (“LGPD“) de Brasil, dando inicio al plazo de 18 meses para su entrada en vigor, en febrero de 2020. Las personas naturales y jurídicas, públicas y privadas, que realicen procesamiento de datos, tanto online como offline, tendrán dicho período para adecuarse a las obligaciones implementadas por la nueva normativa.
Bajo la LGPD, el procesamiento de datos personales debe tener un propósito legítimo y base legal que lo fundamente, lo que podrá exigir, muchas veces, la obtención del consentimiento del titular de los datos tratados.
Por lo tanto, es recomendable, como un primer paso, que las entidades sujetas a la aplicación de la LGPD analicen su negocio y procedimientos internos (por ejemplo, tipos de bases de datos existentes, tipos de datos personales recopilados y almacenados, forma de utilización de los datos personales, entre otros) identificando así aquellas actuaciones que involucran algún tipo de procesamiento de datos personales y sus características, para, entonces, adoptar las soluciones necesarias para el cumplimiento de las exigencias de la LGPD.
Indicamos a continuación algunos aspectos y definiciones relevantes establecidos por la LGPD[1]:
(i) La definición legal de dato personal: información relacionada con la persona natural identificada o identificable (RG, CPF, nombre, dirección, teléfono, etc.);
(ii) La existencia de determinados tipos de datos personales sujetos a normas específicas, como, por ejemplo:
a. Datos personales sensibles – origen racial o étnica, convicción religiosa, opinión política, dado referente a la salud o la vida sexual, etc, cuyo procesamiento deberá observar reglas propias y más estrictas con respecto al consentimiento, finalidad, etc;
b. Datos personales de niños y adolescentes – cuyo procesamiento estará condicionado a la obtención del consentimiento específico y en separado de por lo menos uno de los padres o del responsable legal (entre otras obligaciones);
c. Los datos personales “anonimizados” – que no serán considerados como datos personales a efectos de aplicación de la LGPD, salvo cuando el proceso de anonimización al que se sometieron sea revertido, utilizando exclusivamente medios propios, o cuando, con esfuerzos razonables, pueda revertirse;
d. Datos tornados manifiestamente públicos por el titular – cuyo procesamiento podrá realizarse sin necesidad de obtención del consentimiento del titular.
(iii) La definición legal de procesamiento de datos, es decir, operación realizada con datos personales (recolección, recepción, utilización, procesamiento, almacenamiento y eliminación de datos personales).
(iv) Los diferentes principios que deben ser observados para ejercicio de actividades de procesamiento de datos, por ejemplo:
a. Finalidad – realización del procesamiento para propósitos legítimos, específicos, explícitos e informados al titular, sin posibilidad de procesamiento posterior de forma incompatible con dichas finalidades;
b. Adecuación – compatibilidad del procesamiento con las finalidades informadas al titular;
c. Necesidad – limitación del procesamiento al mínimo necesario para la realización de sus finalidades, con alcance sólo de datos pertinentes, proporcionales y no excesivos.
(v) Los requisitos que autorizan la realización del procesamiento de datos, incluidos:
a. Obtención del consentimiento del titular;
b. Cumplimiento de la obligación legal o regulatoria;
c. Realización de estudios por órganos de investigación (garantizada, siempre que sea posible, la anonimización de los datos);
d. Necesidad del dato para la ejecución de contrato o procedimientos preliminares de los que el titular sea parte, por solicitud del titular de los datos;
e. Para el ejercicio regular de derechos en proceso judicial, administrativo o arbitral;
f. Para cumplimiento de los legítimos intereses del controlador o tercero (excepto en el supuesto de que prevalezcan derechos y libertades fundamentales del titular).
(vi) Requisitos aplicables a la transferencia internacional de datos personales, incluyendo:
a. Necesidad de que el país destinatario proporcione un grado de protección a datos personales adecuado a la LGPD;
b. Obtención de consentimiento específico y en separado del titular para la realización de la transferencia internacional;
c. El controlador ofrecer y comprobar garantías de cumplimiento de los principios, de los derechos del titular y del régimen de protección de datos previsto en la LGPD.
(vii) Los agentes de procesamiento de datos personales, incluidos:
a. Controlador (controller) – responsable por las decisiones referentes al procesamiento de datos personales, que también indicará un encargado (data protection officer) que a su vez actuará como canal de comunicación entre el controlador, los titulares y la autoridad nacional;
b. Operador (data processor) – responsable por la realización del procesamiento de datos personales en nombre del controlador.
(viii) El incumplimiento de las obligaciones previstas en el LGPD puede resultar en la imposición de sanciones, que incluirán:
a. Advertencia con solicitud de adopción de medidas correctivas;
b. Multa de hasta el 2% (dos por ciento) de la facturación en Brasil, limitada a R$ 50.000.000,00 (cincuenta millones de reales) por infracción;
c. Bloqueo de los datos personales a que se refiere la infracción hasta su regularización; y
d. Eliminación de los datos personales a los que se refiere la infracción.
Por fin, en virtud del veto por el presidente brasileño Michel Temer a los dispositivos que hacían mención a la creación de la Agencia Nacional de Protección de Datos (“ANPD“), generando dudas sobre la autoridad que deberá ser creada para supervisar el cumplimiento y aplicar las sanciones establecidas en la LGPD, así como hacerla efectiva.
Nuestro equipo está siguiendo la evolución de este tema desde las discusiones de los proyectos de ley en el Congreso Nacional brasileño, así como la publicación del General Data Protection Regulation (“GDPR”) en Europa, y queda a la disposición de nuestros clientes para asesorarles em la adaptación a la nueva reglamentación.
[1] Listado ejemplificativo, incluido para referencia, y que no puede ser interpretado como un listado completo de todas las disposiciones de la LGPD.
Para mayores aclaraciones sobre el contenido de esta newsletter, contactar a:[vc_row] [vc_row][vc_column width=”1/3″]
Marcela Figueiró
marcela.figueiro@nbfa.com.br
(11) 3707-8370
Brunno Morette
brunno.morette@nbfa.com.br
(11) 3707-8370
Francisca Sousa Guedes
francisca.guedes@nbfa.com.br
(11) 3707-8370
[mk_divider style=”single_dotted”]
