Qué es la LGPD y cómo cumplir con la Ley de Protección de Datos Personales en Brasil
La Ley General de Protección de Datos Personales (LGPD) de Brasil es una legislación que busca proteger los datos personales de los ciudadanos brasileños. Esta ley, que entró en vigor el 14 de agosto de 2018, establece normas claras y precisas para el tratamiento de datos y aplica sanciones rigurosas para las empresas que no cumplan con las regulaciones.
En este artículo, vamos a profundizar en los conceptos clave de la LGPD y explicar cómo las empresas de México, España y Latinoamérica pueden cumplir con esta legislación.
¿Qué es la LGPD?
La LGPD es una ley brasileña que tiene como objetivo salvaguardar los datos personales de los ciudadanos de Brasil. Esta ley se inspiró en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y entró en vigor el 14 de agosto de 2018.
La LGPD se aplica a todas las empresas que procesan datos personales de ciudadanos brasileños, independientemente de su ubicación geográfica.
Conceptos clave de la LGPD
La LGPD establece conceptos clave como el uso de datos personales, autorización, tratamiento, consentimiento, privacidad, divulgación, eliminación y almacenamiento de datos, entre otros.
Todas estas definiciones son importantes para entender la ley y cumplir con ella:
Datos personales: Cualquier información relacionada con una persona física identificada o identificable. Esto puede incluir nombre, dirección, correo electrónico, datos de salud, ubicación y más.
Consentimiento: La LGPD requiere que las empresas obtengan el consentimiento explícito y claro de los individuos antes de recopilar, procesar o almacenar sus datos personales.
Titular de los datos: Es el individuo a quien se refieren los datos personales. Tienen una serie de derechos bajo la LGPD, incluido el derecho a acceder a sus datos, corregir datos incorrectos, eliminar datos, y más.
Controlador de datos: Se refiere a la entidad que determina las finalidades y los medios del procesamiento de datos personales.
Procesador de datos: Esta es la entidad que procesa los datos personales en nombre del controlador.
Transferencia internacional de datos: Según la LGPD, la transferencia internacional de datos solo está permitida en ciertas circunstancias, y generalmente requiere un nivel adecuado de protección de datos en el país receptor.
Violaciones de datos: En caso de una violación de seguridad que pueda crear un riesgo o daño relevante para los titulares de los datos, el controlador debe informarlo a la Autoridad Nacional de Protección de Datos (ANPD) y al titular de los datos.
Sanciones: Las empresas que no cumplan con la LGPD pueden enfrentarse a sanciones, que pueden incluir multas de hasta el 2% de su facturación en Brasil en el último ejercicio fiscal, limitado a 50 millones de reales por infracción.
Propósito de la LGPD
El propósito principal de la LGPD es establecer normas claras sobre cómo las empresas y las organizaciones pueden recopilar, almacenar y utilizar los datos personales de los individuos. Esto incluye datos procesados digitalmente por personas físicas o entidades jurídicas de derecho público o privado.
Además de proteger los derechos de los individuos, la LGPD también tiene el objetivo de establecer estándares para la gestión de la privacidad de los datos, lo que a su vez permite a las organizaciones mejorar su competitividad.
La ley proporciona un marco legal que cubre las actividades de los controladores y procesadores de datos y crea requisitos para el procesamiento de estos datos.
Requisitos de la LGPD
El cumplimiento con la Ley General de Protección de Datos (LGPD) de Brasil implica varios requisitos para las organizaciones que recopilan, almacenan y procesan datos personales. Aquí hay algunos de los principales:
-
Consentimiento del titular de los datos: La LGPD requiere el consentimiento explícito e informado del titular de los datos para el procesamiento de sus datos.
-
Transparencia: Las organizaciones deben proporcionar información clara y completa sobre el propósito del procesamiento de datos, el tipo de datos recolectados, la duración del procesamiento y la identidad de quien está procesando los datos.
-
Limitación de propósito: Los datos solo deben ser procesados para los fines especificados, explícitos y legítimos informados al titular de los datos.
-
Seguridad: Las organizaciones deben implementar medidas técnicas y administrativas adecuadas para proteger los datos personales de accesos no autorizados, destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento indebido o ilícito.
-
Notificación de violaciones: En caso de una violación de seguridad que pueda resultar en un daño relevante para los titulares de los datos, las organizaciones deben informar al titular y a la Autoridad Nacional de Protección de Datos (ANPD) en un plazo razonable.
-
Derechos del titular de los datos: Los titulares de los datos tienen derecho a acceder a sus datos, corregir datos incompletos, inexactos o desactualizados, anonimizar, bloquear o eliminar datos innecesarios, revocar el consentimiento y solicitar la portabilidad de los datos a otro servicio o producto proveedor.
-
Oficial de Protección de Datos (DPO): Las organizaciones deben nombrar un DPO que actuará como punto de contacto entre la empresa, los titulares de los datos y la ANPD.
¿Quién regula la LGPD? Autoridad Nacional de Protección de Datos (ANPD)
La ANPD es una autoridad brasileña creada para supervisar y hacer cumplir la LGPD. Sus funciones incluyen la promoción de la educación y divulgación de las normas de protección de datos personales, la realización de investigaciones y la aplicación de sanciones en caso de incumplimiento de la ley.
¿En qué casos se aplica la LGPD?
La LGPD se aplica a todas las empresas que procesan datos personales de ciudadanos brasileños, independientemente de su ubicación geográfica. Además, no se limita a empresas que tienen una presencia física en Brasil. Incluso empresas fuera de Brasil deben cumplir con la ley si procesan datos personales de ciudadanos brasileños.
Algunos ejemplos de aplicación de la LGPD:
-
Procesamiento de datos realizado en Brasil: Cada vez que una organización o individuo procesa datos personales en Brasil, ya sea el procesamiento digital o no, la LGPD se aplica.
-
Procesamiento de datos para ofrecer bienes o servicios en Brasil: Si una organización fuera de Brasil procesa datos personales con el objetivo de ofrecer bienes o servicios a individuos en Brasil, la LGPD se aplica.
-
Procesamiento de datos recopilados en Brasil: Incluso si los datos se procesan fuera de Brasil, la LGPD se aplica si los datos se recopilaron dentro del territorio brasileño.
-
Procesamiento de datos de individuos ubicados en Brasil: Si una organización procesa datos personales de individuos que se encuentran en Brasil en el momento de la recopilación de datos, independientemente de la nacionalidad o residencia del individuo, la LGPD se aplica.
¿Cuáles son los derechos de los titulares de datos según la LGPD?
Los titulares de los datos personales tienen el derecho a acceder a sus datos, corregirlos, eliminarlos y hacer objeciones al procesamiento de los mismos.
Las empresas pueden procesar los datos personales solo si se obtiene el consentimiento expreso del titular o si el procesamiento es necesario para cumplir con una obligación legal.
Derechos de los titulares de datos:
-
Confirmación de la existencia de tratamiento: Los titulares de datos tienen derecho a confirmar si sus datos personales están siendo procesados.
-
Acceso a los datos: Tienen el derecho a acceder a sus datos personales que una organización tiene y procesa.
-
Corrección de datos incompletos, inexactos o desactualizados: Los titulares de los datos pueden solicitar la corrección de cualquier dato que sea incorrecto o esté desactualizado.
-
Anonimización, bloqueo o eliminación de datos innecesarios o excesivos: Si los datos ya no son necesarios o se recopilaron en exceso, los titulares de los datos pueden solicitar su anonimización, bloqueo o eliminación.
-
Portabilidad de datos a otro proveedor de servicio o producto: Los titulares de datos pueden solicitar la transferencia de sus datos a otro proveedor de servicios o productos.
-
Eliminación de datos personales tratados con consentimiento del titular: A menos que existan razones legales para retenerlos, los titulares de datos pueden solicitar la eliminación de sus datos personales.
-
Información sobre las entidades públicas o privadas con las que el controlador ha compartido datos: Los titulares de los datos tienen derecho a conocer con quién se han compartido sus datos.
-
Información sobre la posibilidad de negar consentimiento y las consecuencias: Los titulares de datos deben ser informados sobre las consecuencias de negar el consentimiento para el procesamiento de sus datos.
-
Revocación del consentimiento: El titular de los datos puede revocar su consentimiento para el procesamiento de sus datos en cualquier momento.
Sanciones aplicables por la LGPD a las empresas
La LGPD establece sanciones y multas en caso de incumplimiento de la ley. Las multas pueden llegar a ser del 2% del ingreso bruto de la empresa, limitado a R$ 50 millones por infracción.
Además de las multas, la ley establece medidas disciplinarias como la suspensión temporal o la eliminación de los datos tratados.
Estas sanciones pueden variar dependiendo de la gravedad de la infracción y pueden incluir:
-
Advertencia: La empresa puede recibir una advertencia, con la indicación de un plazo para adoptar medidas correctivas.
-
Multa: La empresa puede ser multada hasta el 2% de su facturación en Brasil en el último ejercicio fiscal, limitada a 50 millones de reales por infracción.
-
Multa diaria: Además de la multa regular, también se puede imponer una multa diaria, sujetas a los mismos límites.
-
Publicización de la infracción: Después de la investigación y verificación de la ocurrencia de la infracción, la infracción puede ser publicada en medios de comunicación amplia.
Resumen sobre la LGPD
La LGPD es una ley muy importante para la protección de los datos personales en Brasil y afecta a todas las empresas que manejan información personal de ciudadanos brasileños.
Es crucial que las empresas se aseguren de cumplir con las regulaciones y principios establecidos en la ley, para prevenir sanciones y multas.
La implementación de políticas y procedimientos de protección de datos, la designación de un responsable de protección de datos, y la realización de auditorías y evaluaciones de riesgos de privacidad, son pasos vitales para cumplir con la LGPD.