Ley de Protección de Datos Brasil: Un panorama general de la nueva legislación
La Ley de Protección de Datos Personales (LGPD) entra en vigor en el mercado brasileño en agosto de 2020. El objetivo central de este importante marco jurídico-regulatorio es establecer los principios, derechos y deberes que deberán pasar a ser observados en el tratamiento de datos personales todos los individuos – empleados, clientes, consumidores y usuarios de servicios.
Esta norma sigue claramente el modelo europeo de protección de datos (RGPD), en particular en cuanto a su extraterritorialidad, el reglamento europeo que proporcionó un benchmarking valioso para la consolidación de la protección aquí en Brasil, diferenciándose sólo por algunas peculiaridades locales.
¿Qué tener en cuenta sobre la nueva Ley de Protección de Datos brasileña?
Un aspecto crucial de la nueva legislación, que debe ser destacado, está en el hecho de que el texto se aplicará a todas las empresas, independientemente de sus dimensiones o especificidades, traduciendo en obligatorias que alcanzarán organizaciones de todos los tamaños y que, por lo tanto, todas necesitan de las adaptaciones necesarias.
La aprobación de esa primera ley federal en Brasil dirigida exclusivamente a la protección de datos es el resultado de un movimiento amplio de búsqueda por mayor conciencia en el tratamiento de informaciones personales, que viene sucediendo en el mundo.
Durante el proceso legislativo que tuve la oportunidad de participar y contribuir, quedó clara la necesidad de cambios de paradigmas, en la que el ciudadano pasa a tener control real de sus datos y las empresas tienden a crear una nueva visión sobre la utilización de los datos personales, un verdadero cambio de cultura, produciendo una nueva y consistente conciencia sobre los cambios y las ventajas en conducir, de forma estructurada, a través de la alineación a la nueva reglamentación, la verdadera protección de los datos personales como apoyo a las innovaciones tecnológicas y económicas, además de proveer soporte a los desafíos enfrentados en el momento de alinear sus operaciones a los requisitos de la nueva ley.
Factores decisivos dentro de la LGPD brasileña
En este proceso, tres pasos son decisivos para fundamentar y asegurar la conformidad de la gestión y la protección de datos, alineada a lo que pasará a vigilar a partir de agosto de 2020. Son ellos:
- Gobernanza de datos
- Seguridad de la Información
- Atención a los Titulares de los Datos
El primer pilar es la gobernanza
Comprende las revisiones más completas y complejas de las prácticas empresariales relacionadas con el tratamiento de datos. Iniciando con el mapeo de datos y unificación de toda la información de posesión de la empresa para la organización de un catálogo, que será la base que fundamentará toda la gobernanza de datos, involucrando desde la recolección de informaciones hasta su descarte.
Durante el mapeo se podrá identificar el origen de los datos, con el fin de atestiguar cuidadosamente si la procedencia de los datos atiende a todos los reglamentos legales, también se identificará la finalidad de la utilización de los datos, así que se intentará encuadrar en una de las 10 hipótesis que la ley permite para el tratamiento de datos, una vez que la nueva reglamentación requiere que se hayan definido previamente las finalidades permitidas para cada conjunto de informaciones, con el fin de cohibir el uso indiscriminado que sobrepase el propósito.
Deberá verificarse y adecuar la nueva legislación a las Políticas de Privacidad y Términos de Uso para toda la información recolectada por procesos y canales de relación de la empresa.
No obstante, las empresas deberán crear mecanismos de trazabilidad de los datos, es decir, controlar el ciclo de vida de los datos, con el fin de controlar cambios y accesos disponibles a cada uno de sus conjuntos de datos, desde la captura de la información hasta su eliminación de la base vigente, así como efectuar un real control del consentimiento, cuando sea necesario.
También existe la necesidad de control de los datos por medio de auditorías periódicas para garantizar el progreso de conformidad con los aspectos legales y propiciar la identificación de oportunidades de mejora.
Así como la legislación Europea, la ley brasileña determina la indicación de un representante de la empresa para garantizar la rigidez de los datos cuya nomenclatura es Encargado de Datos, que sería el mismo que el Delegado de Protección de Datos o DPO, profesional que asumirá la función de representante de acuerdo con la normativa vigente en materia de protección de datos (ANPD) y con los titulares de los datos, siendo cierto que en este momento todas las empresas son obligadas a indicar este profesional, sin excepción.
Seguridad de la información
Con el objetivo de mitigar el impacto negativo que incidentes relacionados con la protección de datos causan a los titulares y también a la reputación de las empresas, la LGPD refuerza en sus dispositivos un rigor aún mayor a las prácticas dirigidas a la Seguridad de la Información, el segundo pilar fundamental para adecuación a las nuevas reglas.
Para asegurar la integridad y la preservación de toda la base de datos, es necesario que las empresas evalúen la adopción de una gestión más robusta para este proceso, como la adopción del sistema ISO 27001, que contempla la creación de políticas de seguridad específicas compartidas con sus profesionales.
Servicio a los Titulares de los Datos
Por último, la adecuación a la LGPD trae además un tercer pilar fundamental: la obligatoriedad de estructurar el Servicio a los Titulares de los Datos.
Como la nueva legislación asegura a la persona física el derecho de acceso a sus respectivas informaciones constantes en la base de datos de cualquier empresa, las compañías deberán disponibilizar canales gratuitos de atención, garantizando la autonomía del usuario para realizar, por ejemplo, consultas, correcciones en registro o correcciones en registro incluso la revocación de consentimientos.
¿Cómo afectará la LGPD a las empresas brasileñas?
En este nuevo contexto que se dibuja, tan relevante como atender a los requerimientos de la LGPD es identificar cómo este nuevo referencial legal puede contribuir al fortalecimiento de la conducta corporativa.
Además de conferir protección a las informaciones, la amplitud de la LGPD proporcionará a las empresas brasileñas la oportunidad de evolucionar en la adopción de mejores prácticas en términos de transparencia, seguridad jurídica y eficiencia.
Cuanto antes las compañías revisen sus procesos de acuerdo con la nueva realidad, más significativos se convertirán en las ganancias para la reputación y para la ampliación de los diferenciales estratégicos y potenciales de crecimiento y desarrollo de nuevos negocios.
La LGPD brasileña tendrá aplicación a todas las empresas que ofrezcan o proporcionen bienes, productos o servicios en territorio brasileño, independientemente de su ubicación, o que efectúen la operación de tratamiento o recolección de datos personales en territorio nacional, demostrando su obligatoriedad a toda empresa que actúe con el mercado brasileño.
Entre las penalizaciones impuestas para el incumplimiento de la ley, se prevén sanciones que incluyen: (i) advertencia (ii) publicidad de la infracción y (iii) multa que puede llegar hasta el 2% de la facturación bruta de la empresa, limitada en el total de R $ 50 millones, por infracción.
José María Baños es el socio fundador de Letslaw y abogado multidisciplinar.
Está especializado en derecho mercantil, derecho procesal y en el derecho de las nuevas tecnologías, comercio electrónico, propiedad intelectual y protección de datos.