La LGPD de Brasil ya está en vigor
En un sorprendente giro de eventos, la Lei Geral de Proteção de Dados (LGPD), la primera ley importante de protección de datos de Latinoamérica, entró en vigor este mes, después de que las esperanzas de que la pandemia de COVID-19 impulsara la introducción de la nueva ley hasta mayo de 2021 fueron rechazadas por el Senado.
La LGPD, aprobada el 14 de agosto de 2018, fue una ley de diez años en proceso. Tenía como objetivo reemplazar y suplementar las más de 40 normas legales que gobernaban la protección de la privacidad y los datos personales al nivel federal de Brasil y alinear la legislación del país al nuevo estándar internacional establecido por la Regulación General de Protección de Datos (GDPR) europea. Sin embargo, su programa de implementación ha sido plagado de retrasos e incertidumbres.
La nueva legislación tenía inicialmente que entrar en vigor 18 meses después de ser aprobada, plazo que fue extendido con 6 meses por una orden executiva presidencial, lo que llevó la fecha de implementación al 15 de agosto de 2020. Sin embargo, en abril de 2020, el gobierno trató de posponer la introducción de las nuevas reglas a mayo de 2021, ya que había concluido que las organizaciones tendrían dificultades en adaptarse a tiempo debido a la pandemia de COVID-19. El Senado revocó la decisión un mes después.
A pesar de un segundo intento de posponer la implementación de la nueva ley para el 31 de diciembre de 2020 esta vez por la Cámara Baja del Congreso, el Senado aprobó una enmienda que excluyó el retraso propuesto, apegándose efectivamente a la fecha original de agosto de 2020. El presidente Jair Bolsonare sancionó la última enmienda el 18 de septiembre de 2020 y la LGPD entró en vigor de inmediato.
La aplicabilidad de la LGPD
La LGPD tiene un alcance muy amplio y se aplica a todas las personas físicas y jurídicas, tanto públicas como privadas, que realicen actividades de procesamiento de datos personales que tomen lugar o que estén relacionadas con personas físicas ubicadas en Brasil, que tengan como objetivo suministrar bienes o servicios en el país, o involucrar datos personales recopilados en Brasil. La ley tiene un alcance extraterritorial, significando que no importa donde se encuentra ubicado un recolector de datos, aunque tenga o no oficinas en el país, está sujeto a la LGPD si recopila los datos de los ciudadanos brasileños.
El tratamiento de datos realizado con fines estrictamente personales por particulares, con fines exclusivamente periodísticos, artísticos, literarios o académicos o con fines de seguridad nacional, defensa nacional, seguridad pública o actividades de investigación o sanción criminal, está exento del cumplimiento de la LGPD.
Obligaciones bajo la LGPD
Todas las organizaciones que caen bajo la incidencia de la LGPD se espera que nombren un Oficial de Protección de Datos (DPO) que actuará como enlace con la autoridad de protección de datos de Brasil, la Autoridade Nacional de Proteção de Dados (ANPD), manejará las quejas y brindará orientación para el cumplimiento y las mejores prácticas. También tienen que adoptar medidas técnicas y administrativas para proteger los datos personales del acceso no autorizado y la destrucción, pérdida, alteración, comunicación o diseminación accidental o ilegal. También deben realizar Evaluaciones de Impacto de Protección de Datos (DPIA) y desarrollar un plan de respuesta y corrección de incidentes.
La LGPD hace también obligatoria la notificación de la filtración de datos. Las empresas están obligadas a notificar a ANPD en el caso de que se crea que una violación de datos representa un riesgo o daño para los sujetos de datos y, si se ordena por la ANPD, también deben informar a los sujetos de datos afectados y a los medios de comunicación sobre el incidente de seguridad.
Los sujetos de datos han ganado una serie de nuevos derechos bajo la LGPD, incluyendo el derecho para pedir que sus datos sean corregidos, borrados o proporcionado a ellos en un formato fácilmente legible, que pueda ser transferido a una empresa diferente. Ellos también deben estar informados sobre el objetivo por el cual se están recopilando los datos. Las empresas tienen que implementar procedimientos internos que puedan atender cualquier solicitud entrante de los sujetos de datos. También tienen que borrar los datos después de que ya no sean necesarios para el objetivo premeditado por el cual fueron recopilados salvo que cuenten con el consentimiento expreso de los sujetos de datos para conservarlos.
Multas y Acciones Civiles de la LGPD
La autoridad de protección de datos brasileña, la ANPD, que será responsable para la aplicación de la LGPD y sus sanciones administrativas, fue finalmente implementada por un decreto presidencial el 27 de agosto de 2020, permitiendo su formación. A través de ANPD, las empresas pueden recibir multas hasta con el 2% de sus ingresos totales del año anterior en Brasil o hasta 50,000,000 Reales Brasileños (aproximadamente $8,900,000 en el momento de escribir), el que sea más alto. Sin embargo, las sanciones administrativas que estará aplicando la ANPD no se espera que se apliquen hasta el 1de agosto de 2021.
Habiendo dicho esto, las empresas no deberían relajar sus esfuerzos de cumplimiento por este retraso. Bajo la Constitución Brasileña, todos los ciudadanos tienen un derecho de acción privado y el Ministerio Público, la fiscalía del país, tiene derecho de acción pública. El Código de Protección del Consumidor de Brasil también permite demandas colectivas en defensa de los derechos e intereses de los consumidores.
Y mientras que los ciudadanos privados pueden tomar algún tiempo para familiarizarse con sus nuevos derechos, los ministerios públicos de Brasil ya han comenzado a ejercerlos. Solo tres días después de que la LGPD entró en vigor, el 21 de septiembre de 2020, el Ministério Público do Distrito Federal e dos Territórios (MPDFT) presentó la primera acción pública basada en la LGPD contra una empresa de servicios digitales con sede en el estado de Minas Gerais, que está acusada de vender la información personal de 500.000 personas radicadas en la ciudad de São Paulo con fines de marketing. No vale la pena que el MPDFT tenga una unidad especializada en la privacidad de datos e inteligencia artificial, dedicada exclusivamente a la protección de los datos personales y la privacidad de los ciudadanos brasileños. Por tanto, se espera que esta primera acción civil pública no sea la última en ser presentada por el MPDFT ahora que la LGPD está en vigencia.
En conclusión
La LGPD es la primera incursión de Latinoamérica en la legislación de protección de datos posterior a la GDPR. Es probable que sea un pionero en la región y se espera que su éxito dé paso a leyes similares en países vecinos. Aunque enfrentó algunos obstáculos en su camino hacia la implementación, la LGPD está ahora en plena vigencia y las autoridades públicas han demostrado que no se avergüenzan de usar sus poderes. Por lo tanto, las empresas deben tener en cuenta las posibles acciones civiles públicas y privadas y asegurarse de que cumplan con la LGPD lo antes posible.