En febrero, la firma brasileña Goulart Penteado incorporó como socio a Anderson Araújo, experto en derecho empresarial, del consumidor, digital y privacidad y protección de datos, entre otros.
Araújo, que cuenta con un postgrado en derecho procesal civil por la Pontificia Universidad Católica de São Paulo, además de certificaciones en derecho digital, inteligencia artificial y protección de datos, detalla que Brasil ha logrado avances significativos en materia de regulación de protección de datos, considerando las características propias del país, como las disparidades económicas regionales, que influyen directamente en la viabilidad de crear un marco regulatorio robusto para la protección de datos, y que sea eficaz para proteger a los interesados y al mismo tiempo alcanzable por los responsables y encargados del tratamiento.
Otras entrevistas: Enrique Díaz: "Me voy completamente satisfecho de la presidencia de Asipi"
En sus palabras, la promulgación de la Ley General de Protección de Datos (LGPD) perfeccionó los principios del Marco Civil de Internet, aunque esto no significa que Brasil esté suficientemente regulado en materia de protección de datos.
"Están surgiendo desafíos que impulsan regulaciones específicas, como la recolección y procesamiento de datos por inteligencia artificial o la recolección y procesamiento de datos biométricos por parte del Estado".
Sin embargo, la promulgación de la LGPD no solo ha permitido la creación de la Agencia Nacional de Protección de Datos (ANPD, con suficiente autonomía para supervisar la implementación de la LGPD), sino que también ha causado el aumento de litigios en los que se discute la aplicabilidad de la LGPD, según el Instituto Brasileño de Educación, Desarrollo e Investigación, hasta septiembre de 2022, ha habido 1.789 casos en juzgados y tribunales civiles, penales y laborales en los que se discutió este asunto.
Relacionado: Hackeos y ciberdelincuencia, ¿hacia dónde deben dirigirse las leyes para proteger a usuarios y empresas?
LexLatin: ¿Cómo hay que leer este aumento de litigiosidad en la materia?
Anderson Araújo.- Creo que hay un conjunto de razones, más allá de la aplicación de la propia norma que pueden ayudar a explicar este fenómeno inicial de judicialización de la LGPD en Brasil. El primero tiene que ver con nuestra propia cultura litigante: somos un país con un alto volumen de controversias, llevadas ante jueces y tribunales, y era de esperar que con la LGPD vigente las cuestiones relacionadas con su interpretación y aplicabilidad terminaran en manos del Poder Judicial.
Otro motivo fue la creación algo retrasada de la ANPD, lo que llevó a que definiciones y temas sobre protección de datos, que podrían haber sido tratados exclusivamente por esta autoridad, fueran remitidos a los tribunales. Además, no se puede pasar por alto el factor de sensibilización: la LGPD es una de las pocas legislaciones recientes que ha sido ampliamente difundida a través de diversos canales de información, incluidos los no especializados en el ámbito jurídico.
Además de todo esto, el uso cada vez mayor de Internet y sus aplicaciones por parte de los brasileños, esto aumenta el número de situaciones que involucran la recolección y el procesamiento de datos personales, lo que en consecuencia puede generar nuevas situaciones conflictivas.
Teniendo en cuenta todos estos factores, creo que habrá un número creciente de litigios relacionados con cuestiones de protección de datos, pero con la maduración del tema, y la continuación del trabajo de la ANPD, hay una tendencia a que la LGPD deje de ser un tema centralizador de las decisiones judiciales y demandas administrativas, pasando a ser un reglamento cuya aplicabilidad se evalúa caso por caso.
No te pierdas: Ley 25.326: Argentina presenta proyecto de ley para reemplazar Ley de Protección de Datos
Expertos afirman que, aunque la ANPD es muy activa en la aplicación de la LGPD, todavía es necesaria una mayor profundidad y cumplimiento de la misma, ya que el número de multas y auditorías es todavía muy bajo para el gran tamaño de Brasil y su población. ¿Cuál es su opinión acerca de esto?
Las expectativas sobre el desempeño de la ANPD son efectivamente significativas, particularmente debido a la creciente relevancia que los temas de protección de datos y privacidad en Internet han adquirido en Brasil. De hecho, existe la necesidad de seguir explorando la aplicación de la LGPD, y existe debido a la velocidad del avance tecnológico, que probablemente continuará.
Es importante que las empresas y las agencias gubernamentales sigan comprendiendo la importancia de la inversión continua, no sólo en tecnología en sí sino también en la educación y capacitación de las personas involucradas en las operaciones de recopilación y procesamiento de datos.
Algunos pueden sentirse frustrados con el papel de la ANPD en el momento actual, que está más centrado en orientar y difundir una cultura de protección de datos personales; sin embargo, creo que este sigue siendo el mejor enfoque para lograr una mayor madurez del mercado y de los ciudadanos en este tema.
Abordar una cuestión tan importante que involucra frentes de acción tan variados no se puede lograr únicamente mediante sanciones, sino más bien a través de más educación. Así, la función educativa de la ANPD debe tener un plazo específico y determinado para iniciar la aplicación de sanciones más severas a quienes incumplan la normativa vigente.
¿Están los ciudadanos, empresas y tribunales brasileños (y empresas extranjeras con operaciones en Brasil) lo suficientemente preparados para aplicar la LGPD?
Hemos estado siguiendo con entusiasmo la preocupación de diversas organizaciones respecto al cumplimiento de la Ley. También existen iniciativas encomiables por parte de tribunales y organismos públicos para digitalizar los servicios prestados a los ciudadanos y garantizar que el procesamiento de datos se realice de acuerdo con las normas de protección de datos.
En general, el gobierno y el mercado han recorrido un buen camino. Sin embargo, todavía nos encontramos con muchas relaciones comerciales basadas en la recopilación de datos sin el consentimiento necesario, la recopilación y el procesamiento de datos sensibles por parte de empresas, a través de aplicaciones de mensajería sin medidas de seguridad adecuadas para proteger los datos recopilados, empresas sin un delegado de protección de datos designado, fugas de datos en procesos bajo secreto judicial, entre otras situaciones, que aún indican cierta falta de preparación de algunos sectores respecto del cumplimiento de la LGPD.
Los ciberataques (como el ransomware) y el hacking son problemas que están aumentando en muchos lugares, ¿es este el caso de Brasil? ¿Está el país suficientemente protegido –en términos de leyes– en este tema?
Esta pregunta presenta una excelente oportunidad para desacreditar una creencia completamente errónea de que este tipo de secuestro de datos es algo sacado de películas extranjeras.
Brasil es uno de los países con mayor incidencia de ciberataques, principalmente relacionados con robo y secuestro de archivos y datos personales. El Gobierno Federal emitió recientemente un decreto que instituye una Política Nacional de Ciberseguridad, debido a los importantes incidentes de filtración de datos que vienen ocurriendo en perjuicio de los ciudadanos.
En este sentido, seremos testigos de un aumento en el número de ataques como aquellos en los que el malware bloquea y cifra archivos y datos, permitiendo al intruso acceder a secretos industriales confidenciales o exigiendo una compensación a cambio de desbloquearlos, como es el caso del ransomware. Además, los ataques de phishing serán cada vez más sofisticados y difíciles de detectar.
Con el objetivo de mejorar la legislación penal en la materia, el Congreso Nacional ya aprobó cambios que tipifican como delito la vulneración de dispositivos electrónicos privados y agravan los delitos electrónicos como la violación de dispositivos informáticos, el hurto y el fraude electrónico.
A pesar de estos esfuerzos, todavía no estamos suficientemente protegidos contra estos delitos virtuales, que se están volviendo más frecuentes y sofisticados a un ritmo más rápido del que los legisladores pueden seguir, por eso, actualmente se está debatiendo en el Senado Federal un proyecto de ley para modificar el Código Penal brasileño para clasificar más específicamente los ciberataques que tienen como objetivo secuestrar datos.
Más sobre el tema: Ley de Protección de Datos: ¿una nueva realidad para fusiones y adquisiciones?
En febrero, la ANPD lanzó la nueva Guía sobre Interés Legítimo como base legal para el tratamiento de datos personales. ¿Cree que esta contribución mejora la aplicación de la normativa? ¿Está el “interés legítimo” adecuadamente equilibrado con los derechos fundamentales a la privacidad de las personas?
El lanzamiento de la guía es un gran ejemplo del trabajo que se espera de la ANPD como la base jurídica para el procesamiento de datos basado en el "interés legítimo". Esta hipótesis de tratamiento de datos permite la recogida y tratamiento de datos personales no sensibles cuando sea necesario para satisfacer los intereses legítimos del responsable del tratamiento o de un tercero, excepto cuando prevalezcan los derechos y libertades fundamentales del interesado.
Siguiendo el modelo europeo, el legislador optó por garantizar una base jurídica para el procesamiento de datos con un concepto amplio para no restringir el desarrollo tecnológico, pero siempre asegurando fines lícitos y garantías constitucionales a los interesados.
El principal punto sensible aquí es la exención del consentimiento cuando la recopilación y el procesamiento se basan en esta base legal. Pero ¿cuál es exactamente este interés legítimo? Al ser un concepto muy abierto, ciertamente plantearía problemas en cuanto a su aplicación práctica en cada caso.
La guía proporciona algunos ejemplos y aclara, en términos generales, que el interés se considera legítimo cuando es compatible con el ordenamiento jurídico, fundamentado en una situación concreta y tiene muy clara su vinculación.
No dejes de leer: Protección de datos: el sector energético frente a ciberataques
¿Cuáles son los grandes pendientes de Brasil en esta materia?
Quedan pasos por dar en la difusión de la cultura de la protección de datos: Las empresas, las agencias gubernamentales y los ciudadanos deben ser más conscientes de la importancia y el valor de los datos personales en un mundo cada vez más digitalizado.
Una mayor aplicación del papel de la ANPD, como regulador de la implementación de la LGPD, sería muy bienvenida para alentar a que los proyectos de cumplimiento en curso no se abandonen debido a una falsa sensación de ausencia de riesgos por parte tanto del sector público como del privado.
Las prácticas comerciales que no se adhieren a las mejores prácticas de gobernanza de datos y causan riesgos o daños a los interesados deben abolirse o reconfigurarse para coexistir en un mundo donde la privacidad de la información es un activo tan valioso en términos de garantizar los derechos de las personas.
Esto se aplica al procesamiento de datos realizado por organismos públicos, donde es común que los interesados no estén adecuadamente informados sobre los métodos de recolección y tránsito de datos, por eso es urgente que estas actividades de tratamiento se ajusten a sus finalidades específicas, se ajusten al principio de neutralidad y no contengan sesgos discriminatorios o abusivos.
Finalmente, los esfuerzos por tipificar los delitos que atentan contra la privacidad y asegurar la regularidad en el tratamiento de datos personales necesitan pasar por amplios debates con la participación de la sociedad civil, pero sin perder el enfoque en lograr una aplicación más rápida, para lograr que nuestro país establezca normas jurídicas cada vez más depuradas en materia de privacidad en línea.
}
Add new comment