A seis años de la Ley Nº 13.709, Ley General de Protección de Datos de Brasil

Brasil todavía tiene un largo camino por recorrer en la maduración de su cultura de protección de datos. / Unsplash, Matheus Torrezan.
Brasil todavía tiene un largo camino por recorrer en la maduración de su cultura de protección de datos. / Unsplash, Matheus Torrezan.
Una visión general del panorama de protección de datos en Brasil desde su ley emblemática.
Fecha de publicación: 26/09/2024

La Ley General de Protección de Datos de Brasil (Ley Nº 13.709), conocida por el acrónimo “LGPD” en portugués, fue promulgada en agosto de 2018 y ahora alcanza su sexto aniversario. Es, sin duda, el hito más importante para la protección de datos en el país. 

La ley tiene como objetivo proteger los derechos fundamentales de privacidad y libertad de los individuos, estableciendo diversas reglas y principios sobre el tratamiento de datos para empresas y organizaciones, tanto públicas como privadas, independientemente de su tamaño y alcance. Esto incluye cualquier tratamiento de datos (es decir, recolección, procesamiento, almacenamiento, intercambio, transferencia internacional, entre otros) directa o indirectamente relacionado con un individuo. 

Los datos personales pueden clasificarse como aquellos directamente vinculados a individuos, tales como: dirección de correo electrónico, identidad, número de seguridad social, número de pasaporte, detalles bancarios, fotos, biometría, placa de matrícula de vehículos, o cualquier dato que indirectamente identifique al individuo: preferencias de consumo, afiliación política, salario, cargo, datos de salud, género, edad, información de ubicación, creencias religiosas, opiniones políticas, datos que revelan el origen racial o étnico, entre otros. 


Te recomendamos: Las pymes en Costa Rica están bajo constantes ataques


Los impulsos de la ley

Desde la promulgación de la LGPD, la protección de datos se ha considerado un derecho fundamental tanto por la Constitución Federal como por el Supremo Tribunal Federal de Brasil. A partir de estos hitos, se ha generado una mayor conciencia sobre el valor de nuestros datos personales, lo que ha fortalecido el derecho del individuo a exigir un uso adecuado y transparente de sus datos por parte de empresas e instituciones. 

Desde la perspectiva de las organizaciones (es decir, empresas, agencias, etc.), la LGPD es de suma importancia, ya que ha impulsado a las organizaciones a repensar cómo han estado manejando los datos personales y a construir una gobernanza eficiente de datos y una cultura de protección de datos más robusta. Las empresas han llegado a comprender mejor el flujo de datos dentro de sus organizaciones (empleados, contratistas, trabajadores) y fuera de ellas (proveedores, contratistas, agentes regulatorios, socios), así como la importancia de adoptar un programa de cumplimiento adecuado de la LGPD para garantizar el tratamiento transparente, seguro y adecuado de los datos personales de sus consumidores, empleados, proveedores y partes interesadas. 

Inspirada en el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la ley brasileña también tiene sus matices y diferencias. A diferencia de Europa, donde la protección de datos ha sido ampliamente discutida al menos desde las Directivas Europeas de 1995 (antes del GDPR), Brasil todavía tiene un largo camino por recorrer en la maduración de su cultura de protección de datos.


Quizá quieras leer: Una mirada experta al Proyecto de Ley de Datos Personales de Chile


Los desafíos

A pesar de los avances y cierta conciencia entre las empresas sobre las ventajas de adoptar un proyecto de cumplimiento de la LGPD, muchas aún no han prestado la atención adecuada al tema, lo que generalmente lleva a un programa de protección de datos ineficiente y, a veces, insuficiente. El proyecto de cumplimiento de la LGPD necesita ser revisado y actualizado constantemente. Por ejemplo, la capacitación continua y las auditorías son indispensables. 

En este terreno aún árido debido a la falta de una cultura sólida, hay que tener en cuenta que la LGPD también sufrió grandes impactos por la pandemia de Covid-19 en 2020. En ese momento, aceleramos y luego, de repente, nos dijeron que frenáramos. La necesidad de monitorear y controlar la propagación del virus destacó la importancia del tema y trajo desafíos adicionales para la protección

de datos personales. La pandemia también aumentó nuestras actividades en línea y condujo a una transformación digital completa: el mercado internacional exigió que Brasil estructurara políticas de protección de datos compatibles con los estándares internacionales, creando un entorno seguro y responsable para la protección de datos, lo que aumentó su ventaja competitiva y la confianza del consumidor en la seguridad y transparencia del procesamiento de sus datos personales. 

En este escenario, la entrada en vigor de la LGPD se pospuso hasta agosto de 2020; la Agencia Nacional de Protección de Datos ("ANPD"), que actúa como un canal de comunicación entre los titulares de los datos y los controladores de los datos, ayudando a resolver conflictos y gestionar quejas, fue creada solo en noviembre de 2020; y las sanciones administrativas previstas por la LGPD se pospusieron hasta el 1 de agosto de 2021.

Indudablemente, la pandemia y las dificultades financieras de las empresas para invertir en un proyecto robusto de cumplimiento de la LGPD impactaron en la construcción de una cultura de protección de datos en Brasil y, por supuesto, impidieron que algunas empresas se adentraran en el proyecto de cumplimiento de la LGPD. 


Quizá quieras leer: ¿Por qué Brasil prohibió el entrenamiento de la inteligencia artificial de Meta?


Las sanciones

Solo a partir del 1 de agosto de 2021 la ANPD obtuvo el poder de aplicar sanciones administrativas, que incluyen advertencias, multas que pueden alcanzar el 2 % de los ingresos de la empresa, limitadas a R$ 50 millones por infracción administrativa, la publicación de la infracción a través de los medios de la ANPD, el bloqueo y la eliminación de datos personales en posesión de la organización, la suspensión parcial o total de las operaciones de la base de datos y, en casos más graves, la prohibición total o parcial de actividades relacionadas con el procesamiento de datos. 

Además, la ANPD no es solo un organismo regulador y supervisor. Más allá de ser el guardián de la Ley General de Protección de Datos, la ANPD también desempeña un papel fundamental en la difusión de directrices y guías para educar a las empresas y ciudadanos sobre la aplicación de la LGPD. La ANPD orienta a los controladores de datos sobre las prácticas que deben adoptar para cumplir con la LGPD, como el Reglamento sobre la dosimetría y aplicación de sanciones administrativas; el Radar Tecnológico sobre Biometría; el Reglamento sobre la Comunicación de Incidentes de Seguridad; y el más reciente, el Reglamento sobre el Oficial de Protección de Datos, que establece reglas detalladas sobre el papel del oficial de protección de datos, así como la Consulta Pública sobre el tratamiento de datos de niños y adolescentes, que ha sido, sobre todo, una agenda social. 

La ANPD ha tomado varias acciones regulatorias en los últimos 4 años desde su creación. Las acciones de la Agencia han conducido a un progreso significativo en la cultura de protección de datos de Brasil, lo que puede verse como el mencionado vaso medio lleno, resultado del serio trabajo de la ANPD, que mantiene una relación importante con agencias de otras jurisdicciones. Desde la perspectiva de la supervisión y la aplicación de sanciones para garantizar el cumplimiento de la LGPD, sin embargo, el panorama de protección de datos en Brasil puede representar el vaso medio vacío, ya que la primera multa como penalización por una infracción solo se impuso en julio de 2023, considerada por algunos como insignificante, incluso teniendo en cuenta que el controlador de datos en cuestión era un emprendedor individual. 

En este sentido, la Ley General de Protección de Datos de Brasil todavía se encuentra en su fase de maduración. Varias brechas y debates en curso aún no se han resuelto, notablemente en los siguientes temas: la transferencia internacional de datos, la evaluación de impacto en la protección de datos, los derechos de los titulares de los datos, la mayor especificación de las hipótesis de procesamiento de datos personales, el tratamiento de datos de niños y adolescentes, y cómo interactuará la inteligencia artificial (IA) con la protección de datos personales en Brasil, incluido si la propia ANPD será responsable de regular y supervisar la IA. Los próximos años prometen muchos más debates, regulaciones y una constante necesidad para que las empresas presten atención para que su cumplimiento, garantizado en los numerosos “proyectos de cumplimiento” llevados a cabo en los

últimos años, no se pierda. La tendencia es que el vaso siga llenándose y pronto tendremos mucho material para discusión, atención a la cultura de protección de datos en Brasil y precedentes judiciales relevantes sobre el tema. 

*Cristiane Manzueto es socia en la práctica de Propiedad Intelectual y Protección de Datos en Tauil & Chequer Advogados en asociación con Mayer Brown.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.