Brasil está listo para hacer cumplir oficialmente su marco de protección de datos denominado LGPD el 15 de agosto de 2020. A continuación se muestra un resumen de lo que implica.
El 15 de agosto de 2020, Brasil hará cumplir su política de protección de datos titulada Ley General de Protección de Datos Personales comúnmente llamado LGPD. La ley fue aprobada el 14 de agosto de 2018, seguida de una sanción oficial por parte del presidente Bolsonaro en julio de 2019.
La LGPD se basa estrechamente en el RGPD de la Unión Europea, aunque con algunas diferencias claras. La aplicación oficial de la LGPD hará que las organizaciones sean responsables de nombrar un Delegado de Protección de Datos (DPO) que gestionará todas las consultas sobre procesamiento de datos.
En este post te explicamos qué es la LGPD y sus similitudes con la GDPR.
Una mirada a la penetración de usuarios de Internet en Brasil
Aproximadamente El 66% de Brasil Toda la población tiene acceso a Internet y pasa unas 26 horas semanales en línea. De hecho, se ha pronosticado que la penetración de usuarios de Internet en Brasil será de 169 millones al cierre de 2023. El país es también el cuarto más grande del mundo en términos de número de usuarios de Internet.
Con una base de usuarios de Internet tan grande, Brasil ya cuenta con aproximadamente 40 normas legales a nivel federal que regulan la privacidad de los usuarios en línea. Sin embargo, se trata de leyes sectoriales que proporcionan sólo una protección parcial a las personas. Un marco global como la LGPD ayudará a los usuarios de todos los sectores de la economía, incluidos tanto el privado como el personal.
¿Qué es un interesado?
Antes de pasar a las características clave de LGPD, es importante comprender qué son los interesados. Aunque los interesados ya han sido definidos exhaustivamente en el RGPD, la LGPD también establece explícitamente su definición.
Cualquier persona física cuyos datos se recopilen y/o procesen es un sujeto de datos.
Según el artículo 18 de la LGPD, los interesados están facultados para nine diferentes derechos sobre sus datos personales incluyendo:
- Acceso a sus datos
- Confirmación del tratamiento de sus datos
- Rectificación de datos desactualizados o incorrectos
- Anonimizar o eliminar datos que no cumplan con la LGPD o que se hayan utilizado fuera de contexto
- Portabilidad: Permiso para entregar sus datos a otro procesador
- Eliminación de datos personales
- Divulgación de información sobre otros procesadores con quienes se han compartido datos personales
- Revocar el consentimiento sobre datos personales
- Información sobre la denegación del consentimiento y sus consecuencias
Características clave de la LGPD
¿A quién se aplica la LGPD?
Al igual que el RGPD, la LGPD tiene aplicación extraterritorial. Con esto nos referimos a empresas y sitios web que procesan datos de personas en Brasil, independientemente de dónde operen. Estas empresas deben cumplir con la LGPD.
Según el artículo 3, la aplicación extraterritorial se define además como:
- Procesamiento de datos recopilados dentro de Brasil.
- Tratamiento de datos de personas físicas en Brasil independientemente de la ubicación del encargado del tratamiento. Pueden estar ubicados en cualquier parte del mundo.
- Procesamiento de datos dentro del territorio de Brasil.
También es importante señalar que la LGPD también es transversal y multisectorial. Esto significa que se aplicará a sectores tanto privados como personales, online y offline.
¿Cómo se definen los datos según la LGPD?
La LGPD define ampliamente los datos en tres categorías. Ellos son:
| Tipo | Definición | Comentarios adicionales |
| Personal | “Los datos personales son información relativa a una persona física identificada o identificable”. | La LGPD no define explícitamente criterios en relación con los datos personales. Sin embargo, puede incluir nombre, sexo, dirección, números de identificación, etc. |
| Sensible | “Se consideran datos sensibles los datos personales relativos al origen racial o étnico, las creencias religiosas, las opiniones políticas, la afiliación a organizaciones sindicales o religiosas, filosóficas o políticas, los datos relativos a la salud o la vida sexual, los datos genéticos o biométricos, cuando se refieran a una persona física”. | Esta es esencialmente una subcategoría de datos personales. El artículo 11 de la LGPD define con más detalle el consentimiento distinto. |
| Anonimizado | “Datos relativos a un interesado que no puede ser identificado”. | Es importante tener en cuenta que si los datos anonimizados se pueden utilizar de alguna manera para elaborar perfiles de comportamiento, son reversibles y no califican en esta categoría. |
Definiciones adicionales bajo LGPD
Algunas de las otras definiciones importantes de la LGPD para mayor claridad son:
- Procesador:
Responsable (puede ser una persona física o jurídica) que realiza operaciones utilizando datos personales.
- Procesamiento:
Cualquier operación que se realice con datos personales. Estas operaciones pueden incluir recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución y otras.
- Controlador:
Cualquier persona física o jurídica que tenga autoridad para tomar decisiones sobre el tratamiento de datos personales.
- Consentimiento:
El consentimiento se define como "la manifestación libre, informada e inequívoca por la que el interesado acepta el tratamiento de sus datos personales para una finalidad determinada".
Similitudes entre LGPD y GDPR
Como se mencionó anteriormente, la LGPD se basa estrechamente en la GDPR, por lo que también se denomina RGPD de Brasil. Ambos marcos tienen varias similitudes que incluyen:
| Asunto | Similitudes |
| Ámbito territorial | Independientemente de dónde se realice el procesamiento de datos, cualquier empresa o individuo que procese sus datos personales dentro de su respectiva jurisdicción debe cumplir con la LGPD o el GDPR según su región. |
| Solicitudes de acceso al sujeto de datos | Los interesados tienen todo el derecho a solicitar el acceso a sus datos o el derecho al olvido. |
| Nombramiento de un Delegado de Protección de Datos (DPO) | Tanto la LGPD como el GDPR exigen que las organizaciones designen un DPO si la empresa: * Es una entidad pública. * Utiliza procesamiento de datos a gran escala y seguimiento de personas. * Las operaciones principales requieren el procesamiento de datos de personas únicas vinculadas a delitos penales. A pesar de los criterios necesarios, ambos marcos siguen instando a las organizaciones que no entran en las categorías anteriores a nombrar un RPD. |
Diferencias entre LGPD y GDPR
| Asunto | GDPR | LGPD |
| Bases legales para el procesamiento de datos | Las empresas están sujetas a six base jurídica bajo la cual se procesan los datos personales. Estos son: Consentimiento, ContratoLegal, Obligación, Intereses Vitales, Tarea Pública, Intereses Legítimos | Las empresas están sujetas a ten base jurídica bajo la cual se procesan los datos personales. Estos son: Consentimiento, Contrato, Obligación Jurídica, Protección de la Vida, Protección de la Salud, Interés Legítimo, Tarea Pública, Protección al Crédito, Ejercicio de Derechos en Procedimientos Jurídicos, Investigación por Entidades Públicas de Estudio |
| Sanciones impuestas | Las multas pueden sumar hasta 4% de ingresos anuales o 20 millones de euros, el que sea más alto. | Las multas pueden sumar hasta 2% de ingresos anuales o 50 millones de reales brasileños, el que sea más alto. |
| Violacíon de datos | La notificación de violación de datos es obligatoria y las empresas deben seguir una política estricta de informar una violación dentro de 72 horas. | La notificación de la violación de datos es obligatoria y las empresas deben informar las violaciones dentro de un plazo 'razonable' periodo de tiempo. |
Enlaces Importantes
Para los editores activos en Brasil o que utilizan datos de individuos brasileños, los siguientes enlaces ayudarán a brindar más claridad:
- LGPD en portugués para editoriales brasileñas.
- Documento oficial de LGPD traducido al inglés.
- Comparación oficial de la UE entre GDPR y LGPD.
Preguntas Frecuentes
En mayo de 2018, entró en vigor el Reglamento General de Protección de Datos, que exige que las empresas cuenten con procesos sólidos para el manejo y almacenamiento de información personal.
La LGPD (Lei Geral de Proteção de Dados) fue redactada por Brasil de acuerdo con el RGPD de la UE. La LGPD se aplica a nivel mundial, por lo que cualquier sitio web que recopile datos personales de ciudadanos brasileños debe cumplirla.
Los interesados son usuarios finales cuyos datos personales pueden recopilarse.
Shubham es un especialista en marketing digital con amplia experiencia trabajando en la industria de la tecnología publicitaria. Tiene una amplia experiencia en la industria programática, impulsando la estrategia comercial y escalando funciones que incluyen, entre otras, crecimiento y marketing, operaciones, optimización de procesos y ventas.
