LGPD: ¿Qué dice la nueva ley brasileña de protección de datos?

Las personas deben tener control sobre sus datos personales y deben comprender el marco legal de las empresas digitales. Esto se debe a que, desafortunadamente, los datos personales de los usuarios a menudo se capturan ilegalmente, lo que puede comprometer su privacidad. Todo este escenario llevó a la creación del Reglamento General de Protección de Datos (GDPR) para la Unión Europea, que entró en vigencia en mayo de 2018, y ahora Brasil se está preparando para adaptarse a la nueva ley, muy similar a la que ya existe en el Europa Después de más de ocho años de debates en la sociedad civil, llega la Ley 13.709 / 2018, la Ley de Protección de Datos de Brasil. La legislación (LGPD) se promulgó el 14 de agosto de 2018 y se espera que entre en vigencia, definitivamente, este año. En el artículo de hoy, conoceremos los puntos principales de esta legislación.

Conceptos de la nueva ley

El titular de los datos es la persona que la ley pretende proteger y es el portador “de los datos personales que son objeto de tratamiento”, por lo que las personas jurídicas de carácter colectivo quedaron fuera de la alzada de la nueva ley: esta ley es exclusivamente para proteger las personas.

El concepto de tratamiento de datos es muy importante en esta legislación y se define como “toda la operación realizada con datos personales, como las que se refieren a la recolección, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivado, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción”. Este contexto es muy amplio y se aplica a todas las operaciones de tratamiento de datos realizadas por persona individual o colectiva, tanto en el sector público y en el sector privado. Para que la ley se aplique, ese tratamiento de datos debe ser realizado en territorio brasileño. En los casos de ciudadanos extranjeros, los datos personales están sujetos a la nueva ley cuando son recogidos en Brasil y cuando su tratamiento tiene como objetivo el suministro de bienes o servicios en Brasil.

¿Qué va a cambiar en la práctica?

Obligatoriedad de eliminar los datos cuando sea requerido por el usuario

Los ciudadanos podrán exigir a las empresas que eliminen los datos personales. El nuevo reglamento permite que los datos personales de cada ciudadano sean destruidos por su solicitud.

Portabilidad de los datos

Los ciudadanos podrán exigir a las empresas que les envíen sus datos personales en un formato que permita que se envíen a otra empresa facilitando su migración y haciendo más simple el cambio de prestación de servicios. Siempre que un ciudadano cambie de Banco o de prestador de servicios de televisión, no tendrá que proporcionar de nuevo sus datos personales, ya que éstos pueden migrar fácilmente de una empresa a otra.

Necesidad de autorización expresa del usuario

Los ciudadanos tendrán información total sobre cómo las empresas tratan sus datos, de qué modo los almacenan, cuánto tiempo los guardan y con quién comparten su información. La nueva ley se aplica a todas las actividades que impliquen el uso de datos personales, incluyendo el tratamiento por Internet.

Obligatoriedad de notificar en caso de violación de datos personales

Las empresas y las organizaciones tienen el deber de notificar a la Autoridad competente en situaciones que pongan a las personas en riesgo y comunicar al ciudadano de que se trate todas las infracciones de alto riesgo lo antes posible para que puedan adoptarse las medidas apropiadas. En caso de fuga de los datos, la empresa deberá comunicar el hecho al órgano competente (Autoridad Nacional de Protección de Datos, órgano de la administración pública indirecta, vinculado al Ministerio de Justicia), que será responsable de velar, implementar y fiscalizar el cumplimiento de la ley dentro de un “plazo razonable”, que será definido por dicho órgano.

¿Qué sucede en caso de incumplimiento?

En el caso de fuga de datos o cualquier otra violación a la ley, las multas previstas podrán llegar al 2% de la facturación, con el límite de R$50 millones, pudiendo también implicar en la suspensión de las actividades de la empresa.