¿Qué es la LGPD – Ley General de Protección de Datos de Brasil?

Al igual que otras leyes de protección de datos, la LGPD crea un marco legal para la gobernanza de la recopilación y el uso de datos personales. Sin embargo, no es simplemente una réplica del GDPR, sino que difiere en varios aspectos importantes.

A continuación, discutimos los conceptos básicos de la LGPD y las implicaciones para las empresas que operan dentro y fuera de Brasil.

Anteriormente, Brasil contaba con más de 40 leyes federales que regulaban los datos personales. El objetivo principal de la LGPD era consolidar estas diversas leyes en un único marco jurídico general para la protección de datos.

Al hacerlo, los legisladores brasileños pretendían mejorar el control y los derechos de los ciudadanos brasileños sobre sus datos personales. Pero también, para simplificar la compleja red de estatutos anteriores, facilitando el entorno regulatorio para las empresas internacionales y nacionales.

Aquellos que ya cumplan con el GDPR también cumplirán con la LGPD. Sin embargo, hay diferencias clave. La LGPD está organizada en torno a nueve derechos clave, que definen colectivamente los datos personales y crean diez bases legales para el procesamiento legal de datos personales.

Los Nueve Derechos se describen en el artículo 18 de la LGPD. Describe los derechos de los ciudadanos brasileños a:

1. Confirmar la existencia del tratamiento de sus datos
2. Acceder a sus datos
3. Corregir datos incompletos, inexactos o desactualizados
4. Anonimización, bloqueo o eliminación de datos innecesarios o excesivos o datos procesados en incumplimiento de las disposiciones de la LGPD
5. Portabilidad de los datos a otro proveedor de servicios o proveedor de productos, a petición del interesado
6. Eliminar sus datos personales
7. Ser informado sobre las entidades públicas y privadas con las que el responsable del tratamiento ha compartido datos personales
8. Ser informado sobre la posibilidad de denegar el consentimiento y las consecuencias.
9. Revocar el consentimiento

Estos derechos son muy similares a los descritos en el RGPD.

El GDPR es notable por sus «efectos extraterritoriales», que obligan a cumplir por parte de todas las empresas a nivel mundial que atienden a los ciudadanos de la UE. Hay efectos similares en la LGPD.

En el artículo 3, la LGPD describe las organizaciones a las que se aplica la LGPD:

Para aquellos familiarizados con el GDPR de la UE, existen algunas diferencias notables. Principalmente, la LGPD cubre no solo los datos personales de los ciudadanos brasileños, sino también a todas las personas ubicadas dentro del territorio brasileño.

Además, al igual que el GDPR, la LGPD tiene un alcance territorial más allá de las fronteras brasileñas. Cualquier organización que ofrezca el suministro de bienes o servicios a una persona ubicada en Brasil debe actuar de acuerdo con la LGPD.

No todo el mundo está regulado por la LGPD. El reglamento no se aplica si:

Como se ha comentado, en virtud del artículo 7 de la LGPD, existen diez bases jurídicas para el tratamiento legal de datos:

1. Con el consentimiento del interesado
2. Para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento
3. Por parte de la administración pública, para el procesamiento y uso compartido de datos necesarios para la ejecución de las políticas públicas previstas en leyes o reglamentos, o sobre la base de contratos, acuerdos o instrumentos similares, sujeto al Capítulo IV de la LGPD
4. Para la realización de estudios por parte de entidades de investigación, garantizando, siempre que sea posible, la anonimización de los datos personales
5. Cuando sea necesario para la ejecución de un contrato o procedimientos preliminares relacionados con un contrato del que el interesado sea parte, a petición del interesado
6. Para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales, este último de conformidad con la Ley de Arbitraje de Brasil
7. Para la protección de la vida o la integridad física del titular de los datos o de un tercero
8. Para proteger la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridades sanitarias
9. Cuando sea necesario para satisfacer los intereses legítimos del responsable del tratamiento o de un tercero, excepto cuando prevalezcan los derechos y libertades fundamentales del interesado que requieran la protección de datos personales
10. Para la protección del crédito

En lugar de permitir el procesamiento amplio de datos personales en virtud de la regulación, las autoridades brasileñas solo permiten el procesamiento legal de datos personales en las circunstancias anteriores.

El incumplimiento de la letra de la LGPD puede resultar en una multa máxima de hasta 50 millones de reales (aproximadamente 8 millones de euros) o el 2% de los ingresos de una entidad en Brasil. Eso es sustancialmente más bajo que las sanciones bajo el GDPR, que pueden alcanzar los 20 millones de euros o el 4% de los ingresos globales anuales, lo que sea más alto.

Con más de 138 millones de usuarios de Internet en Brasil, es el cuarto mercado de Internet más grande del mundo. Por lo tanto, a menudo se exige el cumplimiento de la LGPD a las organizaciones con alcance internacional.

Afortunadamente, el gobierno brasileño siguió el GDPR, lo que significa que, para la mayoría de las organizaciones, el trabajo adicional es mínimo. Aun así, es fundamental conocer las diferencias clave entre estas regulaciones históricas. De lo contrario, puede enfrentarse a importantes multas a ambos lados del Atlántico.