Para los responsables de privacidad que han tenido mucho trabajo este verano con la Aplicación de la Ley de Privacidad del Consumidor de California (CCPA) a partir del 1 de julio, seguido por el invalidación repentina del Escudo de Privacidad Unas semanas más tarde, la Ley General de Protección de Datos de Brasil (Ley General de Protección de Dados La entrada en vigor de la LGPD supone una tercera sorpresa.
A pesar de la orden ejecutiva del presidente de Brasil, Jair Bolsonaro, de retrasar la fecha de entrada en vigor de la LGPD hasta finales de año, y la aprobación del aplazamiento por parte del Congreso Nacional, El Senado brasileño finalmente revocó el retraso, con lo que la ley entrará en vigor el 10 de septiembre.
Cómo lograr el cumplimiento de la LGPD
La LGPD presenta una serie de desafíos prácticos para su cumplimiento. El primero es la necesidad de descubrimiento más profundo. Los enfoques tradicionales para el descubrimiento de datos no identifican consistentemente los datos personales y confidenciales para fines de procesamiento.
Una definición ampliada de datos personales bajo la LGPD requiere que las empresas puedan vincular y clasificar datos — y comprender cómo se relacionan los identificadores entre sí en función de medidas como la proximidad.
Además, los nuevos derechos de datos de la ley crean una necesidad más profunda de que las empresas comprendan los datos en contexto para que puedan procesarlos adecuadamente, facilitar los requisitos de rectificación y borrado, y tener la capacidad de crear políticas que estén en sintonía con el estricto conjunto de bases legales para el procesamiento de los datos.
Los nuevos requisitos de retención bajo la LGPD crean la necesidad de establecer requisitos internos políticas de retención de datos que las empresas pueden tomar medidas inmediatas (incluidos los datos recopilados a través de un servicio en línea), al tiempo que pueden identificar datos duplicados y redundantes, lo que amplía en el espacio de gobernanza de datos.
Con BigID, las empresas pueden anticiparse a estos desafíos mediante:
- Conociendo sus datos:Combinar la identificación de datos personales y la clasificación de datos sensibles.
- Entender de quién son los datos: Contextualice los datos con perfiles de identidad e indexación de datos que cubran datos personales y datos confidenciales.
- Etiquetado y rotulación de datos con fines legales: Garantizar que los datos se procesen de conformidad con las bases jurídicas definidas por la ley.
- Minimizar datos duplicados o sensibles: Habilite la minimización de datos con identificación duplicada y aplique reglas de retención basadas en un propósito revelado.
- Gestión del riesgo de los datos: Descubra, clasifique y mapee las credenciales de los usuarios para aplicar controles para la reducción del riesgo de infracciones.
- Automatizar el cumplimiento de los derechos de acceso a los datos:Automatizar el cumplimiento manual de solicitudes de acceso y eliminación de datos individuales.
- Informar sobre qué datos tienen: Habilite flujos de trabajo de corrección y valide si se están capturando datos confidenciales.
- Detección de transferencias de datos transfronterizas que no cumplen con las políticas:Realice un seguimiento de las violaciones de acceso, uso y transferencia de datos en toda la organización para tomar medidas inmediatas.
Las diferencias entre LGPD y GDPR
Ámbito territorial
Similar a cómo el Reglamento General de Protección de Datos (RGPD) de la UE salvaguarda los datos de los residentes de la UE, LGPD aplica obligaciones de protección de datos a cualquier empresa —pública o privada, que opere en línea o fuera de línea— que procese datos personales de residentes brasileños, independientemente de dónde esté ubicada la empresa.
Datos personales y datos personales sensibles
Las leyes utilizan una terminología similar para referirse a “Controladores” y “Encargados del Tratamiento” de datos, y son casi idénticos en cómo definen los datos personales como “información relacionada con una persona física identificada o identificable”.
En otras palabras, los datos personales, tanto bajo el RGPD como bajo la LGPD, incluyen datos que identifican directamente a una persona o que la hacen identificable. Los datos anonimizados no se incluyen expresamente en el ámbito de aplicación del RGPD ni de la LGPD.
Si bien la LGPD también incluye una definición similar de “datos personales sensibles” como el RGPD, la ley brasileña establece un conjunto de requisitos más estrictos y reduce el número de bases legales disponibles para cualquier procesamiento de este tipo de datos.
Fundamentos legales para el tratamiento de datos personales
El RGPD establece seis bases legales para el procesamiento de datos personales no sensibles, y la LGPD las confirma todas y además agrega cuatro más, ampliando efectivamente las condiciones bajo las cuales se puede autorizar el procesamiento.
Las bases legales de la LGPD también estipuladas por el RGPD incluyen:
- consentimiento de los propietarios de los datos
- para cumplir con una obligación legal
- para hacer cumplir regulaciones o políticas públicas bajo la ley
- para proteger la vida o la salud de alguien
- si es necesario para la ejecución de un contrato
- para servir a los intereses legítimos del responsable del tratamiento o de terceros
Las nuevas bases legales estipuladas por la LGPD incluyen:
- Para fines de investigación, los datos proporcionados se anonimizan.
- para protección crediticia
- para fines de atención sanitaria por parte de profesionales y entidades de la salud
- para hacer valer derechos en procedimientos judiciales o administrativos
Plazos de conservación de datos
De manera similar al RGPD, las empresas solo pueden conservar datos personales mientras esté vigente una de estas bases legales que permiten su procesamiento.
Si una empresa opera en Brasil y ofrece servicios en línea, debe cumplir con las obligaciones de retención de datos establecidas en la Ley de Internet. Esto significa que las empresas deben conservar los registros de acceso a las aplicaciones de Internet, incluida la dirección IP del usuario, durante seis meses en un entorno seguro.
Derechos del titular de los datos de la LGPD
La LGPD ofrece una serie de derechos de los interesados En relación con sus datos personales, los responsables del tratamiento de datos son legalmente responsables de garantizar a los interesados el ejercicio de dichos derechos, y los encargados del tratamiento de datos también pueden recibir una solicitud de los interesados para garantizar el ejercicio de sus derechos.
Los derechos del interesado sobre sus datos personales incluyen el derecho a:
- confirmar la existencia de datos personales que están siendo procesados
- acceder a los datos personales
- rectificar datos incompletos, inexactos u obsoletos
- eliminar datos personales innecesarios, excesivos o no conformes
- Solicitar expresamente que los datos sean transferibles a otro servicio o proveedor.
- borrar cualquier dato personal procesado con el consentimiento del interesado
- Ser informado sobre terceros con quienes se comparten datos
- Ser informado sobre la posibilidad de rechazar el consentimiento y las consecuencias de esa negativa.
- retirar el consentimiento
- solicitar una revisión de la toma de decisiones automatizada
En la UE, bajo el RGPD, las empresas deben responder a las solicitudes de acceso de los interesados (SAD) en el plazo de un mes, con ciertas excepciones para solicitudes más complejas, pero el plazo de la LGPD es la mitad, 15 días. La LGPD también exige inmediato respuesta a otras solicitudes de interesados, aparte del acceso.
Transferencias transfronterizas
La ley también incluye restricciones a las transferencias transfronterizas de datos a terceros países que garantizan un nivel adecuado de protección. Actualmente, no hay claridad sobre qué países incluye ni qué salvaguardias adecuadas, como Cláusulas contractuales estándar o normas corporativas vinculantes en las que las empresas pueden confiar.
Se parte de la base de que, dado que la LGPD está inspirada en gran medida en el RGPD, es probable que los países de la Unión Europea se consideren adecuados.
Fecha y agencia de aplicación de la LGPD, ANPD
Aunque las disposiciones de la LGPD sobre sanciones no entrarán en vigor hasta el 1 de agosto de 2021, los brasileños tienen derecho a interponer recursos si consideran que han sido perjudicados por una infracción de la ley. Al igual que en Estados Unidos, Brasil se considera una sociedad litigiosa: entre los abogados de los demandantes y más de 900 fiscales, es probable que se presenten numerosas demandas civiles en nombre de litigantes privados y del público.
El presidente Bolsonaro ya aprobó una estructura regulatoria y un marco para establecer un Autoridad Brasileña de Protección de Datos (ANPD), que se encarga de supervisar las medidas de protección de datos personales, desarrollar directrices pertinentes e investigar y hacer cumplir la ley.
Delegados de Protección de Datos
La función de los delegados de protección de datos (DPD) bajo el RGPD es más estricta que bajo la LGPD. Si bien el RGPD especifica ciertas condiciones bajo las cuales las organizaciones deben designar un DPD, la LGPD no contiene tal especificación, estipulando de forma más general que «el responsable del tratamiento designará a un delegado para que se encargue del tratamiento de datos».
Esto sugiere que, si bien las organizaciones sujetas a la LGPD están obligadas a designar un DPO, sus diversas funciones y su relativa independencia de la oficina de privacidad no están claras. Se espera que se aclare esta cuestión a medida que la ANPD desarrolle más directrices y controles, pero esto aún está por verse.
Sanciones por violación de la LGPD
La LGPD conlleva fuertes sanciones de ejecución además de la responsabilidad civil, como multas de hasta 2% de los ingresos brutos de la empresa en Brasil en su año fiscal anterior, la suspensión temporal de la capacidad de la empresa para utilizar datos personales, la suspensión parcial o total de la base de datos y la suspensión de las actividades comerciales.
En consecuencia, cualquier organización que procese datos personales de residentes brasileños debe asegurarse de que estén en cumplimiento de la LGPD y prestar mucha atención a cualquier orientación emitida por los reguladores en los próximos meses.
Vea cómo BigID puede ayudar Usted garantiza el cumplimiento de su organización con la LGPD para que pueda, como dice el refrán brasileño, fique tranquilo.