Si trabaja en Brasil o dirige sus servicios a residentes en el país, es posible que su negocio entre dentro del umbral legal de la Lei Geral de Proteção de Dados(LGPD).
La Ley General de Protección de Datos de Brasil es similar al Reglamento General de Protección de Datos de Europa (rgpd) y exige que usted demuestre su base legal para recopilar datos personales.
A continuación, conozca los requisitos de la LGPD, cómo afecta a empresas y consumidores, y las sanciones por infringir esta ley.
- ¿Qué es la Ley General de Protección de Datos (LGPD) de Brasil?
- Términos clave y definiciones de la Ley General de Protección de Datos de Brasil
- ¿Qué cubre la Ley General de Protección de Datos de Brasil?
- Requisitos de la LGPD
- LGPD frente a leyes globales de privacidad de datos: Similitudes y diferencias
- ¿Cómo afecta a los consumidores la Ley General de Protección de Datos de Brasil?
- ¿Cómo afecta a las empresas la Ley General de Protección de Datos de Brasil?
- ¿Quién debe cumplir la Ley General de Protección de Datos de Brasil?
- ¿Cómo pueden prepararse las empresas para la LGPD?
- ¿Cómo se aplica la LGPD?
- Multas y sanciones en virtud de la LGPD
- ¿Cómo ayuda Termly al cumplimiento de la LGPD?
- ¿Existen otras leyes relacionadas con la privacidad en Brasil?
- Resumen
¿Qué es la Ley General de Protección de Datos (LGPD) de Brasil?
La Ley General de Protección de Datos (LGPD) de Brasil es la principal ley integral de protección de datos de los consumidores del país.
Describe los diferentes requisitos que deben seguir las entidades para recopilar, procesar y utilizar legalmente la información personal de los usuarios de Internet en Brasil y describe las sanciones para quienes infrinjan la ley.
La LGPD está oficialmente disponible en portugués, pero la IAPP tiene una buena traducción no oficial de la ley al inglés.
¿Cuándo entró en vigor la LGPD?
La ley de protección de datos de Brasil se aprobó en 2018 y entró en vigor el 18 de septiembre de 2020.
Términos clave y definiciones de la Ley General de Protección de Datos de Brasil
A continuación, lea algunos términos y definiciones clave de la ley de protección de datos de Brasil traducidos al inglés.
¿Qué cubre la Ley General de Protección de Datos de Brasil?
La Ley General de Protección de Datos de Brasil cubre la información personal de las personas en Brasil, independientemente de si son residentes en el país o no.
La cobertura no se limita a los datos digitales: también protege la información personal recopilada fuera de línea y en persona.
Requisitos de la LGPD
Analicemos los principales requisitos que establece la Ley General de Protección de Datos de Brasil.
Base jurídica para el tratamiento de datos
En virtud del artículo 7 de la LGPD, las organizaciones sólo pueden recabar información personal de los usuarios que sea razonable y necesaria para alguno de los siguientes fundamentos jurídicos:
- Con el consentimiento del usuario
- Cumplir un contrato con el usuario
- Cumplir obligaciones legales
- Por interés legítimo
- Realizar estudios por una entidad de investigación
- Medidas de prevención del fraude
- Medidas de protección del crédito
- Para proteger la vida o la seguridad del interesado
La responsabilidad del responsable del tratamiento es demostrar la legitimidad de su base jurídica para recoger los datos personales.
Consentimiento
La definición de consentimiento de la LGPD es similar a la de la UE rgpd y debe ser:
- Libremente concedido
- Informado
- Activo
- Sin ambigüedades
Debe obtener el consentimiento expreso de los usuarios y permitirles cambiar de opinión en cualquier momento para utilizar legalmente el consentimiento como base legal para el tratamiento de datos.
Además, en Brasil se suele malinterpretar el consentimiento como requisito para recopilar datos personales sensibles de los usuarios.
Sin embargo, la LGPD esboza otros fundamentos jurídicos para dicho tratamiento, haciendo hincapié en que no existe jerarquía entre estos fundamentos jurídicos.
Principios básicos
La LGPD esboza diez principios básicos que exige que las entidades cubiertas incorporen a sus actividades de recogida y tratamiento de datos, entre los que se incluyen los siguientes:
- Propósito
- Adecuación
- Necesidad
- Acceso gratuito
- Calidad de los datos
- Transparencia
- Seguridad
- Prevención
- No discriminación
- Rendición de cuentas
Estos principios básicos son similares a los de rgpd en cuanto a alcance, escala y definición.
Calendario de conservación de datos
El artículo 40 de la LGPD establece que las organizaciones sólo pueden conservar los datos durante el menor tiempo posible para cumplir la finalidad de la recogida de la información tal como se presenta al usuario.
Aunque la ley no fija un plazo concreto, sí establece que el tratamiento no puede continuar una vez cumplida la finalidad inicial.
Evaluaciones de protección de datos
La autoridad de protección de datos de Brasil puede exigir a los responsables del tratamiento que realicen evaluaciones de protección de datos por diversos motivos.
La evaluación debe tener en cuenta, como mínimo, los tipos de información recopilada de los usuarios y las medidas de seguridad establecidas para mantener los datos a salvo.
Transferencias internacionales de datos
El 15 de agosto de 2023, la Autoridade Nacional de Proteção de Dados(ANPD) de Brasil dio a conocer un proyecto de resolución sobre la regulación de la transferencia internacional de datos y los modelos de cláusulas contractuales tipo.
El documento preliminar invitaba al público a hacer aportaciones como parte de un esfuerzo más amplio para configurar el panorama normativo de la circulación internacional de datos personales desde Brasil.
Forma parte del punto 4 de la Agenda Reguladora de la ANPD para el periodo 2023/2024.
El proyecto de reglamento aborda aspectos críticos como las definiciones de transferencia internacional de datos, exportador, importador y otros términos clave, y..:
- Esboza los requisitos previos para realizar transferencias internacionales de datos personales
- Delimita las obligaciones de los encargados del tratamiento de datos
- Analiza las distintas modalidades de transferencia y la aplicación de las cláusulas contractuales tipo.
El objetivo de la introducción de estos modelos de cláusulas tipo es proporcionar un marco estructurado y seguro para los intercambios internacionales de datos, garantizando que los datos personales transferidos desde Brasil reciban una protección acorde con los principios de la LGPD.
Este avance es significativo, ya que pretende alinear las normas de protección de datos de Brasil con las prácticas mundiales, ofreciendo a las entidades directrices claras para su cumplimiento.
LGPD frente a leyes globales de privacidad de datos: Similitudes y diferencias
Brasil es uno de los varios países protegidos por una ley de protección de datos, y comparte algunas similitudes con todos los siguientes:
- La Ley de Protección de la Intimidad de los Consumidores de California(CCPA)
- El Reglamento general de protección de datos (rgpd)
- Ley de Protección de Datos Personalesde Argentina (APDP de Argentina)
- Ley canadiense de Protección de Datos Personales y Documentos Electrónicos(PIPEDA)
- Ley sudafricana de Protección de Datos Personales(POPIA)
- Ley tailandesa de protección de datos personales(PDPA)
- Ley australiana de Protección de la Intimidad de 1988(Ley de Protección de la Intimidad)
- Ley de Privacidad de Nueva Zelanda 2020
Compare la LGPD con las demás leyes mundiales sobre privacidad en la siguiente tabla.
| Ley de protección de datos | Requiere consentimiento expreso*. | Obliga a publicar una política de privacidad | Describe las obligaciones contractuales con terceros | Responsabiliza a las empresas de la seguridad de los datos | Tiene requisitos específicos para las transferencias internacionales de datos | Exige directrices adicionales para las categorías de información sensible (especial) |
| Tailandia PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentina PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| RGPD | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ley de Protección de la Intimidad de 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Ley de Privacidad 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Con algunas excepciones para algunas leyes.
¿Cómo afecta a los consumidores la Ley General de Protección de Datos de Brasil?
En virtud de la LGPD brasileña, los consumidores tienen más control sobre el modo en que entidades externas recogen y utilizan su información personal, como se explica en el artículo 18.
Les concede el derecho a:
- Portabilidad de los datos
- Estar informado de cómo se utilizan sus datos, quién los procesa y con qué fin.
- Retirar el consentimiento para el tratamiento de datos en cualquier momento
- oponerse al tratamiento de sus datos con fines de mercadotecnia directa, toma de decisiones automatizada o elaboración de perfiles
- Revisar las decisiones basadas únicamente en decisiones automatizadas
Las entidades cubiertas deben atender las peticiones de los consumidores para que actúen en virtud de estos derechos o se exponen a duras sanciones.
¿A quién se aplica la LGPD?
La LGPD se aplica a los datos personales de cualquier persona en Brasil, independientemente de su condición de ciudadano.
Protege la información recopilada por entidades en línea y fuera de línea e incluso cubre parte de la información disponible públicamente.
Sin embargo, la siguiente recogida de datos está exenta de los requisitos de la ley de privacidad de Brasil:
- Datos tratados para actividades personales o domésticas
- Datos tratados con fines artísticos, académicos, periodísticos o literarios
- Datos utilizados para la seguridad pública, la defensa nacional o investigaciones penales
- El tratamiento de datos anónimos que no permiten identificar a una persona
¿Cómo afecta a las empresas la Ley General de Protección de Datos de Brasil?
Además de la base legal, las evaluaciones de protección de datos y las directrices de conservación mencionadas anteriormente, la LGPD de Brasil también afecta a las políticas de privacidad y cookies de las empresas.
¿Cómo afecta la LGPD a mi política de privacidad?
La ley de protección de datos de Brasil afecta a su política de privacidad al exigir los siguientes detalles, tal como se indica en el artículo 9:
- Finalidad del tratamiento de los datos
- El tipo de tratamiento de datos y su duración
- Identidad de su empresa e información de contacto
- Detalles sobre con quién se comparten los datos y por qué
- Responsabilidades de todo encargado del tratamiento en relación con el tratamiento de datos
- Qué derechos tienen los usuarios sobre los datos y cómo actuar en consecuencia
¿Cómo afecta la LGPD a mi política de cookies?
Los requisitos de transparencia establecidos por la LGPD de Brasil afectan a su empresa. política de cookiesya que le obliga a explicar claramente a los usuarios:
- Qué cookies se utilizan
- Por qué se utilizan
- Qué datos recogen las cookies
- Qué derechos tienen los usuarios sobre las cookies
- Cómo actuar sobre esos derechos
Asegúrese de que toda esta información aparece en su página política de cookies, que deberá vincular en una cláusula de su política de privacidad para que los usuarios puedan acceder fácilmente a estos datos.
¿Quién debe cumplir la Ley General de Protección de Datos de Brasil?
Los siguientes tipos de empresas deben cumplir la LGPD de Brasil:
- Cualquier organización que opere en Brasil, incluidas organizaciones sin ánimo de lucro y entidades gubernamentales, que posea datos personales.
- Cualquier organización ubicada fuera de Brasil que procese datos personales de individuos en el país, incluso si el procesamiento en sí ocurre fuera de Brasil.
En general, la ley tiene un alcance muy amplio y se aplica a organizaciones de todo el mundo.
¿Quién está exento de la Ley General de Protección de Datos de Brasil?
Las únicas excepciones a la Ley General de Protección de Datos de Brasil son:
- Personas que tratan datos personales con fines personales o domésticos.
- Datos tratados con fines artísticos o académicos.
- Asuntos de seguridad pública, que están sujetos a normas diferentes, como las autoridades públicas.
¿Cómo pueden prepararse las empresas para la LGPD?
Para prepararse para el cumplimiento de la LGPD, las empresas deben actualizar sus políticas de privacidad y de cookies para cumplir todos los requisitos de transparencia y notificación descritos por la ley.
También debe determinar su base legal para recopilar datos personales y utilizar una plataforma gestión del consentimiento (CMP) para recabar el consentimiento adecuado de los usuarios si ese es uno de los fines del tratamiento de la información.
Añada un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR) a su sitio web para que los usuarios puedan ejercer fácilmente los derechos que les otorga esta ley.
Por último, asegúrese de que utiliza contratos adecuados si trabaja con procesadores de datos y realice evaluaciones de protección de datos cuando sea necesario.
¿Cómo se aplica la LGPD?
La autoridad de protección de datos de Brasil, la Autoridade Nacional de Proteção de Dados(ANPD), vela por el cumplimiento de todos los aspectos de la ley.
Son responsables de supervisar y aplicar todas las consecuencias del incumplimiento, lo que incluye realizar investigaciones y emitir advertencias y órdenes de multas o sanciones.
Multas y sanciones en virtud de la LGPD
Las multas por incumplimiento de la LGPD pueden alcanzar hasta el 2% de los ingresos anuales de una empresa en Brasil.
Además, los particulares tienen derecho a interponer demandas civiles si sufren daños materiales o morales debido a que una organización infringe la LGPD.
¿Cómo ayuda Termly al cumplimiento de la LGPD?
Termly's gestión del consentimiento Platform(CMP) es configurable para cumplir con los requisitos de exclusión voluntaria descritos por la ley de protección de datos de Brasil en relación con las cookies utilizadas para la publicidad dirigida.
Además, nuestro equipo está trabajando actualmente en una actualización de nuestro Generador de Política de Privacidad, por lo que pronto incluirá las cláusulas necesarias para ayudar a las empresas a cumplir la LGPD de Brasil.
Las actualizaciones llevan tiempo, pero los usuarios de Termly recibirán una actualización por correo electrónico cuando estos cambios estén oficialmente disponibles.
Nuestro sitio Generador de Política de Privacidad se rellena en unos minutos y elabora una póliza completa basada en sus respuestas a preguntas sencillas sobre su empresa.
Es fácil de usar, cómodo, rápido y está respaldado por nuestro equipo jurídico y nuestros expertos en privacidad.
¿Existen otras leyes relacionadas con la privacidad en Brasil?
Además de la LGPD, en Brasil existen otras leyes relacionadas con la privacidad, entre las que destacan las siguientes:
- Marco Civil da Internet: Esta ley establece los principios de uso de Internet en Brasil.(Fuente)
- Código de Defesa do Consumidor: Este código establece disposiciones que exigen buena fe y transparencia en las relaciones con los consumidores.(Fuente)
- Estatuto da Criança e do Adolescente: Esta ley establece disposiciones para proteger los datos personales de niños y adolescentes.(Fuente)
Resumen
Si su organización recopila datos de usuarios de Brasil, asegúrese de que cumple la LGPD:
- Actualice su privacidad y política de cookies para cumplir todos los requisitos de transparencia y notificación.
- Asegúrese de que solicita a los usuarios el consentimiento expreso necesario mediante la implementación de una plataforma compatible gestión del consentimiento .
- Si recopila datos sensibles, realice las evaluaciones de protección de datos pertinentes.
- Utilice contratos conformes con los procesadores o controladores de datos con los que trabaje.
¿Cuál es la forma más sencilla de simplificar el cumplimiento de la normativa sobre privacidad? ¡Obtenga ayuda de Termly!
Eche un vistazo a nuestra completa gama de soluciones para el cumplimiento de la normativa y empiece a proteger su empresa y a los consumidores.
Más sobre el autor
Escrito por Heloisa Valdívia, CIPM
Como Gestora Certificada de Privacidad de la Información (CIPM) y consultora experimentada en privacidad, Heloísa conoce a fondo el sector de la privacidad de los datos. Apasionada por salvaguardar los datos y garantizar el cumplimiento de la normativa, ofrece valiosos conocimientos y orientación práctica para navegar por las complejidades de la normativa y las mejores prácticas en materia de privacidad de datos. Más sobre el autor
