Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Brasil se prepara para lanzar ley de protección de datos personales

Siguiendo el ejemplo del GDPR europeo, los legisladores brasileños han preparado una propuesta de ley que protegería la privacidad y los datos personales de los ciudadanos de ese país sudamericano.

El año 2018 pasará a la historia como aquél en que la privacidad se ha convertido en un factor de suma importancia,...

tanto para los individuos, las empresas y los gobiernos.

En Brasil, el Senado aprobó, el pasado martes 10 de Julio de 2018, el Proyecto de Ley de la Cámara (PLC) 53/2018 que, en caso de obtener la sanción presidencial, significaría que la nación sudamericana pasaría a formar parte de los países que cuentan con una legislación específica para la protección de datos y la privacidad de sus ciudadanos.

El texto disciplina la forma en que las informaciones se recogen y tratan, especialmente en medios digitales, como datos personales de registro o incluso textos y fotografías publicadas en redes sociales.

¿Por qué es tan importante? Si entra en vigor, la llamada Ley General de Protección de Datos Personales establecerá una serie de reglas que empresas y otras organizaciones actuantes en Brasil tendrán que seguir para permitir que el ciudadano tenga más control sobre el tratamiento que se le da a su información personal.

El proyecto es un paso necesario y relevante. Actualmente, la legislación brasileña es muy vaga en cuestiones relacionadas con datos personales y privacidad. Existen leyes que garantizan el derecho a la intimidad y al secreto de comunicaciones, por ejemplo, pero se establecieron en circunstancias que no contemplaban el escenario tecnológico actual.

La consecuencia de esto es que muchas empresas, particularmente los proveedores y operadores de telecomunicaciones, acaban no dando la debida importancia al asunto. Cuando se les pregunta, estas organizaciones a menudo hacen interpretaciones evasivas al respecto o simplemente dicen que no hay obligación legal de seguir protocolos completos para la protección de datos. También puede haber negligencia en el tratamiento de datos personales en las esferas gubernamentales.

¿Qué es exactamente la Ley General de Protección de Datos Personales?

El nombre es autoexplicativo: Se trata de una legislación que determina cómo los datos de ciudadanos pueden ser recogidos y tratados, y que prevé castigos para transgresiones. El propio Senado reconoce que la propuesta para el marco general de protección de datos (otra denominación dada a la propuesta) estuvo fuertemente inspirada en el GDPR, un riguroso conjunto de reglas sobre privacidad de la Unión Europea que entró en vigor en mayo.

La búsqueda de una legislación que regule el tratamiento de datos no es nueva. El Proyecto de Ley de Cámara (PLC) 53/2018 tiene como base al menos otras dos propuestas que tramitan en la Cámara de Diputados (PL 4060/2012 y PL 5276/2016), además de un Proyecto de Ley del Senado (PLS 330/2013).

La unión de estos proyectos, y algunas revisiones, hacen que la Ley General de Protección de Datos Personales, de la forma en que fue aprobada por el Senado, contenga diez capítulos con 65 artículos que determinan cómo pueden ser recogidos y tratados los datos personales en Brasil, especialmente en lo que se refiere a los derechos en los medios digitales.

El proyecto trata como dato personal cualquier información relacionada a una persona que, aisladamente o en conjunto con otros detalles, permite identificarla. Algunos ejemplos de datos son: nombre, apodo, dirección residencial, dirección de correo electrónico, dirección IP, fotos propias, formularios de registro y números de documento.

¿Cómo deben tratarse y colectarse los datos personales? Para empezar, las organizaciones públicas y privadas solo podrán recopilar datos personales si tienen el consentimiento del titular. La solicitud deberá ser hecha de manera clara para que el ciudadano sepa exactamente lo que va a ser recolectado, para qué fines serán usados y si serán compartidos. Cuando haya implicación de menores de edad, los datos solo podrán ser tratados con el consentimiento de los padres o responsables legales.

Si hay cambios de propósito o traspaso de datos a terceros, un nuevo consentimiento deberá ser solicitado. El usuario podrá, cuando desee, revocar su autorización, así como solicitar acceso, exclusión, portabilidad, complementación o corrección de los datos. En caso de que el uso de la información lleve a una decisión automatizada indeseada, por ejemplo, el rechazo de financiamiento por parte de un banco, el usuario podrá solicitar una revisión humana del procedimiento.

Hay una categoría clasificada como "datos sensibles". Ella se refiere a informaciones como creencias religiosas, posicionamientos políticos, características físicas, condiciones de salud y vida sexual. El uso de estos datos será más restrictivo. Ninguna organización podrá hacer uso de ellos para fines discriminatorios. También será necesario asegurarse de que se protejan adecuadamente.

En general, la idea es proteger al ciudadano del uso abusivo e indiscriminado de sus datos. Además de pedir consentimiento de manera clara y atender a las demandas del usuario sobre el mantenimiento o eliminación de los datos, las organizaciones solo podrán solicitar los datos que realmente son necesarios al final propuesto. En ese sentido, el usuario podrá cuestionar si la exigencia de determinado dato tiene sentido o utilidad.

Hay excepciones. Las reglas no valen para datos personales tratados con fines académicos, artísticos o periodísticos, así como para aquellos que involucra seguridad pública, defensa nacional, protección de la vida y políticas gubernamentales. Estos casos deben ser tratados por leyes específicas.

Qué sucede en caso de pérdida de datos

Las fugas o problemas de seguridad que comprometen datos personales deberán ser informados a las autoridades competentes a su debido tiempo. Tras el análisis de la situación, las autoridades indicarán los próximos pasos, como determinar que el problema se divulgue a la prensa.

El castigo por incumplir la ley depende de la gravedad de la situación. Si se comprueba la infracción, la empresa u organización responsable podrá recibir desde advertencias hasta una multa equivalente al 2% de su facturación, pero limitada al valor máximo de R$ 50 millones de reales.

La empresa u organización también podrá tener las actividades ligadas al tratamiento de datos total o parcialmente suspendidas, además de responder judicialmente a otras violaciones previstas por ley, cuando sea el caso.

¿Aplica solo para las empresas brasileñas? El origen de la empresa u organización no es un factor de excepción. La propuesta vale para operaciones de tratamiento de datos realizadas en Brasil o en otro país, siempre que la recolección de datos sea hecha en territorio brasileño. Esto significa que, si por ejemplo, Google recoge datos de un usuario dentro de Brasil, pero los procesa en los Estados Unidos, tendrá que seguir la legislación brasileña.

En caso necesario, la empresa podrá transferir los datos a una filial o una sede extranjera, a condición de que el país de destino también tenga leyes exhaustivas de protección de datos o pueda garantizar mecanismos de tratamiento equivalentes a los que se exigen en Brasil.

En caso de que los datos ya no sean necesarios –cuando una cuenta o servicio haya finalizado, por ejemplo– la organización tendrá que borrarlos, a menos que haya obligación legal u otra razón justificable para su preservación

Para vigilar y sancionar la aplicación de la ley, el proyecto prevé la creación de la Autoridad Nacional de Protección de Datos (ANPD), autarquía ligada al Ministerio de Justicia, que deberá fiscalizar y garantizar la aplicación de la ley. También está prevista la creación del Consejo Nacional de Protección de Datos Personales y de la Privacidad, que estará formado por 23 representantes del poder público y de la sociedad civil. El grupo realizará estudios, debates y compañeras referentes al asunto.

Tanto la iniciativa privada como los organismos públicos tendrán que indicar a un responsable del tratamiento de datos dentro de la organización. Las eventuales solicitudes o comunicaciones referentes a datos personales serán tratados prioritariamente con esa persona.

Para entrar en vigor, el proyecto de la Ley General de Protección de Datos Personales necesita primero pasar por la sanción del presidente de Brasil, Michel Temer. Después de ese procedimiento, habrá un plazo de 18 meses para que sectores privados y públicos se adecúen a la ley.

A menos que la propuesta sea vetada, revisada o tenga el plazo ampliado por algún motivo (lo que no es inusual en Brasil), es de esperar que la ley entre en vigor a comienzos de 2020.

Este artículo se actualizó por última vez en agosto 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close