Guía de la Ley General de Protección de Datos de Brasil (LGPD)
¿Qué es la LGPD, cómo te afecta y cómo puedes adaptarte a ella? Te lo explicamos de forma fácil y comprensible a continuación.
La Ley General de Protección de Datos de Brasil, Lei Geral de Proteção de Dados Pessoais (LGPD) puede considerarse como el equivalente de Brasil al RGPD. De hecho, la ley brasileña comparte muchos aspectos con el Reglamento de la UE, aunque también presenta ciertas diferencias. Su finalidad es reemplazar o completar el panorama legal brasileño actual (que cuenta con más de 40 normas a nivel sectorial) con un marco normativo común.
La LGPD tiene como objetivo crear un nuevo marco legal para el uso de datos personales en Brasil, tanto online como offline, en el sector público y privado.
En general, la LGPD exige que solo trates datos personales para fines legítimos, específicos, explícitos y claramente comunicados. Tal y como sucede con el RGPD, se aplican los principios de transparencia y minimización de datos (tan solo debes usar los datos que necesitas).
Pese a que hubo una propuesta que pedía retrasar la entrada en vigor de la LGPD a diciembre de 2020, tras una votación del Senado se eliminó esta sugerencia del proyecto de ley (PLV) 34/2020. El Presidente de Brasil ha ratificado dicho proyecto de ley, confirmando la fecha de entrada en vigor de la LGPD a 18 de septiembre de 2020. En este contexto, se promulgó un decreto por el que se creaba la autoridad nacional de protección de datos, que se bautizó como Autoridad Nacional de Protección de Datos (ANPD).
La APD de Brasil (ANPD) ha publicado una versión actualizada de su “Guía para los agentes de tratamiento de datos personales y los delegados de protección de datos,” aclarando conceptos de la LGPD y de las directrices anteriores. Consulta aquí las actualizaciones.
Por ejemplo, una empresa de internet puede recopilar información de sus usuarios a través de su sitio web y almacenarla en un servicio en la nube proporcionado por un tercero. En este caso, la empresa de internet sería el responsable del tratamiento y la organización que presta el servicio en la nube sería la encargada del tratamiento.
Como sucede con el RGPD, la LGPD tiene un ámbito de aplicación territorial que se extiende más allá de Brasil. Esto significa que puede que tengas que cumplir con lo dispuesto en la LGPD incluso si ni tú ni tu empresa estáis radicados en Brasil. En la práctica, la LGPD te afecta si:
En términos generales, puedes asumir que la LGPD te afecta si tratas los datos personales de personas radicadas en Brasil o si tratas datos personales en el territorio brasileño, sin importar su nacionalidad.
Existen algunas excepciones a la aplicación de la LGPD, incluso en situaciones en las que el responsable del tratamiento de los datos entra dentro del ámbito de aplicación territorial de la ley. Puedes consultar estas excepciones a continuación. La LGPD no se aplica si:
La LGPD emplea una definición amplia de los datos personales. Al igual que en el RGPD, en el marco de la LGPD los datos personales son cualquier tipo de datos que se puedan relacionar con un individuo identificado o identificable. En resumen, se consideran datos personales todos aquellos datos que se relacionen con un individuo identificado o identificable. Esto incluye datos que se pueden combinar con otro tipo de información para identificar a un individuo.
Los datos realmente anonimizados (datos que no pueden llevar directa o indirectamente, por medios razonables, a la identificación de una persona) quedan fuera del ámbito de aplicación de la LGPD. Sin embargo, si el proceso de anonimización puede ser reversible, o si los datos se utilizan para la elaboración de perfiles de comportamiento, sí que entrarán dentro del alcance de la LGPD.
Entre los ejemplos de datos personales cabe incluir (entre otros) datos básicos de identidad como nombres, datos genéticos, biométricos o relacionados con la salud, datos web como direcciones IP, direcciones de correo electrónico personales, opiniones políticas y datos relativos a la orientación sexual.
Entre los ejemplos de datos no personales se pueden incluir números de inscripción de empresas en el Registro Mercantil, direcciones de correo electrónico genéricas de la empresa como info@company.com y datos anonimizados.
La LGPD identifica los datos “sensibles” como parte de los datos personales “normales” y establece reglas especiales para esta categoría concreta de datos personales. Los datos sensibles son todos aquellos que se relacionan con el origen racial o étnico de una persona, sus creencias religiosas, opiniones políticas, sus datos de salud o vida sexual; o bien datos que permitan la identificación inequívoca y permanente del usuario, como sus datos genéticos o biométricos.
Como es más probable que el tratamiento de datos sensibles exponga al usuario al riesgo de discriminación, el tratamiento de estos datos se debe llevar a cabo con medidas de seguridad adicionales y sobre bases jurídicas muy específicas.
En general, tan solo puedes tratar datos sensibles si el usuario (o su progenitor o tutor legal si la persona en cuestión es menor de edad) ha otorgado su consentimiento para dicho tratamiento. Existen algunas excepciones.
💡 Sugerencia: Puedes usar el menú flotante a la izquierda para saltar de una sección a otra (por ejemplo, “Cómo adaptarse a la LGPD”)
Conceptos clave de la LGPD
Los principios para el tratamiento de datos son muy similares a los del RGPD. En particular:
Según la LGPD, solo se pueden tratar datos personales si existe al menos una base jurídica para hacerlo.
Las bases jurídicas son:
*No se incluye como base jurídica en el RGPD.
Dado que el consentimiento es una cuestión de vital importancia y normalmente muy relevante en lo referente a las actividades de tratamiento de datos online, a continuación analizaremos los requisitos específicos de dicho consentimiento según la LGPD.
Según la LGPD, el consentimiento debe ser “libre, informado e inequívoco”. Esto significa que el consentimiento no debe ser obtenido mediante coacción: la acción de consentimiento de los usuarios debe ser clara y estos deben ser informados de forma adecuada antes de otorgar su consentimiento. Además, el consentimiento debe prestarse para un fin específico y los usuarios siempre deben tener la posibilidad de retirar o revocar su consentimiento.
Según la LGPD, el consentimiento debe ser libre, informado e inequívoco.
En cuanto al consentimiento para menores de 12 años, estás obligado a obtener un consentimiento específico y manifiesto de un progenitor o tutor legal. Un menor de entre 13 y 18 años puede otorgar su consentimiento si el tratamiento de sus datos personales se realiza en su interés superior como menor. Debes realizar todos los esfuerzos razonables (empleando la tecnología disponible) para verificar que la persona que presta el consentimiento realmente es el titular de la patria potestad o tutela sobre el niño.
*Nota: En Brasil, la mayoría de edad, con la correspondiente capacidad de obrar plena (capacidad para contratar), se alcanza a los 18 años.
Datos disponibles públicamente
Antes de la entrada en vigor de la LGPD, la normativa permitía a las empresas recopilar y tratar los datos personales que estuvieran públicamente disponibles en Internet o en cualquier fuente pública por cualquier motivo. Sin embargo, con la LGPD esto ha dejado de estar permitido.
Según las directrices de la LGPD, los datos personales públicos tan solo pueden recopilarse y utilizarse de dos formas:
Nota: Debido a lo anterior, la “extracción” o la recogida de datos disponibles públicamente para marketing, etc. estará probablemente limitada por la LGPD.
Datos sensibles
En lo relativo al tratamiento de datos sensibles, se puede evitar el requisito del consentimiento tan solo si el tratamiento es absolutamente necesario para:
Datos de menores
Según la LGPD, las excepciones al requisito de consentimiento para el tratamiento de datos de menores son aplicables si dicho tratamiento es necesario para ponerse en contacto con los progenitores o tutores legales o para proteger al menor. Los datos solo se pueden utilizar una vez y no se deben almacenar ni compartir con terceros sin el consentimiento adecuado.
Según la LGPD, los usuarios (“interesados”) tienen el derecho de:
Si necesitas transferir datos protegidos por la LGPD fuera de Brasil, existen una serie de directrices que debes tener en cuenta. La LGPD permite las transferencias transfronterizas de datos personales si se proporciona un nivel adecuado de protección a los mismos.
En la práctica, esto significa que se permite la transferencia si el país de destino cuenta con una normativa que proporcione un nivel adecuado de protección de datos personales. La Autoridad de Protección de Datos (APD) realiza la evaluación del nivel de adecuación del país de destino o de la organización internacional.
Si no se alcanza el nivel de adecuación necesario, se puede realizar la transferencia de datos al extranjero si se cumple alguna de las siguientes condiciones:
Según la LGPD, tanto los responsables como los encargados del tratamiento deben mantener un registro de sus actividades de tratamiento de datos personales, especialmente cuando dicho tratamiento se basa en un interés legítimo. Todos los responsables y encargados del tratamiento, independientemente de su tamaño, de la frecuencia de tratamiento o del tipo de datos que traten, deben cumplir con esta obligación de mantener un registro. Sin embargo, la Autoridad de Protección de Datos puede conceder exenciones.
Todos los responsables y encargados del tratamiento deben cumplir con esta obligación de mantener un registro.
Esencialmente, una evaluación de impacto relativa a la protección de datos (EIPD) es un procedimiento utilizado para ayudar al responsable del tratamiento de datos a cumplir con las normas de privacidad, garantizando que se respetan de forma efectiva los principios fundamentales.
De acuerdo con la LGPD, la EIPD generalmente contiene la descripción de las actividades de tratamiento de datos personales que podrían crear riesgos para los derechos y libertades civiles, así como medidas, salvaguardas y mecanismos para mitigar ese riesgo.
La EIPD debe contener, al menos:
La ley no establece de forma explícita cuándo se necesita una EIPD, pero la Autoridad de Protección de Datos puede pedir que el responsable del tratamiento realice y proporcione una EIPD en cualquier momento.
Según la LGPD, como responsable del tratamiento, debes nombrar un Delegado de Protección de Datos (DPD). No hay exenciones a esta regla. Los DPDs son individuos responsables de lo siguiente:
Según la LGPD, los responsables, encargados o cualquier otro agente involucrado en el tratamiento de datos personales deben establecer medidas técnicas, administrativas y de seguridad para proteger los datos personales de accesos no autorizados y de su destrucción, pérdida, alteración o comunicación accidentales o ilícitos o bien de su tratamiento ilegítimo.
Cualquier incidencia de seguridad que pueda crear riesgos o causar daños a los usuarios debe comunicarse dentro de un plazo razonable a la APD.
Esta comunicación debe incluir, como mínimo:
Una vez recibida la notificación de la violación de seguridad, la APD puede ordenar al responsable del tratamiento que alerte a los medios de comunicación o que tome otras medidas para mitigar los daños causados por la incidencia.
Tal y como ocurre con el RGPD, la transparencia es un principio fundamental de la LGPD. Según la LGPD, los usuarios tienen derecho a que se les facilite el acceso a la información sobre el tratamiento de sus datos personales, que debe estar disponible de forma clara, adecuada y evidente.
Estas comunicaciones incluyen:
La LGPD establece que tanto los responsables como los encargados del tratamiento de datos pueden establecer procedimientos y políticas internos para garantizar el cumplimiento de la ley. Esto incluye un programa de gestión de la privacidad y medidas que demuestren su efectividad.
Como mínimo, el programa de gestión debe:
El responsable del tratamiento debe ser capaz de demostrar, cuando sea necesario, que su programa de gestión de la privacidad es efectivo, especialmente si se lo solicita la autoridad nacional.
Las consecuencias legales del incumplimiento de la LGPD pueden incluir multas del 2% de la facturación mundial anual, de hasta 50 millones de reales brasileños (actualmente alrededor de 8 millones de euros o 9 millones de dólares) por infracción. Pero quizás igualmente preocupantes son el resto de posibles acciones correctivas que se pueden tomar contra los infractores.
Las consecuencias legales del incumplimiento pueden incluir multas del 2% de la facturación mundial anual, de hasta 50 millones de reales brasileños (8 millones de euros)
Según la LGPD, la Autoridad de Protección de Datos de Brasil tiene poderes correctivos, entre los que se incluyen la imposición de apercibimientos y multas, la publicación de la infracción y el bloqueo o eliminación de las actividades de tratamiento o de los datos personales relacionados con la infracción cometida. Esto significa que si la infracción está relacionada con la recogida de direcciones de correo electrónico, el responsable del tratamiento que la haya cometido se expone a perder toda la lista de direcciones de correo electrónico asociada. La APD brasileña también puede exigir que la base de datos relacionada con la incidencia sea suspendida parcialmente durante un máximo de 6 meses, lo que potencialmente puede suponer la paralización de cualquier otra actividad que pudiera hacer uso de dichos datos.
Además, al igual que el RGPD, la LGPD permite a los usuarios con una causa legítima exigir una compensación (moral o pecuniaria) de los daños causados por la infracción de la normativa en materia de privacidad.
Identifica (y documenta) tus bases jurídicas para el tratamiento de datos personales. Los responsables del tratamiento deben definir una base jurídica para cada una de las actividades de tratamiento que lleven a cabo, así como documentar dichas bases jurídicas en su registro de tratamiento.
Mantén un registro de tus actividades de tratamiento de datos (obligatorio según el artículo 37). Aunque la LGPD no incluye requisitos específicos sobre la forma o contenido de este registro, es probable que sean similares a los del registro de tratamiento que se exige en el artículo 30 del RGPD. iubenda hace que crear y mantener este registro de tratamiento de datos sea muy fácil. Puedes encontrar más información aquí.
Incluye la información obligatoria en tu política de privacidad. Obligatorio (art. 9) para cumplir con los requisitos de transparencia de la LGPD. Obtén más información sobre la función de divulgación de información en un clic para la LGPD de nuestro Generador de Políticas de Privacidad.
Recopila y almacena pruebas válidas del consentimiento (obligatorio según el art. 8). Tal y como ocurre con el RGPD, según la LGPD la carga de la prueba para demostrar la existencia de un consentimiento válido recae sobre ti como responsable del tratamiento. iubenda hace que crear y mantener este registro de consentimientos sea increíblemente fácil. Más información aquí.
Nombra un delegado de protección de datos (DPD), obligatorio según el art. 41. Según la LGPD, es obligatorio que todos los responsables del tratamiento designen a un DPD, que se encargará de las actividades mencionadas aquí. Actualmente, la ley no exige que el DPD tenga su sede física en Brasil. Además, también ofrece la posibilidad de que los responsables del tratamiento nombren a consultores individuales externos como su DPD.
Desarrolla políticas y procedimientos internos para respetar los derechos de los usuarios y responder a solicitudes relacionadas con los mismos. Los responsables del tratamiento deben responder de forma razonable a las solicitudes de los interesados para ejercer sus derechos en virtud de la LGPD, incluidos los derechos de acceso, rectificación, anonimización, supresión y de portabilidad.
Establece un protocolo de seguridad. Tanto los responsables como los encargados del tratamiento deben adoptar medidas de seguridad diseñadas para proteger los datos personales. Es posible que en el futuro la APD proporcione directrices para estándares técnicos mínimos. Otros marcos legales en el Derecho brasileño brindan orientación adicional sobre los estándares existentes, como el Marco de Derechos Civiles en Internet de Brasil, también conocido como “Marco Civil da Internet” (que establece principios, garantías, derechos y deberes para los usuarios de la web en Brasil).
Establece un plan de respuesta y solución de incidencias (de acuerdo con el art. 50). Los responsables y encargados del tratamiento deben establecer un plan de respuesta ante incidencias que garantice que el responsable del tratamiento sea capaz de cumplir con los requisitos obligatorios de notificación de incidencias (a continuación).
Si una violación de la seguridad de los datos personales crea un riesgo importante o produce un daño significativo a los usuarios, debes notificar a la APD y a los usuarios (de conformidad con el art. 50).
Realiza una evaluación de impacto relativa a la protección de datos (EIPD). Las EIPDs pueden ser obligatorias en situaciones que se consideren arriesgadas, o bien cuando las solicite la autoridad competente, cuando el tratamiento de los datos se lleve a cabo sobre la base de un interés legítimo.
Implanta la privacidad desde el diseño y por defecto. Según la LGPD, es obligatorio establecer medidas por defecto que garanticen la protección de los datos personales. En la práctica, la configuración por defecto debe ser aquella que garantice el nivel de protección más alto.
Cumple con los requisitos para las transferencias de datos transfronterizas. Asegúrate de conocer los límites aplicables a las transferencias de datos transfronterizas y cumple las disposiciones relevantes. Más información aquí.
En términos de conformidad legal, uno de los pasos fundamentales es asegurarte de que tus documentos cumplan con los requisitos legales. En iubenda, adoptamos un enfoque integral para el cumplimiento de las leyes de protección de datos. Creamos soluciones teniendo en cuenta las normativas más estrictas, dándote todas las opciones posibles para que personalices tus documentos según tus necesidades. Te ayudamos a cumplir con tus obligaciones legales, reduciendo el riesgo de litigios y protegiendo a tus clientes, lo que genera confianza y credibilidad.
Estos son los elementos básicos que necesitas para lograr una conformidad legal plena:
Todas las políticas de privacidad generadas con iubenda te ayudan a cumplir con la LGPD, ya que incluyen las opciones necesarias para aplicar los estándares legales de la LGPD a los usuarios brasileños.
Con nuestro Generador de Políticas de Privacidad y Cookies puedes crear una política de privacidad atractiva, precisa y redactada por abogados e integrarla a la perfección con tu sitio web o app. Puedes añadir cualquiera de nuestras cláusulas ya creadas con tan solo pulsar un botón o redactar fácilmente tus propias cláusulas personalizadas mediante nuestro formulario integrado.
Nuestra solución te ayuda a cumplir fácilmente con los requisitos de la LGPD y se activa con un solo clic para:
La política de privacidad también incluye la opción de añadir una política de cookies (es necesario incluirla si tu sitio web o tu app utilizan cookies y tienen usuarios de la UE). Las políticas pueden personalizarse según tus necesidades y un equipo legal internacional las mantiene al día de forma remota.
Para obtener más información sobre políticas de privacidad, haz clic aquí.
Cumplir con las normas de la LGPD en la práctica puede suponer todo un desafío técnico. Esto es especialmente cierto en cuanto a la gestión de la privacidad interna.
Nuestra solución te ayuda a registrar y gestionar todas tus actividades de tratamiento de datos para que puedas cumplir fácilmente con los requisitos de la LGPD y con tus obligaciones legales. Te permite crear registros de las actividades de tratamiento de datos: añade actividades de tratamiento de entre nuestras más de 1.700 opciones preconfiguradas, divídelas por áreas (subdivisiones en las que las actividades de tratamiento son las mismas), asigna encargados del tratamiento y otros cargos y documenta las bases jurídicas y otros registros exigidos por la LGPD.
Para descubrir todas las funciones de nuestra herramienta Registro de las actividades de tratamiento, haz clic aquí o consulta nuestra guía aquí.
Para cumplir con leyes en materia de privacidad como la LGPD y el RGPD, debes guardar pruebas del consentimiento para demostrar que dicho consentimiento se obtuvo de conformidad con la ley.
Nuestra Consent Solution simplifica este proceso, ayudándote a almacenar fácilmente la prueba del consentimiento y a gestionar el consentimiento y las preferencias de privacidad de cada uno de tus usuarios. Te permite rastrear todos los aspectos del consentimiento (incluyendo el aviso legal o de privacidad y el formulario de consentimiento presentado al usuario en el momento de la recogida del consentimiento), así como las preferencias expresadas por el usuario.
Para utilizarla, simplemente activa la Consent Solution en tu dashboard y obtén la clave API. Después, instala la solución a través de la API HTTP o el widget JS. Eso es todo, ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.
Para descubrir todas las funciones de nuestra Consent Solution, haz clic aquí o consulta nuestra guía aquí.
💡 Si operas en Brasil o tienes usuarios brasileños, se recomienda mostrar un banner de cookies y pedir el consentimiento de tus usuarios antes de instalar cualquier cookie no técnica.
¡Privacy Controls and Cookie Solution es muy fácil de usar! Además, puedes personalizar tu banner de cookies, recoger el consentimiento sin problemas e implementar el bloqueo previo con la reactivación asíncrona.
Nota: ten en cuenta que, de vez en cuando, las leyes se modifican y actualizan. Por ello, es importante que te asegures de que tus políticas cumplen con los requisitos más recientes. Por esta razón, utilizamos una función de integración y NO un simple copiar y pegar. Con este método, puedes estar seguro de que tu política está actualizada ya que nuestro equipo jurídico la mantiene al día de forma remota.