Entra en vigor la ley brasileña de protección de datos

2020-10-02T12:15:00
España Internacional

La Ley General de Protección de Datos brasileña (“LGPD”, y en portugués, Lei Geral de Proteção de Dados) entró en vigor el pasado viernes 18 de septiembre, tras más de dos años de vacatio legis después de su aprobación en agosto de 2018.

Entra en vigor la ley brasileña de protección de datos
2 de octubre de 2020

La Ley General de Protección de Datos brasileña (“LGPD”, y en portugués, Lei Geral de Proteção de Dados) entró en vigor el pasado viernes 18 de septiembre, tras más de dos años de vacatio legis después de su aprobación en agosto de 2018.

Según la redacción original, la LGPD debería haber entrado en vigor en febrero de este año, pero tras varias iniciativas legislativas promovidas por el Gobierno de Jair Bolsonaro, que pretendía que la normativa entrara en vigor en enero de 2021, finalmente el Senado del país ha obligado a adelantar la fecha de entrada en vigor, fijando en agosto de 2021 el inicio de las sanciones por incumplimiento de la nueva normativa.

La LGPD, o Ley 13.709, está fuertemente inspirada en el Reglamento General de Protección de Datos de la Unión Europea (“RGPD”, o Reglamento UE 679/2016) según el propio portal del Senado brasileño, y tiene como finalidad regular el uso, la protección y la transferencia de datos personales en Brasil. La ley pretende garantizar un mayor control de los ciudadanos sobre sus datos personales, exigiendo consentimiento explícito para su recolección y tratamiento, y obliga a ofrecer al usuario las opciones de visualizar, corregir y excluir dichos datos.

Diferencias entre la LGPD y el RGPD

Considerando la similitud entre la regulación europea y la nueva normativa brasileña, los sujetos obligados que operen bajo el RGPD no deberían tener grandes dificultades en adaptar sus programas de cumplimiento si pretenden realizar tratamiento de datos en el país sudamericano. No obstante, deberán tener en cuenta algunas de las principales diferencias entre ambos marcos jurídicos, que se recogen a continuación sin ánimo de exhaustividad:

  • En lo referente al tratamiento de datos de menores, la LGPD cuenta con requisitos más restrictivos que el RGPD para obtener el consentimiento, ya que si bien el RGPD limita dicha protección ampliada a menores de 16 (e incluso hasta una edad no inferior a los 13 años, bajo decisión de los Estados Miembros), la regulación brasileña amplía la protección hasta la mayoría de edad. Asimismo, la normativa brasileña impone más requisitos de forma a las informaciones sobre tratamiento de datos ofrecidas a menores, obligando incluso a emplear recursos audiovisuales que faciliten su comprensión por parte del menor.
  • A nivel de sanciones por incumplimiento, la LGPD prevé multas pecuniarias por valor del 2% de la facturación nacional de la compañía infractora, con un techo máximo de 50 millones de reales (aproximadamente 7,8 millones de euros al cambio actual), mientras que el RGPD establece multas notablemente superiores, de hasta 20 millones de euros para infracciones muy graves, e incluso, si el infractor fuera una compañía, la cuantía podría ascender al 4% de la facturación internacional.
  • La LGPD brasileña prevé unos plazos de notificación de brechas de seguridad menos específicos y restrictivos que los contenidos en el RGPD. Mientras que la regulación europea impone un plazo máximo de notificación de 72 horas a la autoridad de control competente en caso de incidentes de riesgo para los derechos y libertades de las personas físicas, la LGPD apenas requiere que los obligados notifiquen las referidas brechas en un periodo de tiempo razonable, sin mayor especificación.
  • Con respecto a las transferencias de datos personales a un tercer país u organización internacional, si bien la LGPD contiene mecanismos y requisitos similares a los descritos por el RGPD (decisiones de adecuación o garantías adecuadas, v. gr.), no incorpora una lista de excepciones y requisitos tasados como sí lo hace el RGPD, de forma que este tipo de transferencias quedan más restringidas bajo la normativa brasileña, debiendo adecuarse a las posibles aclaraciones que publique la Autoridad Nacional de Protección de Datos (“ANPD”, en portugués, Autoridade Nacional de Proteção de Dados), el órgano de control creado para la supervisión del cumplimiento de la LGPD.

El reto pendiente: la implementación de la Autoridad Nacional de Protección de Datos

Un mes después de la aprobación de la LGPD en agosto de 2018, el anterior Presidente de Brasil, Michel Temer, vetó la posible creación de una Autoridad Nacional de Protección de Datos, que venía contemplada en el proyecto de ley aprobado, ya que la creación de un órgano indirecto de la Administración es una prerrogativa del Poder Ejecutivo bajo la legislación brasileña. Sin embargo, tal y como explicamos en esta entrada del blog, el ejecutivo de Temer finalmente aprobó en diciembre de ese mismo año la Medida Provisional 869/2018 (en portugués, Medida Provisória 868/2018) que instituía la creación de la Autoridad Nacional de Protección de Datos como un órgano dependiente de la Presidencia de la República.

Pese a que la configuración de la ANPD aseguraba la autonomía técnica de la entidad, su dependencia de la Presidencia de la República generó controversia por los posibles riesgos de injerencias, derivados de la subordinación jerárquica y de la falta de independencia.

En julio de 2019, bajo el nuevo ejecutivo de Jair Bolsonaro, el legislativo brasileño aprobó la Ley 13.853, que modificaba en algunos aspectos la creación de la ANPD, definiendo la estructura y composición de sus órganos, pero manteniendo la dependencia orgánica de la entidad respecto de la Presidencia de la República.

El diseño institucional, las competencias efectivamente asumidas y el desempeño autónomo de la ANPD serán vitales para una posible transferencia libre de datos personales con la Unión Europea. La Comisión Europea, bajo el RGPD, tiene la facultad de determinar mediante una decisión de acuación si un país no perteneciente a la UE ofrece un nivel apropiado de protección de datos para así permitir el libre intercambio de datos sobre la base de garantías sólidas de protección. Una decisión de adecuación con Brasil supondría una ventaja competitiva para los operadores brasileños con intereses comerciales en la Unión Europea, en comparación con otros países de la región que aún no disponen de una regulación completa y garantista en materia de protección de datos.

Pese a la entrada en vigor de la LGPD el pasado viernes, aún no se ha producido ningún nombramiento de cargos para la ANPD, y tampoco ha sido aprobado un presupuesto para el organismo, que deberá ser incluido en los próximos Presupuestos Generales (en portugués, Orçamento Geral da União). Todo ello, unido a la falta de independencia orgánica y jerárquica, podrá suponer un obstáculo para una posible decisión de adecuación por parte de la Unión Europea, que deberá esperar prudentemente a la implementación efectiva en agosto de 2021 de las sanciones de la LGPD y al despliegue progresivo de la ANPD en sus funciones de supervisión y complementación normativa.

Autores: Pedro Santos e Silva y Miquel Peguera

2 de octubre de 2020