LGPD vs. GDPR: ocho cosas que debe saber sobre la nueva ley de datos de Brasil

circuitos informáticos con datos de palabras en el centro que representan las normas de protección de datos LGPD

En septiembre de 2020, Brasil promulgó su nueva y radical ley de protección de datos, la LGPD (Lei Geral de Protecao de Dados). Esta ley integral une y actualiza más de 40 leyes de datos individuales, aclarando los requisitos de cumplimiento para las empresas que hacen negocios en Brasil.

Las empresas que hacen negocios en la Unión Europea ven similitudes entre la LGPD y el RGPD (Reglamento General de Protección de Datos) de la UE. A pesar de estos puntos en común, existen diferencias importantes. Las empresas que operan en ambas regiones no deben asumir que sus prácticas de protección de datos de la UE garantizan el cumplimiento de la LGPD. Al comprender las sutiles diferencias entre la LGPD y el RGPD, las empresas garantizan el cumplimiento en Brasil y evitan multas y sanciones significativas.

Siga leyendo para descubrir ocho diferencias y similitudes clave entre las legislaciones LGPD y GDPR.

1. Definición de Datos Personales

Si bien el RGPD proporciona una  definición precisa  de datos personales, la definición de la LGPD es  más amplia . La LGPD define datos personales como “información relativa a una  persona física identificada o identificable ”. Esta amplia definición incluye pero no se limita a:

  • nombres
  • Datos de salud, genéticos y biométricos
  • Datos web, incluidas las direcciones IP y de correo electrónico
  • Opiniones políticas
  • orientación sexual

Debido a la amplia definición de información personal de la LGPD, las empresas que operan en Brasil no pueden confiar en los mismos criterios que utilizan para cumplir con los estándares del RGPD. En cambio, sus equipos legales deben revisar cuidadosamente la definición de datos personales de la LGPD para asegurarse de que cumplen.

Las empresas que carecen de los recursos legales para interpretar los tecnicismos de la LGPD deben confiar en un especialista en cumplimiento global externo. Al recurrir a un experto, estas empresas obtienen la tranquilidad de saber que se están adhiriendo a las nuevas leyes de Brasil, sin desviar a los miembros del equipo de sus responsabilidades principales.

2. Mantenimiento de registros de consentimiento del usuario

Tanto en la LGPD como en el RGPD, el término «usuario» se refiere a cualquier persona de la que una empresa recopila datos. Ambas leyes exigen que las empresas presenten pruebas de que cada usuario da su consentimiento para compartir su información personal. Eso significa que las empresas deben mantener registros completos de cada situación en la que recopilan datos, incluidos, entre otros, los siguientes:

  • Suscripciones a boletines o listas de correo
  • formularios de registro de cuenta
  • Envíos de formularios de contacto
  • Opciones de aceptación de cookies

Además, la LGPD exige que las empresas hagan estos formularios de consentimiento “ libres, informados e inequívocos ”. En otras palabras, el lenguaje de aceptación debe indicar claramente que el usuario elige compartir su información con la empresa.

Para almacenar un catálogo completo de formularios de suscripción de usuarios digitales y garantizar que el lenguaje de esos formularios sea claro y fácil de entender, las empresas deben confiar en sus equipos legales y de TI. Al igual que con la interpretación de las definiciones de datos personales, las empresas que no tienen la capacidad de configurar y mantener este sistema de mantenimiento de registros pueden contratar expertos en cumplimiento internacional de terceros.

3. Alcance de la LGPD frente al RGPD

La LGPD, al igual que el RGPD,  protege a todos los usuarios en Brasil , incluso si el usuario es de otra nacionalidad y estuvo sujeto a la recopilación de datos solo mientras estuvo temporalmente en Brasil. Además, si una empresa recopila datos sobre cualquier usuario con sede en Brasil, independientemente de dónde se encuentre la empresa, está sujeta a la regulación LGPD.

Estos requisitos de la LGPD siguen de cerca el precedente del RGPD, que protege la información de los usuarios de la UE de cualquier empresa, ya sea que esa empresa tenga su sede en la UE o no.

4. Transferencias de datos

Tanto el RGPD como la LGPD permiten a las empresas transferir datos a terceros países, siempre que el país receptor tenga un sistema de protección de datos que proporcione un » nivel adecuado de protección «.

Según el RGPD, la Comisión Europea es responsable de determinar si la protección de datos de un país es «adecuada». De manera similar, Brasil creó la  ANPD (Autoridade Nacional de Protecao de Dados)  para decidir si un país proporciona un nivel de protección de datos «adecuado».

Aunque no siempre se requiere la aprobación de la ANPD, como durante las transferencias de datos entre las entidades de inteligencia general o las encargadas de hacer cumplir la ley, las empresas casi siempre deben obtener el consentimiento. Por lo tanto, las empresas que transfieren datos recopilados en Brasil a otro país deben tomarse un tiempo para garantizar que el nuevo país cumpla con los estándares de protección de la ANPD.

5. Violaciones de datos

Cuando los ataques de terceros comprometen los datos de los usuarios, los resultados son desastrosos, tanto para los usuarios como para la empresa que almacena su información. Es por eso que tanto el RGPD como la LGPD requieren que las empresas revelen las violaciones de datos rápidamente.

Si bien el RGPD exige que las empresas informen sobre las infracciones dentro de un período de 72 horas, la LGPD  exige que las empresas comuniquen las infracciones “en un período de tiempo razonable, según lo defina la autoridad nacional”. Debido a que “un período de tiempo razonable” es vago, las empresas que deseen pecar de precavidas deben comunicarse lo antes posible con la ANPD de Brasil.

6. Evaluaciones de impacto de la protección de datos

Tanto la LGPD como la GPDR exigen que las empresas  cumplan con una DPIA  (Evaluación de impacto de la protección de datos). Una DPIA es una herramienta que utilizan las autoridades para garantizar que las empresas identifiquen correctamente los riesgos y protejan la información del usuario. La principal diferencia entre las Evaluaciones de impacto de la protección de datos bajo el RGPD y la LGDP tiene que ver con cómo las emiten las autoridades.

El RGPD establece circunstancias específicas para emitir una DPIA. La mayoría de estas circunstancias rodean el procesamiento de datos que es excepcionalmente a gran escala o potencialmente invasivo para los usuarios. La LGPD, por su parte, otorga amplias facultades a la ANPD para emitir DPIA discrecionalmente.

Las empresas que se enfrenten a solicitudes de DPIA por parte de la ANPD deberán proporcionar, como mínimo,  la siguiente información :

  • Un resumen de los datos recopilados.
  • Cómo la empresa recopiló los datos
  • Qué medidas de seguridad utilizó la empresa para proteger los datos y la privacidad de los usuarios

Al igual que con el mantenimiento de registros de consentimiento del usuario, las empresas deben alinear sus equipos legales y de TI para cumplir con las demandas de las evaluaciones de impacto de protección de datos.

7. Delegados de Protección de Datos

Tanto el RGPD como la LGPD exigen que las empresas nombren un DPO (Delegado de Protección de Datos). Según ambas leyes, las  responsabilidades del DPD incluyen :

  • Actuar como enlace con los usuarios al recibir quejas, responder preguntas y adoptar las medidas pertinentes.
  • Supervisar a los representantes de una empresa, desde empleados de tiempo completo hasta contratistas independientes, para garantizar que manejen los datos de los usuarios de manera compatible
  • Mantener contacto con la ANPD e implementar las medidas de seguridad recomendadas por la ANPD

A pesar de las similitudes, las empresas que operan en Brasil deben cumplir requisitos de DPO más estrictos que las empresas que operan en la UE. El RGPD requiere un DPO para cada empresa cuyo enfoque principal sea «operaciones de procesamiento que requieren un monitoreo regular y sistemático a gran escala, o procesamiento a gran escala de categorías especiales de datos».

En términos más simples, el RGPD requiere que las empresas contraten un DPO solo cuando el procesamiento de datos es una función central. Sin embargo, según la LGPD, cada empresa debe designar un DPO, sin excepciones .

¿Las buenas noticias? La LGPD permite a las empresas contratar DPO con sede fuera de Brasil. Como resultado, las empresas ingeniosas recurren a los mercados internacionales para contratar especialistas en datos de terceros que brinden el valor y la experiencia adecuados para sus necesidades.

8. Consecuencias del incumplimiento 

Las empresas que no cumplen con la LGPD o el RGPD se enfrentan a fuertes castigos. Las consecuencias específicas del incumplimiento, sin embargo, difieren según cada regulación.

El RGPD limita las sanciones al 4 % de los ingresos anuales globales o 20 millones de euros, lo que sea mayor. La LGPD, por otro lado, impone multas máximas al 2% de los ingresos de una entidad en Brasil por un ejercicio fiscal. Las sanciones de la LGPD no superarán los 50 millones BRL, o aproximadamente $9,4 millones.

Aunque la LGPD entró en vigencia en septiembre, la ANPD no impondrá sanciones por incumplimiento hasta agosto de 2021. Este retraso en el tiempo de aplicación otorga a las empresas que operan en Brasil un período de gracia extendido para garantizar que cumplan con los estándares de cumplimiento.

Mantenga el cumplimiento de LGPD con un experto global

A pesar de las diferencias en los castigos por incumplimiento, existe una verdad: las empresas que no se adhieren a los requisitos de la LGPD se enfrentan a graves consecuencias. Es por eso que las empresas deben familiarizarse con los matices de la nueva y extensa ley de protección de datos de Brasil. Para aquellos que no pueden invertir los recursos legales y de TI necesarios para mantener el cumplimiento, recurrir a expertos en consultoría global es una alternativa simplificada.

Los expertos de Velocity Global conocen los aspectos técnicos de las normas y reglamentos laborales en Brasil, y ayudamos a empresas como usted a mantener el cumplimiento en el país. Comuníquese hoy  para descubrir cómo nuestros expertos pueden garantizar que usted haga negocios en el extranjero de conformidad con las normas, desde Brasil y más allá.