El 14 de agosto de 2024, Brasil celebra el 6° aniversario de la Ley General de Protección de Datos Personales (LGPD). La legislación marcó el avance en la protección de la privacidad y de los datos personales en el país. Aprobada el 14 de agosto de 2018, la LGPD entró en vigor en septiembre de 2020, con sanciones aplicables a partir de agosto de 2021.
La LGPD define datos personales como cualquier información que pueda identificar o hacer identificable a una persona física o jurídica, como nombre, CPF, RG, correo electrónico y demás datos. La principal finalidad de la LGPD es garantizar que esos datos sean utilizados de forma segura y transparente, evitando el uso indebido y asegurando la protección y seguridad jurídica de los ciudadanos
En mayo de 2021, dos años después de la sanción de la LGPD, el Supremo Tribunal Federal (STF), reconoció la protección de datos personales como un derecho fundamental. Este reconocimiento fue incluido en la Constitución Federal en febrero de 2022, através da Emenda Constitucional Nº 115/22. Con la Constitución Federal de 1988, los derechos a la intimidad, la privacidad y el secreto de las comunicaciones ya habían sido positivados, pero la protección de datos personales solo se incluyó en el texto constitucional más recientemente. Leyes como el Marco Civil de Internet y la Ley de Acceso a la Información fueron importantes precursoras que contribuyeron a la formulación de la LGPD
Tras la promulgación de la ley, las empresas tuvieron que ajustarse a la nueva legislación, adoptando prácticas específicas. Esto implicó la creación de políticas y procedimientos de privacidad, capacitación de empleados e implementación de tecnologías de seguridad de la información. La LGPD establece multas y sanciones por el incumplimiento, qué -teóricamente- incentivó a las empresas a cumplir con la ley
Sin embargo, la LGPD aún no se cumple plenamente en algunas partes del país. Un estudio realizado por el portal LGPD Brasil mostró que, incluso con la obligatoriedad, solo el 16% de las empresas del país están en conformidad con la ley. Esto revela que, aunque ya haya cierta concienciación sobre la ley, ella todavía está bastante concentrada en grandes centros urbanos, y es necesario llevar este conocimiento a otras regiones del país
El abogado y especialista en derecho digital por la FGV, Lucas Maldonado D. Latinos, señala que una de las mayores dificultades para la adecuación a la LGPD está en la falta de conocimiento sobre la ley y cómo afecta las operaciones de las empresas. Muchas organizaciones aún no saben que la legislación se aplica a su ramo de actuación. El abogado observa que la legislación abarca empresas de diversos sectores, como finanzas, educación, varejo etc. Todos deben adaptarse o están sujetos a sanciones
Para él, las disposiciones sobre la protección de datos estaban dispersas en diversas leyes, dificultando la interpretación y la aplicación de esos derechos. La unificación promovida por la LGPD trajo claridad y cohesión al marco regulatorio brasileño. Además de eso, tuvimos la creación de la Autoridad Nacional de Protección de Datos (ANPD) para asegurar la fiscalización y el cumplimiento de la ley, comenta. Hoy, la ANPD es la responsable de emitir resoluciones y guías orientativas que ayudan a los agentes de tratamiento de datos a entender y cumplir con las obligaciones
Qué esperar para un futuro cada vez más tecnológico
Aunque el marco regulatorio ha avanzado significativamente desde su implementación, hay varias cuestiones que aún necesitan ser abordadas por la Autoridad Nacional de Protección de Datos (ANPD) para garantizar que la aplicación siga siendo eficaz
Uno de los temas en foco es la regulación de las transferencias internacionales de datos. En 2022, la ANPD lanzó una consulta pública para crear directrices sobre cómo se pueden enviar los datos personales fuera de Brasil. La LGPD exige que estas transferencias se realicen de manera que se garantice la protección adecuada de los datos en otros países. Para eso, la ANPD necesita establecer reglas claras, inclusivo sobre países que considera tener niveles de protección compatibles con la legislación brasileña
Otro punto, es la regulación de la Inteligencia Artificial (IA). Hasta el momento, la legislación brasileña no aborda específicamente el uso de la IA en relación con la protección de datos. La ANPD está participando de las discusiones del Proyecto de Ley nº 2.338/2023, que busca establecer un marco legal para la IA y está siendo evaluado por el Senado Federal
El abogado destaca que uno de los puntos más importantes es que las empresas establezcan medidas de seguridad, técnicas y administrativas, necesarias para la protección de los datos personales. Estas directrices pueden incluir estándares mínimos de seguridad, uso de criptografía, firewalls y políticas de acceso,. La implementación de cada una de ellas es una forma de prevenir incidentes de seguridad, como filtraciones de datos, y asegurar que la información esté protegida contra accesos no autorizados
