Requisitos importantes establecidos en la LGPD
La LGPD impone obligaciones a los controladores y operadores. También impone ciertos requisitos a las organizaciones para que los individuos puedan reclamar sus derechos establecidos en la ley.
Derechos individuales
La LGPD concede determinados derechos a los interesados. La intención es proteger sus datos personales, sin que se requiera la ciudadanía o la residencia en Brasil para que una persona pueda ser considerada como sujeto de datos en virtud de la LGPD. Según la ley, los interesados tienen derecho a recibir una notificación adecuada de los derechos que les asisten.
La LGPD permite a los interesados recibir de un responsable del tratamiento lo siguiente en relación con sus datos personales:
- Confirmación de la existencia de tratamiento de datos personales;
- Corrección de datos incompletos, inexactos o anticuados;
- Anonimización, bloqueo o supresión de datos innecesarios, excesivos o tratados en contra de lo dispuesto en la LGPD;
- Portabilidad de los datos;
- Supresión de datos personales tratados con el consentimiento del interesado (con ciertas excepciones);
- Información de entidades públicas y privadas con las que el responsable del tratamiento ha hecho uso compartido de los datos;
- Información sobre la posibilidad de no dar el consentimiento y las consecuencias de la negativa;
Revocación del consentimiento
La LGPD otorga a los interesados el derecho a oponerse al tratamiento de sus datos personales y a restringirlo, y permite a las personas solicitar la supresión de sus datos personales. Además, el derecho de acceso está reconocido tanto por el GDPR como por la LGPD. Por lo tanto, las organizaciones deben conceder a los interesados el acceso a sus propios datos personales cuando sea necesario. Aun así, hay algunas diferencias entre el GDPR y la LGPD, incluso en lo que respecta al plazo para responder a una solicitud de acceso. En general, las organizaciones sujetas al RGPD deben responder a las solicitudes de acceso en un plazo de 30 días a partir de la recepción de la solicitud. Sin embargo, la LGPD establece un plazo de 15 días, mientras que las solicitudes relacionadas con el ejercicio de otros derechos deben ser respondidas inmediatamente. Es importante señalar que las solicitudes de los interesados en el marco de la LGPD son un tema de la ley que todavía requiere la regulación de la ANPD.
Expectativas internas de su organización
Comunicaciones obligatorias: al igual que con el RGPD, las organizaciones tienen que comunicar al interesado sus derechos en virtud de la LGPD, y esto incluye todos los derechos anteriores. Estas comunicaciones obligatorias deben incluirse en la política de privacidad o presentarse en el momento de la recogida de datos personales.
- Satisfacer los derechos de los interesados: como ya se ha mencionado, la LGPD exige a las organizaciones que asimilen los derechos de los interesados. Además, las organizaciones deben contar con un proceso para atender a los interesados que reclaman sus derechos.
- Exclusión voluntaria: el derecho a la exclusión voluntaria no se limita a ninguna actividad de tratamiento específica y se aplica a cualquier actividad.
- Fundamentos jurídicos para el tratamiento de datos: la LGPD exige que las organizaciones tengan un fundamento jurídico válido para el tratamiento de datos personales.
- Responsable de la protección de datos ("RPD"): la LGPD obliga a las organizaciones a designar un responsable de la protección de datos.
- Transferencia de datos: en virtud de la LGPD, los datos personales sólo pueden transferirse a otros países que garanticen un grado de protección adecuado (la ANPD aún debe publicar una lista de estos países) o cuando existan garantías de cumplimiento pertinentes (es decir, cláusulas contractuales estándar, cláusulas contractuales específicas, normas corporativas globales, códigos de conducta y mecanismos de certificación). La LGPD no dice nada sobre los mecanismos y requisitos para garantizar el cumplimiento.
- Requisitos de las cookies: la LGPD se basa en el modelo de riesgo, similar a lo que se exige a las organizaciones para el cumplimiento del GDPR. Se anima a las organizaciones que tratan datos personales a que apliquen medidas de seguridad correspondientes al nivel de riesgo de sus actividades de tratamiento de datos.
Diferencias entre la LGPD y el GDPR
El GDPR y la LGPD son legislaciones muy similares. Sin embargo, hay algunas diferencias entre ellos. Por ejemplo, el RGPD reconoce seis fines lícitos para el tratamiento, mientras que la LGPD tiene diez. Por otro lado, la LGPD es más flexible en cuanto a la evaluación de la ponderación del interés legítimo. Además, el plazo para notificar los incidentes de seguridad es diferente entre las dos legislaciones. Según el RGPD, los responsables del tratamiento tienen que comunicarlos a las autoridades de control en un plazo de 72 horas, mientras que la LGPD establece que esta comunicación debe hacerse a la autoridad de control y a los interesados en un plazo razonable. Por último, una diferencia importante entre ambas legislaciones es que la LGPD obliga a las organizaciones a nombrar un delegado de protección de datos, mientras que el RGPD no impone esta obligación a todos los responsables del tratamiento.
¿Qué pasará si no cumplo con la LGPD?
Por el momento, la aplicación de la ANPD sólo comenzará a partir del 1 de agosto de 2021, cuando entren en vigor las disposiciones sobre sanciones administrativas de la LGPD. Para las organizaciones que infrinjan la LGPD, se prevén sanciones que pueden incluir multas de hasta el 2% del volumen de negocios de la persona jurídica en Brasil en el año fiscal anterior, limitadas en total a 50.000.000,00 de reales por infracción.
Teniendo en cuenta que la ANPD acaba de crearse, todavía hay muchos interrogantes sobre cómo funcionará en la práctica la administración de estas sanciones.
Laerte Jr Paludetto, DPO
Descargo de responsabilidad
** Descargo de responsabilidad: Este sitio web no es un resumen exhaustivo de la Ley General de Protección de Datos ("LGPD") ni un asesoramiento jurídico para que su organización la cumpla. Sólo presenta información básica para ayudarle a entender mejor la LGPD y cómo puede aplicarse a su organización. Esta información jurídica no equivale a un asesoramiento legal, en el que un abogado aplica la ley a sus circunstancias específicas. Por lo tanto, debe consultar a un abogado si desea asesoramiento sobre la interpretación de esta información o su exactitud. No se recomienda confiar en esta página como asesoramiento legal o como respaldo de cualquier entendimiento legal. Aunque la LGPD tiene influencias del GDPR, las organizaciones que ya cumplen con el GDPR no necesariamente cumplen con la LGPD. Además, la aplicación y el reglamento de la LGPD aún no han sido finalizados; por lo tanto, TalkAll seguirá vigilando la evolución tanto de la LGPD como de su reglamento. TalkAll seguirá actualizando esta página cuando sea necesario.