El 14 de agosto de 2024, Brasil celebra el 6° aniversario de la Ley General de Protección de Datos Personales (LGPD). La legislación marcó el avance en la protección de la privacidad y los datos personales en el país. Aprobada el 14 de agosto de 2018, la LGPD entró en vigor en septiembre de 2020, con sanciones aplicables a partir de agosto de 2021.
La LGPD define datos personales como cualquier información que pueda identificar o hacer identificable a una persona física o jurídica, como nombre, CPF, RG, correo electrónico y otros datos. La principal finalidad de la LGPD es garantizar que estos datos se utilicen de manera segura y transparente, evitando el uso indebido y asegurando la protección y seguridad jurídica de los ciudadanos.
En mayo de 2021, dos años después de la sanción de la LGPD, la Corte Suprema Federal (STF) reconoció la protección de datos personales como un derecho fundamental. Este reconocimiento fue incluido en la Constitución Federal en febrero de 2022, a través de la Enmienda Constitucional N° 115/22. Con la Constitución Federal de 1988, los derechos a la intimidad, la privacidad y el secreto de las comunicaciones ya habían sido positivados, pero la protección de datos personales solo pasó a formar parte del texto constitucional más recientemente. Las leyes como la Ley Marco Civil de Internet y la Ley de Acceso a la Información fueron importantes precursoras que contribuyeron a la formulación de la LGPD.
Después de la promulgación de la ley, las empresas tuvieron que ajustarse a la nueva legislación, adoptando prácticas específicas. Eso implicó la creación de políticas y procedimientos de privacidad, capacitación del personal y la implementación de tecnologías de seguridad de la información. La LGPD establece multas y sanciones por incumplimiento, lo que -teóricamente- incentivó a las empresas a cumplir con la ley.
Sin embargo, la LGPD aún no se cumple plenamente en algunas partes del país. Un levantamiento realizado por el portal LGPD Brasil mostró que, incluso con la obligatoriedad, solo el 16% de las empresas del país cumplen con la ley. Esto revela que, aunque ya tiene cierta conciencia sobre la ley, todavía está bastante concentrada en grandes centros urbanos, y es necesario llevar ese conocimiento a otras regiones del país.
El abogado y especialista en derecho digital por la FGV, Lucas Maldonado D. Latini, señala que una de las mayores dificultades para la adecuación a la LGPD es la falta de conocimiento sobre la ley y cómo afecta las operaciones de las empresas. Muchas organizaciones aún no saben que la legislación se aplica a su ramo de actividad. El abogado observa que la legislación abarca empresas de diversos sectores, como finanzas, educación, comercio minorista, etc. Todos deben ajustarse o están sujetos a sanciones.
Para él, las disposiciones sobre la protección de datos estaban dispersas en varias leyes, dificultando la interpretación y la aplicación de estos derechos. La unificación promovida por la LGPD aportó claridad y cohesión al marco regulatorio brasileño. Además, se creó la Autoridad Nacional de Protección de Datos (ANPD) para garantizar la supervisión y el cumplimiento de la ley, comenta. Hoy, la ANPD es la responsable de emitir resoluciones y guías orientativas que ayudan a los agentes de tratamiento de datos a entender y cumplir con las obligaciones.
¿Qué esperar de un futuro cada vez más tecnológico?
Si bien el marco regulatorio ha avanzado significativamente desde su implementación, hay varias cuestiones que aún deben ser abordadas por la Autoridad Nacional de Protección de Datos (ANPD) para garantizar que su aplicación siga siendo efectiva.
Uno de los temas en foco es la regulación de las transferencias internacionales de datos. En 2022, la ANPD lanzó una consulta pública para crear directrices sobre cómo los datos personales pueden ser enviados fuera de Brasil. La LGPD exige que estas transferencias se realicen de manera que garanticen la protección adecuada de los datos en otros países. Para ello, la ANPD necesita establecer reglas claras, incluso sobre países en los que considera tener niveles de protección compatibles con la legislación brasileña.
Otro punto, es la regulación de la Inteligencia Artificial (IA). Hasta el momento, la legislación brasileña no aborda específicamente el uso de la IA en relación con la protección de datos. La ANPD está participando en las discusiones del Proyecto de Ley nº 2.338/2023, que busca establecer un marco legal para la IA y está siendo evaluado por el Senado Federal.
El abogado destaca que uno de los puntos más importantes es que las empresas establezcan medidas de seguridad, técnicas y administrativas, necesarias para la protección de los datos personales. Estas directrices pueden incluir estándares mínimos de seguridad, uso de cifrado, cortafuegos y políticas de acceso. La implementación de cada una de ellas es una forma de prevenir incidentes de seguridad, como filtraciones de datos, y asegurar que la información esté protegida contra accesos no autorizados.
