Desde la aprobación de la Ley Nº 13.709/2018, conocida como Ley General de Protección de Datos (LGPD), la Asociación Brasileña de Normas Técnicas (ABNT), organismo responsable de la normalización técnica en Brasil, se ha mostrado cada vez más atenta y activa en temas relacionados con la privacidad y protección de datos personales.

En este sentido, el 25 de junio de 2021, la ABNT publicó la norma ABNT NBR ISO/IEC 29184: 2021 (en adelante, «Norma Técnica»), que se refiere a la obtención del consentimiento en el medio virtual y las mejores prácticas para avisos de privacidad online (en línea).

Aunque la LGPD introduzca el «consentimiento» y lo defina como una base legal o fundamento que autoriza el procesamiento de datos, la ley brasileña no proporciona reglas y procedimientos prácticos sobre cómo se debe obtener y administrar el consentimiento, lo que, por un lado, da cierta flexibilidad a los controladores, y por otro, también les brinda algunas incertidumbres, especialmente cuando consideramos el procesamiento de datos personales que se lleva a cabo en el medio virtual.

Al considerar esa premisa, la ABNT elaboró ​​y lanzó la referida Norma Técnica. Al fin y al cabo, no existía en el país una regulación específica sobre la estructuración de los avisos de privacidad online, ni criterios para la obtención del consentimiento libre, informado e inequívoco en el medio virtual.

Antes de comentar brevemente el contenido de la Norma Técnica, conviene recordar que las normas emitidas por la ABNT no tienen fuerza de ley y, por lo tanto, no son obligatorias para los agentes de procesamiento, aunque son importantes para orientar aspectos y procesos centrales de cualquier programa de gobernanza de la privacidad, especialmente en este momento en que no hay una profunda regulación del tema por parte de la Autoridad Brasileña de Protección de Datos.

A propósito, aún no se sabe si la Autoridad va a refrendar o no las reglas y directrices contenidas en la Norma Técnica.

Sobre el contenido de la Norma Técnica, comentamos a la continuación algunos de los principales aspectos con respecto a los avisos de privacidad y la obtención del consentimiento en el medio online.

1. Formato del aviso de privacidad

La Norma Técnica define los avisos de privacidad como «información sobre el procesamiento de datos personales». Por lo tanto, los avisos de privacidad no se limitan a las políticas de privacidad (en Brasil, los avisos de privacidad o privacy notices se denominan comúnmente políticas de privacidad o políticas de privacidad externas), sino que también deben incluir todos los documentos que tratan de las actividades de procesamiento de datos personales realizadas por el agente de procesamiento.         

Los Avisos de Privacidad deben tener un formato fácil de comprender para cualquier titular y, por lo tanto, deben tener un lenguaje conciso y libre de términos técnicos. Además, el Reglamento Técnico determina que los avisos de privacidad se muestren a los titulares antes del inicio de cualquier procesamiento de sus datos personales.

También sobre el formato de los avisos de privacidad, la Norma Técnica exige que la información esté disponible en otros idiomas, de manera que los titulares extranjeros también puedan ser informados sobre la forma en que se procesan sus datos personales.

La Norma Técnica también se ocupa de la accesibilidad de los Avisos de Privacidad para aquellos titulares que tengan limitaciones físicas que puedan comprometer la comprensión completa del documento (por ejemplo, discapacidades visuales). Por lo tanto, el documento recomienda que las organizaciones tengan avisos de privacidad en formatos alternativos (es decir, audio) y que aborden cualquier deficiencia de los titulares.

2. Contenido de los avisos de privacidad

De acuerdo con la Norma Técnica, el contenido de los avisos de privacidad puede y debe variar de acuerdo con el sector y las actividades de procesamiento realizadas por la organización. De todas formas, según el documento, el aviso debe contener y abordar al menos los temas a continuación:

  1. Finalidad del procesamiento: las organizaciones deben asegurarse de que el aviso incluya información sobre los fines para los que se procesarán los datos personales.
  2. Identificación del controlador: la organización debe proporcionar al titular algunas informaciones relevantes sobre el agente de procesamiento, que permitan que sea identificado y contactado.
  3. Formas de recolección de datos: la organización debe proporcionar a los titulares explicaciones claras sobre los métodos de recolección que se utilizan, así como sobre los riesgos para el titular asociados con estos métodos.
  4. Métodos de uso de los datos: todos los procedimientos realizados con datos personales (por ejemplo, cruce, anonimización, inferencia y combinación, entre otros) deben ser comunicados al titular de los datos personales.
  5. Lugar de almacenamiento: la organización debe especificar la ubicación geográfica donde se procesarán los datos personales e indicar la jurisdicción legal de este procesamiento.
  6. Transferencia a terceros: si una organización va a transferir datos personales a un tercero, el aviso debe incluir, directa o indirectamente, la siguiente información: (i) a quién se transferirán los datos personales; (ii) la ubicación geográfica referente al lugar de transferencia, así como su respectiva jurisdicción legal; (iii) el propósito de la transferencia; (iv) los impactos negativos sobre el titular, así como respectivas medidas de mitigación de riesgos.
  7. Período de retención: la organización debe proporcionar información sobre el período de retención y/o el calendario para la eliminación de los datos personales que está recopilando.
  8. Ejercicio de derechos: la organización debe proporcionar información sobre los derechos del titular, así como los datos de contacto para consultas y quejas sobre el procesamiento de datos personales.
  9. Base legal: la organización debe asegurarse de que el aviso incluya información sobre las bases legales que justificarán el procesamiento de los datos.
  10. Riesgos plausibles para el titular: la organización debe proporcionar información específica sobre los riesgos plausibles, para los titulares de datos personales, derivados del procesamiento de datos personales.

3. Consentimiento

El consentimiento ya ha sido tratado por ABNT en otras normas, como en la ABNT NBR ISO/IEC 27701/2019 y en la ABNT NBR ISO/IEC 29100/2020. Sin embargo, esta Norma Técnica trae algunos criterios de vanguardia, ya que fue diseñada específicamente para el contexto online. Veamos:

3.1. Opt-in

Según la ABNT, el consentimiento debe ser el resultado de un Opt-in, es decir, el consentimiento debe ejercerse por medio de un acto afirmativo indicado por el titular de los datos personales. Por lo tanto, la aceptación por silencio (por ejemplo, la casilla de verificación marcada previamente) no constituye un consentimiento válido.

3.2. Independencia de otros consentimientos

La Norma Técnica enfatiza que la obtención del consentimiento para asuntos relacionados con la privacidad no debe confundirse con la obtención de autorizaciones para asuntos no relacionados con la privacidad. Por tanto, la Norma Técnica rechaza la práctica habitual del mercado en cuanto a la obtención del consentimiento conjunto para la política de privacidad y condiciones de uso del sitio web o aplicación. La combinación del aviso de privacidad con otros asuntos puede oscurecer el aviso y potencialmente tener un impacto negativo en la comprensión del documento y en el consentimiento que busca obtener.

3.3. Elementos obligatorios y opcionales

La organización debe permitir al titular reconocer los elementos necesarios (obligatorios) y opcionales de los datos personales para cada propósito identificado. La organización debe permitir al titular de los datos personales dar su consentimiento por separado sobre los elementos necesarios y opcionales, llevando al escenario brasileño la exigencia de granularidad, ya consagrada en Europa.

Por fin, aunque no sea vinculante, la Norma Técnica puede ayudar a los agentes de tratamiento en la construcción de sus avisos de privacidad y con la obtención del consentimiento en el medio virtual, aunque no se sepa si la Autoridad Brasileña de Protección de Datos va a refrendar todas las reglas y recomendaciones previstas en la Norma.