El 29 de mayo de 2018, el Proyecto de Ley Nº 4.060/2012 (PL), que establece una ley general sobre protección de datos personales en Brasil, fue aprobado por la Cámara de Deputados Brasileña. La rápida adopción de este PL representa un paso importante para que Brasil reglamente la protección de la privacidad y datos personales de nuestros ciudadanos. La importancia y urgencia de la cuestión en el Congreso fueron alentadas por la entrada en vigor del Reglamento General de Protección de Datos (RGPD) este pasado 25 de mayo de 2018 en la Unión Europea.

Algunos de los principales puntos de este PL incluyen la necesidad de obtener el consentimiento del ciudadano para el tratamiento de sus datos personales, salvo en las excepciones previstas en la ley. Además, el proyecto de ley limita la transferencia internacional de datos personales a empresas de países que también presentan leyes apropiadas.

El Proyecto de Ley propone también, correctamente, que la legislación brasileña sea aplicable a empresas que tienen sede en Brasil y practican actividades de recolección de datos en nuestro país. La eficacia extraterritorial de la ley afecta hasta a los que hacen solamente una aplicación para móviles en Brasil.

Para empresas con sede en Brasil, el PL trae ejemplos de buenas prácticas internacionales, inspiradas en el GDPR, motivándolas para que empiecen procedimientos de adecuación y cumplimiento (compliance) con la nueva ley que, al ser aprobada, entrará en vigor 18 meses después de su paso. En casos de incumplimiento de la ley, las sanciones incluyen multas tan altas como 4% de los ingresos de la compañía en Brasil, limitados a 50 millones de reales, además de la prohibición de la recolección de datos y actividades de tratamiento direccionadas a Brasil.

Sin embargo, el PL está todavía lejos de ser ideal. A pesar de la excelente idea de crear una Autoridad de Protección de Datos, según la influencia de las agencias reguladoras en países como Argentina, Uruguay, Portugal y España, el proyecto de ley propone un Consejo Nacional: órgano político que, en manos equivocadas, puede convertirse en un politburó, atajando la necesaria autonomía e independencia del regulador. El proyecto de ley también crea demasiadas excepciones para el procesamiento de datos sensibles, no garantizando absoluta confidencialidad a datos médicos y es muy flexible en las fechas para respuestas a incidentes de seguridad.

Los siguientes movimientos implican un análisis pormenorizado y una revisión del PL por el Senado Federal Brasileño (ahora tratado como Proyecto de Ley de Cámara 58/2018), y se aumentan las expectativas de una aprobación rápida puesto que el gobierno brasileño trata el tema como prioritario.

Es importante notar que las leyes diversas que tratan la protección de datos personales en Brasil, esencialmente el Marco Civil de Internet (Ley Nº 12.965/14), su decreto reglamentario (Decreto Nº 8.771/16) y la Ley de Acceso a la Información (Ley Nº 12.527/11) ya traen algunos principios y derechos similares a los establecidos en la RGPD, especialmente en cuanto al derecho a información y a solicitar la rectificación o exclusión de datos en bases de consumidores.

Tanto la comunidad jurídica como el medio empresarial están muy atentos al tema, que todavía afecta a toda la colectividad de Privacidad y Protección de Datos que regularmente hace negocios en Brasil. Además, Brasil viene a ser una de las mayores economías del mundo que no tiene, y nunca ha tenido, una Ley General de Protección de Datos, lo que puede generar oportunidades para invertir en la prestación de servicios y soluciones dirigidas a atender las demandas de un futuro mercado interno.

Se aguardan acontecimientos importantes sobre el tema en los próximos meses mientras esperamos que Brasil definitivamente apruebe una ley general de datos personales que sea moderna, actualizada y en conformidad con las mejores prácticas y ejemplos internacionales.