Hasta 2018, hablar sobre privacidad y protección de datos en Brasil era algo raro. Los proyectos de ley existentes estaban parados en el Congreso y era muy difícil prever cuándo serían aprobados. Pocos bufetes de abogados y asesores se interesaban por el tema, lo que hacía las oportunidades profesionales en esta área muy raras. Además, en tiempos del RGPD, los focos de compliance (cumplimiento regulatorio) y servicios no estaban, con certeza, dirigidos al mercado brasileño.
Sin embargo, el 15 de agosto de 2018, la comunidad de privacidad y protección de datos en Brasil y Latinoamérica tuvo un día histórico. Brasil -una de las grandes economías mundiales que aún no tenía legislación específica sobre datos personales-, aprobó la Ley General de Protección de Datos (Ley 13.709/18 o LGPD, por sus siglas).
A primera vista, la LGPD de Brasil fue divulgada como producto de un consenso significativo dentro del Congreso de Brasil, con apoyos importantes de la industria de informática, servicios de internet, la comunidad académica y el tercer sector. Sin embargo, el sector político no sentía lo mismo. Algunos temas importantes del proyecto de ley no pasaron el escrutinio presidencial. Por ejemplo, se vetaron los artículos específicos que restringen el tratamiento de los datos personales por las autoridades públicas, así como sanciones administrativas más duras contra infractores, lo que incluye la suspensión o prohibición de actividades de tratamiento de datos personales.
Dicho esto, el último veto es el que preocupa a la comunidad de privacidad local en Brasil. Debido a las restricciones establecidas en la Constitución brasileña, el Presidente Michel Temer vetó la creación de una Autoridad de Protección de Datos específica, así como el Consejo Nacional de Protección de Datos, un organismo político destinado a supervisar las actividades de dicha autoridad.
Durante la ceremonia de sanción para la LGPD, el Presidente indicó que una autoridad se establecerá por los medios adecuados muy pronto, pero existe una gran preocupación de que esto podría tomar un tiempo. Además, debido a restricciones financieras, el gobierno defiende que la posible autoridad podría ser un departamento dependiente del Ministerio de Justicia o de la Secretaría Nacional de Derechos del Consumidor (Senacon). En consecuencia, esta autoridad de datos carecería de independencia, recursos y experiencia técnica para regular actividades de tratamiento de datos en Brasil en conformidad con la LGPD.
Aspectos interesantes de la LGPD
En su conjunto, la LGPD brasileña es consistente con la tendencia internacional establecida por el RGPD europeo de una ley general con alcance horizontal y extraterritorial. Nuestra LGPD se aplicará a cualquier operación de tratamiento de datos que (i) se realice en Brasil; (ii) involucra una oferta de productos y/o servicios a usuarios ubicados en Brasil; o (iii) recopile datos personales dentro del territorio brasileño.
Empresas que participan en cualquier actividad de tratamiento de datos en Brasil también deben observar los principios básicos de la LGPD, tales como: que el tratamiento debe llevarse a cabo para fines específicos y legítimos, mientras se informa explícitamente al interesado, sin posibilidad de uso posterior no autorizado; que el tratamiento de datos se realice adecuadamente; y que se limite a la medida necesaria para los fines acordados con el sujeto de datos.
La LGPD también presenta conceptos y requisitos familiares para cualquier profesional de privacidad, como los roles de posibles oficiales de protección de datos (DPO, por sus siglas en inglés), las situaciones en que se requerirá una evaluación de impacto de protección de datos (DPIA, por sus siglas en inglés), los requisitos para la transferencia internacional de datos personales a otras jurisdicciones y el concepto de privacy by design (privacidad por diseño). Sin embargo, con la ausencia de una autoridad activa de protección de datos, la orientación sobre cómo se deben implementar estos conceptos puede no estar fácilmente disponible.
Dentro de los 18 meses del período de vacante, la LGPD entrará plenamente en vigor en febrero de 2020, independientemente de que Brasil tenga una autoridad de datos independiente.
Posibles oportunidades
Sin una autoridad especializada, la judicatura brasileña, las fiscalías y oficinas municipales de protección al consumidor no sólo tendrán que hacer cumplir la LGPD sino también proporcionar orientación a las empresas sobre cómo garantizar el compliance con las nuevas reglas. Además, Brasil tiene al menos 5.000 municipios que podrían manejar, de modo independiente, problemas de protección de datos.
Además, las grandes compañías tendrán que anticiparse a una posible inundación de litigios, o prepararse para tratar con fiscalías estatales con un "apetito" por demandas de class action (demanda colectiva). Esto es particularmente importante ya que la LGPD considera que tanto el operador como el controlador son solidariamente responsables de los daños causados por problemas de tratamiento de datos independientemente de limitaciones contractuales.
Adicionalmente, dado que las multas por incumplimiento de la LGPD podrían alcanzar hasta el 2% de los ingresos de una compañía en Brasil, limitados a R$50.000.000,00 (cincuenta millones de reales) por violación, dichas autoridades tendrán un incentivo adicional para ser proactivas en temas de datos personales.
Sin embargo, las empresas incurrirán en un trabajo significativo para actualizar sus procedimientos y políticas de acuerdo con la LGPD. En un mercado como el de Brasil, una de las economías globales más grandes con casi 100 millones de potenciales sujetos de datos, habrán varios riesgos a ser enfrentados. En consecuencia, será necesario contar con profesionales preparados para manejar un entorno complejo de protección de datos en Brasil, así como para asesoría y manejo de incidentes de data breach (vulneración de datos).
Además, muchas organizaciones ya tienen procesos de adecuación implementados para el RGPD que podrán ser adaptados para la LGPD. Otras deben estructurar nuevos programas de implementación para garantizar conformidad dentro del plazo establecido.
En este escenario, la LGPD crea importantes oportunidades para el desarrollo del derecho a la protección de datos en Brasil, así como aumenta el atractivo del mercado latinoamericano para empresas que actúan con servicios de privacidad. No es siempre que surge un nuevo y grande mercado que puede ser explotado comercialmente, con grandes players (actores) de diversas industrias así como demandas inmediatas por servicios de prevención y cumplimiento en materia de protección de datos.
photo credit: Eduardo Amorim À Pátria, em seu dia... via photopin (license)