De forma similar al Reglamento General de Protección de Datos (RGPD, por sus siglas) de la Unión Europea, la Ley General de Protección de Datos (LGPD) de Brasil tiene aplicación extraterritorial. De esta forma, el deber de cumplimiento superará los límites geográficos de Brasil. Cualquier empresa extranjera que tenga una sucursal en Brasil, o que ofrezca servicios al mercado brasileño y recoja y trate datos personales de interesados situados en el país, independientemente de la nacionalidad, estará sujeta a la LGPD.

Al igual que el RGPD, en la LGPD, los datos de la salud son una categoría especial—datos sensibles—, y deben ser tratados con capas de seguridad adicionales y con fundamentos jurídicos diferentes a los de otros tipos de datos personales. Cabe mencionar que, dado que el concepto de datos personales es amplio, los datos sensibles, entre los que se encuentra la información de salud, incluyen no sólo los datos de salud en sí mismos, sino también cualquier información que pueda ser utilizada -sola o junto con otra información- para inferir una condición de salud de una persona natural. Por lo tanto, si se han inferido o adivinado detalles sobre la salud de alguien, puede que esta información cuente como datos especiales o sensibles.

Como ya se preveía, la LGPD ha tenido un impacto considerable en el ámbito de la salud, ya que los datos recogidos en este segmento son de carácter personal y privado relativos a la vida íntima de una persona, por lo que requieren un tratamiento aún más estricto.

Además, a principios de enero de este año, se publicó en Brasil la ley 14.289/22, que determina que es obligatorio preservar la confidencialidad del estado de una persona con infección por VIH, hepatitis crónica, enfermedad de Hansen y tuberculosis.

Esta nueva ley indica que todos los servicios de salud, tanto públicos como privados, así como los planes y convenios de salud, están obligados a proteger dicha información, además de asegurar la confidencialidad que eventualmente permita identificar esta condición. Por lo tanto, los servicios sanitarios deben organizarse de manera que no permitan la identificación, por parte del público en general, de la condición de la persona que vive con una de estas enfermedades.

Además, la confidencialidad profesional que se aplica a todos los profesionales sanitarios sólo puede romperse en los casos previstos en la legislación, por causa justificada o con la autorización expresa del paciente. Si el paciente es menor de edad, se requiere la autorización del tutor legal.

Por lo tanto, los servicios de la salud deben crear medidas técnicas y administrativas para garantizar una mayor seguridad en el tratamiento de estos datos, así como garantizar la confidencialidad de la información que eventualmente permite la identificación de esta condición, es decir, crear mecanismos de seguridad adicionales.

Entendemos que esta nueva ley está alineada con la LGPD y es una medida adicional para preservar la privacidad, evitando así limitaciones o barreras sociales que impidan a estas personas la plena ciudadanía.

En Brasil se entiende que, cuando se trata de datos sensibles, el responsable del tratamiento debe buscar, en primer lugar, el consentimiento del interesado; así, hay una prioridad del consentimiento sobre los demás fundamentos jurídicos del tratamiento. Sólo cuando la obtención del consentimiento no sea una opción, el responsable del tratamiento deberá considerar y aplicar un fundamento jurídico diferente.

Además de la responsabilidad civil, la Autoridad Nacional de Privacidad de Datos (ANPD) podrá imponer las siguientes sanciones tras el debido proceso y en consideración de la gravedad de la respectiva infracción: (i) advertencia, con indicación de un plazo para adoptar medidas correctivas; (ii) multa de hasta el 2% de los ingresos brutos en Brasil en su último año fiscal y netos de impuestos, limitada a BRL 50 millones por infracción; (iii) multa diaria, limitada a la cantidad prevista en el punto (ii); (iv) una vez investigada y confirmada, divulgación de la infracción al público; (v) suspensión temporal de la capacidad de utilizar los datos personales a los que se refiere la infracción; (vi) supresión de los datos personales; (vii) suspensión total de la base de datos; (viii) suspensión parcial de la base de datos; y/o (ix) suspensión de las actividades comerciales.

Es importante destacar que, en el caso de la divulgación de información de una persona con infección por VIH, hepatitis, enfermedad de Hansen y tuberculosis, se aplicarán las sanciones señaladas en la LGPD, como se mencionó anteriormente, por partida doble cuando la divulgación de la información sea realizada por agentes que, en virtud de su profesión o cargo, estén obligados a preservar la confidencialidad o cuando se caracterice como intencional.

Por último, también es importante destacar que la LGPD enumera diez principios que deben tenerse en cuenta en el tratamiento de datos personales, como son la limitación de la finalidad, la necesidad, la transparencia, la seguridad, la no discriminación y la responsabilidad (o accountability), lo que obliga a que el responsable y el encargado del tratamiento demuestren de forma completa y transparente la adopción de medidas eficaces capaces de demostrar el cumplimiento de las normas de protección de datos personales.

Este año ya comenzó con novedades en el área de protección de datos en Brasil y se esperan nuevos desarrollos, como las primeras tendencias en la jurisprudencia y el inicio del proceso de supervisión por parte de la Autoridad de Protección de Datos y la publicación de más directrices y guías con los entendimientos de la autoridad sobre varios temas.