GDPR en Brasil. ¿Qué debo saber?

El llamado Reglamento General de Protección de Datos (RGPD) en Brasil (LGPD en portugués) está en vigor desde el 18 de septiembre de 2020. Por lo tanto, las empresas que aún no se han adaptado a la nueva normativa necesitan implementar los cambios necesarios lo antes posible. Esto se debe a que las sanciones por incumplimiento de la ley comenzarán a aplicarse a partir de 2021.

Para aquellos que no están muy seguros de por dónde empezar, hemos preparado esta guía con todo lo que necesita saber sobre el GDPR en Brasil y sus impactos. De esta forma, su empresa podrá comenzar el próximo año sin preocuparse por ningún tipo de sanción legal. Seguimiento.

Acerca del Reglamento General de Protección de Datos en Brasil

El Reglamento General de Protección de Datos (GDPR - en Brasil) fue promulgado por el entonces presidente Michel Temer en agosto de 2018 y entró en vigor en septiembre de 2020. Esta "ventana" de dos años entre la aprobación y la entrada en vigor sirvió como un período para que las empresas se adaptaran a las nuevas reglas. Por lo tanto, aquellos que ni siquiera son conscientes de lo que es el GDPR y sus efectos están algo retrasados. La buena noticia es que todavía hay tiempo para "recuperar el tiempo perdido" y reorganizar el funcionamiento de su negocio para cumplir con la ley. Para empezar, contextualicemos brevemente qué es el GDPR.

El Reglamento General de Protección de Datos regula en qué términos puede llevarse a cabo la recogida, el tratamiento y la puesta en común de los datos de los usuarios. Ahora está en vigor una norma más transparente para la gestión de esta información, de modo que los ciudadanos tienen mayor seguridad de que sus datos personales se utilizarán para los fines previamente acordados con las empresas.

LEA TAMBIÉN: FACTURA EN LA CIUDAD DE SÃO PAULO - SEPA CÓMO FUNCIONA

Hasta entonces, vivíamos en un escenario de total falta de regulación, con información del usuario siendo reproducida y almacenada sin ningún tipo de consentimiento ni parámetros de seguridad, lo que deja lugar a una serie de problemas. Sin embargo, desde el inicio de la vigencia del GDPR, se ha establecido que:

El tratamiento de datos personales sólo puede llevarse a cabo en los siguientes casos:

I - previo consentimiento del titular;

II - para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;

III - por la administración pública, para el tratamiento y uso compartido de datos necesarios para la ejecución de políticas públicas previstas en leyes y reglamentos o respaldadas por contratos, convenios o instrumentos similares, [...].

IV - realizar estudios por parte de un organismo de investigación, garantizando, siempre que sea posible, la anonimización de los datos personales;

V - cuando sea necesario para la ejecución de un contrato o de procedimientos preliminares relacionados con un contrato en el que el interesado sea parte, a petición del interesado;VI - para el ejercicio regular de derechos en procedimientos judiciales, administrativos o de arbitraje, estos últimos en los términos del Ley nº 9.307, 23/11/96 (Ley de Arbitraje) ;

VII - para proteger la vida o la seguridad física del propietario o de terceros;

VIII - para la protección de la salud, en procedimiento realizado por profesionales del área de la salud o por entidades sanitarias;

VIII - para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales sanitarios, servicios de salud o autoridad sanitaria;

Para las empresas que no cumplan con estas disposiciones, el GDPR en Brasil prevé la aplicación de multas y sanciones administrativas que serán establecidas por la Autoridad Nacional de Protección de Datos -. ANPDorganismo federal encargado de supervisar la aplicación de la ley.

Aplicaciones GDPR

El GDPR en Brasil tiene implicaciones para todos los sectores de la economía. Básicamente, a partir de ahora, será necesario informar a la motivación para solicitar datos de sus clientes y clientes potenciales, sabiendo cómo asignar la clasificación correcta a estos datos, que se divide en:

Datos personales - información capaz de asignar una identificación a una persona, como el número social (RG y CPF), el nombre y la dirección.

Datos sensibles - información relacionada con atributos más específicos de una persona, como origen étnico/racial, posiciones políticas, convicciones religiosas, orientación sexual y similares.

También merece la pena identificar otro concepto importante, que es el tratamiento de datos:

Tratamiento de datos - cualquier acción que implique datos personales se considera "tratamiento", desde el momento en que se recogen los datos hasta el momento en que se suprimen.

Hechas estas distinciones, veamos algunos acontecimientos críticos que merecen atención.

Obtención de datos sin consentimiento

La compra de listas de clientes potenciales, incluso antes de la aprobación del GDPR, ya era una práctica éticamente inadecuada. A partir de ahora, se convierte en un delito penal.

Por lo tanto, en ningún caso el departamento comercial de su empresa debe compartir o recibir datos de los usuarios sin el debido consentimiento de los implicados.

Además, la información que ya está en posesión de la organización no debe utilizarse para ningún otro fin que no sea el informado durante su recogida. Los datos de estudios de mercado realizados hace unos años, por ejemplo, no pueden utilizarse de ninguna otra manera. En este caso, utilizar los datos personales de cualquier persona para un simple contacto comercial ya es ilegal.

Comunicación con su base de clientes potenciales

Supongamos que ya dispone de una base de contactos de clientes y clientes potenciales con los que se comunica regularmente a través de distintos canales de relación, como el correo electrónico y Whatsapp. Para mantener este tipo de comunicación, será necesario identificar en qué casos se puede volver a contactar con estas personas.

De acuerdo con el GDPR de Brasil, se debe demostrar que este contacto es necesario para el funcionamiento de la empresa, lo que no incluye acciones de marketing.

Recogida de datos

Al igual que en el caso de la comunicación, la recogida de datos debe estar debidamente justificada. Así, los datos solicitados, ya estén clasificados como personales o sensibles, deben considerarse estrictamente necesarios para el funcionamiento de la empresa.

Con ello, todos los formularios en circulación dirigidos al público de su empresa deben ser revisados para cumplir los requisitos legales. Los directivos, junto con el asesor jurídico, deben llegar a un consenso sobre qué información puede clasificarse como esencial.

Tipos de autorizaciones

Más que saber lo que se debe evitar, es importante conocer algunos conceptos presentes en la ley para no incurrir en ilegalidades y entender, más ampliamente, cómo manejar los datos de sus clientes. Veamos, pues, algunas aclaraciones al respecto.

Según la ley, el consentimiento se define como una declaración de voluntad clara e inequívoca. En la práctica, se trata de una declaración expresa de que el usuario está de acuerdo con el tipo de finalidad que se dará a los datos facilitados.

Desde esta perspectiva, el consentimiento, de acuerdo con las determinaciones del GDPR en Brasil debe tener los siguientes atributos;

El consentimiento debe ser libre: la concesión del consentimiento no puede ser "forzada" o inducida, sino una elección. Si una empresa inserta una casilla de consentimiento en un formulario, significa que no tiene la opción de aceptar o entregar los términos propuestos

El consentimiento debe ser inequívoco: Depende de la manifestación mediante un acto positivo del usuario. En otras palabras, debe haber una acción por parte del usuario que indique su aceptación, ya sea mediante el envío de un correo electrónico, la firma electrónica o incluso haciendo clic en un lugar específico. No puede haber dudas sobre si se ha dado o no el consentimiento;

El consentimiento debe prestarse para un fin concreto y determinado: El consentimiento debe darse para un fin concreto y especificado. Es parte integrante de la lógica del GDPR informar de la razón por la que se utilizan los datos personales. La empresa nunca podrá utilizar los datos recogidos para un fin no especificado en el formulario de consentimiento.

Ante tantas exigencias, habrá quien se pregunte: ¿es estrictamente necesario el consentimiento para ponerse en contacto con el líder?

No necesariamente, porque disponemos de lo que convencionalmente se denomina en Derecho del interés legítimo y de los contratos. Este dispositivo legitima el contacto comercial realizado de manera razonable.

Entender cuáles son los derechos de los usuarios a partir del GDPR

El RGPD también establece una serie de derechos de los usuarios, que a menudo implican obligaciones que deben cumplir las empresas.

Vea cuáles son los principales:

• Derecho a confirmar la existencia del tratamiento;
• Derecho de acceso a los datos;
• Derecho a corregir datos incompletos, inexactos o anticuados;
• Derecho a anonimizar, bloquear o eliminar los datos innecesarios, excesivos o procesados en violación de las disposiciones del GDPR;
• Derecho a la portabilidad de los datos a otro proveedor de servicios o productos, previa solicitud expresa, de conformidad con la normativa de la autoridad nacional, respetando los secretos comercial e industrial;
• Derecho a suprimir los datos personales tratados con el consentimiento del titular;
• Derecho a la información de las entidades públicas y privadas con las que el responsable del tratamiento compartió datos;
• Derecho a la información sobre la posibilidad de no dar el consentimiento y sobre las consecuencias de la denegación;
• Derecho a revocar el consentimiento.

La aplicación del GDPR en su empresa merece un seguimiento adecuado. Como hemos destacado, cualquier incumplimiento puede dar lugar a sanciones de distinta naturaleza, exponiendo a su empresa a riesgos legales totalmente evitables.