El mundo vio varias leyes de protección de datos aprobadas en 2018 a ambos lados del Atlántico. Los Estados Unidos de América aprobaron la Ley de privacidad del consumidor de California de 2018, mientras que Europa dio su consentimiento al «Reglamento general de protección de datos». En el mismo año, Brasil ingresó a esta exclusiva lista de pioneros mundiales mediante la aprobación, en agosto de 2018, de la «Lei Geral de Proteção de Dados Pessoais» (LGPD – 13.709 / 18).
La nueva ley, aprobada por la Cámara y el Senado de Brasil, se considera una especialización del Código de Protección al Consumidor. Sin embargo, desde entonces, la LGPD ha sido objeto de varios ajustes en relación a su contenido y a su fecha de entrada en vigor.
Y es que luego de haberse pospuesto la fecha original de entrada en vigor, debido a la pandemia de COVID para el mes de agosto de 2020 – a partir de una recomendación aprobada por el Senado – la continuidad de la pandemia llevó a un nuevo retraso y la ley se vio pospuesta para mayo de 2021.
El principal objetivo de LGPD es garantizar la privacidad de los datos personales otorgando, al mismo tiempo, un mayor control sobre los mismos. La ley recomienda reglas, estándares y formatos claros para los procesos de recolección, almacenamiento e intercambio de este tipo de datos.
Además, la ley busca promover el desarrollo económico y tecnológico de Brasil. Algo similar a la Ley de protección de datos europea, la LGDP brasileña se aplica a todos los sectores de la economía, y su cumplimiento por parte de todas las empresas, brasileñas y extranjeras, que operan en Brasil, es obligatorio.
La ley incluye directivas como el derecho del individuo a solicitar la rectificación, cancelación o incluso la eliminación de sus datos personales de las bases de datos. Así como la obligación por parte de las entidades, de notificar a las personas físicas cuyos datos hayan sido cubiertos por algún tipo de incidente. La LGPD también incluye la necesidad de crear la Autoridad Nacional de Protección de Datos como organismo regulador.
La LGPD brasileña se inspiró en la ley europea y ambas leyes son similares en algunos puntos, como por ejemplo, el derecho del individuo a acceder a la información, los términos de obtención obligatoria y prueba de consentimiento y la definición de parámetros para el procesamiento, almacenamiento y gestión de datos.
También existen algunas diferencias entre las dos leyes en temas específicos, como la definición y tratamiento de datos de salud, biométricos y genéticos, entre otros. Ajustes que resultan necesarios por las diferencias entre los dos ecosistemas donde se aplican las leyes.
En materia de salud, la ley es mucho menos estricta en Brasil. En Europa, la mayoría de las definiciones en esta área se realizan a nivel nacional – en cada uno de los países del grupo. Esto significa que, en países donde la ley de protección de datos es más restrictiva, como Alemania por ejemplo, se observa la ley local en detrimento de la ley europea, que resulta menos exigente en ciertos puntos del Reglamento General de Protección de Datos.
En general, el gran desafío para la LGPD brasileña está relacionado con la capacidad de inversión. La realidad es algo diferente a la del proyecto de ley y, dos años después de su aprobación, muchas empresas aún no cumplen con las normas definidas por la LGPD. Las razones son varias: ajustes de software, herramientas de seguridad y sus procesos, además de la necesidad de capacitar a los empleados con las nuevas reglas.
La reciente propuesta de posponer la vigencia de la ley se debió principalmente al efecto de la pandemia de COVID-19 en la economía brasileña, que ya de por si era frágil. Por tal motivo, existe un claro temor de sobrecargar a las empresas al presentar un desafío más en tan poco tiempo.
Fuentes:
HIMSS Insights, COVID-19 and Beyond.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htmThe world saw in 2018 data protection laws being approved on both sides of the Atlantic. In the US, the ‘California Consumer Privacy Act of 2018’ was adopted, and in Europe the ‘General Data Protection Regulation’ (GDPR) came into effect. Brazil was also among the global leaders in privacy regulation, the ‘Lei Geral de Proteção de Dados Pessoais’ (LGPD – 13.709/18) was approved in August 2018.
The new law is a specialisation for other specific laws such as the «Código de Defesa do Consumidor» (Consumer Defense Code) and has seen several adjustments on its content and effective date. After having considered postponing the effective date of LGPD, due to the COVID-19 pandemic, on May 2020 to August 2020, the continuity of the pandemic led to a new delay and the law was postponed to May 2021.
The main goal of the LGPD is to guarantee the privacy of people’s personal data and allow greater control over them. The law preconizes norms, standardisation and clear rules for the processes of collection, storage and sharing of this information. In addition, the law aims to help to promote economic and technological development. Somewhat similar to GDPR, the Brazilian LGPD law applies to all sectors of the economy, and it is mandatory to Brazilian companies but also to foreign companies that operate within Brazilian borders. Rules include the holder’s right to rectify, cancel or even request deletion of their own personal data. It also includes the need to create a National Data Protection Authority (ANPD). LGPD also makes it mandatory to notify affected individuals in case of any incident involving personal data.
The drafting of the Brazilian LGPD was clearly inspired by the European GDPR. But it is important to note that there are also some differences. For example, holders’ right of information, personal data consent and proof of consent obtention as well as security parameters for treatments, storage and handling of data are topics that are dealt with by the LGPD and are very similar to how the European GDPR addresses them. Differences, on the other hand, can be found with regard to specific types of data – health, biometric, and genetic data, among others. Most of these differences relate to the differences in the legal system between Europe and Brazil, with Brazilian law being less specific in areas like healthcare that, in Europe, is regulated in great detail on a national level.
Overall, the main challenge for making the Brazilian LGPD a success is investment. The reality on the ground is that, two years after it was approved, many companies still don’t comply with the LGPD rules. Among the reasons for this are not only adjustments in software, but also in security tools, security processes, and privacy-related staff training.
The recent recommendation for postponing the effective date of the LGPD was due to the impact of the COVID-19 pandemic on the Brazilian economy. There is clearly the fear to overwhelm companies if one more challenge is presented in such a short period of time.
Sources:
HIMSS Insights, COVID-19 and Beyond.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htmO mundo assistiu à aprovação de diversas leis de proteção de dados, em 2018, nos dois lados do atlântico. Os Estados Unidos da América aprovaram o Ato da Privacidade do Consumidor da Califórnia de 2018 (California Consumer Privacy Act of 2018) enquanto a Europa consentiu no “Regulamento Geral de Proteção de Dados” (General Data Protection Regulation). No mesmo ano, o Brasil entrou para esta restrita lista de pioneiros mundiais através da aprovação, em agosto de 2018, da Lei Geral de Proteção de Dados (LGPD – 13.709/18).
A lei aprovada pela Câmara e Senado Brasileiros em 2018 é considerada uma especialização do Código de Defesa do Consumidor. No entanto, desde então, a LGPD tem sido objeto de vários ajustes em relação ao seu conteúdo e à data em que entrará em vigor. A pandemia COVID-19 levou a uma nova alteração de calendário e a lei que estava prevista entrar em vigor em agosto de 2020 viu a sua data de efetividade adiada para maio de 2021.
O principal objetivo da LGPD é garantir a privacidade dos dados pessoais e, ao mesmo tempo, um maior controle sobre os mesmos. A lei preconiza regras, padrões e formatos claros para os processos de coleta, armazenamento e troca destes tipos de dados. Adicionalmente, a lei pretende promover o desenvolvimento econômico e tecnológico do Brasil.
Algo similar com a GDPL Europeia, a LGDP Brasileira aplica-se a todos os setores da economia, sendo obrigatório o seu cumprimento a todas as empresas, brasileiras e estrangeiras, que operam no Brasil. A lei inclui diretivas como o direito do individuo de solicitar a retificação, cancelamento ou mesmo o apagamento dos seus dados pessoais de bases de dados. Assim como a obrigação, por parte das entidades, de notificar indivíduos cujos dados tenham sido abrangidos por algum tipo de incidente. A LGPD inclui também a necessidade de criação da Autoridade Nacional de Proteção de Dados como entidade reguladora.
A LGPD brasileira foi inspirada na legislação europeia e ambas são semelhantes em alguns pontos, como por exemplo, o direito de acesso à informação do próprio individuo, obtenção obrigatória e com prova de termos de consentimento e definição de parâmetros para tratamento, armazenamento e gestão de dados.
Há também algumas diferenças entre as duas leis em tópicos específicos, como por exemplo, definição e tratamento de dados de saúde, biométricos e genéticos, entre outros. Adequações necessárias em virtude das diferenças entre os dois ecossistemas onde ambas as leis são aplicadas.
No que respeita à área da saúde, a lei é bem menos estrita no Brasil. Na Europa, grande parte das definições nesta área é feita a nível nacional, por cada um dos países do grupo. Significando que países onde a lei de proteção de dados é mais restritiva, como por exemplo a Alemanha, é observada a lei local em detrimento da lei europeia, menos exigente em certos pontos do Regulamento Geral de Proteção de Dados.
De uma forma geral, o grande desafio para a LGPD Brasileira está relacionado com a capacidade de investimento. A realidade no terreno é algo divergente do projeto de lei, dois anos depois da aprovação da lei muitas companhias ainda não cumprem com as regras definidas pela LGPD. As razões são várias: ajustes de software, de ferramentas de segurança e de seus processos, além do treinamento dos funcionários quanto às novas regras.
A recente proposta de postergação da efetividade da lei teve como principal motivo o efeito da pandemia da COVID-19 na economia brasileira, já de si frágil. Há um claro receio de sobrecarregar as empresas pela apresentação de mais um desafio num espaço de tempo tão curto.
Fontes:
HIMSS Insights, COVID-19 and Beyond.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm